VPN router

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod maaart 6. 8. 2017 20:53

Pokud si pořídím router s VPN, lze potom po připojení přes nějakou veřejnou wifi do tohoto routeru bezpečně i surfovat po netu, nebo se lze připojit jen do domácí sítě za routerem?
Jde mi o bezpečné surfování třeba v kavárně. Vím že existují VPN připojení, ale nevím zda se jim dá věřit. Tak by se mi ĺíbilo vytvořit si vlastní.
maaart
Kolemjdoucí

Odeslat příspěvekod Nargon 7. 8. 2017 05:06

Takže situace: Doma máš internet a chceš mít router s VPN serverem.
Když následně vezmeš notebook/tablet/mobil a připojíš se někde na free wifi (např v mekáči) tak se chceš přes VPN připojit na svůj router doma a serfovat po netu.

Ano, toto zapojení je možné, technická realizace bude záviset na tom co si pořídíš za router. Tedy jakým způsobem budeš muset nastavit firewall v routeru aby dovolil komunikaci mezi VPN a internetem. Určitě vím že to jde u Mikrotik routerů, mám to tak zapojené/nastavené a funguje mi to. Jak jsou na tom ostatní výrobci nevím, tak si dej pozor aby jsi nenarazil na to že v nastavení chybí nějaké "zaškrtávátko" které tu komunikaci pustí i do internetu.

Jen jedno důležité upozornění. Tam kde ten router bude musíš mít dobrý internet. Jednak je nutné mít veřejnou IP adresu a pak i dostatečnou rychlost v obou směrech, protože to co router z internetu stáhne tak odešle do VPN a opačně. Tohle vím že je často u domácích přípojek problém. Buď máš rychlý internet, ale chybí veřejná IP a nebo když už máš veřejnou IP tak často chybí upload.
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor

Odeslat příspěvekod vladimir 7. 8. 2017 05:37

Další zaškrkávátko je ve VPN-klientu na počítači, u Windowsovských klientů to je zašité v záložce nastavení VPN sítě, je to něco jako "Použít výchozí bránu vzdáleného počítače"

(Stejně jako Nargon používám jako VPN-server Mikrotika, samozřejmě na veřejné IP-adrese.)
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Doggg 7. 8. 2017 06:50

Ještě bych doplnil potřebuješ router s vpn server funkcionalitou. Nikoli jenom vpn enabled /ready - což značí jen to že to ten router umí poslat dál...
Doggg
Junior

Odeslat příspěvekod maaart 7. 8. 2017 19:38

Díky moc. Veřejnou IP mám. Upload není kdoví co, ale snad to půjde.
Uvažoval jsem o nějakém ASUSu. Musím tedy nastudovat parametry. Ještě mám jednu otázku. Musí být VPN router na rozhraní WAN/LAN, nebo může být v síti, když ho správně proroutruji (nastavím porty)?
maaart
Kolemjdoucí

Odeslat příspěvekod Nargon 8. 8. 2017 11:33

Nejlepší je když je router na rozhraní WAN/LAN, ale teoreticky může fungovat i ve vnitřní síti. Jen s tím proroutováním někdy bývá potíž. Záleží co budeš používat za VPNku, někde totiž může být problém to správně proroutovat.
Například PPTP, který je mimochodem nebezpečný protože už byl dávno prolomen, ale vzhledem k jeho jednoduchosti, výpočetní nenáročnosti a faktu že ho podporuje snad vše myslitelné tak je většinou dostupný v seznamu VPN serverů/protokolů. Tak u PPTP bývá problém protože tenhle VPN protokol ke své komunikaci používá IP protokol 47 (GRE). Běžné domácí routery ti umožní forwardnout protokol 6 (TCP) a 17 (UDP), ale bohužel GRE dál nepošle, tudíž pak bude tento typ VPNky nepoužitelný.
Další příklad mám u použití IPSec protokolu (např. při použití varianty L2TP/IPSec). Tenhle protokol je velmi citlivý na změnu IP adresy v paketu. Defakto skrz NAT nefunguje. Je nutné dodržet, že když při připojení k VPN zadáš že se má klient připojit na IP 1.2.3.4 tak paket bude mít "Destination IP 1.2.3.4" na VPN serveru. Což u NATovaného připojení je problém, protože tam je automaticky destination ip nahrazena za lokální IP adresu toho VPN serveru. Což je ze síťového hlediska správně a jinak to ani nejde, ale pro VPN server to je značný problém. Je to ale řešitelné. Před VPN server je nutné předřadit další NAT, který tomu paketu změní Destination IP zase na tu původní 1.2.3.4, a pak ten paket půjde na VPN server. U dobře konfigurovatelných routerů (mikrotik) lze NAT provést na stejném zařízení jako VPN server. U jiných značek to možná bude vyžadovat dvě zařízení, jedno NATuje a druhé VPNkuje. Vím že tohle vypadá hrozně, ale je to celkem proveditelné. Vzhledem k tomu že mám od poskytovatele veřejnou IP přes NAT 1:1 tak to mám doma zařízené takto a na mikrotiku provádím druhý NAT a následně to zpracuje VPN server.
Jaké další úskalí mají ostatní typy VPN serverů nevím. Já ty chyby záměrně nehledám, jen je řeším když na ně narazím.
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor

Odeslat příspěvekod maaart 8. 8. 2017 17:15

Díky moc za vyčerpávající odpověď.
O prolomení PPTP jsem četl. Jaký protokol je tedy rozšířený a "bezpečný"?
A ještě bych se zeptal, jestli to není tajné, jaký typ toho Mikrotika máš, nebo doporučíš?
maaart
Kolemjdoucí

Odeslat příspěvekod herma 8. 8. 2017 20:10

Mikrotiky mají stejný software, jde jen o hw. Jinak třeba ovpn.
herma
Junior

Odeslat příspěvekod Nargon 9. 8. 2017 09:15

Velká výhoda/nevýhoda mikrotiků je to že vše mají řešené pomocí SW v CPU, takže je jedno jaký koupíš, všechny se chovají stejně, protože ten SW je stejný. Rozdíl je jen ve výkonu. Tj zda zvládne zpracovávat data rychlostí 300Mbit (nebo jakou máš rychlost internetu) i po tom co si do firewallu zadáš desítky pravidel apod. Nebo zda zvládne šifrovat VPN rychlostí 20Mbit nebo 500Mbit apod.
Já mám konkrétně model RB850Gx2, což je jen "destička" k tomu si musíš dokoupit i zdroj a krabičku. V dnešní době bych asi doporučil RB750Gr3: https://www.i4wifi.cz/MikroTik-RouterBo ... SD-L4.html sice je to kompletní krabička včetně všeho, ale je to "jen" router, nemá žádnou wifi, ale pro VPN a případně jako "hlavní router" by to byl ideální kandidát. Wifi pak můžeš řešit libovolnou jinou krabičkou kterou budeš provozovat jen v AP režimu (tj bez routování a bez firewallu a bez dalšího omezování) Pokud by jsi chtěl mikrotika i s wifi tak bych volil asi RB962UiGS-5HacT2HnT: https://www.i4wifi.cz/MikroTik-RouterBo ... ac-L4.html kde máš obě wifiny a gigabit lan porty. Jen tedy ta cena je trochu vyšší.

Co se týče vhodného VPN protokolu tak dobrý je OpenVPN, ikdyž ten na mikrotiku nefunguje na 100%, je tam pouze podpora pro VPNku přes TCP protokol. Což zas tak nevadí, OVPN server funguje i na TCP, ale někdy je vhodné použít OVPN na UDP protokolu a to tady bohužel nejde. Jediná nevýhoda OVPN je to že potřebuje "aplikaci" klienta, což může být problém u zařízení kam nemáš práva cokoliv instalovat.
Pak je dobrá volba mnou zmíněný L2TP/IPSec, kde je teda mnou zmíněný problém s NATem, ale tohle je často nativně podporováno v mnoha zařízeních přímo v OS. Tj na windows, androidu, ios apod. Nepotřebuješ k tomu žádnou další aplikaci.
Pak by se dalo uvažovat i nad SSTP, to je ale celkem nový protokol a je podporovaný ve win7 a vyšších, v mobilech to nativně podporováno není a je potřeba nějaká aplikace třetí strany. Ale zase je to navrženo tak že to dobře projde NATem, tj stačí forwardnout jeden port.
A pak jsou spousty "uzavřených" protokolů, kde musíš mít aplikaci pro server i pro klienta, často je to i placené.
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků