Stránka 1 z 1

VPN router

Odeslat příspěvekNapsal: 6. 8. 2017 20:53
od maaart
Pokud si pořídím router s VPN, lze potom po připojení přes nějakou veřejnou wifi do tohoto routeru bezpečně i surfovat po netu, nebo se lze připojit jen do domácí sítě za routerem?
Jde mi o bezpečné surfování třeba v kavárně. Vím že existují VPN připojení, ale nevím zda se jim dá věřit. Tak by se mi ĺíbilo vytvořit si vlastní.

Re: VPN router

Odeslat příspěvekNapsal: 7. 8. 2017 05:06
od Nargon
Takže situace: Doma máš internet a chceš mít router s VPN serverem.
Když následně vezmeš notebook/tablet/mobil a připojíš se někde na free wifi (např v mekáči) tak se chceš přes VPN připojit na svůj router doma a serfovat po netu.

Ano, toto zapojení je možné, technická realizace bude záviset na tom co si pořídíš za router. Tedy jakým způsobem budeš muset nastavit firewall v routeru aby dovolil komunikaci mezi VPN a internetem. Určitě vím že to jde u Mikrotik routerů, mám to tak zapojené/nastavené a funguje mi to. Jak jsou na tom ostatní výrobci nevím, tak si dej pozor aby jsi nenarazil na to že v nastavení chybí nějaké "zaškrtávátko" které tu komunikaci pustí i do internetu.

Jen jedno důležité upozornění. Tam kde ten router bude musíš mít dobrý internet. Jednak je nutné mít veřejnou IP adresu a pak i dostatečnou rychlost v obou směrech, protože to co router z internetu stáhne tak odešle do VPN a opačně. Tohle vím že je často u domácích přípojek problém. Buď máš rychlý internet, ale chybí veřejná IP a nebo když už máš veřejnou IP tak často chybí upload.

Re: VPN router

Odeslat příspěvekNapsal: 7. 8. 2017 05:37
od vladimir
Další zaškrkávátko je ve VPN-klientu na počítači, u Windowsovských klientů to je zašité v záložce nastavení VPN sítě, je to něco jako "Použít výchozí bránu vzdáleného počítače"

(Stejně jako Nargon používám jako VPN-server Mikrotika, samozřejmě na veřejné IP-adrese.)

Re: VPN router

Odeslat příspěvekNapsal: 7. 8. 2017 06:50
od Doggg
Ještě bych doplnil potřebuješ router s vpn server funkcionalitou. Nikoli jenom vpn enabled /ready - což značí jen to že to ten router umí poslat dál...

Re: VPN router

Odeslat příspěvekNapsal: 7. 8. 2017 19:38
od maaart
Díky moc. Veřejnou IP mám. Upload není kdoví co, ale snad to půjde.
Uvažoval jsem o nějakém ASUSu. Musím tedy nastudovat parametry. Ještě mám jednu otázku. Musí být VPN router na rozhraní WAN/LAN, nebo může být v síti, když ho správně proroutruji (nastavím porty)?

Re: VPN router

Odeslat příspěvekNapsal: 8. 8. 2017 11:33
od Nargon
Nejlepší je když je router na rozhraní WAN/LAN, ale teoreticky může fungovat i ve vnitřní síti. Jen s tím proroutováním někdy bývá potíž. Záleží co budeš používat za VPNku, někde totiž může být problém to správně proroutovat.
Například PPTP, který je mimochodem nebezpečný protože už byl dávno prolomen, ale vzhledem k jeho jednoduchosti, výpočetní nenáročnosti a faktu že ho podporuje snad vše myslitelné tak je většinou dostupný v seznamu VPN serverů/protokolů. Tak u PPTP bývá problém protože tenhle VPN protokol ke své komunikaci používá IP protokol 47 (GRE). Běžné domácí routery ti umožní forwardnout protokol 6 (TCP) a 17 (UDP), ale bohužel GRE dál nepošle, tudíž pak bude tento typ VPNky nepoužitelný.
Další příklad mám u použití IPSec protokolu (např. při použití varianty L2TP/IPSec). Tenhle protokol je velmi citlivý na změnu IP adresy v paketu. Defakto skrz NAT nefunguje. Je nutné dodržet, že když při připojení k VPN zadáš že se má klient připojit na IP 1.2.3.4 tak paket bude mít "Destination IP 1.2.3.4" na VPN serveru. Což u NATovaného připojení je problém, protože tam je automaticky destination ip nahrazena za lokální IP adresu toho VPN serveru. Což je ze síťového hlediska správně a jinak to ani nejde, ale pro VPN server to je značný problém. Je to ale řešitelné. Před VPN server je nutné předřadit další NAT, který tomu paketu změní Destination IP zase na tu původní 1.2.3.4, a pak ten paket půjde na VPN server. U dobře konfigurovatelných routerů (mikrotik) lze NAT provést na stejném zařízení jako VPN server. U jiných značek to možná bude vyžadovat dvě zařízení, jedno NATuje a druhé VPNkuje. Vím že tohle vypadá hrozně, ale je to celkem proveditelné. Vzhledem k tomu že mám od poskytovatele veřejnou IP přes NAT 1:1 tak to mám doma zařízené takto a na mikrotiku provádím druhý NAT a následně to zpracuje VPN server.
Jaké další úskalí mají ostatní typy VPN serverů nevím. Já ty chyby záměrně nehledám, jen je řeším když na ně narazím.

Re: VPN router

Odeslat příspěvekNapsal: 8. 8. 2017 17:15
od maaart
Díky moc za vyčerpávající odpověď.
O prolomení PPTP jsem četl. Jaký protokol je tedy rozšířený a "bezpečný"?
A ještě bych se zeptal, jestli to není tajné, jaký typ toho Mikrotika máš, nebo doporučíš?

Odeslat příspěvekNapsal: 8. 8. 2017 20:10
od herma
Mikrotiky mají stejný software, jde jen o hw. Jinak třeba ovpn.

Re: VPN router

Odeslat příspěvekNapsal: 9. 8. 2017 09:15
od Nargon
Velká výhoda/nevýhoda mikrotiků je to že vše mají řešené pomocí SW v CPU, takže je jedno jaký koupíš, všechny se chovají stejně, protože ten SW je stejný. Rozdíl je jen ve výkonu. Tj zda zvládne zpracovávat data rychlostí 300Mbit (nebo jakou máš rychlost internetu) i po tom co si do firewallu zadáš desítky pravidel apod. Nebo zda zvládne šifrovat VPN rychlostí 20Mbit nebo 500Mbit apod.
Já mám konkrétně model RB850Gx2, což je jen "destička" k tomu si musíš dokoupit i zdroj a krabičku. V dnešní době bych asi doporučil RB750Gr3: https://www.i4wifi.cz/MikroTik-RouterBo ... SD-L4.html sice je to kompletní krabička včetně všeho, ale je to "jen" router, nemá žádnou wifi, ale pro VPN a případně jako "hlavní router" by to byl ideální kandidát. Wifi pak můžeš řešit libovolnou jinou krabičkou kterou budeš provozovat jen v AP režimu (tj bez routování a bez firewallu a bez dalšího omezování) Pokud by jsi chtěl mikrotika i s wifi tak bych volil asi RB962UiGS-5HacT2HnT: https://www.i4wifi.cz/MikroTik-RouterBo ... ac-L4.html kde máš obě wifiny a gigabit lan porty. Jen tedy ta cena je trochu vyšší.

Co se týče vhodného VPN protokolu tak dobrý je OpenVPN, ikdyž ten na mikrotiku nefunguje na 100%, je tam pouze podpora pro VPNku přes TCP protokol. Což zas tak nevadí, OVPN server funguje i na TCP, ale někdy je vhodné použít OVPN na UDP protokolu a to tady bohužel nejde. Jediná nevýhoda OVPN je to že potřebuje "aplikaci" klienta, což může být problém u zařízení kam nemáš práva cokoliv instalovat.
Pak je dobrá volba mnou zmíněný L2TP/IPSec, kde je teda mnou zmíněný problém s NATem, ale tohle je často nativně podporováno v mnoha zařízeních přímo v OS. Tj na windows, androidu, ios apod. Nepotřebuješ k tomu žádnou další aplikaci.
Pak by se dalo uvažovat i nad SSTP, to je ale celkem nový protokol a je podporovaný ve win7 a vyšších, v mobilech to nativně podporováno není a je potřeba nějaká aplikace třetí strany. Ale zase je to navrženo tak že to dobře projde NATem, tj stačí forwardnout jeden port.
A pak jsou spousty "uzavřených" protokolů, kde musíš mít aplikaci pro server i pro klienta, často je to i placené.

Re: VPN router

Odeslat příspěvekNapsal: 1. 4. 2018 13:35
od Mila_s
Mám tuto situaci: doma kabelový modem/router UPC, za ním WiFi router TP-LINK WR941N v2/v3; k němu připojen (kabelem) notebook (Win10) a (kabelem) satelitní přijímač VU+ Solo4k (Linux). Přes WiFi se připojuje mobil (Android), TV LG, a občas jiný notebook (Win7).
Podařilo se mi nastavit port forwarding tak, abych se na VU+ (jeho rozhraní OpenWebif) dostal odkudkoli zvenku (zaheslováno, nestandardní port, funguje i dyddns).
Teď bych to chtěl zabezpečit přes VPN. Jestli to dobře chápu, tak VPN by musela být v routeru (VPN server). To můj router neumí. Nelze už ani na něj stáhnout update firmware. Je to asi zralé na koupi nového. Co byste poradili ?
(Nechtěl jsem na to zakládat nové vlákno, ale můžu to udělat).

Re: VPN router

Odeslat příspěvekNapsal: 1. 4. 2018 17:08
od Doggg
Čistě obecně můžeš jako vpn server použít i jiný device v síti (rpi, nas, server), pokud třeba máš / už ti tam běží a nepotřebuješ za každou cenu měnit router.

Pokud ano tak zkus začít tudy:

https://m.alza.cz/wifi-routery/18848956 ... 678-184810

Re: VPN router

Odeslat příspěvekNapsal: 1. 4. 2018 18:32
od Mila_s
Zatím jediné, co mám doma trvale zapnuté (kromě routeru samotného) je satelitní box VU+. Ten by jako VPN server uměl taky posloužit ?

Re: VPN router

Odeslat příspěvekNapsal: 25. 4. 2018 06:01
od Mike.M
Mila. Tento tplink podporuje openwrt firmware, kde uz jednoduse openvpn nainstalujes. Mame to tak reseno na spousty zarizenich. Problem muze ale byt 8MB pameti. Ale pozor po preflashovani bude te tplink stabilnejsi ale bez zaruky.... A musis vybrat spravny fw na tvou verzi.

Re: VPN router

Odeslat příspěvekNapsal: 25. 4. 2018 07:13
od Mila_s
Pro stávající tp-link router už na jejich stránkách není update SW.
Mezitím jsem koupil nový router Asus.
Dobrou diskusi jsme na toto téma vedli zde: http://www.ab-forum.info/viewtopic.php? ... 1&start=20