Domowy internet netia VPN

[Laston 0]

Witam. Chciałbym zapytać czy w takiej sieci - Netia, VDSL - jest możliwość uruchomienia VPN, tak żebym mógł połączyć się poza domem. Aktualnie jako router posiadam Netia Spota. Co musiałbym zrobić i co dokupić żeby coś takiego było wykonalne?

[Qwinto 413]

Z opisu wnioskuję, że chcesz używając VPN podłączyć się zdalnie do sieci domowej będąc poza domem. Jeśli tak, to:

Po pierwsze musisz mieć publiczny (z którego w danym momencie korzystasz tylko Ty) adres IP na interfejsie Netia Spota. Druga kwestia to możliwość przekierowania portu(ów) na routerze brzegowym (Netia Spot powinien to ogarnąć). Po trzecie potrzebujesz urządzenia które by oferowało usługę VPN (Neta Spot raczej tego nie oferuje). Potrzebujesz więc jakiś komputer (mikrokomputer), który będzie pracował 24h na dobę.

[Laston 0]

Dokładnie tak. IP zewnętrzny jest ale nie stały - to chyba da się załatwić no-ip czy czymś w ten deseń? Myślałem, że będzie trzeba wymienić router albo nie wiem podłączyć drugi. Na RPi da radę coś takiego obsłużyć?

[Postrach 4]

Router powinien obsługiwać dynamiczny dns może ma jakąś autokonfiguracje. Na no-ip robisz sobię domenę, i potem w routerze ustawiasz.

[Qwinto 413]

[..]Na RPi da radę coś takiego obsłużyć?

Jak najbardziej. Sam mam tak u siebie zrobione. No-IP też mi malina ogarnia, jest skrypt.

[cHunter 0]

Jak najbardziej. Sam mam tak u siebie zrobione. No-IP też mi malina ogarnia, jest skrypt.

 

 

Na Rpi to nawet LEDE (OpenWRT) da się postawić . Ale oczywiście nie jest to konieczne.

 

Wracając do pytania autora wątku. Osobiście polecam OpenVPN bo najmniej jest wymagający co do portów i netu. Posiedzisz kilka dni i elegancko wszystko obczaisz (tyko się nie zniechęcaj od razu). Konkretne pytania możesz mi zadać ale podstawy obczaj sam. Trzeba się zastanowić czy tunel ma być warstwy drugiej (TAP, jakbyś miał spięty LAN na switchu, działają multicasty, DLNA itp. usługi) czy wystarczy zrobić TUN czyli warstwa 3, routing IP (nie ma ruchu broadcastów).

[Qwinto 413]

LEDE (OpenWRT) to można nawet postawić jako Wirtualna Maszyna na swoim komputerze domowym (x86).

Również polecam OpenVPN. Na początek HOWTO, tutorial z instalacji.

[cHunter 0]

LEDE (OpenWRT) to można nawet postawić jako Wirtualna Maszyna na swoim komputerze domowym (x86).

Również polecam OpenVPN. Na początek HOWTO, tutorial z instalacji.

 

Linki te co i ja polecam ale w tym tutorialu jest jedna mina dla początkujących. Jak masz taki zapis skryptu np:

 

cat ${BASE_CONFIG} \

<(echo -e '<ca>') \

${KEY_DIR}/ca.crt \

<(echo -e '</ca>\n<cert>') \

${KEY_DIR}/${1}.crt \

<(echo -e '</cert>\n<key>') \

${KEY_DIR}/${1}.key \

<(echo -e '</key>\n<tls-auth>') \

${KEY_DIR}/ta.key \

<(echo -e '</tls-auth>') \

> ${OUTPUT_DIR}/${1}.ovpn

 

 

to trzeba wiedzieć że to nie ma tak wyglądać w pliku tylko trzeba wywalić znaki na końcu wierszy "\" i dać całe polecenie jednym ciągiem czyli cat ${BASE_CONFIG} < (echo -e '<ca>') ${KEY_DIR}/ca.crt (.. itd...)

[Laston 0]

A to jak wtedy fizycznie to podłączyć? Cały ruch ma przechodzić przez RPi czy malina ma gdzieś obok stać. Bo trochę nie ogarniam tej koncepcji

[Qwinto 413]

Otwierasz port na swoich routerze brzegowym. Klient VPN łączy się z adresem zewnętrznym routera na porcie z usługą (w tym wypadku na RPi) i wchodzi do sieci przez interfejs RPi.

[cHunter 0]

Standardowy port dla OpenVPN do 1194 i protokół UDP. Ale to wszystko można zmienić.

[Laston 0]

Nie wiem tylko czy uda mi się otworzyć port na tym głupim routerze. Miałem już problem z grami online i podawanie mu zakresu portów na niewiele się zdało ostatecznie komputer stacjonarny musiałem ustawić w DMZ - dopiero wtedy miałem "otwarty NAT". Ale spoko pobawię się jak wrócę do domu.

[cHunter 0]

Nie wiem tylko czy uda mi się otworzyć port na tym głupim routerze. Miałem już problem z grami online i podawanie mu zakresu portów na niewiele się zdało ostatecznie komputer stacjonarny musiałem ustawić w DMZ - dopiero wtedy miałem "otwarty NAT". Ale spoko pobawię się jak wrócę do domu.

 

Zazwyczaj aby przekierowanie portów działało musisz ustawić IP urządzenia ręcznie na stałe, najlepiej poza zakresem dhcp routera.

[Laston 0]

A więc tak. Przeszedłem cały tutorial ale musiałem coś pogmatwać bo niby telefon twierdzi, że się połączył ale nie widać żeby miał dostęp do zasobów.

Portów oczywiście nie udało mi się otworzyć, musiałem dać rpi jako dmz.

[cHunter 0]

A więc tak. Przeszedłem cały tutorial ale musiałem coś pogmatwać bo niby telefon twierdzi, że się połączył ale nie widać żeby miał dostęp do zasobów.

Portów oczywiście nie udało mi się otworzyć, musiałem dać rpi jako dmz.

 

Jak połączył to brawo, nie jest źle Interface TUN? Trzeba zrobić dwie rzeczy. W konfiguracji servera dodaj wpis: push "route [networkID] [maska]", czyli np. push "route 192.168.1.0 255.255.255.0" gdzie ten Network ID to twoja sieć gdzie chcesz buszować.

 

Druga sprawa to trzeba dodać routing na kompie gdzie masz odpalonego klienta. Teraz utworzył ci wirtualny interface i dał adres np. 10.10.10.6/30 czyli brame byś miał 10.10.10.5 czyli routing w windows z prawami admina dodajesz tak:

 

route ADD 192.168.1.0 MASK 255.255.255.0 10.10.10.5

 

To przykład, musisz dopasować pod siebie. Bez tych dwóch ruchów powinieneś widzieć i pingować tylko Rpi (i to pod adresem dla przykładu powyżej np. 10.10.10.1)

 

Edit:Rpi jako DMZ to może jeszcze poczytaj potem jak to zabezpieczyć bo standardowo to masakra, już cię boty namierzyły że ssh masz wystawione

[Qwinto 413]

Edit:Rpi jako DMZ to może jeszcze poczytaj potem jak to zabezpieczyć bo standardowo to masakra, już cię boty namierzyły że ssh masz wystawione

Po pierwsze zmiana hasła na użytkownika pi (chociaż patrząc po logach próby logowania się na tego użytkownika są sporadyczne, zdecydowanie częściej jest root), po drugie wyłączenie logowania się po haśle i ustawienie logowania po kluczu. A na koniec instalacja Fail2ban. U mnie po 15 dniach mam:

Uptime.............: 15 days, 14h
Fail2ban count.....: 850

850 permanentnie zbanowanych adresów IP.

Edit: Jednak zdecydowanie więcej było prób logowania na użytkownika pi niż root:

ubuntu 11
service 12
support 12
student 16
test 159
admin 301
root 526
a 1435
log 1435
pi 1435
sp 1435
us 1435
user 1435

[Laston 0]

Jak połączył to brawo, nie jest źle Interface TUN? Trzeba zrobić dwie rzeczy. W konfiguracji servera dodaj wpis: push "route [networkID] [maska]", czyli np. push "route 192.168.1.0 255.255.255.0" gdzie ten Network ID to twoja sieć gdzie chcesz buszować.

 

Druga sprawa to trzeba dodać routing na kompie gdzie masz odpalonego klienta. Teraz utworzył ci wirtualny interface i dał adres np. 10.10.10.6/30 czyli brame byś miał 10.10.10.5 czyli routing w windows z prawami admina dodajesz tak:

 

route ADD 192.168.1.0 MASK 255.255.255.0 10.10.10.5

 

To przykład, musisz dopasować pod siebie. Bez tych dwóch ruchów powinieneś widzieć i pingować tylko Rpi (i to pod adresem dla przykładu powyżej np. 10.10.10.1)

 

Edit:Rpi jako DMZ to może jeszcze poczytaj potem jak to zabezpieczyć bo standardowo to masakra, już cię boty namierzyły że ssh masz wystawione

 

Tak, chyba to jest interfejs TUN, a przynajmniej się nazywa tun0 A jak ustawić ten routing np. na Androidzie?

A tak w ogóle to powiedźcie mi jak poprawnie otworzyć te porty bo zostawienie w jakiejkolwiek formie RPi na DMZ mi się nie widzi. Niby dałem port UDP 1194 -> 1194 ale nie dało się połączyć z zewnątrz.

[cHunter 0]

Tak, chyba to jest interfejs TUN, a przynajmniej się nazywa tun0 A jak ustawić ten routing np. na Androidzie?

A tak w ogóle to powiedźcie mi jak poprawnie otworzyć te porty bo zostawienie w jakiejkolwiek formie RPi na DMZ mi się nie widzi. Niby dałem port UDP 1194 -> 1194 ale nie dało się połączyć z zewnątrz.

 

 

Dałes Rpi stałe IP poza zakresem dhcp routera? Jeśli tak to musi działać chyba że ten router jaja sobie robi.

[Qwinto 413]

Laston, rozumiem że z portami działasz jak np. na

(przykładowy pierwszy link z googla)?

[Laston 0]

Postanowiłem to wszystko od nowa bo nie wiem czy ktoś już przez cały dzień nie zdążył mi się wbić na malinkę (hasło do użytkownika pi zmieniało się z każdym rebootem!?).

Teraz niestety już się nie łączy. Ani androidowy, ani windowsowy klient nie potrafi przerobić pliku .ovpn - krzyczy coś o certyfikaty mimo, że są w tym pliku.

 

 

 

[Qwinto 413]

Teraz to ja bym zaorał malinę, zainstalował od nowa OpenVPN, wygenerował nowe pliki konfiguracyjne, wraz z certyfikatami...

[cHunter 0]

Teraz to ja bym zaorał malinę, zainstalował od nowa OpenVPN, wygenerował nowe pliki konfiguracyjne, wraz z certyfikatami...

 

No dokładnie, jak zaorał maline to i certyfikaty do wymiany. No niestety trzeba bardzo uważać jak się wystawia sprzęt do netu. Osobiście nie mam wystarczającej wiedzy by wystawić maszynę linuxową taką jak Rpi. Ten router to jakiś żart że nie ma forwardingu. Może UPnP zadziała?

[Laston 0]

No to do 3 razy sztuka... Z tym routerem to się jeszcze pobawię.

[Qwinto 413]

Jeśli dalej będziesz stawiał Malinę w DMZ to zanim zaczniesz stawiać VPN zacznij od:

- czysta instalacja Maliny

- zmiana hasła na koncie pi

- konfiguracja SSH: np zmiana portu na np 222 (na pewno nie zaszkodzi), dodanie w konfigu /etc/ssh/sshd_config "AllowUsers pi@192.168.0.* pi@xxx.xxx.xxx.*" (odblokowanie logowania na użytkownika pi z sieci 192.168.0.0/24, jeśli masz inną to wstawiasz swoją, drugi adres to logowanie np ze smartfona czy z pracy, można ograniczać do podsieci (możesz dodawać kolejne adresy czy inne loginy) - reszta się będzie odbijała)

- instalacja Fail2ban

- instalacja firawall, otworzenie tylko portów 22 (lub innego) oraz 1194

I dopiero teraz instalacja OpenVPN.

 

I jak to ogarniesz z grubsza, to można pomyśleć o logowaniu do Maliny za pomocą klucza