Domowy serwer VPN ale nie na routerze brzegowym.

[QrKo 0]

Witam.

Tytuł trochę zawiły ale już tłumaczę. Chciałem mieć możliwość łączenia się z domowym komputerem po RDP. Samo hasło do profilu windows + przepuszczenie 3389 na routerze wydają mi się trochę słabym pomysłem, więc do głowy przyszła mi konfiguracja własnego serwera VPN.

Mam światłowód który w domu wchodzi do terminala Huawei. Póki co terminal ten robi za główny router z dhcp oraz wifi. Na dniach chcę kupić mikrotika hap ac2 i wyłączyć na tym huaweiu wszystko co zbędne, a całą sieć postawić na mikrotiku w którym do portu WAN podłączę terminal Huaweia (Tak przynajmniej wydaje mi się, że powinienem zrobić). IP mam zewnętrzny ale jeżeli się nie mylę to ze świata po tym IP dotrę tylko do brzegowego Huaweia (do którego swoją drogą nie mam dostępu bo jest to urządzenie zarządzane przez dostawcę). O jakie zabiegi powinienem poprosić dostawcę aby przygotować sobie grunt pod to co chcę osiągnąć i na co się przygotować żeby mnie nie zagiął. Rozumiem, że będzie musiał stworzyć jakiś forwarding z huaweia na mikrotika umożliwiający mi połączenie się z nim ze świata. Pytanie czy chodzi tylko o forwarding jednego portu i już całość będzie lecieć po VPN tym portem, czy jest to zabieg znacznie bardziej skomplikowany i trzeba będzie coś jeszcze pootwierać, np. 3389 dla RDP, 445 dla zasobów sieciowych itd.? Na chłopski rozum chyba główną zaletą VPN jest to że całość jest szyfrowana i leci po jednym porcie, wiec łącząc się z nim nie potrzebuję już żadnych dodatkowych przepuszczeń ale wolę dopytać, bo z sieci znam jedynie podstawy.

[Qwinto 413]

Na początek upewnij się czy masz publiczne IP. Nie ważne czy zmienne czy stałe, ważne żeby było publiczne. Inaczej nie dostaniesz się bezpośrednio do swojej sieci domowej. Potem zapytaj swojego ISP czy przestawi Huaweia w tryb bridge, czyli na dedykowanym porcie będziesz miał swój WAN, do którego podepniesz Mikrotika. Sprawdź czy kupisz tego hAP ac² od ręki, bo było z nimi ciężko.

Jeśli ISP nie zechce przestawić urządzenia w tryb bridge pozostaje podłączenie Mikrotika w DMZ Huaweia.

 

Otwieranie znanych portów na świat to troszkę jak rosyjska ruletka, szczególnie w obecnych czasach. Jeszcze kilkanaście lat temu wystawiłem RDP od Windows XP, ale na porcie 443 i jakoś nikt mi się nie włamał Ale to było dawno. Teraz tylko VPN, nawet dlatego że jednym protokołem załatwiasz dostęp nie tylko do jednego urządzenia, ale do całej sieci.

Sam mam otwarte porty dla SSH (ale tu siedzi fail2ban + autoryzacja wyłącznie po kluczach, + ograniczenie puli adresów z których można się logować) i OpenVPN (tez po kluczach).

 

Póki co, jeśli masz Windows 7 lub nowszy, możesz wystawić RDP, ale na zmienionym porcie. Można to zrobić bo w tych wersjach połączenie jest już szyfrowane SSL/TLS (info).

[QrKo 0]

Dziękuję. Zaczyna się klarować obraz.

IP mam publiczne i stałe, akurat to przewidziałem i miałem ugadane przed podłączeniem. To, że będzie to wykonalne też miałem dogadane wcześniej, więc na 100% nie będzie kłopotów z ISP.

 

Nie wiem teraz czy czegoś nie mylę ale jak ostatnio rozmawialiśmy to albo źle zrozumiałem albo on mówił, że to mojego mikrotika będzie trzeba ustawić w bridgu. Ale jak tak myślę to chyba nie ma sensu i coś mylę.

Czy od strony ISP może być problemem ustawienie bridga na jego routerze? Chodzi mi pod względem technicznym, bo chęci tak jak wspomniałem są, tylko czy nie pozbawi go to jakiejś funkcjonalności? Zdalnego dostępu? Chyba nie powinno ale właśnie temat bridga jest mi zupełnie obcy. Do tej pory bawiłem się tylko routerami/switchami/ap.

No i jak z portami? On musi coś forwardnąć pod VPN, czy bridge z natury puszcza wszystko i moim zadaniem w mikrotiku jest to wyciąć na firewallu i zadbać o to żeby otwarty był jedynie port VPN?

[Qwinto 413]

Ustawienie Huaweia w tryb bridge to wyłącznie jego funkcjonalność.

 

Normalnie Huawei robi za terminal światłowodowy, router, switch i Acceespoint. Przełączenie w tryb bridge likwiduje funkcję routera, switcha i Acceespointa. Teraz routowanie musisz robić na Mikrotiku czy innym routerze. Jeśli ISP nie przełączy swojego routera w tryb bridge, to mikrotika możesz postawić w środku albo jako DMZ, albo jak kolejne urządzenie w sieci.