Jak na VPN?
Ahojte, rád bych vyzkoušel VPN a tak bych rád požádal o radu jak na to.
Aktuální stav:
- mám pevnou veřejnou IP
- router Asus TUF-AX3000
- NAS Synology, ke kterému se z venku připojuji přes pevnou veřejnou IP
Co budu potřebovat?
1) Stačí VPN zapnout na routeru nebo ji musím mít někde zaregistrovanou/koupenou?
2) Co vše musím nakonfigurovat?
3) Jak se pak do VPN připojím z venku? Jde pak také zadat přímý odkaz přes který se připojím do NASu? Aktuálně totiž v ftp klientovi zadám moji IP:port a jsem v NASu.
Předem děkuji za každou radu a "nasměrování"
Ve tvem pripade bude jednodusdi zapnout VPN na NASu a na routeru pouze predat VPN port na NAS.
Nastaveni na NAS je uzivatelsky mnohem jednodušší
Ty jsi dost odvážný střelec, dávat ven instantně děravý NAS (QNAP a Synology si můžou podat ruce) a ještě s FTPkem...
Proto se snažím něčemu přiučit, zdokonalit se. Každý nějak začínal. Ale tahle rada mi moc nedá...
Mimochodem, zvenku se připojuji přesměrováním "mého čísla portu" na interní port 21. Když jsem totiž měl i zvenku standardní port 21, tak NAS hlásil pokusy o přihlášení a po 5 neúspěšných IP adresu "útočníka" zablokoval. Chápu, že to není úplně dokonalá ochrana, ale alespoň něco. Přeci jen si myslím, že útočníci skenují převážně základní čísla portů. A když už je to moje číslo portu pětimístné, tak tím myslím ochranu zvýším.
Utocnici skenuji zname porty, ale pak nasleduje sken vsech portu, pekne jeden po druhem. Staci se podivat do logu routeru.
Ale jo, já to nezpochybňuji. Zatím se mi tam za ty roky nikdo cizí nepřihlásil. Alespoň myslím
A po změně portu 21 na jiný jsem nezaznamenal za více než 5 let žádný pokus.
Jen mě mrzí, že když chci pochopit princip VPN, princip konfigurace apod., tak se tu objevují příspěvky, jak to co mám je špatně, ale nic konkrétnějšího jak to udělat lépe nezazní.
Mimochodem, že je VPN i na Synology jsem zaznamenal, ale také mi není moc jasné, jak by to fungovalo, zda by se za NAS schovala celá vnitřní síť. By se mi to více líbilo na routeru.
Vymen router a verejnu IP nech ma Mikrotik. Na nom rozbehas wireguarda a mas pokoj.
a ako sa z asus routra stane mikrotik ?
Přečti si první dvě slova, která napsal fleg.
MikroTik jsem nahradil právě Asusem. Uživatelsky je daleko přívětivější.
To že bych na MikroTiku rozběhal nějaký wireguard je možné, ale jsem přesvědčen, že na Asusu se dá také něco rozběhat. Serverů VPN má několik, a to včetně zmiňovaného Wireguard. Kromě toho má ještě PPTP, OpenVPN a IPSec VPN.
No nic, kouknu nejde jinde, třeba někde najdu jak VPN zprovoznit.
Bud si rozjed Wireguard na Asusu nebo si rozjeď OpenVPN nebo PPTP přímo na NAS a na routeru jen přesměruj port.
PPTP nepotřebuje instalovat dalšího klienta, OpenVPN stejně jako Wireguard je bezpečnější, ale potřebuje klienta.
Pokud to budeš dělat přímo na routeru, budeš muset pro OpenVPN někde bokem generovat certifikáty a ty pak do routeru importovat. NAS to udělá za tebe a dostaneš přímo konfiguraci včetně certifikátů pro OpenVPN
OK, díky. Rád bych to zkusil přímo na routeru. Z výše uvedeného mi vychází, že bych tedy zkusil Wireguard.
Píšeš, že potřebuju klienta. Je tím myšleno, že klient se musí nainstalovat do zařízení, která se budou k VPN připojovat?
V čem je tedy potom přihlašování přes VPN klienta bezpečnější? Předpokládám, že bude stačit zadat jméno a heslo, tzn. podobně jako když se přímo přes FTP připojuji na NAS dnes.
OMG.. ty něco chceš, ale v podstatě o tom vůbec nic nevíš a čekáš, že dostaneš full service zadarmo. Zjisti si aspoň co znamená ta zkratka VPN. Na téma konfigurace OVPN jsem tu kdysi napsal článek. A pak možná pochopíš, proč se Asusu říká Aušus.
Taky to nic neumí...
Proč neudělat Wireguard server přímo na Synology? Žádná větší hrozba než server na Mikrotiku, to nebude.. samozřejmě pokud bude vše aktualizované.
Protože řešit VPN na routeru je vždy nejjednodušší. Zejména pro ty, kterým sítě nic neříkají.
A proto tady radíte, aby si koupil Mikrotik? Nastavit např. OpenVPN na Synology mi přijde mnohem jednodušší. Wireguard může být složitější, protože není nativně podporovaný a vyžaduje přidání kernel modulu, ale ostatní viz. návod https://kb.synology.com/cs-cz/DSM/tutorial/How_do_I_set_up_my_Synology_NAS_as_a_VPN_server
Následně pak už stačí pouze přesměrovat porty, s čímž má autor příspěvku zřejmě již zkušenosti
Jo, tady se pozná odborník.
Zapomněl jsi na odroutování.
edit: Nastavit wg na mkt je otázka pár minut. Když víš co děláš.
Zřejmě máme různý pohled na tazatelovu otázku. Dle mého se mu nejedná se mu o přístup do privátní sítě, ale o přístup na NASku. V tom případě žádné "odroutovani" potřeba není
Neopodstatněné kecy nejsou potřeba.
Zřejmě se spokojíš s polovičatým a polofunkčním řešením.
Díky, mrknu na to.
Nejde mi jen o zabezpečený přístup na NAS ale do celé domácí sítě (sat přijímač s enigmou, který si na dálku mohu programovat, PC apod.). Proto jsem si říkal, že bude nejlepší to nastavit na routeru, pač vše doma je za routerem.
Njn, nenarodil jsem se holt jako programátor a síťař, jako asi někteří tady, abych vše rovnou znal. Za to se omlouvám.
No nic, vezmu asi našeho firemního ajťaka na pivko a on už mi to vysvětlí. Pak jen abych s tím ještě došel domů.
Jinak jsou tu občas zajímavé rady nerady. Nejdříve si člověk přečte, jak je nebezpečné fungovat jen s pevnou veřejnou IP bez VPN a když pak má navíc tu drzost se zeptat, jak to s tou VPN vlastně je, tak dostane sprďára, že o tom nic neví.
Tak se tu mějte všichni fajn a díky několika slušným lidem ze zdejší poradny. Např. návod p. Fialy na MikroTik je suprový a díky za něj. Když jsem dříve MikroTik používal, tak mi fakt pomohl. No a tak trochu jsem doufal, že se k podobnému návodu doberu i co se VPN týká.
Ano přemýšlíš správně. Pokud implementuješ novou službu, nemá smysl řešit jen jedno zařízení.
Problém je, když se snažíš implementovat něco, o čem nemáš vůbec páru a následuješ nějakou "kuchařku." VPN je o pochopení spousty věcí, včetně routingu/firewallingu, PKI a dalších věcí. A rozhodně to není něco, co se dá sfouknout návodem s kroky 1-2-3. Kdo to tvrdí, lže, nebo tě vystavuje poměrně vysokému nebezpečí otevření tvé sítě do internetu a/nebo znalým útočníkům.