Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailemVyřešeno Jak na VPN?

Ahojte, rád bych vyzkoušel VPN a tak bych rád požádal o radu jak na to.

Aktuální stav:
- mám pevnou veřejnou IP
- router Asus TUF-AX3000
- NAS Synology, ke kterému se z venku připojuji přes pevnou veřejnou IP

Co budu potřebovat?
1) Stačí VPN zapnout na routeru nebo ji musím mít někde zaregistrovanou/koupenou?
2) Co vše musím nakonfigurovat?
3) Jak se pak do VPN připojím z venku? Jde pak také zadat přímý odkaz přes který se připojím do NASu? Aktuálně totiž v ftp klientovi zadám moji IP:port a jsem v NASu.

Předem děkuji za každou radu a "nasměrování"

Předmět Autor Datum
Ve tvem pripade bude jednodusdi zapnout VPN na NASu a na routeru pouze predat VPN port na NAS. Nasta…
Jan Fiala 14.03.2023 12:30
Jan Fiala
Ty jsi dost odvážný střelec, dávat ven instantně děravý NAS (QNAP a Synology si můžou podat ruce) a…
touchwood 14.03.2023 14:18
touchwood
Proto se snažím něčemu přiučit, zdokonalit se. Každý nějak začínal. Ale tahle rada mi moc nedá... Mi…
Ulrico 14.03.2023 15:13
Ulrico
Utocnici skenuji zname porty, ale pak nasleduje sken vsech portu, pekne jeden po druhem. Staci se po…
Jan Fiala 14.03.2023 16:03
Jan Fiala
Ale jo, já to nezpochybňuji. Zatím se mi tam za ty roky nikdo cizí nepřihlásil. Alespoň myslím :-) A…
Ulrico 14.03.2023 16:35
Ulrico
Vymen router a verejnu IP nech ma Mikrotik. Na nom rozbehas wireguarda a mas pokoj.
fleg 14.03.2023 17:58
fleg
a ako sa z asus routra stane mikrotik ?
audax mobile 14.03.2023 18:43
audax mobile
Přečti si první dvě slova, která napsal fleg. :i:
host 14.03.2023 19:12
host
MikroTik jsem nahradil právě Asusem. Uživatelsky je daleko přívětivější. To že bych na MikroTiku roz…
Ulrico 14.03.2023 22:02
Ulrico
Bud si rozjed Wireguard na Asusu nebo si rozjeď OpenVPN nebo PPTP přímo na NAS a na routeru jen přes…
Jan Fiala 15.03.2023 06:31
Jan Fiala
OK, díky. Rád bych to zkusil přímo na routeru. Z výše uvedeného mi vychází, že bych tedy zkusil Wire…
Ulrico 15.03.2023 08:07
Ulrico
OMG.. ty něco chceš, ale v podstatě o tom vůbec nic nevíš a čekáš, že dostaneš full service zadarmo.…
touchwood 15.03.2023 10:09
touchwood
Uživatelsky je daleko přívětivější. Taky to nic neumí...
touchwood 15.03.2023 10:01
touchwood
Proč neudělat Wireguard server přímo na Synology? Žádná větší hrozba než server na Mikrotiku, to neb…
dvv 15.03.2023 09:59
dvv
Protože řešit VPN na routeru je vždy nejjednodušší. Zejména pro ty, kterým sítě nic neříkají.
touchwood 15.03.2023 10:03
touchwood
Protože řešit VPN na routeru je vždy nejjednodušší A proto tady radíte, aby si koupil Mikrotik? Nas…
dvv 15.03.2023 10:18
dvv
Jo, tady se pozná odborník. :-) Zapomněl jsi na odroutování. edit: Nastavit wg na mkt je otázka pár…
touchwood 15.03.2023 10:42
touchwood
Zřejmě máme různý pohled na tazatelovu otázku. Dle mého se mu nejedná se mu o přístup do privátní sí…
dvv 15.03.2023 11:21
dvv
Zřejmě se spokojíš s polovičatým a polofunkčním řešením.:-) poslední
touchwood 15.03.2023 12:34
touchwood
Díky, mrknu na to.
Ulrico 15.03.2023 12:09
Ulrico
Nejde mi jen o zabezpečený přístup na NAS ale do celé domácí sítě (sat přijímač s enigmou, který si…
Ulrico 15.03.2023 12:10
Ulrico
Ano přemýšlíš správně. Pokud implementuješ novou službu, nemá smysl řešit jen jedno zařízení. Probl…
touchwood 15.03.2023 12:26
touchwood

Proto se snažím něčemu přiučit, zdokonalit se. Každý nějak začínal. Ale tahle rada mi moc nedá...
Mimochodem, zvenku se připojuji přesměrováním "mého čísla portu" na interní port 21. Když jsem totiž měl i zvenku standardní port 21, tak NAS hlásil pokusy o přihlášení a po 5 neúspěšných IP adresu "útočníka" zablokoval. Chápu, že to není úplně dokonalá ochrana, ale alespoň něco. Přeci jen si myslím, že útočníci skenují převážně základní čísla portů. A když už je to moje číslo portu pětimístné, tak tím myslím ochranu zvýším.

Ale jo, já to nezpochybňuji. Zatím se mi tam za ty roky nikdo cizí nepřihlásil. Alespoň myslím :-) A po změně portu 21 na jiný jsem nezaznamenal za více než 5 let žádný pokus.
Jen mě mrzí, že když chci pochopit princip VPN, princip konfigurace apod., tak se tu objevují příspěvky, jak to co mám je špatně, ale nic konkrétnějšího jak to udělat lépe nezazní.
Mimochodem, že je VPN i na Synology jsem zaznamenal, ale také mi není moc jasné, jak by to fungovalo, zda by se za NAS schovala celá vnitřní síť. By se mi to více líbilo na routeru.

MikroTik jsem nahradil právě Asusem. Uživatelsky je daleko přívětivější.
To že bych na MikroTiku rozběhal nějaký wireguard je možné, ale jsem přesvědčen, že na Asusu se dá také něco rozběhat. Serverů VPN má několik, a to včetně zmiňovaného Wireguard. Kromě toho má ještě PPTP, OpenVPN a IPSec VPN.
No nic, kouknu nejde jinde, třeba někde najdu jak VPN zprovoznit.

Bud si rozjed Wireguard na Asusu nebo si rozjeď OpenVPN nebo PPTP přímo na NAS a na routeru jen přesměruj port.
PPTP nepotřebuje instalovat dalšího klienta, OpenVPN stejně jako Wireguard je bezpečnější, ale potřebuje klienta.

Pokud to budeš dělat přímo na routeru, budeš muset pro OpenVPN někde bokem generovat certifikáty a ty pak do routeru importovat. NAS to udělá za tebe a dostaneš přímo konfiguraci včetně certifikátů pro OpenVPN

OK, díky. Rád bych to zkusil přímo na routeru. Z výše uvedeného mi vychází, že bych tedy zkusil Wireguard.
Píšeš, že potřebuju klienta. Je tím myšleno, že klient se musí nainstalovat do zařízení, která se budou k VPN připojovat?

V čem je tedy potom přihlašování přes VPN klienta bezpečnější? Předpokládám, že bude stačit zadat jméno a heslo, tzn. podobně jako když se přímo přes FTP připojuji na NAS dnes.

Protože řešit VPN na routeru je vždy nejjednodušší

A proto tady radíte, aby si koupil Mikrotik? Nastavit např. OpenVPN na Synology mi přijde mnohem jednodušší. Wireguard může být složitější, protože není nativně podporovaný a vyžaduje přidání kernel modulu, ale ostatní viz. návod https://kb.synology.com/cs-cz/DSM/tutorial/How_do_I_set_up_my_Synology_NAS_as_a_VPN_server

Následně pak už stačí pouze přesměrovat porty, s čímž má autor příspěvku zřejmě již zkušenosti

Nejde mi jen o zabezpečený přístup na NAS ale do celé domácí sítě (sat přijímač s enigmou, který si na dálku mohu programovat, PC apod.). Proto jsem si říkal, že bude nejlepší to nastavit na routeru, pač vše doma je za routerem.
Njn, nenarodil jsem se holt jako programátor a síťař, jako asi někteří tady, abych vše rovnou znal. Za to se omlouvám.
No nic, vezmu asi našeho firemního ajťaka na pivko a on už mi to vysvětlí. Pak jen abych s tím ještě došel domů. :-)
Jinak jsou tu občas zajímavé rady nerady. Nejdříve si člověk přečte, jak je nebezpečné fungovat jen s pevnou veřejnou IP bez VPN a když pak má navíc tu drzost se zeptat, jak to s tou VPN vlastně je, tak dostane sprďára, že o tom nic neví.
Tak se tu mějte všichni fajn a díky několika slušným lidem ze zdejší poradny. Např. návod p. Fialy na MikroTik je suprový a díky za něj. Když jsem dříve MikroTik používal, tak mi fakt pomohl. No a tak trochu jsem doufal, že se k podobnému návodu doberu i co se VPN týká.

Ano přemýšlíš správně. Pokud implementuješ novou službu, nemá smysl řešit jen jedno zařízení.

Problém je, když se snažíš implementovat něco, o čem nemáš vůbec páru a následuješ nějakou "kuchařku." VPN je o pochopení spousty věcí, včetně routingu/firewallingu, PKI a dalších věcí. A rozhodně to není něco, co se dá sfouknout návodem s kroky 1-2-3. Kdo to tvrdí, lže, nebo tě vystavuje poměrně vysokému nebezpečí otevření tvé sítě do internetu a/nebo znalým útočníkům.

Zpět do poradny Odpovědět na původní otázku Nahoru