» »

pfSense VPN

pfSense VPN

He-Man ::

Pozdravljeni,

Rad bi naredil domači VPN server, da se lahko iz nezaščitenega omrežja (npr. WiFi v kakšnem baru) preko VPN tunela varno povežem v internet preko svojega hišnega omrežja.

Moj ISP je T-2 (VDSL, en dinamični IP). Njihov modem ima 4 izhode, en UPT kabel gre v TV, drugi pa v router preko katerega se povežejo računalniki v internet.

Ali je mogoče oz. ali bi delovalo, če bi potegnil iz modema še 3. kabel v mojo pfSense mašino s katero se želim učiti in to torej uporabil namesto routerja za moj PC.

Na tak način bi vsi ostali iz hiše normalno še naprej dostopali na internet preko starega routerja, jaz bi si pa speljal še eno linijo preko UTP kabla direktno iz modema v pfSense mašino in bo to potem bil moj router, firewall in vse ostalo v enem. Tam bi potem nastavil tudi VPN server itd.

Ima kdo izkušnje, bi to šlo?

Hvala!

SeMiNeSanja ::

Načeloma bi šlo. Problem je lahko edino statični/dinamični IP.
Če si zahteval statični IP za 'domačo rabo', so ti dodelili enega, ne vem, če se da dobiti dva statična IP naslova. Vendar bi to kljub vsemu moralo zadoščati, če 'osnovni' router daš na dinamiko in pfSense priključiš s statičnim IP naslovom.

Načeloma bi se dalo tudi brez statičnega naslova, ker ima T-2 dolg lease in se ti naslov (baje?) praktično ne spreminja, je pa bolj trotlziher, če imaš statični naslov - koneckoncev ne želiš biti nekje na dopustu in tam ugotoviti, da se ti je medtem spremenil IP naslov, novega pa ne veš.

He-Man ::

Kot sem napisal, imam en dinamični IP naslov. Na routerju imam zatu tudi nastavljeno, da je WAN dinamičen. In ja, T-2 ima res dolg lease, mislim, da imam že nekaj let enak IP naslov. Baje, da se spremeni le, če pustiš modem ugasnjen za več kot 24 ur, to mi še ni uspelo. :D

Sicer pa je to bolj za učenje kot pa za resen VPN server, tako da ni panike tudi če bi se IP kdaj spremenil. Kar me zanima je to, če bi sploh lahko delovalo, koliko naprav se lahko poveže direktno na T-2 "modem"? Vedno sem mislil, da samo ena (1 IP) + TV pač. Tu bi pa rabil dve, ena je pfSense box, druga pa običajen router.

Hvala za komentar!

Zgodovina sprememb…

  • spremenilo: He-Man ()

SeMiNeSanja ::

Brez skrbi - bo delalo.
Ti kar priključi in se bo 'boxu' dodelil še en dinamični IP naslov (kako to, da nisi že kar probal, magar s prenosnikom?).

Nisem povsem prepričan, ampak mislim, da fizične osebe imajo do 2 naslova (2* dinamični ali 1 dinamični + 1 statični), podjetja pa po defaultu do 4. Podjetja pa lahko zaprosijo za dodatne (statične) naslove.

Seveda si pri eksperimentiranju dokaj omejen, če na tisti dodatni priključek želiš priklapljati različne naprave, pa pri tem te ne naredijo release-a DHCP-ja - počakati boš namreč moral 24 ur, da bo potekel lease in boš lahko priključil drugo napravo. Pri statiki tega problema nimaš in lahko preklapljaš poljubno število naprav. Morda ravno zaradi tega ni tako slabo zaprositi za statični naslov.

He-Man ::

Zdaj sem na hitro malo preletel T-2 forum in baje, da fizične osebe res dobijo 2 IP naslova. Bom jutri preizkusil, če bo čas.

Na 2. IP se bo priklopil edino pfSense box, tako da glede releasa DHCP leasa ni panike. In ko se bom naveličal eksperimentirat bom kabel vklopil nazaj v stari router in bo spet vse po starem. In ko bom želel nadaljevat z učenjem bom spet priklopil pfSense box na modem.

Hvala za nasevete, bom jutri oz. ko bo čas preizkusil. Mi je pa kot (dokajšnjem) začetniku pfSense kar malo čez glavo, bo treba močno naštudirat, glede VPNja in vsega ostalega...

SeMiNeSanja ::

He-Man je izjavil:

Mi je pa kot (dokajšnjem) začetniku pfSense kar malo čez glavo, bo treba močno naštudirat, glede VPNja in vsega ostalega...

Pri pfSense entuziastih so zelo priljubljene stare WatchGuard naprave, ki se jih na Ebay da dobiti že za 100-150€. Sicer te fante nisem nikoli razumel, zakaj mečejo dol bistveno bolj zmogljiv firewall OS, da bi namestili pfSense.

Drugače pa so bili precej luštni tisti stari Firebox 1000, ki imajo spredaj LCD display, ki prikazuje obremenjenost in promet. Baje da so entuziasti uspeli naresti ustrezen gonilnik za pfSeense, ki ta display podpira. Ker pa imajo samo 3 ethernet priključke (in šibke procesorje), se danes večinoma raje posega po novejših modelih X500 ali X1000, ki imajo po 6 mrežnih priključkov.

Poldi112 ::

Openvpn je precej simple skonfigurirati. Imaš celo wizzard.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Ribič ::

Jaz tudi priporočam uporabo OpenVPN-ja, po možnosti s certifikati in ne geslom.
Protokolov, kot so L2TP in PPTP pa se izogibaj (imajo varnostne pomankljivosti).

He-Man ::

Glede PPTP in L2TP sem bral ja, hvala vsem za nasvete, ko malo stestiram zadeve se verjetno javim kaj nazaj.

He-Man ::

Sedaj imam še en NIC ampak ga mašina ne zazna. Bom v prihodnjih dneh še malo gruntal...

Me pa zanima še nekaj: če kupim z Bolhe za 10€ TP-Linkov DD-WRT kompatibilen router lahko tam nastavim dotični router kot domači VPN server, ne?

Vse kar rabim potem je OpenVPN klient na prenosniku in lahko iz oddaljene lokacije (npr. nezavarovana WiFi povezava v baru v Avstriji) dostopam na interent preko enkriptiranega VPN tunela varno domov in preko DD-WRT routerja ki ima VPN server lepo varno preko svojega ISPja na internet.

Je to res to ali sem si malo preveč enostavno zamislil vse skupaj?

karafeka ::

Ja, tako imam jaz narejeno, na wrt54gl s tomatom.

Navodila: http://dev.mensfeld.pl/2014/07/setting-...

matter ::

Če že uporabljaš OpenVPN, si vsaj za listening port nastavi 443 in boš tako imel ssl vpn. Je še večja verjetnost, da se boš povezal od koderkoli. Kakšni freewifi imajo tudi outbound porte zaprte za vse, razen znane storitve.
Grem basket pa bom neloke metal

SeMiNeSanja ::

Če se že igraš z pfSense, mi ni jasno, zakaj bi si kupoval še en dodatni router, če lahko skonfiguriraš OpenVPN kar na pfSense škatli.

Drugače pa drži - jaz se na podoben način povežem preko VPN kadarkoli sem kje 'zunaj', tako da gre celotni internetni promet v svet čez tunel in se filtrira preko mojega firewall-a (vključno z AV, IPS in ostalo godljo, ki jo čekira moj firewall, kar mi nek free WiFi ne nudi).

Pri tem običajno ni težav, če uporabljaš SSL VPN (npr. OpenVPN), ker imajo skoraj povsod odprt port 443, dočim IPSec marsikje ne spuščajo v svet.

He-Man ::

@ matter - Listening (open?) port moram torej nastaviti na domačem DD-WRT routerju?

@ SeMiNeSanja - Pri pfSense škatli imam težavo z zaznavanjem dodatnega NIC-a, me čaka še dosti učenja in eksperimentiranja. Zato razmišljam, da bi kupil en TL-WR740N za 10€ na Bolhi in gor naložil DD-WRT ter nastavil VPN server. OpenVPN bom uporabil torej.

Raje uporabljate OpenVPN + doma DD-WRT router za VPN ali kakšen Cyber Ghost Free VPN? Zakaj, prednosti, slabosti, mnenja? :)

Halo? :)

Še kakšen komentar prosim.

Zgodovina sprememb…

  • spremenilo: He-Man ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Domači VPN (strani: 1 2 3 )

Oddelek: Omrežja in internet
12724591 (10439) Daniel
»

Povezava dveh lokalnih omrežij

Oddelek: Omrežja in internet
171971 (1451) Aleks Nafi
»

VoIP prenehal delovati z novim routerjem

Oddelek: Omrežja in internet
61023 (767) Vili_vanili
»

Spreminjanje HTTP prometa v HTTPS/SSL

Oddelek: Omrežja in internet
51538 (1413) Vaseer
»

M0n0wall - Captive portal - Oddaljena dostopna točka

Oddelek: Omrežja in internet
232276 (1916) ELEKTROLJUB

Več podobnih tem