Kucni VPN server

[lab310]

Mozda na par meseci odem na rad "preko". Mislio sam napravim svoj VPN server (inace sam na orionu 500/50), da bih sa posla od "preko" imao pristup svom kucnom file i plex serveru, da gledam eon i slicno a na kraju i da ponekad skinem neki torrent, sto je tamo najstroze zabranjeno.
Pitanje za iskusne: kojim putem da krenem? Imam Archer c7 ali v2 a on ne podrzava VPN (ni server ni klijent). Ne kupuje mi se nov ruter, mogao bih da se dokopam jednog Mikrotika ali pomalo zazirem jer nisam siguran da cu se izboriti sa konfiguracijom. Najjednostavnije mi deluje da na jednoj Windows masini u mrezi podignem vpn server (Openvpn ?), imam neki laptop sa razbijenim ekranom pa bih njega iskoristio za to (a rezervna varijanta mozda bude Raspberry PI ?)
Bio bih zadovoljan sa brzinom oko 20Mbps, najvise me plasi sigurnost , neki ip leak pa da me njihovi admini uhvate.

Sta predlazete?

 

[alex303]

Ako imaš rezervnu mašinu, najjednostavnija solucija ti je instalacija pfSense-a. On u sebi ima OpenVPN Wizard koji će ti kroz par pitanja metodom "next next finsh" omogućiti da digneš OpenVPN server. Njegov DNS resolver se može postaviti u forwarder režim tako da DNS requests idu preko OpenVPN tunela, i na taj način sprečavaš DNS leak. Kad napokon podesiš server, isti taj wizard ti omogućava da eksportuješ "package" koji je zapravo selfcontain-ovan exe za Windows ili apk za Android, čijom se instalacijom i pokretanjem automatski konektuješ na svoj VPN server bez ikakvog podešavanja. Sva VPN konfiguracija se nalazi u instalacionim paketu koji generiše wizard.

Ako kojim slučajem na mašini nemaš 2 LAN kartice, problem možeš rešiti managed switch-om koji podržava VLAN. Ili još jednostavnije, instaliraš pfSense u virtuelnoj mašini. Ne znam koji si nivo znanja, ali pfSense ima i WireGuard VPN protokol, tako da ti savetujm da koristiš njega umesto OpenVPN. Kojim ćeš putem ići, najviše od tebe zavisi.

 

[Nidzo]

Softether

 

[alex303]

Imam Archer c7 ali v2 a on ne podrzava VPN (ni server ni klijent).

Još jedno rešenje je instalacija DD-WRT firmware-a koji Archer C7 v2 podržava. DD-WRT firmware ima OpenVPN Server+Client. Instrukcije su ovde. A firmware je ovde.

 

[TwistedMind]

rpi 3 b+ sa wireguard.
Potreban je usb-rj45 adapter da bi se izvukle malo bolje brzine jer je ethernet ogranicen na 100mbps.
i ovo bi ispalo oko 40-50eur

 

[lab310]

Ako imaš rezervnu mašinu, najjednostavnija solucija ti je instalacija pfSense-a. On u sebi ima OpenVPN Wizard koji će ti kroz par pitanja metodom "next next finsh" omogućiti da digneš OpenVPN server. Njegov DNS resolver se može postaviti u forwarder režim tako da DNS requests idu preko OpenVPN tunela, i na taj način sprečavaš DNS leak. Kad napokon podesiš server, isti taj wizard ti omogućava da eksportuješ "package" koji je zapravo selfcontain-ovan exe za Windows ili apk za Android, čijom se instalacijom i pokretanjem automatski konektuješ na svoj VPN server bez ikakvog podešavanja. Sva VPN konfiguracija se nalazi u instalacionim paketu koji generiše wizard.

Ako kojim slučajem na mašini nemaš 2 LAN kartice, problem možeš rešiti managed switch-om koji podržava VLAN. Ili još jednostavnije, instaliraš pfSense u virtuelnoj mašini. Ne znam koji si nivo znanja, ali pfSense ima i WireGuard VPN protokol, tako da ti savetujm da koristiš njega umesto OpenVPN. Kojim ćeš putem ići, najviše od tebe zavisi.

Imam laptop neki dual core, nema 2 lana a i nisam siguran koiko ce moci da tera virtualnu masinu. U svakom slucaju, proucicu tvoj predlog, deluje kao mocno resenje.
Nivo znanja - na zalost nedovoljan za ovo sto treba da uradim

Još jedno rešenje je instalacija DD-WRT firmware-a koji Archer C7 v2 podržava. DD-WRT firmware ima OpenVPN Server+Client. Instrukcije su ovde. A firmware je ovde.

Ruter je orion-v, flash je krajnje resenje ako nista drugo ne upali.

Softether

rpi 3 b+ sa wireguard.
Potreban je usb-rj45 adapter da bi se izvukle malo bolje brzine jer je ethernet ogranicen na 100mbps.
i ovo bi ispalo oko 40-50eur

Imam Rpi4, na brzinu instalirao juce (PIVPN tj Openvpn, wireguard nisam koristio, ne znam koliko je jednostavna konfiguracija na strani klijenta pa reko da ne komplikujem) i radi (barem osnovni deo, klijent dobija javnu adresu od VPN servera, radi internet, treba uraditi rute ka mojoj lokalnoj mrezi , testirati brzinu, prouciti koliko je sigurno resenje...)

 

[lab310]

Jos jedno pitanje: kako da (sto bolje) istestiram sigurnost VPN-a? Obzirom na moj nivo (ne)znanja, verovatno ce postojati neka rupa za krpljenje, ali je prvo treba naci.

 

[alex303]

Pošto vidim da ti je sigurnost najbitnija stvar, pfSense koji sam spomenuo gore nema alternativu što se toga tiče. Pogotovo ako hoćeš da sprečiš DNS leak, jer on sav sabraćaj na portu 53 (DNS) routira preko VPN-a. A pošto nemaš ni znanja, kao što si sam rekao, onda ni to nije opcija.

Moja preporuka ti je flešovanje DD-WRT-a firmware-a na routeru. Nemaš nikakvih ulaganja, i uvek možeš da se vratiš nazad na fabrički firmware.

DNS Leak testiraj sa ovim, imaj na umu da pored DNS leak-a postoji i WebRTC leak koji se može rešiti sa custom podešavanjima tvog browsera. Proguglan, naći ćeš šta treba.

 

[neca93]

Radio sam isto sa rpi i ddns-om, dodao i pihole da redukujem reklame. Ako si na orionu, omoguci i pristup ruteru od spolja, kako bi u slucaju nuzde mogao da popravis neku sitnicu i obaezno na pravi bekap konfiguracije pre polaska, jer im se desavalo da sve prebrisu.
Meni wireguard nije radio na rpi-ju, ali koristim na poslu i brzina konektovanja je luda, gotovo instant.
Tailscale je jos jedna opcija, ali nisam stigao u potpunosti da probam. Ide kroz njihove servere (makar za deo sa konektovanjem), pa me je to odbilo.

 

[Mil0sbeo]

obavezno u torrent kiljentu kada padne vpn da stane sa piraterijom
btw, realno blio koji debian/ubuntu i apt install openvpn,
instalaciona skripta ti daje interaktivini meni za podesavanje korisnika i vozi.
da si malo iskusniji wireguard.
RouterOS (MikroTik) u v7 ima wireguard server.

 

[alex303]

Radio sam isto sa rpi i ddns-om, dodao i pihole da redukujem reklame. Ako si na orionu, omoguci i pristup ruteru od spolja, kako bi u slucaju nuzde mogao da popravis neku sitnicu i obaezno na pravi bekap konfiguracije pre polaska, jer im se desavalo da sve prebrisu.

Nikada ne treba omogućavati pristup routeru od spolja koliko god to bilo zgodno ili primamljivo. Uvek je bolje polisom ili skriptom automatizovati ceo proces tako da sistem bude spreman na svaki mogući scenario.

Meni wireguard nije radio na rpi-ju, ali koristim na poslu i brzina konektovanja je luda, gotovo instant.

To je zato što ima samo 8000 linija koda i što je najbitnije od svega, WG je multithreadovan. Kod OpenVPN klijent/server-a se koristi samo jedno jezgro a ubrzavanje je moguće samo sa Intel AES-NI i QAT instrukcijama što može da bude poprilično skupo.

Tailscale je jos jedna opcija, ali nisam stigao u potpunosti da probam. Ide kroz njihove servere (makar za deo sa konektovanjem), pa me je to odbilo.

Tailscale je odlična stvar za one koji ne mogu da otvore portove i koji su iza CGNAT-a. Ko nije NAT-ovan i nema zatvorene portove, nema potrebe za tailscale-om.

obavezno u torrent kiljentu kada padne vpn da stane sa piraterijom

Takve stvari uvek treba raditi na nivou routera sa takozvanim killswitch rule-om. Policy pravilom treba rutirati torrent traffic preko VPN-a, a ako VPN pukne, port se zatvara i nema izlaza direktno na net.

btw, realno blio koji debian/ubuntu i apt install openvpn,
instalaciona skripta ti daje interaktivini meni za podesavanje korisnika i vozi.
da si malo iskusniji wireguard.

WireGuard je jednostavniji za korišćenje od OpenVPN-a. A brzinu da ne spominjem.

RouterOS (MikroTik) u v7 ima wireguard server.

Ima ga i OpenWRT, FreshTomato, OPNSense, pfSense, VyOS, Sophos, Untangle...itd. U OPNSense-u ga je jako lako iskonfigurisati.

 

[everton]

Zaintrigiran ovom temom napravio sam od starog 775/xenon racunara Pfsense firewall/routher sa tailscail-om i to sve tako lepo radi da sam odlucio da uzmem neki mini Pc umesto ovog racunara ponajvise zbog potrosnje i garbarita.
Da li je recimo n4100 4 core celeron koje nalazim na oglasima dovoljan za laganu ovakvu kucnu varijatnu?

 

[alex303]

Zaintrigiran ovom temom napravio sam od starog 775/xenon racunara Pfsense firewall/routher sa tailscail-om i to sve tako lepo radi da sam odlucio da uzmem neki mini Pc umesto ovog racunara ponajvise zbog potrosnje i garbarita.
Da li je recimo n4100 4 core celeron koje nalazim na oglasima dovoljan za laganu ovakvu kucnu varijatnu?

Da. N4100 je odličan. Ima AES-NI instrukcije, tako da bez problema može da se nosi i sa daleko većim zahtevima.

 

[suncica2222]

da li za skidanje torenta u zapadnoj evropi ima smisla da iznajmis VPS negde pa da torente skidas na njega, a zatim gotove fajlove skines lokalno preko dodatnog Wireguarda? da li to ima smisla, tj da li onli monitoruju samo vrstu saobracaja ili cak i sadrzaj fajlova?

 

[alex303]

da li za skidanje torenta u zapadnoj evropi ima smisla da iznajmis VPS negde pa da torente skidas na njega, a zatim gotove fajlove skines lokalno preko dodatnog Wireguarda? da li to ima smisla, tj da li onli monitoruju samo vrstu saobracaja ili cak i sadrzaj fajlova?

Nema smisla. Ako koristiš VPN, sav saobraćaj je već enkriptovan i tvoj provajder ne može da vidi ništa. Mullvad VPN ima opciju da otvoriš port, tako da čak ni seedovanje nije problem.

 

[TwistedMind]

da li za skidanje torenta u zapadnoj evropi ima smisla da iznajmis VPS negde pa da torente skidas na njega, a zatim gotove fajlove skines lokalno preko dodatnog Wireguarda? da li to ima smisla, tj da li onli monitoruju samo vrstu saobracaja ili cak i sadrzaj fajlova?

Umesto vps, plati neki seedbox koji namenski tome sluzi.
vps mozda moze da bude malo bolja opcija po pitanju funkcionalnosti. oracle ima free resenje. Imaju centos, ubuntu. 4cpu, 20gb ram i 200gb prostora. Ne znam bandwith ogranicenje

 

[everton]

Da. N4100 je odličan. Ima AES-NI instrukcije, tako da bez problema može da se nosi i sa daleko većim zahtevima.

Uzeo na kraju zotac zbox CI329 nano, radi pfsense samo tako na njemu. Moram jos da uzmem neki managed switch posto bi hteo da ovdojim wifi mrezu od lan-a.
Trenutno koristim archer C7 kao wifi AP/switch, vidim da on u okviru opnwrt-a podrzava vlan ili mislis da to ipak nije najsrecnije resenje i da je bolje uzeti neki prustupačan switch tipa tl-sg105e?

 

[alex303]

Uzeo na kraju zotac zbox CI329 nano,

Odlična mašinica. Bitno je da nema pokretnih delova.

radi pfsense samo tako na njemu.

Taj procesor je i više nego dovoljan za pfSense. Koliko si platio ako nije tajna?

Moram jos da uzmem neki managed switch posto bi hteo da ovdojim wifi mrezu od lan-a.

Obavezno managed switch sa VLAN podškom i obavezno odvajanje subnetova.

Trenutno koristim archer C7 kao wifi AP/switch, vidim da on u okviru opnwrt-a podrzava vlan ili mislis da to ipak nije najsrecnije resenje i da je bolje uzeti neki prustupačan switch tipa tl-sg105e?

Iskreno, nisam imao prilike da koristim VLAN u OpenWRT-u, tako da pojma nemam kako radi. Moja preporuka je uvek managed switch. Taj TP-Link TL-SG105 je odličan. Pogledaj i Unifi USW Flex Mini jer ima PoE port i lako se konfiguriše VLAN iz Unifi kontrolera. Tog tvog Archera obavezno prebaci u AP režim ako već nisi, tako da svaki uređaj koji se kači na njega bude vidljiv u pfSense-u. Imaćeš mnogo veću kontrolu.

 

[nula]

Uzeo na kraju zotac zbox CI329 nano, radi pfsense samo tako na njemu.

Citao sam da postoje problemi sa realtek drajverima, ali da mogu da se rese sa oficijalnim Realtek drajverima (Fix issues with Realtek NIC on pfSense 2.6.0). Ti nisi imao problema?

 

[everton]

@alex303
Nije tajna, uzeo sam polovnog preko KP za 12000din ali "barebone" + 2100din SSD od 128Gb + 2000din polovan ram 2x4Gb sodimm DDR4 2666MHz.
Možda onda uzem taj Unifi USW Flex Mini.

@nula
I ja sam procitao da su neki imali problema, ali za sada nisam naisao ni na jedan mada tek je 4 dana "uptime".

 

[alex303]

Citao sam da postoje problemi sa realtek drajverima, ali da mogu da se rese sa oficijalnim Realtek drajverima (Fix issues with Realtek NIC on pfSense 2.6.0). Ti nisi imao problema?

To je na nekim specifičnim Realtek karticama. Većina njih radi bez problema. A i te Realtek kartice što imaju problema, to je sve ispravljeno u pfSense 2.7 koji izlazi u Novembru.

@alex303
Nije tajna, uzeo sam polovnog preko KP za 12000din ali "barebone" + 2100din SSD od 128Gb + 2000din polovan ram 2x4Gb sodimm DDR4 2666MHz.

Šteta što kod nas ne mogu da se nađu manji SSD-ovi, jer pfSense zauzima samo 700MB.

Možda onda uzem taj Unifi USW Flex Mini.

Samo da znaš da nema web interfejs, nego mora da se instalira Unifi kontroler da bi mogao da ga kontrolišeš.

@nula
I ja sam procitao da su neki imali problema, ali za sada nisam naisao ni na jedan mada tek je 4 dana "uptime".

To znači da radi bez greške. Šta si sve instalirao od dodatnih paketa ?

 

[everton]

Nisam nešto ni istraživao dodatne pakete jer se još upoznajem sa samim pfsenes-om.
Baš sam i hteo u nekom trenutku da te pitam, šta preporučuješ da instaliram mada je i to dosta individualno od korisnika do korisnika.
Tako da za sad imam samo Tailscale, pfBlockerng sa dodatnom OISD listom i par sitnih tipa iperf,shellcmd itd.

 

[alex303]

Nisam nešto ni istraživao dodatne pakete jer se još upoznajem sa samim pfsenes-om.
Baš sam i hteo u nekom trenutku da te pitam, šta preporučuješ da instaliram mada je i to dosta individualno od korisnika do korisnika.
Tako da za sad imam samo Tailscale, pfBlockerng sa dodatnom OISD listom i par sitnih tipa iperf,shellcmd itd.

Instaliraj Service Watchdog. On pazi na aktivne servise, i ako neki stane, on ga automatski pokreće. Pošto koristiš Tailscale, a on se oslanja na WireGuard, samo treba dodati WireGuard servis na Service Watchdog listu. Takođe instaliraj i System Patches paket. On sadrži hotfix-eve za neke probleme koji su u međuvremenu pronađeni u pfSense v2.6. I to je to što se tiče obaveznih paketa.

Opciono ili po potrebi možeš instalirati:

Snort. On daje pfSense-u Layer 7 mogućnosti i omogućava ti da određenim aplikacijama dozvoliš/zabraniš pristup internetu na osnovu UUID-a aplikacije. Nema cimanja sa portovima.

NtopNG. Ako hoćeš da vidiš ko se gde kači i šta gleda na netu. Jako korisno za špijuniranje kamera, televizora, i ostalih iOT uređaja koji vole da "zovu kući" i šalju podatke bez tvog znanja. Možeš u potpunosti eliminisati telemetriju bilo čega što se kači na net.

Kada učitavaš jako velike liste u pfBlockerNG, preporučuje se korišćenje Python Unbound režima uz obavezno aktivacju TLD-a. Drastično poboljšava suzbijanje reklama, ali može da se desi i neki false positive.

Dobro izuči firewall rules. Default pravila su ok, ali sve može dodatno da se zategne dodatnim podešavanjima. Na primer, na svakom interfejsu na vrhu treba da imas reject/block rule za UDP port 443 kako bi zaustavio QUIC protokol. Takođe bi bilo dobro da promeniš default port za web gui sa 443 na recimo 5433. A onda napraviš alias za portove 22 i 5433 i napraviš reject rule na WiFi interfejsu koristeći taj alias. Na taj način sprečavaš pristup SSH i Web Gui-u sa WiFi subneta. Uređaji koji su na WiFi-u treba samo TCP i UDP protokol. Tako da to promeni sa All na TCP/UDP.

 

[everton]

Hvala Alex, puno mi znače ovakve konkretne infromacije na početku.
Poromenio sam default portove za ssh i web gui i onemogućio redirect rule sa porta 80, zanimljivo da se automatski ti novi portovi dodaju u antilock rule. Za ostalo moram sačekati switch, da prebacim wifi uređaje na poseban subnet pa cu primeniti ove firewall postavke.
Preporučene pakete ću narednih dana polako da istrazujem, da ne brzam

Odličan je pfsense, s jedne strane kompleksan i ozbiljan s druge strane za osnovne stvari i funkcije prilagođen svima (skoro svima) kroz par wizarda i tutoriala.

 

[alex303]

Hvala Alex, puno mi znače ovakve konkretne infromacije na početku.
Poromenio sam default portove za ssh i web gui i onemogućio redirect rule sa porta 80, zanimljivo da se automatski ti novi portovi dodaju u antilock rule.

Koliko sam puta sam sebi onemogućio pristup bolje da ne znaš. Anti lockout rule je tu da spreči takve stvari. Ali ako hoćeš još veće restrikcije pristupa web interfejsu, onda se antilockout rule gasi u opcijama. Napravi se floating rule u koji se stavi single IP adresa, ceo subnet, ili alias IP adresa koje će imati pristup web interfejsu, a odma ispod rule koji blokira sve ostalo.

Za ostalo moram sačekati switch, da prebacim wifi uređaje na poseban subnet pa cu primeniti ove firewall postavke.
Preporučene pakete ću narednih dana polako da istrazujem, da ne brzam

Odličan je pfsense, s jedne strane kompleksan i ozbiljan s druge strane za osnovne stvari i funkcije prilagođen svima (skoro svima) kroz par wizarda i tutoriala.

pfSense je rupa bez dna. Bukvalno te tera da učiš networking i da razumeš kako stvari rade na mnogo naprednijem nivou. Stečeno znanje je jako vredno a mogućnosti beskrajne.

Kad budeš nabavio switch i kad nakačiš AP, probaj Captive Portal funkciju u pfSense-u. Jako zgodna stvar ako konstantno dolaze gosti koji hoće da koriste tvoj WiFi.

 

[shexpir]

Zet radi u Kazahstanu a ovde kuci imaju ASUS TUF Gaming AX3000 V2 ruter.

Koji VPN da podignem od ovih ponudjenih? Treba mu za EON, HBO max( ne radi u KAZ) i Netflix koji radi ali je siromasnija ponuda nego kod nas.

 

[alex303]

WireGuard.

 

[shexpir]

Podesio brzo WireGuard , radi lepo.

Posto na jeftinijim Asus ruterima nema WireGuard, sta je najbolje da se koristi od ove preostale tri opcije.

 

[alex303]

IPSec.

 

[peca89]

Trenutno koristim archer C7 kao wifi AP/switch, vidim da on u okviru opnwrt-a podrzava vlan ili mislis da to ipak nije najsrecnije resenje i da je bolje uzeti neki prustupačan switch tipa tl-sg105e?

Iskreno, nisam imao prilike da koristim VLAN u OpenWRT-u, tako da pojma nemam kako radi. Moja preporuka je uvek managed switch. Taj TP-Link TL-SG105 je odličan.

VLAN na OpenWRT radi bez greske. Taj ruter ima hardverski switch u sebi tako da VLAN switching radi brzo i bez CPU-a kao na bilo kom managed switch-u.
Iza tog modela tp-linka se krije vise razlicitih cipsetova zavisno od hardverske revizije. Radi on lepo, ali mu je WebUI bezbednosno šupalj kao sito. WebUI mu je dostupan iz svih definisanih VLAN-ova što je ******ski, a bilo je i još nekih ranjivosti, ne sećam se. Držao bih se ja OpenWRT-a više nego bilo kog consumer-grade upravljivog switch-a.