Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: honz 08. 05. 2017, 16:14:17
-
Dobry den,
resim nasazeni VPN pro zvyseni bezpecnosti a anonymity na internetu (i kdyz vim, ze to neni primarni fce VPN!)
Pouziti je na nekolika rodinnych noteboocich a mobilech (predevsim pristup z ruznych wifi kavaren a letist, pri cestovani apod).
Moznosti, ktere me napadaji:
a) vlastni mini PC s VPN serverem +verejna IP
- napriklad reseni pres Docker vypada velmi pekne: https://github.com/kylemanna/docker-openvpn
- ve vlaknu vedle resim NAS, tak bych to mohl poustet primo na tom HW
- Otazka kde sehnat verejnou IP (poskytovatele mam O2)? Potrebuji IPv4, nebo staci nova v6?
https://www.o2.cz/osobni/203291-internet/40771-pevna_ip_adresa.html#d269688
PS: kdybych koupil ipv4 pred 2 mesici, stala by o 50% min;
PPS: mel jsem v r. 2012 nakoupit verejne ipv6 za 1Kc/mesic/kus!! Dnes je cena 100Kc
b) vlastni VPN v cloudu GCE/AWS
- zase ten docker image
- postavene na amazonim AWS nebo GCE od googlu.
- Otazka ceny; snazim se vypocitat, kolik me to bude rocne stat?
U GCE jsou podminky jasnejsi:
https://cloud.google.com/compute/pricing#internet_egress
Pokud tomo rozumim, platil bych cca $0.12/GB, coz neni tak malo, obzvlast pokud bych v te VPN chtel mit pripojeny ten NAS a synchronizovat do nej? Resp prvotni "nahrani" by se asi muselo udelat primo bez VPN (TB dat) a pak denni synchronizace uz by nemely presahnout 1GB, max narazove.
U AWS je cenik nejaky zmatenejsi, vsude je "free tier for 1st year for new customers", ale co potom?
c) Otazka anonymity pomoci VPN
- VPN me chrani proti lokalnim problemum (zly hacker na otevrene kavarenske wifi, letiste,...),
- ale naopak usnadnuje sledovani z koncoveho uzle vpn (budu ho pouzivat vzdy, doted bylo potreba sledovat vsechna mista - doma, prace, hotel na dovolene..)
- sanci vidim v "schovani se mezi ostatni u VPN poskytovatele" (tedy pokud ten neni evil a nema logy).
- najit dobreho VPN poskytovatele, bezpecneho (i z hlediska NSA,...) je celkem tezky ukol, libi se mi prehled v
https://thatoneprivacysite.net/simple-vpn-comparison-chart/
- vybraj jsem Mullvad (jeste netestoval).
Protoze Mullvad poskytuje jen 3 zarizeni na 1 ucet (do toho se nevejdu), planuju a)/b) a pak se pripojit k Mullvad. Nebo to nema cenu a pouzit jen a/b? nebo jen c?
-
Moje riesenie je taketo:
- mam prenajaty virtualny server, kde mam OpenVPN + Squid3.
Na VPN sa pripojim odkialkolvek, kedze server ma uz assignovanu verejnu IP.
V nastaveni wifi mam zadefinovany proxy host na internu adresu z VPN.
Cize client sa pripoji na server (88.212.xx.xx), a nasledne trafika ide cez VPN na proxy server (10.241.xx.xx).
Toto mi funguje pri propojeni cez wifi. Pri mobilnom pripojeni mi trafiku nepresmeruje do VPN, kedze "apple".
Skusal som aj "redirect-gw", ale iphone, ani ipad jednoducho trafiku nepresmerovali do VPN.
Pri notebooku to funguje vyborne, akurat cez OpenVPN mam rychlost len 10Mbit/s.
Moj provider vidi VPN trafiku z mojho routra, ktory mam doma na server, ktory je niekde v DC.
To iste plati aj o mobilnych zariadenia pripojenych cez wifi v kaviarni a podobne.
Skor by som Ti doporucil nejaky vlastny VPS, ja akurat poznam forspi, ale kludne aj amazon a pod.
V sucastnosti riesim viacero servrov vo svete, ktore budu cisto len Squid3, a zmojho lokalneho proxy sa budem na ne pripajat round-robin. Cize ta trafika bude raz z SK, rad z PL, CZ, UK, ....
-
@honz:
dá ti to práci. OpenVPN protokol je často blokovaný, zejména v kavárnách i na letištích (některé dokonci poznají i komunikaci na jiném než výchozím portu).
Vyprdni se na stroje od Amazonu nebo Google, jdi do obyč vps, který ti poskytne kdovíkdo (wedos, web4u, forpsi nebo v zahraničí Digitalocean či vultr), tam máš jasnou cenu. Dávat to do cloudu je za mě práce navíc. Tj. volil bych modifikovanou variantu (b).
K (c), nebuď paranoidní, pokud se chceš bránit pro "NSA" (či jiné organizaci na podobné úrovni), musíš jít do sofistikovanějšího řešení. Zůstaň raději jen u ochrany před veřejnými sítěmi, tam openVPN je dostatečné.
@admik:
i iphonů musíš použít L2TP a přeinstalaci OS s vlastním managementem, abys jeho použití vynutil. Některý typ komunikace s applem a mobilní sítě ale půjde pořád přímou cestou, s tím nic jednoduše neuděláš.
Pokud chceš vyšší propustnost, musíš povětšinou změnit vpn protokol a odejít od openvpn, řada lidí používá SSTP přes softether (osobně ho ale nemám rád), openvpn se dá také poladit k lepší rychlosti, ale pořád to bude na hraně.
-
Vyprdni se na stroje od Amazonu nebo Google, jdi do obyč vps, který ti poskytne kdovíkdo (wedos, web4u, forpsi nebo v zahraničí Digitalocean či vultr), tam máš jasnou cenu. Dávat to do cloudu je za mě práce navíc. Tj. volil bych modifikovanou variantu (b).
Prace navic GCE/AWS neni, nastaveni je fakt vymakane a snadne.
Ale byl jsem prijemne prekvapen cenou CZ hostingu, ktere vychazeji fakt levneji nez cokoli jineho.
Tj., pujdu cestou vlastni VPS + k tomu ta verejna VPN (paranoidni budu, kazdemu dle jeho gusta :p).
Vyber VPS:
- nepotrebuji moc vykon, ale konektivitu!
a) vpsFree
https://kb.vpsfree.cz/informace/parametry_vps
+ fandim jim jako o.s.!
+ 4gb RAM, 4core CPU,
- jen 300Mbit net
.1xIPv4
-jen 32xIPv6
.300Kc/mes
b) Forpsi
https://www.forpsicloud.cz/vps/virtualni-server.aspx#table
+ levne: 25Kc/mes
.1xCPU, 1gb RAM
-2TB net
c) cloud365
https://www.cloud365.cz/
+ 100Kc/mes
+ 1Gbit net, neomezene
.2xCPU, 2gb RAM
- lze platit jen rocni predplatne
d) OVH
https://www.ovh.cz/vps/vps-ssd.xml
. 1IPv4, 1 IPv6
+ 100MBit/s, neomezene
.1xCPU, 2gb RAM
+100Kc/mes
e) ZonerCloud
https://www.zonercloud.cz/produkty/cloud-server-linux/
- 350Kc/mes
. 2xCPU, 2gb RAM
+ 1Gbit/s, neomezene
. 1IPv4
f) Wedos
https://hosting.wedos.com/cs/virtualni-servery.html
+100Kc/mes
+asi nejvetsi VPS provider u nas
.1xCPU, 1gb RAM
+1 IPv4, /64 IPv6!
. 100Mbits
+ neomezene
Jake mate zkusenosti s temito poskytovateli? Co byste doporucili?
-
K (c), nebuď paranoidní, pokud se chceš bránit pro "NSA" (či jiné organizaci na podobné úrovni), musíš jít do sofistikovanějšího řešení.
pig-trig challenge
-
Kdyz si paranoidni z NSA, proc vlastne potrebujes internet?
.....
A hned se budes citit svobodny :)
-
Kdyz si paranoidni z NSA, proc vlastne potrebujes internet?
Nemusi clovek byt paranoidni, aby se vazil vlastniho soukromi. Tim, ze bojuje za svou anonymitu pomaha navic i tem, kteri ji (take, opravdu) potrebuji.
-
Btw, uz nastavuji VPSFree, zatim spokojenost!
-
Jaké jsou prosím dosavadní zkušenosti s tímto přístupem? Smýšlím velice podobně a uvažuji o podobném řešení. Děkuji.
-
Jaké jsou prosím dosavadní zkušenosti s tímto přístupem? Smýšlím velice podobně a uvažuji o podobném řešení. Děkuji.
Myslis spojazdnit VPN server na vlastnom VPS? Ak nie si lopata vies si to nastavit, je to asi tak milionkrat bezpecnejsie ako tie freeVPN appky v android store.
Odporucam dat si do RSS stranku lowendbox.com (https://lowendbox.com/) a cihat na dobre ponuky. Napr. nedavno tam bola akcia na VPS v Nemecku za $15/rok (fuck me sideways, lacnejsie ako jedno pivo kazdy piatok).
Vyborny tutorial na OpenVPN v cestine (http://martin.vancl.eu/openvpn-1-uvod/)