Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: RDa 02. 01. 2024, 10:45:11
-
Ahoj, podle čeho by bylo vhodné automaticky detekovat, zda jsem doma - v domácí síti, nebo zda jsem mimo - ve světě, a má se nahodit VPN pro přístup do domácí sítě ?
Napadá mě MAC adresa dhcp serveru, parsnutá někde z DHCP logu.
-
resis mobil nebo notebook? wifi nebo pripojeni pres kabel?
-
Celkem bych rekl ze dost zalezi na tom automatizacnim toolu, co umi a co ne.
Mac adresa, nazev site, geolokace, verejna ip atp...
-
Jestli myslis VPN jako SSH na znamem portu s prihlasovani heslem, tak tam bych bal, ale pokud je to neco normalniho nevidim zadny duvod proc tu VPN vypinat a zapinat. Nebo jaky to ma smysl?
-
Jedna se o notebook s linuxem nebo windows, s pripojenim pres wifi nebo drat. VPN bude WG, zda routovat traffic po zapojeni se do VPN jeste nevim, primarne jde o pristup na lokalni domaci soubory kdyz clovek odcestuje - tj. i kdyby tam bezela vpn porad, tak bude potreba upravovat routy nebo jejich priority.
Automatizaci si napisu sam.
-
Co mit doma v lokalnim DNS nejaky staticky zaznam a zkouset ho resolvnout? Kdyz ho dig nenajde, tak nejsi doma.
Ohledne routovani veskereho trafficu - ja domaci vpn pouzivam casto prave na zvyseni bezpecnosti na neduveryhodnych pripojenich. Ale pridava to latenci. Takze urcite by slo mit dva profily, a v pripade potreby odpojit jeden a pripojit druhy.
-
já to řeším detekcí "Primary Dns Suffix"
if "Primary Dns Suffix" == "jsem doma" openvpn stop
else "nejsem doma" openvpn start
+ malá gui ikona v tray, abych si to mohl ovládat i ručně
routy tlačí openvpn
-
zkusil bych curl na nejakou vnitrni IP ktera by mela byt vzdy dostupna (napr. web gui routeru, nebo nejaky webserver) a zjisit jestli se ti vrati ocekavana odpoved, pokud ano, tak jsi v domaci siti, pokud ne, tak nahod VPN a zkus to znova
-
Budes muset jeste jednou pro vsechny vyjasnit ten problem.
Cast odpovedi resi akci na tom koncovem zarizeni (notebook se automaticky pripoji k VPN, kdyz neni na LAN).
druha cast akci na firewallu (akceptuj zadosti o pripojeni do VPN prichazejici z internetu, kdyz notebook neni videt na LANu)
ale co je vetsi risk, ze VPN port posloucha, i kdyz notebook je doma (ale treba hybernoval nebo neco).
Nebo je horsi, ze jsi vyrazil ven a zaboha se nepripojis dovnitr, protoze ta interni detekce LAN aktivity selhala .
-
Ako pozerám, riešite to tu všetci úplne zložito. Stačí detekovať pripojenie na domácu wifi sieť. Jednoducho zistiť, či názov wifi siete, do ktorej je pripojený notebook je zhodný s názvom domácej siete a je vyriešené. Dokonca aj v prípade, že vo svete bude notebook pripojený po kábli, tak je to jedno, lebo nebude pripojený cez wifi. Presne takto to robí aj Android aplikácia Sync me wireless, ktorá mi každé ráno synchronizuje mobil na server. Ak nie je v domácej wifi, tak sa synchroniácia nespustí.
-
A cez kábel to vyriešiš tak, že zistiš prítomnosť wifi siete s domácim názvom.
-
Ako pozerám, riešite to tu všetci úplne zložito. Stačí detekovať pripojenie na domácu wifi sieť. Jednoducho zistiť, či názov wifi siete, do ktorej je pripojený notebook je zhodný s názvom domácej siete a je vyriešené. Dokonca aj v prípade, že vo svete bude notebook pripojený po kábli, tak je to jedno, lebo nebude pripojený cez wifi. Presne takto to robí aj Android aplikácia Sync me wireless, ktorá mi každé ráno synchronizuje mobil na server. Ak nie je v domácej wifi, tak sa synchroniácia nespustí.
A podle ceho poznavas domaci sit SSID?
U mne by to treba neproslo protoze tatova se schodou okolnosti jmenuje stejne... takze to neni uplne jednoznacny idetifikator...
-
Nějakou dobu přemýšlím nad něčem podobným, ale jednoduché řešení jsem nanašel.
Snad nejlíp se mi osvědčilo být na VPN pořád, a latenci prostě neřešit. Zejména pokud je VPN server doma, a přípojka za něco stojí, tak to asi vychází nejlépe.
-
A co to vyresit skrze metriky na routach? VPN zapnuto porad, ale pokud se LAN rozhrani chytne jako doma, tak to prebije drazsi cenu spojeni pres VPN?
(ono totiz, kdyz skoncite na cizi siti se stejnym rozsahem, tak jste v p.... se svoji vpn tak jako tak)
-
A nešlo by to taky řešit pomocí DNS? Při připojení z vnější veřejný DNS vrátí veřejnou IP VPN serveru, při připojení lokálně nebo už přes VPN se použíje vlastní DNS server, který to přeloží na adresu lokální. Tj, VPN může být aktivní pořád, jen se připojí z vnější nebo lokálně. Jen nevím jestli nebude DNS cache dělat bordel.
Hmm, a nebo mít VPN server z vnitří sítě úplně nedostupný, takže se klient nepřipojí a data budou must chodit lokálně? Otázkou je, jaké tam budou timeouty při přechodu mezi vnější a vnitřní sítí.
Nejsem síťař... :-)
-
Já to řeším tak, že mám na domácím DHCP serveru zadefinovánu custom option a v dhclient o ni požádám při požadavku na lease IP adresy. Když ji dostanu, vím, že jsem doma.
-
Hm, tohle řešilo MobileIP (MIP). Otázka je, zda existuje dneska nějaká rozumně funkční implementace pro home agenta/mobilní nód? Kdysi dávno jsme to používali (v době Symbianových Nokií). Pokud mobil nebyl přímo v síti, kde měl svého home agenta, tak nahodil tunel s vnořeným IPsec spojením domů a v lokální síti byl pořad dostupný/vystupoval pod stejnou IP, ať cestoval nebo byl na domácí wifi.
Ale tak rozhládnutím to vypadá, že tato oblast je mrtvá. :-(
-
Hm, tohle řešilo MobileIP (MIP). Otázka je, zda existuje dneska nějaká rozumně funkční implementace pro home agenta/mobilní nód? Kdysi dávno jsme to používali (v době Symbianových Nokií). Pokud mobil nebyl přímo v síti, kde měl svého home agenta, tak nahodil tunel s vnořeným IPsec spojením domů a v lokální síti byl pořad dostupný/vystupoval pod stejnou IP, ať cestoval nebo byl na domácí wifi.
Ale tak rozhládnutím to vypadá, že tato oblast je mrtvá. :-(
Tohle je celkem dobry point, udelat tu server side maskaradu tak, aby se ten komp tvaril jako na sve origo puvodni pevne domaci IP! (usetri to duplicity v ACL pro ruzne servery ktere ma clovek doma).
-
(ono totiz, kdyz skoncite na cizi siti se stejnym rozsahem, tak jste v p.... se svoji vpn tak jako tak)
Proto se to dela tak, ze VPN je (uvnitr) ipv6 only. Zadne kolize nehrozi. A jinak jak si napsal, cenou routy = pres VPNku je to drazsi.
Jen je k tomu potreba podoknout, ze tohle reseni rozhodne neni bezpecne reseni. Pokud nekdo chce bezpecnost, bezi VPN trvale a bez ni se nikam nedostane. Protoze ty IPcka lze samozrejme podvrnout a docilit tak vyrazeni VPNky.
, VPN může být aktivní pořád, jen se připojí z vnější nebo lokálně. Jen nevím jestli nebude DNS cache dělat bordel.
Hmm, a nebo mít VPN server z vnitří sítě úplně nedostupný, takže se klient nepřipojí a data budou must chodit lokálně? Otázkou je, jaké tam budou timeouty při přechodu mezi vnější a vnitřní sítí.
Nejsem síťař... :-)
... ;D ... tohle ti nijak neresi problem ze ti data zbytecne tecou pres routovpnserver ... a ten domaci typicky neda Gbit sifrovat a routovat ... A pri nedostupny VPN bude bez dalsiho nedostupny i rozsah, ktery do ni mas naroutovany.
Hm, tohle řešilo MobileIP (MIP). Otázka je, zda existuje dneska nějaká rozumně funkční implementace ...
Ale jo, najdes, jen teda se obavam ze to nebude nic pro beznyho fantu, protoze vsechny implementace co jsem zkousel byly spis ve stavu hokuspokus.
Teda .... https://content.cisco.com/chapter.sjs?uri=/searchable/chapter/content/en/us/td/docs/ios-xml/ios/mob_ip/configuration/xe-16-7/mob-ip-16-7-book/ip6-mobile-home-agent.html.xml
Se chlubej ze to umej.