VPN - detekce zda jsem doma nebo ne

Re:VPN - detekce zda jsem doma nebo ne
« Odpověď #15 kdy: 02. 01. 2024, 17:15:59 »
Já to řeším tak, že mám na domácím DHCP serveru zadefinovánu custom option a v dhclient o ni požádám při požadavku na lease IP adresy. Když ji dostanu, vím, že jsem doma.


M_D

  • ****
  • 335
    • Zobrazit profil
    • E-mail
Re:VPN - detekce zda jsem doma nebo ne
« Odpověď #16 kdy: 02. 01. 2024, 17:31:28 »
Hm, tohle řešilo MobileIP (MIP). Otázka je, zda existuje dneska nějaká rozumně funkční implementace pro home agenta/mobilní nód? Kdysi dávno jsme to používali (v době Symbianových Nokií). Pokud mobil nebyl přímo v síti, kde měl svého home agenta, tak nahodil tunel s vnořeným IPsec spojením domů a v lokální síti byl pořad dostupný/vystupoval pod stejnou IP, ať cestoval nebo byl na domácí wifi.
Ale tak rozhládnutím to vypadá, že tato oblast je mrtvá. :-(

RDa

  • *****
  • 2 703
    • Zobrazit profil
    • E-mail
Re:VPN - detekce zda jsem doma nebo ne
« Odpověď #17 kdy: 02. 01. 2024, 17:50:37 »
Hm, tohle řešilo MobileIP (MIP). Otázka je, zda existuje dneska nějaká rozumně funkční implementace pro home agenta/mobilní nód? Kdysi dávno jsme to používali (v době Symbianových Nokií). Pokud mobil nebyl přímo v síti, kde měl svého home agenta, tak nahodil tunel s vnořeným IPsec spojením domů a v lokální síti byl pořad dostupný/vystupoval pod stejnou IP, ať cestoval nebo byl na domácí wifi.
Ale tak rozhládnutím to vypadá, že tato oblast je mrtvá. :-(

Tohle je celkem dobry point, udelat tu server side maskaradu tak, aby se ten komp tvaril jako na sve origo puvodni pevne domaci IP! (usetri to duplicity v ACL pro ruzne servery ktere ma clovek doma).

jjrsk

  • *****
  • 518
    • Zobrazit profil
Re:VPN - detekce zda jsem doma nebo ne
« Odpověď #18 kdy: 02. 01. 2024, 17:55:54 »
(ono totiz, kdyz skoncite na cizi siti se stejnym rozsahem, tak jste v p.... se svoji vpn tak jako tak)
Proto se to dela tak, ze VPN je (uvnitr) ipv6 only. Zadne kolize nehrozi. A jinak jak si napsal, cenou routy = pres VPNku je to drazsi.

Jen je k tomu potreba podoknout, ze tohle reseni rozhodne neni bezpecne reseni. Pokud nekdo chce bezpecnost, bezi VPN trvale a bez ni se nikam nedostane. Protoze ty IPcka lze samozrejme podvrnout a docilit tak vyrazeni VPNky.

, VPN může být aktivní pořád, jen se připojí z vnější nebo lokálně. Jen nevím jestli nebude DNS cache dělat bordel.

Hmm, a nebo mít VPN server z vnitří sítě úplně nedostupný, takže se klient nepřipojí a data budou must chodit lokálně? Otázkou je, jaké tam budou timeouty při přechodu mezi vnější a vnitřní sítí.

Nejsem síťař... :-)
... ;D ... tohle ti nijak neresi problem ze ti data zbytecne tecou pres routovpnserver ... a ten domaci typicky neda Gbit sifrovat a routovat ... A pri nedostupny VPN bude bez dalsiho nedostupny i rozsah, ktery do ni mas naroutovany.

Hm, tohle řešilo MobileIP (MIP). Otázka je, zda existuje dneska nějaká rozumně funkční implementace ...
Ale jo, najdes, jen teda se obavam ze to nebude nic pro beznyho fantu, protoze vsechny implementace co jsem zkousel byly spis ve stavu hokuspokus.

Teda .... https://content.cisco.com/chapter.sjs?uri=/searchable/chapter/content/en/us/td/docs/ios-xml/ios/mob_ip/configuration/xe-16-7/mob-ip-16-7-book/ip6-mobile-home-agent.html.xml

Se chlubej ze to umej.