OpenVPN tunneli USG<->XG

SumpsaHV

BANNATTU
BANNED
Liittynyt
02.03.2021
Viestejä
27
Olisi projekti jossa pitäisi muodostaa 4G verkon yli tunneli (OpenVPN) mutta kun ei ole tehnyt tuollaista ennen eikä oikein aika sallisi lähteä trial-error-prosessiin niin olisiko jollain kokemusta?

Yhteys pitäisi muodostaa mökiltä jossa 4G LTE jossa Huihai B818 purkki (ja tarvittaessa Ubiquiti USG3 palomuuri) kotiin jossa F-3686ACv2 ja sen perässä Sophos XG ja dynaaminen IP. Molemmissa verkoissa jonkin verran erilaisia IP-laitteita. Tarkoitus olisi laittaa viritys niin että mökiltä vain ja ainoastaan VPN-yhteys kotiin jonka muurin kautta internettiin. Kaikki mökin muut yhteydet blokattu koska kaikki liikenne ohjautuu kodin verkon kautta nettiin. Mielellään yksi yhteinen aliverkko esim. 192.168.1.0/24.

Se miksi kaikki liikenne kierrätetään kodin kautta on että yhden muurin konffaus ulospäin liikenneongelmatilanteissa helpompi kun kahden. Ja lisäksi helppo blokata kaikki muu mökiltä eli ei tarvitse keskittyä varsinaiseen portti-/softakonffaukseen mökin osalta. Mökin verkko client ja ottaa yhteyden jos yhteys putoaa. Koti passiivinen eli ei hae yhteyttä. Yhteys päällä 24/7.

Onko kenelläkään kokemusta tai innokkuutta hieman auttaa verkon konffauksessa?

Triviaalikysymyksiä:
1) Tarvitaanko palomuuria mökille eli mikä on edullisin=turvallisin tapa yhdistää verkot ja blokata kaikki liikenne muualle paitsi kotiin? Eikä mielellään mitään purkkavirityksiä kuten modeemin softa puukotuksia yms.
2) Jos haluan vaikka tupla-NAT:n kotiin enkä siis laittaa kumpaakaan modeemia sillatuksi niin onko ainoa vaihtoehto porata reikä yhdelle portille modeemiin ja ddns?
3) Ilmeisesti IPsec:lla jotain blokkauksia operaattoreilla 4G-verkossa joten ainoa vaihtoehto on OpenVPN?
4) Kumpi on parempi tässä tapauksessa: Site-to-Site vai Remote? Mahdollisesti verkkoon yhdistetään yhteisiä resursseja käyttämään myöhemmin pari muuta sisäverkkoa josta sitten ihmetellään live-streamea kameroista ja jotain DNS/Pi-hole virityksiä.
5) Suositteletteko mielummin kiinteää salasanaa vai sertifikaattia?

Eli yhteisiä resursseja olisi tarkoitus käyttää ja tehdä yksi iso verkko (kuten valvontakameroiden tallennus ja digiboxin tallennusten katselu).
 
1) Jos aiot että vain VPN-liikenne olisi sallittua mökiltä/mökille niin pitää siinä mökin päässä ainakin joku palomuuri olla.
3) Operaattoreilla saattaa olla jotain blokkauksia oletusporteille mutta voihan ipsecciäkin ajaa muissa kuin vakioportissa. Vaihtoehtoina on Ipsec, WireGuard ja OpenVPN nyt ainakin. Itselläkin on OpenVPN epästandardissa portissa.
5) Riippuu haluatko aavistuksen helpompaa konffausta vai parempaa tietoturvaa. Pelkkä salasana on helpompi mutta sertifikaateilla saa turvallisemman VPN-putken ja vielä laittaa TLS-auth tai TLS-crypt päälle niin vähän lisää turvaa. Tosin, eipä tuo sertifikaattien luonti mikään vaikea temppu ole niin en oikein pelkälle salasanalle näe järkeä.
 
1) Periaatteessa joo mutta jos pelkkä modeemin sisäänrakennettu SPI ja VPN niin silläkin voisi mennä jos SPI:llä blokkaa kaiken muun liikenteen paitsi tuon VPN:n. DPI:tä ei tarvita siinä koska DPI kodin muurissa ja kaikki ulkoliikenne kiertää sen kautta. Mutta, en tunne tuota modeemia niin paljoa että onko siinä edes SPI:tä ja jos on niin taitaa buginen viritys sekin.
2) Sophos ei tue Wireguardia, ainakaan virallisesti. Tarkoitus nimenomaan oli keksiä joku "outo" portti eli saa tunkeutuja ainakin hetken koputella portteja ennenkuin edes oikea portti löytyy ja sitten arvaamaan mitä liikennettä siinä kulkee.
5) Yritän päästä mahdollisimman helpolla joten tuo IPsec ja salasana houkuttelisi mutta jos tekisi kerralla kunnolla niin voisi sitten sertin laittaa ja OVPN:n laittaa. Isompi työ. Paras tietoturva pienellä vaivalla? :)

Kun ei ole näitä juuri tällaisia aikaisemmin viritellyt niin pientä käytännön ohjetta vailla.
 

Statistiikka

Viestiketjuista
258 431
Viestejä
4 490 821
Jäsenet
74 157
Uusin jäsen
mursu-90

Hinta.fi

Back
Ylös Bottom