VPN-palvelut

[zxcv]

Päädyin hankkimaan AirVPN:nän testiin. Otin suoraan 3v paketin, saahan tuon peruttua jos ei ala toimimaan.

Nyt pitäis opetella tuo Port forwarding, ku ei ollutkaan niin yksinkertainen ku luulin. Apuja jos täältä saisi helposti, eikä tarvisi lukea taas koko nettiälävitse, niin olisin kiitollinen.

Avasin siis AirVPN- client area kohdasta itselleni portin numero x. Testi kuitenkin näyttää punaista, eli portti on sulki. Avasin n00b taidoilla windowsin palomuurista tuloliikenteelle kyseisen portin, ilman että mitään muuttui. Pelottaa vähän aukoa näitä portteja, kun ei ihan oo varmuutta mitä tekee. Onko seuraava vaihe, että modeemiin pitäisi avata portti myös? Kyseessa Elisan 5G-mobiililaajakaista, Huawei CPE pro 2.

Myöskää canyouseeme.org ei nää minua tuon portin kautta.

Joku tutoriaali ois kans kiva jos ette jaksa kirjoitelle.

Laita qBittorrentissa tuohon punaisella olevaan kohtaan se sama portti minkä valitsit AirVPN:n portaalissa ja se riittää normaalisti.

Jos ei riitä niin salli se qBittorrentin prosessi Windowsin palomuurissa tuon ao. henkisesti, helpointa varmaan sallia kaikissa private/public/domain profiilissa kerralla

Luulin vain että vähintäänkin palomuurista pitäisi sallia se 'xx' portti sisäänpäin tulevalle liikenteelle, sekä sitten olla jotain kuuntelemassa tätä 'xx' porttia myös? Vai salliiko Windowssin palomuuri automattisesti kaiken eri porteista sisään tulevan liikennöinnin, uskoisin että ei salli. Sitten muistan jostain lukeneeni joskus että mobiililiittymällä voi olla vaikea tai jopa mahdotonta toteuttaa tälläinen keissi. Sitä en taas ymmärrä että miksi näin olisi. No, kuten sanoin en ole ihan sieltä velhoimmasta päästä näissä palomuuri/portti asioissa(kaan).

Ei tarvitse konfiguroida mitään teidän kotona olevassa palomuurissa tai reitittimessä, se idea tuossa VPN tunnelissa on just että se ohittaa teidän verkon kokonaan ja se palomuuri "siirtyy" siitä teidän kotona olevasta purkista sinne AirVPN konesalissa jossain päin maailmaa olevalle "palomuurille"

Muistaakseni se on riski jos uudelleen ohjaisi sen saman portin myös siitä fyysisestä reitittimestä sisäverkkoon minkä on AirVPN:ssä ohjannut sisäverkkoon. En kyllä yhtään osaa sanoa teknisesti miten mutta taisi olla joku timing-hyökkäys mikä on ehkä enemmän tai vähemmän teoreettinen kun oikea riski. Toki fiksumpaa kun ei tee tuollaisia juttuja turhaan.

edit: You provide Remote Port Forwarding, what is it? - AirVPN "IMPORTANT: do NOT forward on your router the same ports you use on your listening services while connected to the VPN. Doing so exposes your system to correlation attacks and potentially causes unencrypted packets to be sent outside the tunnel from your client. "

 

[1TAI2]

Kiitos vastauksista.
Jepsistä. Eli syy olikin ilmeisesti juuri tuo mistä Pikkis puhui, että mitään liikennettä ei portin läpi kulkenut. Nyt kun käynnistin ohjelman joka sen portin ohjauksen tarvii, alkoin vihreät valot hohkamaan. Eli portin ohjaus toimiin. Ja myöskään palomuuri ei sitä aukkoa tosiaan tarvinnut.

...While I got you guys here:
- niin onko tuollaisen yhden portin avaaminen "uhka"? ...ja tätä zxcv ylempänä selvensikin samalla kun tätä kirjoitin, kiitos.
- toimiiko AirVPN:llä se, että yksi selain ei menisi vpn-tunnelin läpi vaan vetelisi ns. paljaana. Ei tarvisi aina Areenaa katsoessa sulkea VPN:nää. Freedomella sen sai tehtyä, mutta ei toiminut.

 

[zxcv]

Kiitos vastauksista.
Jepsistä. Eli syy olikin ilmeisesti juuri tuo mistä Pikkis puhui, että mitään liikennettä ei portin läpi kulkenut. Nyt kun käynnistin ohjelman joka sen portin ohjauksen tarvii, alkoin vihreät valot hohkamaan. Eli portin ohjaus toimiin. Ja myöskään palomuuri ei sitä aukkoa tosiaan tarvinnut.

...While I got you guys here:
- niin onko tuollaisen yhden portin avaaminen "uhka"? ...ja tätä zxcv ylempänä selvensikin samalla kun tätä kirjoitin, kiitos.
- toimiiko AirVPN:llä se, että yksi selain ei menisi vpn-tunnelin läpi vaan vetelisi ns. paljaana. Ei tarvisi aina Areenaa katsoessa sulkea VPN:nää. Freedomella sen sai tehtyä, mutta ei toiminut.

1. Ei ole uhka (käytännössä). Kuten tässä on selvinnytkin niin sinulla pitää olla joku sovellus käynnissä joka kuuntelee sitä portti jotta sitä kautta mikään liikenne kulkee edes

2. Ymmärtääkseni ei. AirVPN:n kanssa, varsinkin kun lataat jotain Bittorrentilla jne., haluat pitää aina päällä sitä Network Lock ominaisuutta joka taas estää käyttäen Windowsin "palomuuria" (käytännössä taitaa oletuksena olla WPF palikka eikä se näkyvä Windowsin palomuuri) kaiken liikenteen muualle kun VPN-tunneliin.

Eli jossain muissa VPN softissa oli ainakin aiemmin sovellustasolla tehtynä niissä itse VPN sovelluksissa tuollaisia suojaominaisuuksia jotka estivät että jos vaikka VPN tunneli menee nurin niin bittorrent client ei voi vahingossa jatkaa lataamistaan ohi VPN tunnelin käyttäen normaalia Internet-yhteyttä ja nuo kai toimivat vähän randomilla eivätkä oikeasti olleet luotettavia. AirVPN:n Network Lock taas konffailee Windowsin siten ettei mikään liikenne voi ohittaa sitä AirVPN:ää (ja tuo pitäisi olla aina luotettava/turvallinen) niin samalla tuo sinun haluama vaihtoehtokaan ei ole mielestäni mahdollista.

Ja tuskin on vaivan/riskin arvoista olla käyttämättä sitä Network lockia.

 

[SamCer]

- toimiiko AirVPN:llä se, että yksi selain ei menisi vpn-tunnelin läpi vaan vetelisi ns. paljaana. Ei tarvisi aina Areenaa katsoessa sulkea VPN:nää. Freedomella sen sai tehtyä, mutta ei toiminut.

Kyllä pitäisi onnistua:

In Eddie Android edition you can split traffic on an application basis. You can define "white" and "black" lists of apps. If a black list is defined, the apps included in the black list will have their traffic routed outside the VPN. Any other app will have its traffic routed into the VPN. If you define a white list, only the apps in the white list will have their traffic routed inside. Any other device traffic will be routed outside the VPN. Traffic splitting will work both on WireGuard and on OpenVPN.

In Eddie Desktop edition for Linux, Mac and Windows you can split traffic on a destination basis (IP addresses, IP addresses range, or host names). You can tell Eddie to send the traffic outside the VPN tunnel only for specific destinations, or you can tell Eddie to send all the traffic outside the tunnel except for specific destinations. Traffic splitting will work both on WireGuard and OpenVPN.

AirVPN Suite for Linux does not offer any traffic splitting ability, but we are considering to implement an app based traffic splitting feature in the near future.

Lähde: Split Tunnel.

 

[zxcv]

Kyllä pitäisi onnistua:

Lähde: Split Tunnel.

Miten sinä ajattelin tuon konfiguroida käytännössä, siis mitä osoitteita konfiguroit menemään ohi tunnelin? Ylehän käyttää taustalla AWS:n (muistaakseni) CDN:ään mistä se videomateriaali tulee niin ei riitä pelkkä areena.yle.fi

spolerissa esimerkki mitä testasin pelkällä areena.yle.fi ja tuolla ei toimi, ja testissä ei ollut network lock päällä.

Spoileri

 

[SamCer]

Miten sinä ajattelin tuon konfiguroida käytännössä, siis mitä osoitteita konfiguroit menemään ohi tunnelin? Ylehän käyttää taustalla AWS:n (muistaakseni) CDN:ään mistä se videomateriaali tulee niin ei riitä pelkkä areena.yle.fi

spolerissa esimerkki mitä testasin pelkällä areena.yle.fi ja tuolla ei toimi, ja testissä ei ollut network lock päällä.

Spoileri

Itellä ei oo AirVPN:ää käytössä, niin en osaa vastata. Vastasin vain sen, että kysytty ominaisuus kyllä löytyy. Käyttöönotto on eri asia.

Tuo AirVPN:n Desktop-version tapa tuolle splittaukselle on kyllä ongelmallinen, kun siinä ei voi suoraan osoittaa jotain sovellusta, jolla olisi lupa ohittaa VPN.

 

[oongee]

- niin onko tuollaisen yhden portin avaaminen "uhka"?

Kyllä sisään tulevan portin avaaminen on uhka sikäli, että se avaa yhden kanavan, mitä mahdollinen hyökkääjä voi pyrkiä hyödyntämään päästäkseen koneellesi. Eli ns. hyökkäyspinta-ala laajenee. Jos kyseessä olevassa portissa kuuntelee vain turvallinen softa, missä ei ole tietoturva-aukkoa, uhka ei realisoidu. Mutta softissa on bugeja, joten 100% varma ei voi olla, etteikö esim. jossain torrent-softassa olisi jonkinlainen vakava tietoturva--aukko, jota ei ole vielä löydetty tai joka ei ole vielä yleisessä tiedossa. Toisaalta torrent-softassa oleva tietoturva-aukko voi aiheuttaa haavoittuvuuden myös ilman ulos avattua porttia. Myös voisi käydä niin, että joku toinen softa koneellasi saattaisi sattumalta alkaa kuunnella juuri siinä forwardoidussa portissa.

Edellisestä seuraa, että torrentointia ei kannata harrastaa ja VPN:n kautta sisään tulevia portteja muutenkaan availla sellaiselta koneelta, jossa on jotain erityisen salaista (esim. työnantajan kone).

Itselläni on myös tuo AirVPN käytössä Linuxin kanssa satunnaiseen torrentointiin ja erittäin hyvin on toiminut tosiaan staattinen forwardoitu portti torrent-softaan konffaamalla. Linuxilla kannattaa Eddie-ui:sta käyttää uusinta beta-versiota, vanhempi ei-beta tuntui hieman bugiselta. Mutta tämä tuskin pätee muilla alustoilla. En ole tuota split tunnelia käyttänyt ja sen toimimaan saaminen jollain saitilla on varmaan työlästä (pitäisi katsoa esim. selaimen deloper toolsilla kaikki kohteet, minne sivusto liikennöi).

Tällä firmalla on isot tarjoukset aina black fridayn ja joulun-uuden vuoden aikoihin, joten vuositilaukset kannattaa tehdä niihin aikoihin, jos tykästyy palveluun.