VPN-yhteys läppäriltä kotiin.

[Pallukka]

Terve.
Lähtötiedot ja visio:
Hakusessa olisi toimiva ja turvallinen etäyhteys läppäriltä kotiverkkoon. Siellä lähinnä Truenas ja VU+-digiboksi.
Eli jos olen poissa kotoa (vaikka ulkomailla), niin pääsen näihin käsiksi läppärillä aivan kuten olisin kotiverkossa.
Kannettavassa WIN10. Reitittimenä on Zyxel Zywall USG20-VPN.
Tuo VPN-wizard ei kyllä toimi, tai se ei ainakaan osaa konffata palomuuria oikein, tai kertoa, että mitä portteja pitäisi aukoa.
Hurjasti Zyxeliä säädettyäni onnistuin luomaan SSL-VPN yhteyden käyttäen läppärissä SecuExtender SSL VPN Client -sovellusta.
Systeemi siis toimii.
Zyxelin palomuuriin laitettu sääntö: Allow_WAN_To_ZyWALL ja tähän vain yksi portti. Portin vaihdoin eri kuin oletus(443), koska muuten ulkoa pääsi suoraan Zyxelin kirjautumissivulle.
Tämä on kyllä melko tyhmä systeemi. En ainakaan helposti keksi, miten ulkoapäin kirjautumisen saisi muuten estettyä. No toimii se näinkin.
Kysymys:
Onko tämä skenaario toimiva ja turvallinen?
Mikä olisi hyvä porttinumero tuohon yhteyteen? Ettei tulisi ylläriä jossain ulkomailla tyyliin: just tämä portti on estetty kaikelta liikenteeltä jonkun hotellin wifissä.
Olisiko joku muu toimintamalli parempi?

 

[Desgorr]

Portiksi laittaisin jonkun 10000 yläpuolelta, niin ei ainakaan tule hirveästi kolkutteluja. Tosin ehdottomasti uusin firmware tuohon purkkiin. Zyxelin VPN-toteutuksissa oli joku aika sitten hieman pahempi aukko: Hackers are exploiting critical bug in Zyxel firewalls and VPNs ja Zyxel security advisory for multiple vulnerabilities of firewalls, AP controllers, and Aps | Zyxel Networks

Itse varmaan tekisin homman käyttäen Cloudflaren Zero Trustia (Tunnel). Toki tuo cloudflared pitää saada pyörimään jollekin koneelle. Esim. tuo Truenas pannu. Siihen tuo taitaa löytyä jopa valmiina Appsina, eli konttina.

Cloudflare Tunnel | Cloudflare Zero Trust docs

Cloudflare Tunnel provides you with a secure way to connect your resources to Cloudflare without a publicly routable IP address. With Tunnel, you do not send traffic to an external IP — instead, a lightweight daemon in your infrastructure (cloudflared) creates outbound-only connections to...

developers.cloudflare.com

 

[Pakana]

Terve.
Lähtötiedot ja visio:
Hakusessa olisi toimiva ja turvallinen etäyhteys läppäriltä kotiverkkoon. Siellä lähinnä Truenas ja VU+-digiboksi.
Eli jos olen poissa kotoa (vaikka ulkomailla), niin pääsen näihin käsiksi läppärillä aivan kuten olisin kotiverkossa.
Kannettavassa WIN10. Reitittimenä on Zyxel Zywall USG20-VPN.
Tuo VPN-wizard ei kyllä toimi, tai se ei ainakaan osaa konffata palomuuria oikein, tai kertoa, että mitä portteja pitäisi aukoa.
Hurjasti Zyxeliä säädettyäni onnistuin luomaan SSL-VPN yhteyden käyttäen läppärissä SecuExtender SSL VPN Client -sovellusta.
Systeemi siis toimii.
Zyxelin palomuuriin laitettu sääntö: Allow_WAN_To_ZyWALL ja tähän vain yksi portti. Portin vaihdoin eri kuin oletus(443), koska muuten ulkoa pääsi suoraan Zyxelin kirjautumissivulle.
Tämä on kyllä melko tyhmä systeemi. En ainakaan helposti keksi, miten ulkoapäin kirjautumisen saisi muuten estettyä. No toimii se näinkin.
Kysymys:
Onko tämä skenaario toimiva ja turvallinen?
Mikä olisi hyvä porttinumero tuohon yhteyteen? Ettei tulisi ylläriä jossain ulkomailla tyyliin: just tämä portti on estetty kaikelta liikenteeltä jonkun hotellin wifissä.
Olisiko joku muu toimintamalli parempi?

Tuo on turvallinen niin kauan kunnes sen zyxelin vpn ohjelmistosta löytyy aukko. Tai tietysti jos siinä on aukko jo nyt, se ei ole turvallinen. Eli pidä firmis ajantasalla.

 

[Pallukka]

Tuo on turvallinen niin kauan kunnes sen zyxelin vpn ohjelmistosta löytyy aukko. Tai tietysti jos siinä on aukko jo nyt, se ei ole turvallinen. Eli pidä firmis ajantasalla.

Juu, toki firmis on päivitetty uusimpaan aina kun sellainen on ilmestynyt.
Mennään toistaiseksi tällä setupilla.