Ulike løsninger på ekstern tilgang til lokalt nettverk

[Mixy]

Hei!

 

Vi har omsider fått fiber (markant oppgradering fra mobilt bredbånd), og jeg har nå et nettverk med Altibox multimodem (bridgemode), Unifi USG router og en server som kjører 24/7.

 

Jeg ønsker å ha tilgang til utvalgte ting på lokalt nettverk når jeg også sitter på jobb eller andre steder. Eksempelvis webkameraer. Jeg har nå satt opp duckdns på Unifi routeren, og har testet at jeg får tilgang til f.eks deluge fra eksternt nettverk hvis jeg forwarder riktige porter i routeren.

 

Så til spørsmålet: Er dette en god og trygg løsning?

 

Slik jeg forstår det så er det sikrere med en VPN til lokalt nettverk (vpn-server kan kjøre på serveren min. Unifi routeren har dessverre dårlig støtte for dette). Fordelen er at man kan ha kryptert trafikk, og det eneste som ligger "åpent" på nett er vpn-løsningen og brannmuren i routeren.

 

På den andre siden er løsningen med enkelte tjenester som ligger åpent at det er enkelt. Passord til tjenestene settes under de respektive tjenestene slik at de ikke ligger helt åpent. Det krever ingen VPN-klient (med tilhørende admin-rettigheter på terminalen), og det vil heller ikke ha de ulemper VPN medfører for klienten (eks. miste printere på nettverket den står på, all trafikk gjennom VPN (dette kan vel settes opp mer spesifikt, men gjør det også mer komplisert) etc). Denne løsningen er derimot mindre trygg slik jeg ser det da det ikke foregår kryptert (i beste fall med https), og man er prisgitt sikkerheten i programvaren som ligger åpent på nett. F.eks må jeg stole på at Hikvision-kameraene på nettverket ikke lar seg hacke...

 

Hva tenker dere? Er VPN den eneste trygge løsningen, eller er f.eks Hikvision/Deluge/Sonarr til å stole på for ekstern tilgang? Eller er det noe jeg har misforstått?

Endret 18. juni 2017 av Mixy

[fjs]

Jeg trenger som regel ikke tilgang til alt hjemme andre steder enn fra jobb. Så her er hvordan jeg har løst det:

 

Satt opp en linux VM. CentOS i dette tilfellet, likegyldig egentlig.

Låst ned denne ganske greit, bare ssh porten åpen. fail2ban installert. Og det går kun ann å autentisere seg med nøkkel (ikke passord)

Port forwarda en random port til ssh port på linux (stopper evt auto scripts som prøver seg på port 22)

Satt opp SSH tunell i putty fra jobb. (http://realprogrammers.com/how_to/set_up_an_ssh_tunnel_with_putty.html)

Det jeg gjør da er å logge meg på denne linux vm'en fra jobb.

I putty har jeg da f,eks satt opp at 127.0.0.1:1337 blir portforwarda til en eller annen tjeneste hjemme via ssh tunnelen.

Så hvis jeg f.eks skriver: https://127.0.0.1:9999 i nettleseren kommer jeg inn på min egen esxi web grensesnitt.

 

Si ifra hvis jeg har forklart dårlig, ser detta ble ganske rotete

 

Evt så fungerer jo vpn ganske greit. Med mindre du har full kontroll på hva som er åpnet osv osv ville jeg ikke hatt ting åpent på internet. Plutselig er det en "bug" i sonarr, og vipps har de fullt innsyn i nettet ditt hjemme.

[Mixy]

Høres jo ut som en solid løsning det, er enig i at den jeg forespeilet er utrygg fordi man avhenger veldig av programvaren som ligger åpent, som man ikke kjenner til, og som pusher oppdateringer automagisk.

 

Jeg er også enig i at det var noe dårlig forklart.. Jeg klarer ikke forstå hva som må gjøres i CentOS (evt annen distribusjon), hva som må gjøres på router og hva som må gjøres på jobb-PC.

 

Putty krever vel fremdeles admin-tilgang, noe jeg ikke har ..

[MegaMann2]

Skal gå fint å laste ned Putty Portable og kjøre uten administrator tilgang.

 

Om putty.exe er blocket i policy er det verre.

 

Kitty Portable: https://portableapps.com/apps/internet/kitty-portable

Putty Portable: https://portableapps.com/apps/internet/putty_portable

[fjs]

Høres jo ut som en solid løsning det, er enig i at den jeg forespeilet er utrygg fordi man avhenger veldig av programvaren som ligger åpent, som man ikke kjenner til, og som pusher oppdateringer automagisk.

 

Jeg er også enig i at det var noe dårlig forklart.. Jeg klarer ikke forstå hva som må gjøres i CentOS (evt annen distribusjon), hva som må gjøres på router og hva som må gjøres på jobb-PC.

 

Putty krever vel fremdeles admin-tilgang, noe jeg ikke har ..

 

 

Du trenger ikke å gjøre noe spes i centos egentlig. Bare passe på at siden den er åpen mot internet, at kun nødvendige porter er åpnet. Skru av mulighet for at root kan logge inn remote.

 

Så jeg prøver igjen

 

På VM:

- skru på brannmur og sørg for at kun ssh porten er åpen

- Skru av muligheten for at root kan logge inn remote (google it)

- Vurder å skru av muligheten for å logge inn med passord (https://www.tecmint.com/ssh-passwordless-login-using-ssh-keygen-in-5-easy-steps/) Husk å få med deg privat nøkkelen på jobb, enten med en usb stick, onedrive e.l. Nøkkel par kan du opprette med PuttyGen

 

That's it.

 

På router:

-Port forward f.eks port 1337 -> port 22 på VM'en din. Så alle koblinger på port 1337 blir routet til vm'en din på port 22 (default ssh port) Du kan også bruke port 22 her, men veldig mange "hacking" attempts er automatisk mot port 22. Så du forhindrer jo mye av det.

-Dynamic DNS. Det kan være IP hjemme endrer seg i tid til annen, så greit å ha en dynamisk dns. De fleste moderne routere har innebygget støtte for dette.

 

På jobb:

-Ta med deg privat nøkkelen som ble opprettet tidligere.

- Last ned/installer putty

- Sett opp slik: https://www.skyverge.com/blog/how-to-set-up-an-ssh-tunnel-with-putty/

- Da velger du dyndns navnet, evt ekstern IP hjemme + porten du satt opp portforwarding på.

- I settings for tunellen velger du f.eks enten IP + port til sonarr, eller om du har en annen enhet du kan fjernstyre med f.eks RDP.

 

Litt bedre?

[Mixy]

Det var vesentlig bedre ja Etter litt nærmere tankegang rundt dette så slår det meg at jeg ønsker en løsning for dummies også. Altså at f.eks min mor kan koble seg på, og da strekker mulighetene seg til direkte videresending av porter eller en enkel VPN løsning.

 

En kamerat forteller om innebygget VPN-løsning som finnes på Asus AC68, og der fungerer det ved at kun trafikk som "skal" til VPN-nettverket går via den, resten går direkte fra klienten. Noen som vet hvordan dette fungerer, og om det finnes noen god/enkel måte å sette opp dette på? I praksis er hans klienter koblet til med VPN hele tiden uten at det påvirker annen trafikk enn den til f.eks kamera på hjemmenettet.