Πρόσβαση από έξω στο οικιακό μας δίκτυο

  • Αγαπητοί φίλοι και φίλες.

    Με ιδιαίτερη χαρά σας προσκαλούμε στην κοπή της πρωτοχρονιάτικης πίτας του AVClub στη Θεσσαλονίκη για το 2024 την Κυριακή 07 Απριλίου και ώρα 14.00

    Δηλώστε τη συμμετοχή σας εδώ, θα χαρούμε πολύ να σας γνωρίσουμε από κοντά.

kiriak

Supreme Member
27 November 2006
3,949
Ανοίγω το νήμα αυτό για να υπάρχουν μαζεμένα εδώ τα σχόλια για το θέμα αυτό που επανέρχεται ξανά και ξανά σε διάφορα νήματα
 

kiriak

Supreme Member
27 November 2006
3,949
Ας ξεκινήσω με τη δική μου προσπάθεια στο θέμα

Αν και είμαι περίπου 4 χρόνια κάτοχος NAS, δεν τόλμησα μέχρι σήμερα να δοκιμάσω πρόσβαση σε αυτό από έξω
καθώς
- δεν έχω τόσες γνώσεις σε αυτά ώστε να νοιώθω ότι μπορώ να το κάνω με ασφάλεια
- δεν θεωρώ ότι η πρόσβαση στη μουσική ή τις φωτος μου από έξω, είναι σοβαρός λόγος να κάνω το nas μου προσβάσιμο από έξω


Τώρα με αφορμή επικείμενο επαγγελματικό ταξίδι στο εξωτερικό,
έστησα vpn για να κάνω backup των φωτο κάθε μέρα

επίσης θα το χρησιμοποιήσω για πρόσβαση σε αρχεία που χρειάζομαι από τη δουλειά μου και τα οποία πηγαινοφέρνω καθημερινά σε κρυπτογραφημένο στικάκι


στο νας δεν υπάρχουν απόρρητα αρχεία, αλλά ακόμη και οι οικογενεικές φωτο και βίντεο, και διάφορα έγγραφα, όπως αποδείξεις, πληρωμές, λογαριασμοί κλπ,
παρότι είναι άχρηστα σε άλλους δε θα ήθελα να πέσουν σε ξένα χέρια,
ούτε θα ήθελα το nas ή το pc ή το router μου να γίνουν κόμβος botnet, ούτε το backup να πέσει θύμα ransomware κλπ κλπ


το nas που έχω τώρα είναι το synology 116,

οι επιλογές για πρόσβαση από έξω είναι οι εξής:


1) QuickConnect, η εφαρμογή της synology, ο καλύτερος τρόπος για αρχάριους, καθώς το ίδιο το nas ξεκινά την σύνδεση, και δεν χρειάζεται άνοιγμα πορτών στο ρούτερ, ούτε άλλες ρυθμίσεις, απλώς εγγραφή στην εφαρμογή της εταιρείας. Δεν ξέρω αν υπάρχουν άλλα θέματα ασφαλείας, κάτι κάπου διάβασα για remote proxy, αλλά δεν ξέρω

2) άνοιγμα και προώθηση πορτών στο ρούτερ, προς το nas, είτε χειροκίνητα είτε με τον wizard της synology. Η χειρότερη ίσως λύση από άποψη ασφάλειας και μάλλον δεν συνιστάται

3) η χρήση ενός vpn server για να συνδεόμαστε από έξω στο τοπικό δίκτυο, που είναι μάλλον σχεδόν 100% ασφαλές αν γίνει σωστά
 

kiriak

Supreme Member
27 November 2006
3,949
Θέλουμε λοιπόν έναν VPN server που θα φτιάχνει την κρυπτογραφημένη σύνδεση, διαμέσου της οποίας θα συνδεόμαστε από έξω στο τοπικό δίκτυό μας

οι επιλογές μας είναι για να τρέχει ο vpn server είναι:

1. στο ίδιο το NAS
2. σε ξεχωριστή συσκευή (πχ raspberry pi, άλλο pc, home server κλπ)
3. στο ρούτερ

η 3η επιλογή (αφού την υποστηρίζει το ρούτερ μου), ήταν η καλύτερη για μένα, γιατί

1. δεν χρειάζομαι επιπλέον συσκευή
2. δεν χρειάζεται να ανοίξω πόρτες για να προωθούν τη vpn κίνηση προς το vpn server
3. το ρούτερ είναι on 24/7
4. το στήσιμο είναι πανεύκολο
5. δεν αισθανόμουν άνετα να τρέχει στο nas, γιατί αν από λάθος μου ή από bug, υπήρχε κενό στο vpn, θα ήταν μάλον ταυτόχρονα εκτεθιμένο το nas


σαν ρούτερ, έχω στήσει ένα sophos XG firewall. Αυτό είναι ένα enterprise firewall που προορίζεται για εταιρείες και οι συσκευές και οι άδειες χρήσης του κοστίζουν αρκετά λεφτά, αλλά υπάρχει δωρεάν home έκδοση σχεδόν πλήρης δυνατοτήτων, αλλά με τον περιορισμό ότι θα χρησιμοποιεί μέχρι 4 cores CPU και 6 GB ram, αν στη συσκευή που τρέχει υπάρχουν περισσότερα

το στήσιμο του vpn server στο ρούτερ αυτό ήταν παιχνιδάκι, ακολουθώντας τον παρακάτω οδηγό
https://community.sophos.com/kb/en-us/122769
που στην ουσία, αυτο που έκανα ήταν απλώς μέσα από μενού, να ορίσω χρήστες, κωδικούς, IPs και κανόνα στο firewall που να επιτρέπει την κίνηση vpn προς το lan

ήμουνα σε 20 λεπτά έτοιμος, αν και αρχάριος από VPN


στη συνέχεια κατέβασα στο κινητό την εφαρμογή OpenVPN και από το portal του router το configuration αρχείο που έστειλα στο κινητό,
και δεν χρειάστηκε ούτε καν ρυθμίσεις να κάνω στο κινητό

έτσι συνδέθηκα με επιτυχία στο nas από έξω (παρόλο που το nas ήταν δίπλα μου ακριβώς )


ότι ερωτήσεις ή διευκρινίσεις θέλετε,
ευχαρίστως να βοηθήσω αν μπορώ,
απλά όλα τα παραπάνω και τα επόμενα, τα διαβάζετε με δική σας ευθύνη :smash:
καθώς είμαι απλά ένας αρχάριος άσχετος που του αρέσει να παίζει με αυτά


πιστεύω ότι η σύνδεση αυτή είναι ιδιαίτερα ασφαλής, ειδικά για home setup,
αλλά επειδή είμαι και λίγο παρανοϊκός,
θα γράψω σε επόμενο ποστ, κάποιες ιδέες για να την κάνω ακόμη πιο safe
 

k.m.

Supreme Member
20 November 2007
3,316
Νέο Ηράκλειο
Μπράβο και καλυτερα στο router παρά πολλά διαφορετικά πράγματα/εφαρμογές που κάτι μπορεί να μην ειναι τόσο ασφαλές.

Εννοώ αντί για vpn, να έχεις εφαρμογή για το nas, για τις κάμερες, τις λάμπες, ...

Μπαίνεις με vpn και όλα ειναι εκεί.

Στο 918+ το έβαλα και WOL, επομένως στα ταξίδια: μπαίνω, το ξυπνάω, backup photos και shutdown.

> αλλά επειδή είμαι και λίγο παρανοϊκός,

Ανάβεις και κανα 2ωρο μια λάμπα το βράδυ για τους περίεργους περαστικούς.
 

kiriak

Supreme Member
27 November 2006
3,949
καλή ιδέα το WOL,
δεν ξέρω μόνο αν το υποστηρίζει το sophos ή αν μπλοκάρει αντίστοιχα πακέτα,
στην προκειμένη περίπτωση στο εξωτερικό θα πάω μόνο εγώ, οπότε θα αφήσω το power on schedule
ή τους παίρνω τηλ και πατάνε το on , αυτό είναι πραγματικό redundancy :flipout:
και θα είναι ΟΚ
 

kiriak

Supreme Member
27 November 2006
3,949
σήμερα έκανα και δύο διορθώσεις

1.
όρισα στο sophos VPN να είναι default gateway, έτσι αν θέλω μπορώ να χρησιμοποιήσω το κινητό για σύνδεση στο ίντερνετ, μέσω του vpn, εκτός της πρόσβασης στο τοπικό δίκτυο,
ήθελε επίσης να προσθέσω και έναν ακόμη κανόνα στο firewall που να επιτρέπει την πρόσβαση από vpn στο wan

να πω ότι όλα τα παραπάνω σώζονται σε profiles, μπορείς να έχεις όσα θέλεις, έτσι να έχεις χρήστες με διαφορετικά profiles VPN και δυνατότητες για τον καθένα, χωρίς να χρειάζονται νέοι κανόνες στο firewall


2.
επειδή η δημόσια ip μου δεν είναι στατική, έστησα και το ddns,
δε χρειάστηκε να γραφτώ σε κάποια υπηρεσία τύπου DynDNS καθώς το υποστηρίζει εγγενώς το ρούτερ μέσω της sophos

και είναι νομίζω πλέον έτοιμο στημένο
 

kapetanios89

New member
2 May 2019
69
Παντως για μια πιο οικονομικη λυση προσωπικα προτεινω Rasberry pi με duckdns dynamic dns και piVPN

http://www.pivpn.io/

Universal λυση που παιζει σε ολα τα δικτυα και με κοστος κατω απο 50 ευρω. Αλλιως εαν εχετε docker (πχ σε unraid server), βαζετε το OpenVPN container και ξεμπερδευετε εντελως δωρεαν. Οι λυσεις απο router συνηθως ειναι πιο περιπλοκες, καθε μαρκα ειναι εντελως διαφορετικη και περιοριζεσαι σε bandwidth απο το hardware του router. Αλλα αμα δουλευει, τοτε μια χαρα!
 

kiriak

Supreme Member
27 November 2006
3,949
το raspberry είναι επίσης πολύ καλή λύση,
και μπορεί κάποιος αν ξέρει, με παραπάνω προσπάθεια βέβαια,
να στήσει μια πιο γενική διανομή που να τρέχει και άλλα πράματα που ενδεχομένως χρειάζεται πχ unifi controller

αν υπάρχει docker, επίσης είναι αρκετά εύκολο

ωστόσο αν έχει κάποιος ρούτερ που σηκώνει vpn server ,έχει ορισμένα πλεονεκτήματα,
πχ στην περίπτωσή μου

- η πιο εύκολη λύση καθώς
----- δεν χρειάστηκε να κάνω καθόλου port forwarding
----- δεν χρειάστηκε να εγκαταστήσω ή να τρέξω τίποτα (στην πλευρά του vpn server), απλά να ορίσω χρήστες και κανόνες στο firewall
----- μου δίνει έτοιμα πακέτα configuration που απλά πέρασα στους clients
- η πιο οικονομική, καθώς το ρούτερ υπήρχε ήδη και επίσης το έχω ανοιχτό 24/7, ενώ το NAS ανοίγει για λίγες ώρες τη μέρα