Pomoc Szyfrowane połączenie z qvpn

guffi

ZFS Master on QTS!
Q's Expert
13 Marzec 2020
342
3
17
28
QNAP
TS-x51
Ethernet
1 GbE
Witam
Czy może ktoś mi powiedzieć jakie najlepsze jest szyfrowane połączenie np. qbelt, openvpn i itp. Żeby nie zaszyfrowało połączenia rtorrent i jak to skonfigurować?
Wersja oprogramowania 4.5.3.1670 Build 20210515
Model serwera: QNAP TS-251D
 
VPN (wirtualna sieć prywatna) to bezpieczne, szyfrowane połączenie między dwiema sieciami lub między użytkownikiem i siecią. Więc jak nie chcesz mieć szyfrowanego VPN to po prostu łączysz się tak jak zwykle i masz połączenie między rtorrentem a ziomkami. Basta
@guffi , ogarnąłeś temat?
 
Więc tak - VPN ma Cię zabezpieczyć, że jak coś będziesz ściągał rtorrentem, to nie będzie widoczne Twoje IP tylko VPN providera. Dlatego korzystając z QVPN łączysz się z jakimś nordem (lub cokolwiek) w rtorrencie w ustawieniach wybierasz inny interfejs - VPNowski i jesteś kryty. Robiąc to w ten sposób, korzystasz z VPNa tylko do torrentów. I tak, tunel VPN jest szyfrowany, taka jest jego idea.
 
Są dwie kwestie zeby zrozumiec VPN.
1) Aby zabezpieczyć np. połączenie rtorrent -> świat
2) Zestawić tobie w łatwy sposób połączenie ze swoim serwerem, w którym masz dostęp do swoich zasobów.
Z obydwu można korzystać jednocześnie.

W pierwszym przypadku, możesz kupić sobie providera VPN, który cały Twój serwer, albo np. tylko rtorrenta bedzie pchał na świat - moim zdaniem dobrze, jeżeli używasz publicznych trackerów. Przy prywatnych to już średnio się to sprawdza jeżeli chodzi o transfery.

W drugim... Twój QNAP jest VPN'em, Ty się do niego łączysz np. z laptopa, i masz dostęp do zasobów swojej sieci i nie musisz robić przekierowań portów na dodatkowe usługi, które działają w Twojej sieci, bo masz dostęp po VPN. Idealnie sprawdza sie dla użytkowników domowych, firm czy firm outsourcingowych wspierających zarządzenie IT.
 
  • Lubię to
Reakcje: 1 osoba
To pojęcie względne. Jak masz porządny router, ustawiasz sobie turbo reguły na firewallu i nie ma problemu. Jak nie masz, to lepiej po VPN.
 
  • Lubię to
Reakcje: 1 osoba
Ideałem byłaby sytuacja, że znamy IP z których się łączymy, dajemy je na allow, dajemy uber bana na wszystkie inne i dzięki - bezpieczny w 100%. Ale nie żyjemy w Utopii więc trzeba sobie radzić;p
 
A np. jak chcę połączyć z nasem ze smartfona z internetem mobilnym to bezpieczne to jest bez vpn?
Jeżeli chcesz być bardziej bezpieczenym no to musisz się pogodzić, że łączenie się VPN'em daje Ci jednocześnie duży dostęp przy tylko jednym przekierowaniu portów. A więc jakiekolwiek używanie smartphona po vpn to będzie mało komfortowa sprawa aby dostać sie do serwera. Więc zostaw sobie te przekierowania, które używasz po za usługami administracyjnymi.
 
To pojęcie względne. Jak masz porządny router, ustawiasz sobie turbo reguły na firewallu i nie ma problemu. Jak nie masz, to lepiej po VPN.

Taaaa turbo reguły i porządny router :D A póżniej post na forum, Qlocker v2.0 zaszyfrował mi pliki, jakim cudem skoro mam firewall ? Na firewallu mam tylko otwarte to, to i to.... a pozniej sie okazuje ze dziura akurat w tym co na świat było wystawione.

Firewall ma za zadanie w głównej mierze wpuścić ruch do usług, które mają mieć dostęp z Internetu a cały pozostały ruch, którego nie oczekujemy ma wyciąć. W żaden sposób nie będzie chronił usługi o ile to nie będzie jakiś IPS/IDS. Oczywiście możemy sobie ograniczać dostęp do usług tylko z konkretnych adresów IP czy klas adresowych ale to wymaga od nas prac nad regułkami firewalla, za kazdym razem jak cos chcemy w tym dostepie zmienic.

Co jednak zrobić - by mieć dostęp do naszych danych niezależnie czy jesteśmy w Timbuktu, czy w Warszawie czy Oszczywilku (tak, istnieje taka miejscowosc) a przy tym być bezpiecznym ? Właśnie to o czym pisał @Silas Mariusz w poście wyżej. Postawić VPN - tylko w moim odczuciu najbezpieczniej na brzegu sieci, tak aby nie miec publicznego IP na QNAPie. Ostatecznie mozna zrobic przekierowanie portow do uslugi vpn na QNAPie (chociaz ja czegos takiego nie praktykuje).

Ktoś tu pisał o utopii -- nie znam adresu z jakiego będę się łączył, moj NAS ma prywatny adres IP a ja dzięki VPN jestem w stanie wejsc do sieci lokalnej i dostac się zarówno do strumienia kamer, dostac sie do NASa, wrzucic zdjecia automatycznie do NextClouda z telefonu. VPN po certach i hasle. Jedyny otwarty port jaki mam to ten do VPNa :D I mogę być w środku amazonskiej dzungli i jesli tylko wódz plemienia udostępni mi swoje wifi :D to bez najmniejszego problemu bezpiecznie dostanę się do swoich danych. A dodatkowo firewall tnie ruch przychodzacy po VPN zezwalajac tylko na co, co powinno byc po tym VPN dostepne.

A jak ktos ma schize kompletną to wycina również port do VPNa, odpala port knocking, ustawia sobie regułę na firku stanowym, która dopisuje się po odpowiednim "zastukaniu" w porty i martwi sie jedynie o ataki z sieci lokalnej.
 
  • Lubię to
Reakcje: jerry1333
Firewall ma za zadanie w głównej mierze wpuścić ruch do usług, które mają mieć dostęp z Internetu a cały pozostały ruch, którego nie oczekujemy ma wyciąć. W żaden sposób nie będzie chronił usługi o ile to nie będzie jakiś IPS/IDS.
Dlatego napisałem - dobry router.

VPN po certach i hasle
Tylko certy musisz mieć pod ręką, a z tym w samym środku amazońskiej dżungli może być problem.

Możemy o tym pisać 3 dni co i jak, ale chodzi o to żeby zminimalizować ryzyko do 0. Finalnie wyjdzie na to, że lepiej mieć nasa w bunkrze pod domem, odpiętego od internetu i od prądu ;]

odpala port knocking

Cczy coś się zmieniło w materii knockd? Bo kiedyś było o tym, żemożna podsłuchać sekwencję portów.
 
Tylko certy musisz mieć pod ręką, a z tym w samym środku amazońskiej dżungli może być problem.
Pierwsza rzecz - to z zasady nie używam urządzeń osób trzecich do łączenia się do sieci domowej. VPN mam na telefonie, na laptopie, na wszystkich urzadzeniach, które dostep do tej sieci powinny miec. Ale ... gdyby zaszła jakaś mega ważna potrzeba by dostać się do sieci domowej z obcego urządzenia to również,
najmniejszego problemu nie ma. Jedyny problem jaki może być to .....brak Internetu :D Krótko mówiąc, wszędzie tam gdzie mam Internet, certy mam "pod ręką".


Cczy coś się zmieniło w materii knockd? Bo kiedyś było o tym, żemożna podsłuchać sekwencję portów.

Samo podsłuchanie niewiele daje - bo to tylko otworzy dostęp do portu :D Zakładając, że słucha tam np. openvpn - trzeba jeszcze włamać się na tego openvpn. Dopóki nie ma znanej podatności na openvpn problemu nie ma. Już nie mówiąc, że żeby podsłuchać to trzeba mieć możliwość śledzić pakiety jakie wychodzą z naszych urządzeń. Zapraszam do konkursu byś podał mi do końca miesiąca, sekwencje jakiej używam by chronić ssh (głównie po to by mi botnety nie "srały" próbami po logach ;P) :D :D

Ale jak ktoś ma taką schizę na punkcie security, że jeszcze będzie bał się ataku man in the middle i podsłuchania sekwencji to knockd daje możliwość wczytywania listy sekwencji na podstawie pliku i używania ich jako OTP ;) Raz użyta sekwencja jest bezużyteczna ;) Jak Ci nie pasuje lista bo musisz ja miec przy sobie - to zawsze możesz pójść dalej ze schizą i oskryptować tworzenie takiej listy. Algorytm tworzenia klucza możesz wymyśleć sam i zmieniać sekwencję chociażby co minutę :D, softwarowy token generujący "kod sekwencji" na podstawie algorytmu i np. czasu to bułka z masłem, a w dobie arduino - sprzętowy to też żaden wyczyn ;) Max 10 minut by zrobić coś takiego od strony softwarowej ;) I wtedy podsłuchiwanie sekwencji jest bezużyteczne ;)

imo - dla kolegi przerost formy nad treścią
Pisałem ogólnie dla tych co mają schizę poqlockerową :D
 

Użytkownicy znaleźli tą stronę używając tych słów:

  1. dostęp bez publicznego ip