Ahojte mám par otázok
na domácom serveri s internetom od telekomu mám nahodené OpenVPN na porte 9999
1. všetko funguje OK (na vpn sa pripojim) až na to ked si napr cez https://portchecker.co/ poziem ten port tak píše že je zatvorený
ostatné otvorené porty (napr. pre kamery, ssh, atď.) ukazuje otvorené tak ako majú byť
čím to môže byť spôsobené ?? port forwarding nastavujem na routri od telekomu vždy rovnako a v sieti nemám žiadne iné zariadenie (len ten server, notebook a mobily)
2. máte niekto skúsenosť s orange optikou ? dávajú verejné IP ? dávajú IPv4 alebo IPv6 ? lebo mám možnosť prejsť na optiku od orangeu a z ich podpory som zatiaľ nedostal odpoveď (VPN bez verejnej adresy asi nerozchodím, či ?)
3. máte niekto skúsenosti s routrami na ktorých by priamo bežal VPN server ?? je to funkčné stabilné riešenie ? (riešim to preto že potom by som cez wake on lan mohol spúšťať server len keď ho potrebujem a nemusel by bežať nonstop - kvôli VPN) - tu som uvažoval aj dať VPN na RaspberryPi (ale tam je to so stabilitou minimálne otázne)
ak máte nejaké konkrétne dobré skúsenosti s nejakým whodným HW (router na ktorom spustím VPN server) dajte pls vedieť
ďakujem
VPN sa da spravit aj na MikroTiku pomerne jednoducho.
Teraz mas DSL a DynDNS k tomu?
Lebo ak prejdes na Orange optiku tak DynDNS ti nepojde lebo budes zanatovany hodne. Jedine verejnu.
takže orange dáva neverejné adresy ?? škoda
áno presne tak mám DSL a dynamickú DNS (ale cez no-ip), ked nikde v cenníku som nenašiel cenu za verejnú IP iba za pevnú IPv4 (to ma až tak netrápi keďže tak či tak budem používať no-ip aby som mal ľudský názov a nie 12 čísiel), možno lne zle pozerám
mikrotik router som mal raz a mal som pocit že potrebujem štátnicu aj na zmenu mena wifi ;-) ale je to stabilné riešenie ? môžem sa spoľahnúť že to bude dostupné keď budem potrebovať ? moje riešenie ma sklamalo iba raz (to nebol prúd viac ako celý deň a ani záložný zdroj to nedal)
Mikrotik je stabilny. Ano musis ho vediet spravovat. Ale ked ho raz nastavis tak pre tvoje ucely postacujuci a nemusis sa dalej vzdelavat.
Prosim ta, ako to myslis ze verejnu IP a pevnu ipv4? Nieje to nahodou to iste?
az na to, ze mkt ma minimalnu podporu openvpn (len tcp, nepodporuje push, minimalne moznosti nastavenia...).
odporucam ipsec (road warrior klienti), aj ked pri lacnych modeloch vykon nic moc (ale to ani pri openvpn)...
no ale myslim, ze jednoznacny kandidat je RBD52G-5HacD2HnD - https://mikrotik.com/product/hap_ac2 - 4core, hw podpora sifrovania
s AES-128-CBC + SHA1 to podla testov da 240Mb/s (512b packet), co je uplne spoko. openvpn sa nechyta, lebo tusim nepodporuje hw sifrovanie (aj ked mozno to cpu by to dalo)...
Dobre ze vravis, ja som ani openvpn nechcel spomenut.
dik za radu
mne je jedno ci je to openvpn, ipsec alebo aj pptp
openvpn pouzivam len preto ze ju viem lahko nastavit (maju na to samoinstalacny skript)
ak by sa to dalo naklikat v routri o to by som bol radsej
Zavesiť uzavretú šmejďárnu na net je istá smrť. Skôr by som hľadal niečo s OpenWRT, dá sa kúpiť aj lacný naflashovaný router.
Verejná nie je za NATom a pevná je stale rovnaká, čo neznamená, že nemôže byť moja adresa za NATom.
To čo si písal vyššie sa mi nechce veriť, že by Orange schovával klientov za NAT, toto veľký poskytovatelia nerobia, to skôr tí dedinský. Netvrdím, že mám pravdu, ale načo by si komplikovali život.
Zavesiť uzavretú šmejďárnu na net je istá smrť.
este stale si si nevybral toho tucniaka z riti?
Verejná nie je za NATom
na vpn-ku staci aj verejna nat-ovana ip...
Rozbehni sa hlavou proti stene, možno sa ti po niekoľkých ranách rozsvieti a pochopíš o čom sa tu bavíme.
Mikrotik je sice uzavrety ale co mi pomoze openwrt? budem ho mat na tplinku nejakom?
Zasa aby aj ten HW bol dobry.
Ono ten svet IT je ako cibuľa, takže sú tam vrstvy. Mno keď môžem ovplyvniť aspoň tú softvérovú, tak to spravím, nenechám tam zhnitú.
no pre mna je mikrotik rovnako uzatvoreny ako openwrt - tak či tak viac ako klikať v tom asi nebudem
a myslím že OS/firmware priamo od vyrobcu asi uprednostnim pred flashovanim routrov ktore na to neboli od vyroby optimalizovane (môj osobný názor)
ja sa s technikou nepotrebujem hrat ja potrebujem aby fungovala co najviac out of box
dik za rady, tie mikrotiky pozriem
no pevna IP je skoro vzdy za poplatok, znamena ze vzdy ked sa moj modem/router pripoji k sieti dostane tu istu IP (to nepotrebujem)
verejná je zväčša dynamická a mení sa raz za čas v podstate pri každom reštarte routra ale ked ju zadam kdekolvek vo vsete tak sa pripojim k mojmu routru (to chcem)
este moze byt neverejná (v podstate ako keby lokalna IP adresa vo vnutornej sieti) - ako sa pisalo vela malých poskytovatelov to dáva lebo ma len málo verejných IP dostupných
forpsi ma vps za 3,35e/mesiac. pred rokom to bolo len 1.2e...
ak to bude jedine riesenie tak tie 3€ su nic
ale na moje ucely asi zbytocne (ak vybavim verejnú IP)
Osobne si platím VPS za 1€ mesačne, tam mám OpenVPN server.
Ja viem je to mimo domu, takže zas by sa na mňa niekto mohol zavesiť.
PS: Inak prečo si sťažuješ, keď ti to funguje? To že nejaká služba neukazuje správne výsledky, pretože provider fixluje odpovede, asi vie prečo to robí.
ja sa nestazujem len ma to prekvapilo
totizto vpn som nastavoval na novy pc ale nevedel spustit a hladal som preco
podla testu som mal za to ze to je zatvoreným portom (bolo to preklepom v konfiguraku)
a ako mi pomoze VPS aby som sa dostal k mojim datam co mam doma - ci akoze nastavenim VPN medzi mojim pc a tym VPS a potom pripajanim sa k VPS budem mat pristup aj domoc- to by mohlo vyriesit tu neverejnú IP (ale neviem ci toto zvladnem nastavit) ale inak je mi to nanic
Máš proste vonku VPN server a k nemu klienta napr. na domácom servery. Mno a druhého klienta v hocičom inom aj telefóne. VPN vytvorí virtuálnu sieť medzi tvojim telefónom a serverom. Správa sa to rovnako ako LAN sieť. Samozrejme to chce Let's Encrypt, alebo iný certifikát na šifrovanie.
Samozrejme to chce Let's Encrypt...
vyyyyborny napad. takze mi staci si tiez vygenerovat LE certifikat a mozem mu luskat hesla... :D :D :D
Čo má jeho certifikát s tvojim? Chápeš vôbec o čom je tu reč?
viem, ale skus nam to ty vysvetlit...
Aby ta komunikácia prebiehala šifrovane overaná autoritou, napríklad keď napíšem do FireFoxu moj_tajny_server.sk alebo ssh ...
???
pisal si o vpn a ze ma pouzit LE certifikaty. teraz tu spominas ff a ssh. no ale je piatok, takze si uz zrejme naliaty...
Ano beriem to automaticky so svojeho hladiska, keď sieť, tak tam nejaké služby bežia, tak prepáč.
1. pretoze udp...?
orange podpora odpovedala:
Dovolujeme si Vas informovat, ze pri zriadeni optickeho internetu su prednastavene IPV6 a nase adresy su verejne. V pripade, ze mate zaujem o IPV4 uctuje sa jednorazovy poplatok vo vyske 99 EUR s DPH
To je podozrivo lacné. Keby si zobral najlacnejšiu virtuálku za jedno euro, tak by sa tá verejná IPv4 adresa splatila za vyše osem rokov, bez plánovania inflácie. Zobral si to?
zatial som nemenil, ale pevnu IPV4 urcite neplanujem, naco, za 100e si radsej kupim novu prenosku
no-ip a ine dyndns by nemali mat problem s ipv6 a ani openvpn, takze zakladny balik mi bude stacit
a dozvedel som sa ze aj telekom ma zaviest k nam optiku tak aj to este ceknem
Ak máš IPv6 prístupné odvšadiaľ kde potrebuješ, tak máš vyhrané s verejnou IPv6 adresou na domácom serveri. Ale IPv6 nie je dostupné všade. Občas to u zamestnávateľov stále blokujú, kvôli nanúteniu proxy alebo iných akože bezpečnostných riešení.
PS: Verejné IPv4 adresy sa už zdarma nezvyknú rozdávať na domáce pripojenie. A to ani keď ich majú poskytovatelia naškrečkovaných viac ako potrebujú.
moji klienti nemaju nastavene ziadne blokovania ani kancelária kde sedim
ale na blokovanie IPv6 mi nepomoze ani dynamické dns ani iné jednoduché riešenie, jedine VPN tunel cez nejaký VPS (ale to ma naštastie netrapi)
Napríklad mi v práci nemáme IPv6 na desktopoch. Nikto to IPv6 nepovolil, takže nemajú čo zakázať.
IPv6 nie je mantra ktorá sprístupní všetko odvšadiaľ. Veď to by potom nemala implementované napr. IPv6 Privacy Extension alebo IPv6 NAT.