VPN of portforwarding en beveiliging

[the matrix]

Je maakt een denkfout, als je een VPN verbinding naar huis hebt, heb je die externe toegang niet meer nodig maar verbind je gewoon alsof je thuis in je netwerk zit.

Pfff wat een gezeik met VPN

VPN zorgt dat mijn systeem lokaal beveiligd is en niet lokaliseerbaar is.
Waar of niet waar?

, maar ik MOET een externe toegang hebben , mijn zoon heeft niet zulke lange armen en onderhoudt vooral bij problemen met HA mijn systeem.

En dan is het wel fijn om vanuit Lelystad , mijn systeem in Almelo te kunnen bewerken.


Vandaar die duckdns

 

[Dr.Z]

Virtueel Private Netwerk. Via een VPN inloggen maakt als het ware een "tunnel" dwars door het grote boze internet.
Mits goed versleuteld komt daar niets en niemand tussen.
Jouw zoon moet dus ook via diezelfde VPN inloggen, dus maak minimaal twee gebruikers aan.

Wil je het echt goed beveiligen, dan zorg je er voor dat jouw zoon alleen via 1 IP adres kan inloggen.
...en goed beveiligen met SHA512 en AES-256-cbc...of iets in die geest, wat geld voor OpenVpn
Het protocol is in de regel UDP.

 

[Tech]

Ik heb mijn VPN in mijn router ingesteld, daar heb ik ook bepaald dat een externe verbinding na één foute inlog poging een kwartier geen enkele binnenkomede VPN verbinding meer toestaat.
Inderdaad een leuke pre-shared key aanmaken (ik gebruik 64 karakters) welke, los van een gebruiker/wachtwoord (ik gebruik 32 karakters) vereist is.

 

[Black Tiger]

Oh, dat kan dus tegenwoordig weer.

Weet ik niet 100% zeker of dat altijd is of dat het aan bepaalde omstandigheden lag.

V.w.b. laptop heb je gelijk, dat kan een dingetje zijn. Beste lijkt me dan om gewoon de wifi uit te schakelen.
Er schijnt ook een truukje te zijn bijv. fake account invoeren als no@thankyou.com of anders shift-F10 indrukken en dan in de command prompt het volgende invullen:
oobe\bypassnro.cmd
dan gaat de boel nieuw opstarten en moet je kiezen dat je geen internet verbinding hebt. Deze truuk heb ik trouwens niet getest.
Er was nog iets eenvoudigers dacht ik maar kan het niet meer terug vinden.

Tussen haakjes, met moderne moederborden is het lastig om windows 10 te installeren. De bios eist windows 11..

Dat is nieuw voor mij dat een bios dingen gaat eisen. Ik weet wel nog dat er jaren geleden bij sommige biossen een switch optie was voor t/m W7 en voor 8/10 als ik me niet vergis.

@Tech Als ik het goed heb kun je ook combineren of niet? Zowel VPN alsook poort forwards, toch?
Staat er ergens een goede handleiding om zo'n VPN te maken?

 

[Dr.Z]

Goede tip BT!!! de oobe\bypassnro.cmd truc ga ik zeker proberen!!

 

[Tech]

@Tech Als ik het goed heb kun je ook combineren of niet? Zowel VPN alsook poort forwards, toch?
Staat er ergens een goede handleiding om zo'n VPN te maken?

Ik heb destijds mijn instructies bij Draytek van de site getrokken, ik gebruik namelijk zelf een Draytek router.

 

[Tech]

Dat is nieuw voor mij dat een bios dingen gaat eisen. Ik weet wel nog dat er jaren geleden bij sommige biossen een switch optie was voor t/m W7 en voor 8/10 als ik me niet vergis.

Van wat ik destijds heb gelezen en onthouden is dat er, los van het feit dat het hardwarematig gewoonweg allemaal best wel kan, er gekeken wordt naar de chipsets en processoren.
Typische mannier om de verkoop van hardware weer een boost te geven.

 

[Dr.Z]

Als ik het goed heb kun je ook combineren of niet? Zowel VPN alsook poort forwards, toch?
Staat er ergens een goede handleiding om zo'n VPN te maken?

Wat wil je precies weten?

Wanneer je OpenVpn gebruiken, dan draait deze standaard op poort 1194. Deze kun je het beste "verstoppen achter een andere poort zodat het zoeken wat lastiger gaat worden voor eventuele ongenodigde belangstellenden.
Laten wij als voorbeeld poort 12345 nemen, of iets in het midden omdat poortscanners meestal bovenaan beginnen, poort 655xx of helemaal onderaan.

Poort 12345 word dus in de router omgezet naar poort 1194. Eventueel kun je de standaard poort van OpenVpn ook wijzigen om het verhaal helemaal leuk te maken, maar veel gaat het niet uitmaken. de gevonden poort wijst evengoed naar de OpenVpn poort, maar dat kan handig zijn wanneer een hacker via een andere weg toch op jouw netwerk komt en van binnenuit poorten wil openen, of de OpenVpn beveiliging wil achterhalen.

Maar allereerst heb je een VPN-server nodig die met een raspberry-pi of een ander systeem als een synology-nas eenvoudig kunt opzetten.
Daarin kun je gebruikers aanmaken/toewijzen met alle rechten van dien en kun je ook aangeven dat de route voor onbevoegden stopt, of naar een "honeypot" wijst.
Een truc die ik in het verleden heb toegepast om hackers om de tuin te leiden en naar een geinfecteerde pc heb laten wijzen.

Vervolgens heb je een OpenVpn client nodig die wordt geinstalleerd op een remote apparaat en de vpn-verbinding tot stand brengt.
Wanneer je dit met de juiste goede beveiliging en encryptie instelt, dan wordt het hacken of een poging tot "the man in the middle" bijzonder lastig gemaakt. Tot nu toe zijn er geen meldingen van gehackte OpenVpn verbindingen die goed zijn beveiligt met de juiste encryptie. (let op de updates)

Al met al maakt de client verbinding met jouw vpn server, waarna je de rechten op jouw interne netwerk gaat krijgen die jij zelf hebt ingesteld.
De firewall, in het geval van een NAS, stel je in dat je alleen verbindingen uit landen toelaat die voor jou belangrijk zijn, of nog beter, de ip-adressen waar je op de remotecomputer gebruik van maakt. Met een dynamisch ip-adres is dat lastiger, maar je kunt ook jouw eigen domeinnamen gebruiken als enige geaccepteerde verbinding.

Ben ik nog iets vergeten in dit verhaal?

 

[the matrix]

Wat een ellende,

Ik heb een nieuwe ovpn bestand gedownload bij infinityvpn (was ff zoeken ).
Dit bestand heb ik in mijn asus88 onder VPN CLIENT geupload. En warempel het werkt.

Alleen het werkt te goed, alles wat aan de router hangt wordt nu via VPN verbonden.

En dat is niet de bedoeling ik wil enkele devices achter vpn zetten , maar weet verder niet hoe.

 

[Tech]

Als je een VPN via de router naar huis opzet, geldt dat voor ALLE devices in jouw netwerk, die zijn dan gewoon via het interne adres te benaderen, net alsof je gewoon thuis zit.

 

[Black Tiger]

@Dr.Z Bedankt voor de uitgebreide uitleg en @Tech voor de kortere. Maar als ik het goed begrijp moet het dus door de router heen kunnen.
Een openVPN server heb ik niet dus neem ik aan dat ik router als vpn server moet fungeren?
Ik ben eens gaan kijken voor mijn Fritzbox maar ik zie daar in de gauwigheid alleen ipsec handleiding en dat gaat dan via Fritz!VPN en myfritz.

IPSec-VPN met de FRITZ!Box in Windows configureren | FRITZ!Box 7490

Met IPSec en het programma FRITZ!VPN kun je op je Windows-computer VPN-verbindingen met de FRITZ!Box tot stand brengen. Zo heb je met je computer ook onderweg via een veilig versleutelde verbinding toegang tot je FRITZ!Box en alle apparaten in je thuisnetwerk. Een overzicht van alle andere...

nl.avm.de

Maar ik wil liever iets waar niemand met zijn neus tussen zit, zoals jullie dat hebben, dus gewoon met mijn eigen no-ip.org naam bijvoorbeeld. Niet via een mijnfritz account.

 

[the matrix]

Opgelost , ik moest bij redirect internet traffic through tunnel --> VPN Director -(policy rules) kiezen.
Nh kan ik in Tab VPN Director een enkel device via VPN laten lopen en de rest blijft gewoon.