Dynamic DNS met VPN

Ronnie N schreef op zondag 28 augustus 2016 @ 21:37:
Hallo,

Niet wetende of ik mijn vraag op de goeie plek plaats, post ik hem toch maar.

Ik ben van plan om een VPN abonnement af te sluiten om de identiteit van mijn server te beschermen.

Nu wil ik van een afstand toch op de server kunnen inloggen en daarvoor heb ik bij een Dynamic DNS provider een eigen domein naam aangemaakt zodat ik kan zorgen dan het VPN IP van de server altijd daar naar verwijst.

Nu mijn punt: omdat ik dus bij een DDNS provider geregistreerd sta, valt dus aan de hand van die domein naam te achter halen voor wie de informatie is die naar het VPN IP adres gestuurd wordt. Heeft VPN dus wel nut voor mij?

Op verschillende andere fora zeggen mensen dat het geen probleem is omdat je IP adres nog steeds verborgen is, maar dan gaan ze voorbij aan het feit dat de domein naam en de host naam geregistreerd staat bij een DDNS provider.

Hopende dat jullie mij kunnen helpen,

Zelf zonder domein naam kunnen ze alles wat aan het internet open staat "fingerprinten". Ieder device, verbinding heeft bepaalde karakteristieken waardoor e.e.a. vanzelf herleidbaar is.

Bovendien, hoe wil je een VPN laten NAT-en? Want binnen de tunnel heb je een private IP wat genat moet worden.

[ Voor 4% gewijzigd door Wim-Bart op 28-08-2016 21:44 ]

-nvm-

[ Voor 98% gewijzigd door RobinF op 28-08-2016 21:44 . Reden: Snap de tekst niet goed ]

Waar staat de betreffende server? Bij jou thuis?
Dus jij wil van jouw server (of zelfs direct op je router) een VPN Client plaatsen.

VPN is een tunnel, die gaat van de betreffende PC (of router) naar een andere lokatie op internet. Het IP adres van de tunnel-uiteinde-server is het publiek zichtbare IP geworden en niet het IP van jouw eigen internet verbinding.

De Dynamic DNS dienst die je afneemt zal dus ook moeten wijzen naar het IP adres van het tunnel uiteinde, wil je dat het verkeer via die tunnel gaat en het IP adres, wat je van je provider krijgt, niet zichtbaar is

Het is opzich ook wel mogelijk om de DDNS naam te verwijzen naar de server aan het einde van de VPN tunnel. Mits je weet welk IP adres dat is. (sommige VPN diensten wisselen vrij vaak, dus dat is lastig)
Echter, die tunnel-uiteinde-server heb jij geen controle over. Jij kan daar dus niet instellen dat die server b.v. poort 80 moet forwarden via de tunnel naar jouw server toe.
Die mogelijkheid zal je ook nooit krijgen.

Die VPN dienst heeft voor jouw server dus totaal geen nut.

Wat je wél kan doen, is b.v. ergens een Virtual Private Server huren (kort: VPS).
Daar installeer je dan een VPN service op, zoals OpenVPN of SoftEther VPN.
Je verwijst een echt domein of een DDNS naam naar die server, en op die server stel je in dat alle inkomende traffic op b.v. poort 80 (als je een website runt) via de tunnel naar jouw server toe moet.
Dan is het dus wel onzichtbaar geworden.

Bijkomend voordeel is dat je dan ook kan inloggen op jouw server en de VPN dienst uit zetten zodra er b.v. een DDoS aanval wordt gedaan. Dan heb je daar thuis geen last van, maar slechts de hostingprovider die jouw VPS (waar je VPN server op geinstaleerd is) huisvest.

Wim-Bart schreef op zondag 28 augustus 2016 @ 21:42:
[...]


Zelf zonder domein naam kunnen ze alles wat aan het internet open staat "fingerprinten". Ieder device, verbinding heeft bepaalde karakteristieken waardoor e.e.a. vanzelf herleidbaar is.

Bovendien, hoe wil je een VPN laten NAT-en? Want binnen de tunnel heb je een private IP wat genat moet worden.

True, alles wat bereikbaar is kan in essentie ge-fingerprint worden. Zoveel mogelijk poorten dicht houden en zo min mogelijk informatie in responsheaders laten stoppen is het devies.
B.v. als je een website host op je thuis server. Je maakt dan bijvoorbeeld gebruik van Apache. Door de configuratie aan te passen kan je Apache vertellen dat hij niet teveel van zichzelf mag bloot geven in de HTTP headers die hij terugstuurt bij een aanvraag.

En ja, een commerciele VPN dienst kan je niet laten NATten. Dan zal je zelf een VPN Server moeten maken.
Die kan jij zelf besturen en dus ook laten NATten.
Maja, waarom zou je dan je website niet gewoon op een VPS plaatsen. Kost nog minder ook (iets met energieverbruik van je thuismachine)
Stel dat t b.v. gaat om een spelletje, sja, ok... dan is zoiets misschien nog een keer rendabel om te doen, want veel processingpower heb je niet nodig voor een VPN Server.

[ Voor 29% gewijzigd door McKaamos op 28-08-2016 21:51 ]

Ronnie N schreef op zondag 28 augustus 2016 @ 21:49:
Bedankt voor de reacties, ja die hostname kan je pas zien nadat je uit de tunnel bent, maar stel dat iemand ziet dat bepaald verkeer naar een IP adres in Noorwegen gaat, hij weet dat dit IP adres bij een VPN provider hoort. Vervolgens in in DNS op te vragen welke hostname bij he IP adres hoort en vervolgens van wie het domein en de hostname is waardoor ze alsnog je identiteit weten te achterhalen. Maar misschien mis ik een belangrijk iets.

Wat je omschrijft is ook het hele doel van VPN.
Een ander IP adres, bijvoorbeeld in noorwegen of de USA, laten lijken als de bron waar jouw dataverkeer vandaan komt.

Omdat je een commerciele dienst afneemt, zijn er honderden of duizenden anderen die ook gebruik maken van dezelfde VPN server.
Alle traffic komt daar vandaan, waardoor het moeilijker wordt om te profileren wie jij bent. Jouw data is gemengd met de data van duizenden anderen. Knappe jongen als iemand kan achterhalen dat jij de Tweakers frontpage opvraagt en dat het niet je buurman was of iemand aan het andere eind van de planeet.

Uiteraard werkt zoiets alleen maar als je surft zonder b.v. je google account of facebook account ingelogd te hebben staan. Als die aan staan, zijn er talloze websites die daar aan linken met de socialmedia spullen die op hun websites staan. (wel eens gemerkt dat sommige sites zo'n serie thumbnails van jouw contacten op de pagina hebben met de melding dat zij die website hebben geliked?)

Voor een server heeft zoiets weinig nut, afgezien van het kunnen dicht trappen van de verbinding. VPN tunnel dicht en een aanvaller komt niet meer bij jou thuis terecht, maar wordt tegen gehouden in (ik noem maar wat) Amsterdam waar jouw eigen VPN Server staat.

Edit: het gaat inderdaad op een web servertje, en ik weet dat mijn VPN provider tenminste poort 80 forward en je kunt een request doen voor nog een poort.

Maakt dit het verhaal heel anders? Nu kan ik gewoon een hostname laten toewijzen aan het IP adres aan het einde van de VPN tunnel toch?

Oh, een sneaky edit
Ik zie niet in waarom je dit zou doen. Je betaalt voor een VPN dienst. DIe kost vermoedelijk meer dan b.v. een eigen VPS bij een provider zoals OVH.
Je bent klaarblijkelijk prima in staat om zelf een webserver op te zetten. Dan kan je beter voor 2 a 3 euro per maand je website op een VPS neer zetten.
Hij wordt wel kaal opgeleverd, je krijgt nauwelijks support en je zal zelf je installatie moeten doen, maar dat kan je nu schijnbaar ook al.
Ik zou dat lekker doen als ik jou was.

Ging het om een game server waar je flink rekenkracht voor nodig hebt, sja, dan is een VPS al minder interessant. Voor die paar euro krijg je geen massa aan RAM of rekenkracht.
Dan snap ik nog dat je een dergelijke constructie zou willen maken (met een VPS waar je een VPN Server op installeert).
Maar voor iets relatief simpels als een website? gewoon de hele site op de VPS neergooien.

[ Voor 24% gewijzigd door McKaamos op 28-08-2016 22:01 ]

Ronnie N schreef op zondag 28 augustus 2016 @ 22:07:
...Maar mijn vraag is nog steeds niet echt beantwoord: zou aan de hand van een IP adres het de bijbehorende hostname opgevraagd kunnen worden en aan de hand daarvan weer de eigenaar van de host naam?

Ja, natuurlijk kan dat.
Je moet ook niet de vpn-tunnel in DDNS publiceren maar je moet je thuisadres in DDNS publiceren en die noem je dan 7B8575EF71EB4014864B0E85FD529B45.dyndns.org ofzo. portmapping op je router, klaar

Brahiewahiewa schreef op maandag 29 augustus 2016 @ 00:46:
[...]
Ja, natuurlijk kan dat.
Je moet ook niet de vpn-tunnel in DDNS publiceren maar je moet je thuisadres in DDNS publiceren en die noem je dan 7B8575EF71EB4014864B0E85FD529B45.dyndns.org ofzo. portmapping op je router, klaar

En dan doe je een reverse lookup en dan krijg je ziggodynamicABCDEF.ziggo.nl of zo iets

Wim-Bart schreef op maandag 29 augustus 2016 @ 00:50:
[...]


En dan doe je een reverse lookup en dan krijg je ziggodynamicABCDEF.ziggo.nl of zo iets

Ja, als je een reverse lookup doet van brahiewahiewa.dyndns.org doet krijg je ziggodynamicBDCEFA.ziggo.nl.
Ben ik nu de exploitant van TS' vpn?

Brahiewahiewa schreef op maandag 29 augustus 2016 @ 00:52:
[...]

Ja, als je een reverse lookup doet van brahiewahiewa,dyndns.org doet krijg je ziggodynamicBDCEFA.ziggo.nl.
Ben ik nu de exploitant van TS' vpn?

Nee, maar als hij zijn IP nummer bind aan een dyndns host dan maakt het allemaal niks uit. Revers is altijd de provider waar de aansluiting zit. Hij kan geen dyndns doen naar zijn VPN exit-punt want daar zitten 1000-den op en kan je geen reverse NAT doen. Dus hoe je het ook aanpakt, een server kan je niet anoniem draaien, mits.... je een Tor server gaat bouwen.

Ja, maar dat is volstrekt irrelevant.

De vraagstelling van de TS is: als ik t.b.v. management m'n server thuis wil benaderen, kunnen ze dan m'n IP-adres achterhalen aan de hand van de DDNS registratie. En het antwoord daarop is: nee.

De vpn-server zelf kan inderdaad gecompromitteerd worden, maar dat is niet afhankelijk van die DDNS registratie