Dubbel VPN op tuigen voor meer veiligheid in huis. Hoe?

Op die Pi installeer je een VPN server (OpenVPN en/of L2TP/IPSec) waarmee je telefoons verbinden.

Kan je op die Fritzbox niet alle verkeer door Cryptostorm gooien?
Anders wil je op die Pi ook een VPN client die een deel van het verkeer naar Cryptostorm doorsluist, dit is wat lastiger omdat je dan namelijk alle thuisapparaten moet vertellen dat het via de Pi moet, dit kan bijvoorbeeld met de VPN server die je toch al hebt draaien.

Weet je zeker dat die Pi alle verkeer (snel genoeg) via die VPNs kan doen?

De Fritzbox ondersteund alleen IPSec based VPN's dus er is geen mogelijkheid om verbinding te maken met Cryptostorm (aangezien ze OpenVPN based zijn.)

Verder moet je je realizeren dat een Raspberry PI niet veel verder komt dan 12 Mb/s voor 1 OpenVPN connectie. Als je vervolgens meerdere connecties op gaat zetten, zal de snelheid per verbinding aanzienlijk inzakken.

Daarnaast zul je je ook moeten verdiepen in Linux firewall configuratie omdat je de FritzBox firewall volledig buiten spel zet door al je verkeer via OpenVPN het internet op te sturen.

Het is gelukkig niet zo heel erg moeilijk om al je apparaten uit te leggen dat de PI de router is. Hiervoor dien je in de fritzbox de DHCP server uit te zetten, de PI als DHCP server in te richten en het statische IP van de Raspberry PI up te geven als default gateway. Verder dien je aan de PI uit te leggen dat je FritzBox de default gateway is.

Voor de lol, meet eens de performance over je rpi met openvpn, single tcp connectie bv. (speedtest gebruikt er vier http's). Als je je physical security niet onder controle krijgt zit je inderdaad in een benarde situatie.

Dat zal nog moeilijk zijn, om PayPal, FB, bank etc.... buiten de VPN laten. Dit omdat veel grote sites, verschillende IP adressen (en namen) hebben om load balancing te doen. Met de bank zal het misschien wel gaan, maar ook dat is geen garantie.

luxan schreef op donderdag 2 maart 2017 @ 19:15:
Verder moet je je realizeren dat een Raspberry PI niet veel verder komt dan 12 Mb/s voor 1 OpenVPN connectie. Als je vervolgens meerdere connecties op gaat zetten, zal de snelheid per verbinding aanzienlijk inzakken.

Ik kom zo rond de 18-20 Mbps (RPI2). Inderdaad niet veel, maar als dat de prijs is voor 2048 bits encryptie, so be it

Verwijderd schreef op donderdag 2 maart 2017 @ 17:14:
Daarnaast wil ik alle telefoons van de gezinsleden via een tweede VPN verbinding via het huisnetwerk laten lopen, inclusief Paypal, Bank via het locale nummer zodat ook dat on-the-road bruikbaar is.
[...]
Windows 8.1 mobile

Native kent wp8.1/wm10 alleen ipsec/IKEv2. SSLvpn gaat alleen via een extra app van een leverancier van zo'n oplossing, bijvoorbeeld Citrix. Er is geen OpenVPN-app voor wp8.x/wm10.

Wil je al het dataverkeer van je wp8.1 via je thuis netwerk laten lopen, dan zul ipsec/ikev2 aan de praat moeten zien te krijgen. Wat een probleem kan gaan zijn is als je er een nat-router tussen hebt.

Als het niet via je eigen netwerk hoeft, dan kan je ook op zoek naar een aanbieder die een app voor wp8.1 heeft.

Ik zou beginnen in een virtuele omgeving te gaan onderzoeken of je met een firewall distro een roadwarrior setup aan de praat kan krijgen. Als het überhaupt werkt kan je altijd nog de nieuwe uitdaging aangaan om het op een pi aan de praat te krijgen. Wil je gaan experimenteren met een openvpn-roadwarrior setup voor laptop of ipad, dan kan ik je ClearOS aanraden. Voor ipsec/ikev2 zou ik kijken naar iets als pfsense, ipfire, shorewall, smallwall of zeroshell. Heb ik zelf geen ervaring mee. Dus hoor ik graag als het je gelukt is :-)

Overigens vraag ik me af welke extra veiligheid je denkt te krijgen door al je outbound verkeer via cryptostorm te laten lopen. Het roadwarrior gedeelte begrijp ik.