Vraag

vrijdag 27 juli 2018 11:05

Acties:
  • 0 Henk 'm!
  • BroWnStaR
  • Registratie: September 2003
  • Laatst online: 05-09 17:30

BroWnStaR

Topicstarter
Ik probeer port forwarding werkend te krijgen op een Android telefoon die met USB Tethering 4G internet deelt met mijn router. Internet werkt zonder problemen op alle devices die verbonden zijn met mijn router, maar ik probeer nu te connecten van buitenaf via SSH naar een server in mijn netwerk maar dat lukt niet.

Hardware/software:
  • Telefoon: Samsung Galaxy S4 mini (non-root)
  • 4G abo: Lebara sim-only 4G onbeperkt data (KPN netwerk)
  • Router: TP-Link TL-WR1043ND met OpenWRT en kmod-usb-net
  • Server: Ubuntu 18.04 LTS
Ik heb het volgende geprobeerd:
  • IP van usb0 interface van telefoon is 192.168.42.129
  • IP van usb0 interface van router is 192.168.42.7
  • Vanaf de telefoon kan ik SSH-en naar de server via 192.168.42.7. Port forwarding (22 --> 22) op de router lijkt dus goed te gaan.
  • APN van telefoon gewijzigd van 'portalmmm.nl' naar 'advancedinternet'. Ik las dat 'portalmmm.nl' gebruik maakt van NAT en dit sowieso niet ging werken.
  • Telefoon herstart en publieke IP telefoon verkregen via myip.nl: 89:200:xx:xxx
  • Port forwarding app FWD geïnstalleerd (https://github.com/elixsr/FwdPortForwardingApp)
  • FWD rule aangemaakt voor SSH: Protocol: TCP; From: rmnet1:1222; Target: 192.168.42.7:22 (inkomend kan alleen vanaf port 1024)
  • FWD forwarding rule gestart.
  • Via andere mobiel over 4G SSH connectie maken met 89:200:xx:xxx. Resultaat: Connection refused (dit werkt wel als ik de router verbind met ADSL)
  • Pingen naar 89:200:xx:xxx. Resultaat: Request timed out
Kan iemand mij verder helpen? Weet iemand of hetgeen ik probeer überhaupt mogelijk is? Blokkeert Lebara (KPN) bepaalde connecties?

Beste antwoord (via BroWnStaR op 13-08-2018 16:57)

vrijdag 27 juli 2018 13:41

  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 15:46

laurens0619

Standaard is inkomend verkeer geblokkeerd via een mobiele verbinding. Een van de redenen hiervoor (denk ik) is omdat anders een buitenstaander je flink op kosten kan jagen door data te sturen naar een open poort (gaat van jouw bundel af, kun jij niets aan doen)

De enige manier om een VPN (of een reverse ssh) server te draaien BUITEN je netwerk op een machine die wel benaderbaar is. Via deze server zou je dan kunnen jumpen naar je interne machine.

Zoiets, je hebt dus een server nodig zoals "Public VPS" in dit voorbeeld

Afbeeldingslocatie: https://farm8.staticflickr.com/7742/17162647378_c7d9f10de8_b.jpg

Afbeeldingslocatie: https://www.syscore.dk/wp-content/uploads/2012/08/reverse-ssh-tunnel1.png

[ Voor 35% gewijzigd door laurens0619 op 27-07-2018 13:44 ]

CISSP! Drop your encryption keys!

Alle reacties

vrijdag 27 juli 2018 11:11

Acties:
  • +1 Henk 'm!

Verwijderd

Voor zover ik weet wordt voor mobiele netwerken wordt meestal gebruikgemaakt van Carrier-grade NAT.
Wikipedia: Carrier-grade NAT

Dus dat gaat niet werken.

vrijdag 27 juli 2018 11:15

Acties:
  • 0 Henk 'm!
  • Orion84
  • Registratie: April 2002
  • Laatst online: 13:24

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Telefoon herstart en publieke IP telefoon verkregen via myip.nl: 89:200:xx:xxx
Dat zegt niks over of er voor je 4G verbinding (zoals @Verwijderd al aangeeft) niet ook NAT gebruikt wordt. Kan je niet op je telefoon zien welk IP adres de 4G interface krijgt? Veel kans is dat ook gewoon een 192.168.x of 10.x adres.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

vrijdag 27 juli 2018 11:23

Acties:
  • 0 Henk 'm!
  • BroWnStaR
  • Registratie: September 2003
  • Laatst online: 05-09 17:30

BroWnStaR

Topicstarter
Als ik via de ingebouwde IP Checker van de FWD app kijk zie ik "rmnet1: 10.54.xxx.xxx Private. SSH-en naar dit adres werkt ook niet (Connection refused).

Iemand nog suggesties om een dergelijke setup voor elkaar te krijgen? Ik wil mijn server benaderbaar maken via de de router en 4G van mijn telefoon (niet alleen SSH, maar ook andere poorten).

vrijdag 27 juli 2018 13:08

Acties:
  • 0 Henk 'm!
  • terror538
  • Registratie: Juni 2002
  • Laatst online: 04-09 10:47

terror538

De gebruikelijke manier om een out of band 4G link op te zetten om bv via SSH naar servers te communiceren als de normale verbinding weggevallen is is om een VPN op te zetten over de 4G verbinding naar een eigen VPN server.

Je zou ook kunnen kijken naar bijvoorbeeld Hamachi (bestaat dat nog?) of zerotier, als een eigen VPN server opzetten en beheren niet tot de mogelijkheden behoord.

In principe is er een protocol wat porten zou kunnen openen en forwarden (UPNP-PCP) maar het is maar de vraag of de ISP dat ondersteund, je client apparaat het ondersteund en of het blijft werken. Daarnaast is het niet in de lijn der verwachting dat de ISP porten onder de 1024 gaat forwarden (privileged ports), dus zou je een andere port combo moeten kiezen.

[ Voor 20% gewijzigd door terror538 op 27-07-2018 13:10 ]

too weird to live too rare to die

vrijdag 27 juli 2018 13:35

Acties:
  • 0 Henk 'm!
  • BroWnStaR
  • Registratie: September 2003
  • Laatst online: 05-09 17:30

BroWnStaR

Topicstarter
terror538 schreef op vrijdag 27 juli 2018 @ 13:08:
De gebruikelijke manier om een out of band 4G link op te zetten om bv via SSH naar servers te communiceren als de normale verbinding weggevallen is is om een VPN op te zetten over de 4G verbinding naar een eigen VPN server.
OK, VPN heb ik ook over nagedacht, maar ik zie nog niet helemaal voor me hoe dat gaat werken. Ik heb een VPN server draaien op mijn Ubuntu server, maar daar kan ik natuurlijk niet naar connecten als deze niet benaderbaar is. Of moet ik de VPN met mijn tethering-telefoon benaderen via interne netwerk (usb0 interface)? En dan mijn externe client connecten op zelfde VPN... wacht dat gaat dus al niet... Zou je schematisch kunnen toelichten hoe je dit voor je ziet?
Daarnaast is het niet in de lijn der verwachting dat de ISP porten onder de 1024 gaat forwarden (privileged ports), dus zou je een andere port combo moeten kiezen.
Ik gebruik al poort 1222 omdat de forwarding app alleen poorten boven 1024 ondersteunt.

vrijdag 27 juli 2018 13:41

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 15:46

laurens0619

Standaard is inkomend verkeer geblokkeerd via een mobiele verbinding. Een van de redenen hiervoor (denk ik) is omdat anders een buitenstaander je flink op kosten kan jagen door data te sturen naar een open poort (gaat van jouw bundel af, kun jij niets aan doen)

De enige manier om een VPN (of een reverse ssh) server te draaien BUITEN je netwerk op een machine die wel benaderbaar is. Via deze server zou je dan kunnen jumpen naar je interne machine.

Zoiets, je hebt dus een server nodig zoals "Public VPS" in dit voorbeeld

Afbeeldingslocatie: https://farm8.staticflickr.com/7742/17162647378_c7d9f10de8_b.jpg

Afbeeldingslocatie: https://www.syscore.dk/wp-content/uploads/2012/08/reverse-ssh-tunnel1.png

[ Voor 35% gewijzigd door laurens0619 op 27-07-2018 13:44 ]

CISSP! Drop your encryption keys!

vrijdag 27 juli 2018 13:43

Acties:
  • +1 Henk 'm!
  • SkiFan
  • Registratie: Juli 2001
  • Laatst online: 12:15

SkiFan

Los daarvan, een 10.x.x.x ip is altijd een private adres. De hele 10/8 range is private. Je zit dus achter een carrier-grade NAT.

Jurist in zijn vrije tijd, IT'er van beroep.

vrijdag 27 juli 2018 13:45

Acties:
  • 0 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 15:46

laurens0619

SkiFan schreef op vrijdag 27 juli 2018 @ 13:43:
Los daarvan, een 10.x.x.x ip is altijd een private adres. De hele 10/8 range is private. Je zit dus achter een carrier-grade NAT.
Goed punt, helemaal overheen gelezen :X

CISSP! Drop your encryption keys!

vrijdag 27 juli 2018 13:49

Acties:
  • +1 Henk 'm!
  • terror538
  • Registratie: Juni 2002
  • Laatst online: 04-09 10:47

terror538

BroWnStaR schreef op vrijdag 27 juli 2018 @ 13:35:
[...]


OK, VPN heb ik ook over nagedacht, maar ik zie nog niet helemaal voor me hoe dat gaat werken. Ik heb een VPN server draaien op mijn Ubuntu server, maar daar kan ik natuurlijk niet naar connecten als deze niet benaderbaar is. Of moet ik de VPN met mijn tethering-telefoon benaderen via interne netwerk (usb0 interface)? En dan mijn externe client connecten op zelfde VPN... wacht dat gaat dus al niet... Zou je schematisch kunnen toelichten hoe je dit voor je ziet?
Je moet dus van binnen uit connecten naar een externe VPN server.

Je zal dus een VPN server ergens anders moeten draaien; danwel gebruik moeten maken van iets als hamachi of zerotier (volgens mij werkt dat ook)

Op die manier gebruik je een uitgaande verbinding op een netwerk op te zetten wat niet gehinderd is door de NAT; als je dan wilt verbinden met de SSH zal je natuurlijk wel ook naar die VPN moeten verbinden zodat je in hetzelfde netwerk terecht komt.

Je zet dus bijvoorbeeld bij de goedkoopst mogelijke VPS boer waar je wel een eigen publiek IP krijgt een OpenVPN server op, stel OpenVPN zo in dat clients met elkaar mogen praten via de server.
De SSH server laat je dan verbinden met de OpenVPN server, en je stelt SSH zo in dat het ook luistert op het OpenVPN adres.
Op het moment dat je dan wilt inloggen via SSH maak je met je VPN verbinding en SSH je naar het OpenVPN adres van je SSH server.

too weird to live too rare to die

vrijdag 27 juli 2018 14:00

Acties:
  • 0 Henk 'm!
  • BroWnStaR
  • Registratie: September 2003
  • Laatst online: 05-09 17:30

BroWnStaR

Topicstarter
terror538 schreef op vrijdag 27 juli 2018 @ 13:49:
Je moet dus van binnen uit connecten naar een externe VPN server.
Dat maakt het al een stuk duidelijker. Bedankt! Ik denk dat ik mij hier maar eens in ga verdiepen.

Ter aanvulling: ik ben misschien op het verkeerde been gezet over wat wel en niet mogelijk is, want ik zie tegenstrijdige berichten op het KPN forum over mensen die port forwarding wel voor elkaar krijgen via KPN Buitengebied 4G (bijv: https://forum.kpn.com/int...4g-port-forwarding-438204). Sommigen melden weer dat het niet (meer) werkt, en anderen melden dat het alleen werkt wanneer men connect via andere provider.

Ik ga nog wat experimenteren...

vrijdag 27 juli 2018 14:02

Acties:
  • 0 Henk 'm!
  • TommyboyNL
  • Registratie: Januari 2006
  • Niet online

TommyboyNL

Dat komt waarschijnlijk doordat je via Buitengebied 4G niet achter CGN gezet wordt.

vrijdag 27 juli 2018 14:08

Acties:
  • +1 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 15:46

laurens0619

Wat ik lees op https://www.vtmgroep.nl/k...over-het-gebruik-van-apns is dat je met een ander apn "advancedinternet" dit wel voor elkaar zou moeten krijgen. In jouw topic (en andere) lees ik alleen dat het "soms" werkt. Los ervan of dit voor jou zou werken is het de vraag of je wel van dit toegangspunt gebruik kunt maken met Lebara omdat ik begreep dat het voor kpn-thuis klanten is.
advancedinternet
Dit toegangspunt stelt zich transparant op ten aanzien van internetverkeer. Je kunt nu over vrijwel alle poorten verbinding maken met je telefoon/laptop. Hou er wel rekening mee dat er geen (beperkt) firewall actief is en dat andere internetgebruikers dus direct toegang hebben tot je apparaat. Installeer een goede firewall of neem toch een ander toegangspunt.

Wanneer je een vast publiek IP adres nodig hebt dien je deze APN te gebruiken. Het gebruik van RDP & VPN is geen probleem omdat er geen NAT plaatsvindt.

Let op: Mailverkeer wordt niet ondersteund op deze APN.
edit:
Ik heb het even op mijn iphone (KPN) geprobeerd en met het "internet" apn krijg ik het 89.200 public ip (ik kan niet zien wat het adres op de interface is want iphone) en als ik wissel naar "advancedinternet" krijg ik een ip in de 77.62 range. Ik kan niet testen of inkomend verkeer werkt, daarvoor zou ik hem in mijn android moeten testen. Het andere apn lijkt iig wel te werken op een non kpn-thuis abo :)

Ik zie dat je hier ook al mee hebt zitten spelen, welk ip range kreeg je na "advancedinternet"?

[ Voor 20% gewijzigd door laurens0619 op 27-07-2018 14:25 ]

CISSP! Drop your encryption keys!

vrijdag 27 juli 2018 14:18

Acties:
  • 0 Henk 'm!
  • BroWnStaR
  • Registratie: September 2003
  • Laatst online: 05-09 17:30

BroWnStaR

Topicstarter
laurens0619 schreef op vrijdag 27 juli 2018 @ 14:08:
Los ervan of dit voor jou zou werken is het de vraag of je wel van dit toegangspunt gebruik kunt maken met Lebara omdat ik begreep dat het voor kpn-thuis klanten is.
Ik heb mijn APN al ingesteld op advancedinternet en ik krijg ook verbinding met internet. Wellicht wordt er door KPN onderscheid gemaakt op basis van type SIM: wel/geen KPN-thuis? Als ik uitsluitsel heb over of het überhaupt mogelijk is met mijn Lebara SIM, hoef ik daar in ieder geval geen energie meer in te steken en lijkt VPN de beste optie. Ik ga Lebara en/of KPN eens vragen.

edit:
laurens0619 schreef op vrijdag 27 juli 2018 @ 14:08:
Ik zie dat je hier ook al mee hebt zitten spelen, welk ip range kreeg je na "advancedinternet"?
Ik heb met 'advancedinternet' een IP uit de range 89:200.xxx.xxx. Ik zal eens 'internet' als ANP instellen en kijken wat het IP dan is. Kan dit helaas pas weer doen als ik thuis ben, dus zal vanavond verder proberen.

[ Voor 24% gewijzigd door BroWnStaR op 27-07-2018 14:25 ]

vrijdag 27 juli 2018 14:36

Acties:
  • 0 Henk 'm!
  • terror538
  • Registratie: Juni 2002
  • Laatst online: 04-09 10:47

terror538

BroWnStaR schreef op vrijdag 27 juli 2018 @ 14:18:
Ik heb met 'advancedinternet' een IP uit de range 89:200.xxx.xxx. Ik zal eens 'internet' als ANP instellen en kijken wat het IP dan is. Kan dit helaas pas weer doen als ik thuis ben, dus zal vanavond verder proberen.
Was dat het IP dat je op je apparaat toegewezen kreeg, of is dat het IP wat gerapporteerd wordt door websites?

In het 2e geval kan er namelijk nog steeds gewoon sprake zijn van NAT. In het eerste geval heb je wel degelijk een publiek IP op je apparaat en zou je, indien inkomend niet gefirewalled wordt inkomende verbindingen moeten kunnen gebruiken.

too weird to live too rare to die

vrijdag 27 juli 2018 14:40

Acties:
  • 0 Henk 'm!
  • BroWnStaR
  • Registratie: September 2003
  • Laatst online: 05-09 17:30

BroWnStaR

Topicstarter
89:200.xxx.xxx is het adres dat ik zie via myip.nl. Als ik via de ingebouwde IP Checker van de FWD app kijk zie ik "rmnet1: 10.54.xxx.xxx Private". Dit is het IP dat aan het apparaat wordt toegewezen? Of kan ik dit op een eenvoudigere manier checken? Het lijkt dus het tweede.

vrijdag 27 juli 2018 14:40

Acties:
  • +1 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 15:46

laurens0619

Ik kon het niet laten :P
Ik heb het net getest en aan de praat gekregen :)
- KPN (zakelijk) sim in Android telefoon gedaan
- IP check kwam standaard op de 89.200 range uit. Telefoon kreeg ook ip in de 10.x range
- Paar keer gewisseld met advancedinternet apn, uiteindelijk kreeg ik een ip in de 77 range op de interface (de 10.x was verdwenen)
- SimpleSSHD daemon gestart, vanuit mijn (telfort glasvezel) verbinding gemaakt via ssh en werkt :)
- Een online nmap scan gedaan en ook daar stond de poort open (om uit te sluiten dat het alleen kpn<> kpn zou werken, had ik ergens gelezen nl)

Ik denk niet dat ze dit officieel ondersteunen dus bellen zal je wel niet heel veel verder helpen :)

CISSP! Drop your encryption keys!

vrijdag 27 juli 2018 14:43

Acties:
  • 0 Henk 'm!
  • BroWnStaR
  • Registratie: September 2003
  • Laatst online: 05-09 17:30

BroWnStaR

Topicstarter
Wat bedoel je met 'Paar keer gewisseld'? Dat wil ik dan nog wel eens proberen namelijk.

vrijdag 27 juli 2018 14:47

Acties:
  • 0 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 15:46

laurens0619

BroWnStaR schreef op vrijdag 27 juli 2018 @ 14:43:
Wat bedoel je met 'Paar keer gewisseld'? Dat wil ik dan nog wel eens proberen namelijk.
In android kun je die namen van die toegangspunten opgeven en kiezen welke je actief hebt. Na het wisselen heb ik iedere keer mijn mobiele gegevens aan/uit gezet maar ik bleef de eerste keer nog op de 89.200 range. Ik heb hetzelfde herhaald (terug naar apn internet, daarna weer naar advancedinternet) en toen had ik opeens het 77 adres en werkte het :)

CISSP! Drop your encryption keys!

vrijdag 27 juli 2018 14:50

Acties:
  • 0 Henk 'm!
  • BroWnStaR
  • Registratie: September 2003
  • Laatst online: 05-09 17:30

BroWnStaR

Topicstarter
Dat ga ik dan maar eens proberen vanavond. Bedankt voor de hulp!

vrijdag 27 juli 2018 15:02

Acties:
  • +2 Henk 'm!
  • Mijzelf
  • Registratie: September 2004
  • Niet online

Mijzelf

Een andere mogelijkheid is IPv6. Als je vanuit je server of router een tunnel opzet naar Hurricane Electric, heb je een vast IPv6 adres(range) met het eindpunt in je huis.

vrijdag 27 juli 2018 15:27

Acties:
  • +1 Henk 'm!
  • BroWnStaR
  • Registratie: September 2003
  • Laatst online: 05-09 17:30

BroWnStaR

Topicstarter
Ik kon het ook niet laten en heb het op mijn andere Android telefoon geprobeerd met Telfort Zakelijk:
- Nieuwe APN aangemaakt met 'advancedinternet' en ingeschakeld (bestaande stond op 'internet')
- IP check: publiek en apparaat IP gelijk en in 89.200.xxx.xxx range (direct na 1 poging zonder herstart).
- SimpleSSHD draaien (draait standaard op poort 2222 BTW)
- SSH connecten vanaf kantoor et voila... het werkt!
Nu hopen dat het ook met Lebara werkt...
Mijzelf schreef op vrijdag 27 juli 2018 @ 15:02:
Een andere mogelijkheid is IPv6. Als je vanuit je server of router een tunnel opzet naar Hurricane Electric, heb je een vast IPv6 adres(range) met het eindpunt in je huis.
Bedankt, ik hou deze optie even achter de hand...

Edit:
Helaas, na meerdere malen geprobeerd te hebben met het switchen van APN, mobiele gegevens aan/uit, herstarten, is het niet gelukt om een werkend IP adres te krijgen. Soms kreeg ik wel een publiek IP toegewezen, maar kwam dit niet overeen met myip.nl en was de telefoon ook niet benaderbaar. Ik ga Lebara maar eens vragen en anders naar één van de andere opties kijken.

[ Voor 19% gewijzigd door BroWnStaR op 27-07-2018 23:38 ]

zaterdag 28 juli 2018 00:22

Acties:
  • 0 Henk 'm!
  • BroWnStaR
  • Registratie: September 2003
  • Laatst online: 05-09 17:30

BroWnStaR

Topicstarter
Mijzelf schreef op vrijdag 27 juli 2018 @ 15:02:
Een andere mogelijkheid is IPv6. Als je vanuit je server of router een tunnel opzet naar Hurricane Electric, heb je een vast IPv6 adres(range) met het eindpunt in je huis.
Zou je in een aantal stappen kunnen uitleggen hoe dit werkt? Ik heb al wat geprobeerd via een Hurricane Electric account en met een configuratie van een 6in4 interface in OpenWRT, maar weet eigenlijk niet zo goed wat ik precies moet doen/wat ik aan het doen ben :) .

zaterdag 28 juli 2018 00:50

Acties:
  • 0 Henk 'm!

Verwijderd

Je hebt een tunnel interface met een IPv6 adres. Zorg dat je vanaf je router het internet (b.v. Google) kan pingen met IPv6.

Daarna vraag je bij HE een netblock aan (/48 in IPv6, of geven ze /56's?). Assign dan per lokaal VLAN (of /24 in IPv4) een /64 range (IPv6). Vervolgens route je dat /64 over de tunnel interface. Je hebt dan geen NAT (valse security), en zal moeten firewallen op de router (default deny, allow traffic to IPv6_address:22).
Incoming traffic route HE dan over het IPv6-adres van je tunnel, waarna jou router het op de correcte lokale interface kan afleveren (forward).

W.d.b. is IPv4 en IPv6 niet anders (alleen de adres grote). Met IPv4 kan je ook routen (ipv NAT).

Ik gebruik zelf altijd Shorewall (op non OpenWRT), maar de /etc/config/firewall van OpenWRT werkt ook aardig.

Zie ook: Het grote IPv6 topic



Ik zou zelf een uitgaande VPN verbinding maken naar een OpenVPN server op een VPS, als dat financieel haalbaar is (OVH voor ~2.5 euro/mnd). Dan heb je een eigen IP waarmee je kan forwarden naar je thuis server (over de 'uitgaande' VPN).

HE/IPv6 is w.d.b. gratisch. :)

[ Voor 28% gewijzigd door Verwijderd op 28-07-2018 01:06 ]

dinsdag 31 juli 2018 11:05

Acties:
  • 0 Henk 'm!
  • BroWnStaR
  • Registratie: September 2003
  • Laatst online: 05-09 17:30

BroWnStaR

Topicstarter
Ik heb inmiddels een werkbare situatie door middel van VPN. Ik had al een VPS draaien en heb er OpenVPN Server op gezet. De OpenWRT router maakt met een OpenVPN Client een VPN verbinding met de VPS. Alle inkomende en uitgaande verkeer van mijn netwerk gaat nu via VPN langs de OpenVPN server op de VPS. Van buitenaf kan ik vanaf een laptop zonder VPN connecten via het vaste IP van de VPS naar de verschillende clients in mijn thuisnetwerk. Ik heb hiervoor port forwarding op de VPS en op de router ingesteld voor SSH (Ubuntu server) en RDP (Windows 10).

Schematisch ziet het er als volgt uit:

Afbeeldingslocatie: https://preview.ibb.co/jWGBg8/20180731_Network_Owwweg_19.png

Ik ben geen security expert, dus ben benieuwd wat jullie van deze setup vinden. Zijn er nog zaken waar ik rekening mee moet houden? Waar is ruimte voor verbetering?

dinsdag 31 juli 2018 13:55

Acties:
  • 0 Henk 'm!
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

Volgens mij klopt je tekening niet helemaal want die openvpn verbinding gaat toch over je mobiletelefoon die je kennelijk thuis als modem/internet verbinding gebruikt.
Security technisch is het denk ik brak om je RDP en SSH open te hebben staan vanaf internet. Persoonlijk zou ik dit deel ook over openvpn laten gaan. De server heb je toch al draaien en is echt beter voor je security.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

dinsdag 31 juli 2018 14:19

Acties:
  • 0 Henk 'm!

Verwijderd

SSH met key-only auth is niets mis mee. Hoewel je verkeersvolumetechnisch mischien beter af bent met een SSH-verbinding naar je VPS en dan de rest met SSH-getunnelde port forwarding, gezien de bruteforce-achtergrondruis. Of je zet van buitenaf een VPN-verbinding naar je VPS op en vandaaruit heb je toegang op het VPN dat van thuis uit naar de VPS wordt opgezet.

Een minder rommelig IP-plan zou overigens geen slecht idee zijn. Pak bijvoorbeeld 192.168.A.x voor je thuisnetwerkje en stop de /30 tunnels voor je VPN in 192.168.(A+1).x.

maandag 13 augustus 2018 16:54

Acties:
  • 0 Henk 'm!
  • BroWnStaR
  • Registratie: September 2003
  • Laatst online: 05-09 17:30

BroWnStaR

Topicstarter
Na nog wat geprobeerd te hebben, kom ik tot de conclusie dat mijn huidige oplossing voor nu goed genoeg werkt voor mij. Wat betreft security kan het allemaal beter, maar daar zal ik later verder naar kijken.
Volgens mij klopt je tekening niet helemaal want die openvpn verbinding gaat toch over je mobiletelefoon die je kennelijk thuis als modem/internet verbinding gebruikt...
De telefoon wordt inderdaad als modem gebruikt waarbij de data verbinding gebruikt wordt voor het opzetten van een VPN verbinding tussen de OpenWRT router (VPN client) en VPS (VPN server). Ik heb het plaatje iets aangepast:
Afbeeldingslocatie: https://preview.ibb.co/gwJvkp/20180813_Network_Configuration.png
...Of je zet van buitenaf een VPN-verbinding naar je VPS op...
Dit heb ik geprobeerd, maar ik kan helaas niet overal een OpenVPN verbinding opzetten (lees: op mijn werk is dit geblokkeerd).

maandag 13 augustus 2018 17:44

Acties:
  • 0 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 15:46

laurens0619

BroWnStaR schreef op maandag 13 augustus 2018 @ 16:54:


Dit heb ik geprobeerd, maar ik kan helaas niet overal een OpenVPN verbinding opzetten (lees: op mijn werk is dit geblokkeerd).
Dan is het misschien nog interessant om OpenVPN via SSL te verbergen (DPI kan het nog zien) of nog een stapje verder via Stunnel:


Uiteraard alleen na formele goedkeuring van jullie IT afdeling dat je dit mag doen :)

CISSP! Drop your encryption keys!

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq