Netwerkverkeer tijdens vakantie via thuis IP adres

Oftewel je gaat een beveiligingslek maken.

Alle beste bedoelingen van jou maar leg dit voor aan je (netwerk)admin op werk

[ Voor 7% gewijzigd door vso op 13-03-2019 12:53 ]

Ernemmer schreef op woensdag 13 maart 2019 @ 12:40:
[...]en hoeft niet versleuteld te zijn. Thuis heb ik 500mbit glasvezel van KPN.
[...]

Dat is in netwerkland een grote NO_GO Ik denk bij de netwerkadmins van je opdrachtgever ook!
VPN met een degelijke versleuteling is de enige manier.

[ Voor 18% gewijzigd door SniperGuy op 13-03-2019 12:58 ]

Wat is jouw definitie van "geprogrammeerd"? Er zijn genoeg routers met ingebouwde VPN capaciteit. Maar als je een router wil hebben die 100 Mbit door een VPN kan tunnelen dan heb je een redelijk apparaat nodig. Een unencrypted tunnel zou ik nooit doen, om de simpele reden dat dat soort tunnels meer configuratie nodig hebben en onveilig verkeer mogelijk maken naar je werkgever en zo je IP whitelist teniet doen. Incidenten die dan gebeuren wil je echt niet gaan uitleggen aan je werkgever.

Voor een budget van 300-400 euro kun je gemakkelijk een barebone servertje kopen die je hiervoor inzet of je maakt het zelf. Ik heb zelf een mini-ITX vormfactor passief gekoeld systeempje in elkaar gezet en heb er pfSense op geïnstalleerd. Dit is een OS waarmee je routing, firewalling en VPN functionaliteit hebt. Allemaal te configureren via een grafische webinterface. Voor de VPN tunnels heb je weer allerlei smaakjes. Sommige zweren bij OpenVPN en ik heb liever een Cisco IPSec tunneltje omdat ik daar geen aparte VPN client voor hoef te installeren op m'n telefoon en computers. Het is allemaal relatief gemakkelijk te configureren in pfSense (mits je even wat HOWTO's of YouTube video's doorworstelt als het écht allemaal nieuw is)

Op Marktplaats zijn trouwens veel van dit soort routers te koop, zelfbouw of een appliance die pfSense draait. Zoekwoorden zijn (uiteraard) pfSense, J1900 (zuinige processor voor in zo'n barebone)

Een internetverbinding met snelheden van 100mbit vanuit een hotel of resort is bijna onmogelijk of bedoel je wat anders?

Zou de systeembeheerder even vragen, je bent vast niet de eerste die zoiets nodig heeft

ThinkPadd schreef op woensdag 13 maart 2019 @ 13:01:
Zou de systeembeheerder even vragen, je bent vast niet de eerste die zoiets nodig heeft

Dat is de andere route ja, zorg dat je werkgever je een VPN account geeft waarmee je rechtstreeks (en dus niet via thuis) verbinding maakt met je werk

ZeroTier

Nu zat ik te denken om thuis een router met VPN mogelijkheid neer te zetten waar ik dan op inlog vanaf mijn vakantie locatie.

Fritz!box heeft dit soort mogelijkehden, maar ik denk dat je beter gewoon vakantie kunt vieren.

100 Mbit/s is een beetje een 'ask'. Dan moet je echt je vakantielokatie uitzoeken op de internetverbinding. Dat lijkt me niet helemaal de juiste work/life-balans.

Wat je met de Fritz!Box doet is een VPN via je huis, dus van buitenaf lijkt het alsof je van je thuisadres komt. Alles is dus netjes versleuteld tussen jouw lokatie en huis (zoals het hoort. Een open proxy of forward opzetten richting je werk is een heel onverstandig idee!)

Dat hangt een beetje vanaf wat je allemaal van KPN hebt, als het alleen internet is, gaat het wel lukken, maar als je ook televisie en telefonie hebt, dan wordt het lastiger.

Dat wordt grasduinen in het KPN glasvezel topic:
[KPN] Glasvezel
Oeps: Deel 2:
[KPN Glasvezel] Ervaringen & Discussie - Deel 2

[ Voor 14% gewijzigd door Keypunchie op 13-03-2019 13:27 ]

Een Asus RT-AC router (eventueel met Merlin software, maar ook met standaard software) kan prima een VPN tunnel opzetten naar thuis met een makkelijke klik-GUI.

RT-AC86U of GT-AC5300

www.smallnetbuilder.com

quote: https://restoreprivacy.com/vpn-router/

Here are the Asus routers that are VPN enabled and can be set up with minimal effort (with the corresponding CPU):

Asus RT-N66U (600 MHz) [Amazon]
Asus AC1750 (RT-AC66U) (600 MHz) [Amazon]
Asus AC1900 (RT-AC68U) (800 MHz, dual core) [Amazon]
Asus RT-AC87U (1,000 MHz – dual core) [Amazon]
Asus RT-AC3200 (1,000 MHz – dual core) [Amazon]
Asus RT-AC3100 (1,400 MHz – dual core) [Amazon]
Asus RT-AC88U (1,400 Mhz – dual core) [Amazon]
Asus RT-AC5300 (1,400 MHz – dual core) [Amazon]
Asus RT-AC86U (1,800 MHz – dual core with AES-NI) [Amazon]
Asus GT-AC5300 (1,800 MHz – quad core with AES-NI) [Amazon]

Note: The fastest VPN routers from the list above are the bottom two options with AES-NI encryption acceleration processors.

[ Voor 4% gewijzigd door S0epkip op 13-03-2019 13:58 ]

Ja, zo'n Asus router draait een VPN server. Eventueel zou je hem puur alleen als VPN server kunnen draaien, als je je huidige router een DHCP adres laat uitdelen aan de VPN router/server. Maar dat is zonde van de dure router vind ik.

https://drfone.wondershare.com/vpn/vpn-hardware.html


Misschien is dit wel wat: pricewatch: Linksys LRT214

• Gigabit Ethernet-poorten
• Tot 50 IPsec-tunnels (voor site-to-site- en
client-to-site-VPN) en 5 OpenVPN-tunnels
voor iOS- en Android-gebruikers
• Doorvoercapaciteit firewall 900 Mbps en
IPsec 110 Mbps
• Boordevol functies om aan een groot scala
van bedrijfsnetwerkvereisten te kunnen
voldoen


Of dit: https://www.routershop.nl...-wan-vpn-router/pid=33867

Performance

IPsec VPN throughput

100 Mbps

SSL VPN throughput

20 Mbps

[ Voor 14% gewijzigd door S0epkip op 13-03-2019 13:46 ]

Misschien anders denken. Waarom vanaf vakantie niet een remote desktop sessie naar huis op een machine die daar staat.
Voordeel is dat je geen 100MB internet nodig hebt vanaf je vakantie adres, alleen remote desktop.

barry457 schreef op woensdag 13 maart 2019 @ 14:00:
Misschien anders denken. Waarom vanaf vakantie niet een remote desktop sessie naar huis op een machine die daar staat.
Voordeel is dat je geen 100MB internet nodig hebt vanaf je vakantie adres, alleen remote desktop.

Dit was ook mijn idee. Wel natuurlijk het risico dat je computer thuis uitvalt door wat dan ook, maar goed, dit lijkt me qua bandbreedte, beveiliging en configuratie de makkelijkste weg.

Dus als hij uitvalt..
Wake on lan kan tegenwoordig ook met teamviewer. Kan je remote de machine weer aanzetten.
Om remote desktop secure te maken kan je nog kiezen voor verbinding middels certificaat.
Of je kiest voor Remote Desktop web Connection. Kan je ook nog beveiliging instellen.

Ernemmer schreef op woensdag 13 maart 2019 @ 14:18:
Aan Remote Desktop had ik ook al zitten denken en zou met een korte vakantie nog best een oplossing kunnen zijn, maar ik ga langere tijd weg en kan niet het risico lopen dat ik niet meer kan werken omdat mijn PC uit staat.
Ook heb ik de 100Mbit niet altijd nodig, maar wil die mogelijkheid wel hebben.

Ik ga eens even verder zoeken over die Asus AC86-U of die als open VPN server ook zo rond de 100 mbit gaat halen.

Ik heb even meegezocht en een mooie test gevonden:
https://www.snbforums.com...ce-of-the-rt-ac86u.41217/

AES-128-CBC + LZO (Adaptive):
Code:
[ ID] Interval Transfer Bandwidth
[296] 0.0-30.0 sec 698 MBytes 195 Mbits/sec
AES-128-GCM + LZO:
Code:
[ ID] Interval Transfer Bandwidth
[292] 0.0-30.0 sec 735 MBytes 205 Mbits/sec
AES-128-GCM + LZ4:
Code:
[ ID] Interval Transfer Bandwidth
[296] 0.0-30.0 sec 768 MBytes 215 Mbits/sec
Interestingly, the performance hit of AES-256-GCM over AES-128-GCM is negligeable, implying that the bottleneck does not lies in the cipher, but in the rest of the OpenVPN code.
AES-256-GCM + LZ4:
Code:
[ ID] Interval Transfer Bandwidth
[292] 0.0-30.0 sec 755 MBytes 211 Mbits/sec

Helaas ook enkele topics waarin openvpn niet vooruit te branden was op deze router maar laten we maar hopen dat dat een incident was ipv een probleem

Als netwerkbeheerder zou ik je per direct je VPN mogelijkheid ontnemen als ik ook maar iets van dit soort grapjes zou horen.

Revit/je VPN heeft een bepaalde beveiliging en jij gaat die nu verlengen en opengooien met een eigen brouwsel.
In wezen kan straks het hele internet verbinding maken met Revit via jouw verbinding en de mensen van Revit kunnen alleen zien dat jouw VPN veel data verstookt.
Je gooit het hele idee van vaste ip-adressen voor VPN omver doordat jij het zelf niet gaat toepassen.

Als Revit gewoon 1 VPN opzet met de hele wereld op de whitelist dan bereik je effectief hetzelfde alleen kan Revit er verantwoordelijkheid voor dragen ipv dat jij het doet.

Remote desktoppen naar je eigen pc wil ik nog wel even door de vingers zien. Maar wat je nu voorstelt is gewoon 1 groot securitylek.

Ik heb hier in mijn netwerk een Raspberry Pi hangen, waar ik PiVPN op heb geïnstalleerd. Dat is in principe OpenVPN, maar dan gebruiksvriendelijk verpakt. In mijn modem/router (Experiabox V10 van KPN) heb ik een portforward gezet naar de Pi, en op dat apparaat heb ik een VPN-user aangemaakt.

Vanaf mijn client devices kan ik via VPN verbinding maken met thuis, en kan ik zo het internet op zonder al te veel moeite. Je moet geen 500/500-snelheden verwachten via een Pi, maar er valt wel redelijk mee te werken. Zeker vanaf een vakantieadres, waar de beschikbare bandbreedte toch al vaak beperkt is.

Jrz schreef op woensdag 13 maart 2019 @ 13:05:
ZeroTier

Je zou natuurlijk ook kunnen overwegen om je laptop lekker thuis te laten en te genieten van je vakantie. Is ook wel eens goed voor een mens.

Niet alleen de impact is laag, de likelihood dat er misbruik gemaakt kan worden gemaakt van het "lek" is ook laag.
Ik bedoel, het risico dat als er iemand in jouw netwerk zit verbinding kan maken met Rovit is er al (er is een ip whitelist naar Revit, geen vpn). hopelijk zit er ook nog een user/pass op die omgeving.

Het optuigen van een vpn server is nu niet bepaald een security lek. Hoe groot is de kans dat iemand een openvpn server binnenkomt en daarna de intel heeft dat hij met een bepaald ip verbinding kan maken op Rovit?

Kijk als de TS nu op zijn thuis ip een portfward op zijn externe ip had ingesteld naar Rovit was het anders. Maar deze constructie? Ik zie geen significante risicoverhoging vergeleken met de huidige situatie

Sterker nog:
Weet je wat het effect zou kunnen zijn als je hier nee tegen zou zeggen?
Een user die het ip adres van zijn "hostel" gaat doorgeven om op de whitelist te zetten. Dan heb je pas een security lek. En geloof mij, dat doen gebruikers als ze nee als antwoord krijgen.

[ Voor 15% gewijzigd door laurens0619 op 13-03-2019 15:06 ]

Oh, ja, dan wel.

Ik zou je toch de Raspberry Pi willen adviseren. De hardware heb je voor een paar tientjes, PiVPN installeren is zo gedaan, en het ding verbruikt niet veel energie.

Ernemmer schreef op woensdag 13 maart 2019 @ 14:58:
[...]
Klopt, maar je moet ook even naar de impact van een securitylek gaan kijken en dit afwegen tegen gebruiksgemak.
Het allergrootste risico wat er is, is dat iemand toegang heeft tot 3-4 Revit tekeningen van woningen. Ik zou zo niet weten wie daarin in geïnteresseerd is anders dan de opdrachtgever.

Als het bedrijf dat met jou eens is, dan kan de directeur gewoon Revit opbellen en de whitelist weg laten halen.

Hetzelfde/meer gebruikersgemak, alleen dan gewoon officieel en netjes geregeld.

Gomez12 schreef op woensdag 13 maart 2019 @ 15:15:
[...]

Als het bedrijf dat met jou eens is, dan kan de directeur gewoon Revit opbellen en de whitelist weg laten halen.

Hetzelfde/meer gebruikersgemak, alleen dan gewoon officieel en netjes geregeld.

Mwa om eerlijk te zijn heb ik liever de oplossing die @Ernemmer voorstelt (zoals @laurens0619 aangeeft: weinig additioneel risico), dan de verbinding voor de hele wereld open zetten, al is dat in de theorie 'officieel en netjes'. Theorie en praktijk sluit niet altijd op elkaar aan...

Ernemmer schreef op woensdag 13 maart 2019 @ 15:03:
[...]


Met een vakantie van een paar weken zou ik dat ook wel doen, maar ik ben van plan om minimaal 6 maanden weg te blijven en dan is soms wat werken best fijn.

Is het dan niet handiger om gewoon een vast IP ter plekke te regelen en die te laten whitelisten voor je toepassing?

Sowieso, 100Mbps is *veel* bandbreedte. Het aantal bestemmingen waar je dit ter beschikking gaat hebben is erg beperkt. Komt bij: haalbare bandbreedte is afhankelijk van latency, en naarmate je verder weg gaat gaan latencies onherroepelijk omhoog. Al zit je ergens met 100Mbps internettoegang, wil dat niet zeggen dat je 100Mbps kunt halen van die locatie naar jouw huis/werkplek.

Waar ben je van plan heen te gaan. Ergens in de buurt met zeer hoogwaardige internetverbindingen (Scandinavie, Romania etc) zou kunnen werken, maar aan de andere kant van de wereld betwijfel ik of het zelfs in Zuidkorea met een GbE-aansluiting gaat vliegen

Ernemmer schreef op woensdag 13 maart 2019 @ 14:18:
Aan Remote Desktop had ik ook al zitten denken en zou met een korte vakantie nog best een oplossing kunnen zijn, maar ik ga langere tijd weg en kan niet het risico lopen dat ik niet meer kan werken omdat mijn PC uit staat.
Ook heb ik de 100Mbit niet altijd nodig, maar wil die mogelijkheid wel hebben.

Ik ga eens even verder zoeken over die Asus AC86-U of die als open VPN server ook zo rond de 100 mbit gaat halen.

AC-86U he (AC2900), dat is een heel anders beestje dan de AC-68U (AC1900)!

pricewatch: Asus RT-AC86U Dual Band Wireless Router AC2900

Ernemmer schreef op woensdag 13 maart 2019 @ 16:29:
[...]


Ik was van plan om redelijk wat van locatie te wisselen en de latency maakt niet zo heel veel uit voor de software. Die moet 1 keer per half uur aanpassingen doorvoeren en ophalen van de server. Als het niet te gek wordt dan is het nog goed werkbaar. 10Mbit zal ook nog wel werken maar dan moet ik wel even koffie halen elk half uur

Het gaat niet om wat die software doet qua latency (we hebben het neem ik aan niet over FPS gaming), maar de impact van latency op end-to-end bandwidth.

Zie hier voor uitgebreider uitleg:
https://www.sas.co.uk/blo...r-to-calculate-throughput

Speel met dat schuifbalkje onderin en kijk wat het geeft bij een latency van zo'n 120ms (USA), en wat het doet bij een latency van 260ms (China). Dat bedoel ik. Zelfs 10Mbps van ene kant van wereld naar andere is geen sinecure, al heb je lokaal een 100Mbps verbinding - er is een reden dat alle grote partijen gebruik maken van CDN's met lokale aanwezigheid

[ Voor 4% gewijzigd door dion_b op 13-03-2019 16:46 ]

Ernemmer schreef op woensdag 13 maart 2019 @ 14:58:
Daar had ik ook even naar gekeken, maar dat ding is nog in Beta en de hardware is niet te bestellen. Ik kies dan liever voor een systeem waar ik veel over kan vinden.

Zerotier is niet in beta. Alleen de go-rewrite van is beschikbaar als beta.

Je hebt geen device nodig. - je kan het gewoon draaien op je pc thuis. Of als je ddwrt draait oid, daarop. En op je iphone.

[ Voor 4% gewijzigd door Jrz op 14-03-2019 13:57 ]

Ernemmer schreef op woensdag 13 maart 2019 @ 17:29:
[...]


Ik heb de 86u besteld

Asuswrt-Merlin al geinstalleerd? Werkt OpenVPN al?
https://asuswrt.lostrealm.ca/

Veel plezier ermee en laat nog eens weten wat de VPN performance vanaf buiten is.

En snel weg met die Experiabox, ja.