Opnsense als VPN client || Bevestiging gezocht

dinsdag 6 april 2021 18:52

Acties:

0 Henk 'm!

Topicstarter

Ha allemaal,

Ik zoek wat bevestiging als iemand die lerende is in het netwerken. Ik gebruik een bare metal installatie van Opnsense omdat ik graag een opensource firewall draai in plaats van een complete oplossing op een commerciële router.

Ik heb Opnsense als VPN client ingesteld waarbij deze het verkeer van specifieke apparaten naar mijn VPN provider routeert. Hierbij heb ik de stappen op https://forum.opnsense.or...a4uoesf31de&topic=4979.15 gevolgd. Het gaat dan om de post van Nilss.

Het verkeer van mijn Synology laat ik over de VPN lopen, op de Synology gebruik ik Downloadstation.

Omdat ik geen waarde hecht aan het onderweg benaderen van mijn NAS of thuis netwerk is zowel de NAS als de router gesloten aan de WAN zijde. Er zijn geen poorten open.

Als test heb ik mijn laptop ook tijdelijk over de VPN route laten lopen. Dit om voor alle zekerheid ook te testen op DNS leaks. Alles was prima in orde, netjes een IP van de VPN provider.

Nu dan mijn vraag, ik werd na het instellen wat ongerust door deze post op Reddit. https://www.reddit.com/r/...q7/how_to_check_vpn_leak/

Volgens mij is dit in mijn geval geen probleem omdat Opnsense het verkeer met VPN provider afhandelt en de VPN gebruikers op het netwerk ook de firewall regels volgen.

Als ik naar de logs van de Synology kijk zie ik ook enkel inlogpogingen van mijzelf. Het lukt me echter alleen niet om online of via het forum van Opnsense bevestiging te krijgen dat de NAS nu wel of niet open staat voor mogelijke aanvallen.

Daarom roep ik jullie hulp als medetweakers in. Alle hulp of advies is welkom!

woensdag 7 april 2021 08:43

synoniem

heeten12 schreef op dinsdag 6 april 2021 @ 18:52:
Ha allemaal,

Ik zoek wat bevestiging als iemand die lerende is in het netwerken. Ik gebruik een bare metal installatie van Opnsense omdat ik graag een opensource firewall draai in plaats van een complete oplossing op een commerciële router.

Ik heb Opnsense als VPN client ingesteld waarbij deze het verkeer van specifieke apparaten naar mijn VPN provider routeert. Hierbij heb ik de stappen op https://forum.opnsense.or...a4uoesf31de&topic=4979.15 gevolgd. Het gaat dan om de post van Nilss.

Het verkeer van mijn Synology laat ik over de VPN lopen, op de Synology gebruik ik Downloadstation.

Omdat ik geen waarde hecht aan het onderweg benaderen van mijn NAS of thuis netwerk is zowel de NAS als de router gesloten aan de WAN zijde. Er zijn geen poorten open.

Als test heb ik mijn laptop ook tijdelijk over de VPN route laten lopen. Dit om voor alle zekerheid ook te testen op DNS leaks. Alles was prima in orde, netjes een IP van de VPN provider.

Nu dan mijn vraag, ik werd na het instellen wat ongerust door deze post op Reddit. https://www.reddit.com/r/...q7/how_to_check_vpn_leak/

Volgens mij is dit in mijn geval geen probleem omdat Opnsense het verkeer met VPN provider afhandelt en de VPN gebruikers op het netwerk ook de firewall regels volgen.

Als ik naar de logs van de Synology kijk zie ik ook enkel inlogpogingen van mijzelf. Het lukt me echter alleen niet om online of via het forum van Opnsense bevestiging te krijgen dat de NAS nu wel of niet open staat voor mogelijke aanvallen.

Daarom roep ik jullie hulp als medetweakers in. Alle hulp of advies is welkom!

Als ik je goed begrijp hangt je NAS niet rechtstreeks aan het internet maar route je het verkeer via OPNsense naar je VPN provider. Vooropgesteld dat je OPNsense normaal gesproken inkomend verkeer blokkeert tenzij geïnitieerd door je NAS zul je je NAS vanaf het VPN netwerk niet kunnen bereiken.

De situatie waar op Reddit vanuit gegaan wordt is dat je op de NAS zelf een VPN cliënt geïnstalleerd hebt. Wat dus geen goed idee is omdat je daar geen kwaliteits-firewall op draait.

dinsdag 6 april 2021 21:02

Acties:

+1 Henk 'm!

amx

Het verkeer van mijn Synology laat ik over de VPN lopen, op de Synology gebruik ik Downloadstation.

Dit snap ik niet. Welk soort verkeer?

Ik denk dat je het als volgt moet zien:

Als je als VPN client verbindt met een derde partij VPN provider, kun je niet zien wat er bij de VPN provider gebeurt, omdat je die apparaten niet zelf beheert. Ik denk/gok dat de meeste VPN providers het verkeer van hun klanten via NAT het internet op sturen. Dat betekent dat je met de VPN client wel verzoeken naar buiten kan doen, maar vanaf buiten niet zonder meer op jouw netwerk kan worden verbonden.

Als je je afvraagt of anderen bij jouw NAS kunnen, is de aanname dat dit niet kan, vrij zeker.

Om bij de NAS te komen via de VPN provider, moet je het netwerkadres weten waar de VPN provider mee met internet verbindt.

Tenzij je een dienst als Hoppy gebruikt, en je zelf verantwoordelijk wordt voor het beheer van de VPN tunnel, kun je niet zien wat er aan de andere kant van de VPN met je data gebeurt, maar in de regel mag je er bij een fatsoenlijke VPN provider op rekenen dat die dit voor jou afdoende ingesteld heeft.

dinsdag 6 april 2021 22:01

Acties:

0 Henk 'm!

heeten12

Topicstarter

Dank Amx!

Het gaat mij er inderdaad om dat mijn NAS secure is.

Wat ik bedoel is dat alle internetverkeer die de NAS initieert door OPNSense dus gerouteerd worden naar mijn VPN provider zoals bedoeld in het topic van het OPNSense forum. Zoals ik het begrijp heeft OPNSense twee actieve lijnen open naar mijn VPN provider en slechts voor mijn NAS(en tijdelijk ook de laptop) wordt alle verkeer naar de VPN provider gerouteerd.

woensdag 7 april 2021 08:10

Acties:

0 Henk 'm!

Faifz

heeten12 schreef op dinsdag 6 april 2021 @ 18:52:
Omdat ik geen waarde hecht aan het onderweg benaderen van mijn NAS of thuis netwerk is zowel de NAS als de router gesloten aan de WAN zijde. Er zijn geen poorten open.

Dus je NAS heeft een publiek IP adres dan? Outbound traffic routeer je wel via de VPN provider. Maar inbound traffic op het publieke adres van uw NAS lopen niet via de VPN tunnel.

heeten12 schreef op dinsdag 6 april 2021 @ 18:52:Ik heb Opnsense als VPN client ingesteld waarbij deze het verkeer van specifieke apparaten naar mijn VPN provider routeert.

En het voordeel hiervan is? De tunnel is alleen maar actief tussen u en uw VPN provider. Dus als je naar google surft of dergelijke - is er geen tunnel aanwezig tussen de VPN provider en de website die jij bezoekt. Zo goed als alle traffic tegenwoordig is encrypted met https, dus je hebt letterlijk niets aan een commerciële VPN provider.

De bedoeling is dat je jouw eigen VPN server host en dat je NAS achter NAT schuilt. Wanneer je niet thuis bent, VPN je op je thuisnetwerk om toegang te krijgen tot je NAS.

woensdag 7 april 2021 08:30

Acties:

+1 Henk 'm!

lier

MikroTik nerd

Faifz schreef op woensdag 7 april 2021 @ 08:10:
De bedoeling is dat je jouw eigen VPN server host en dat je NAS achter NAT schuilt. Wanneer je niet thuis bent, VPN je op je thuisnetwerk om toegang te krijgen tot je NAS.

De TS laat al zijn downloads vanuit de NAS via een VPN lopen. Wordt vaker gedaan, omwille van ander IP adres of ivm geolocatie. Hetgeen jij hierboven beschrijft is, zoals ik het lees, geen behoefte van de TS.

Eerst het probleem, dan de oplossing

woensdag 7 april 2021 08:43

Acties:

Beste antwoord ✓
0 Henk 'm!

synoniem

heeten12 schreef op dinsdag 6 april 2021 @ 18:52:
Ha allemaal,

Ik zoek wat bevestiging als iemand die lerende is in het netwerken. Ik gebruik een bare metal installatie van Opnsense omdat ik graag een opensource firewall draai in plaats van een complete oplossing op een commerciële router.

Ik heb Opnsense als VPN client ingesteld waarbij deze het verkeer van specifieke apparaten naar mijn VPN provider routeert. Hierbij heb ik de stappen op https://forum.opnsense.or...a4uoesf31de&topic=4979.15 gevolgd. Het gaat dan om de post van Nilss.

Het verkeer van mijn Synology laat ik over de VPN lopen, op de Synology gebruik ik Downloadstation.

Omdat ik geen waarde hecht aan het onderweg benaderen van mijn NAS of thuis netwerk is zowel de NAS als de router gesloten aan de WAN zijde. Er zijn geen poorten open.

Als test heb ik mijn laptop ook tijdelijk over de VPN route laten lopen. Dit om voor alle zekerheid ook te testen op DNS leaks. Alles was prima in orde, netjes een IP van de VPN provider.

Nu dan mijn vraag, ik werd na het instellen wat ongerust door deze post op Reddit. https://www.reddit.com/r/...q7/how_to_check_vpn_leak/

Volgens mij is dit in mijn geval geen probleem omdat Opnsense het verkeer met VPN provider afhandelt en de VPN gebruikers op het netwerk ook de firewall regels volgen.

Als ik naar de logs van de Synology kijk zie ik ook enkel inlogpogingen van mijzelf. Het lukt me echter alleen niet om online of via het forum van Opnsense bevestiging te krijgen dat de NAS nu wel of niet open staat voor mogelijke aanvallen.

Daarom roep ik jullie hulp als medetweakers in. Alle hulp of advies is welkom!

Als ik je goed begrijp hangt je NAS niet rechtstreeks aan het internet maar route je het verkeer via OPNsense naar je VPN provider. Vooropgesteld dat je OPNsense normaal gesproken inkomend verkeer blokkeert tenzij geïnitieerd door je NAS zul je je NAS vanaf het VPN netwerk niet kunnen bereiken.

De situatie waar op Reddit vanuit gegaan wordt is dat je op de NAS zelf een VPN cliënt geïnstalleerd hebt. Wat dus geen goed idee is omdat je daar geen kwaliteits-firewall op draait.

woensdag 7 april 2021 10:09

Acties:

0 Henk 'm!

heeten12

Topicstarter

Dank allen, synoniem vat het inderdaad goed samen.

OPNSense blokkeert normaal inderdaad alle inkomend verkeer tenzij geïnitieerd door de NAS.

Normale route apparaten in netwerk: modem Ziggo > Opnsense > eindapparaat (te zien met WAN IP Ziggo)

Route NAS: Modem Ziggo > Opnsense > Gateway naar VPN provider via Opnsense > NAS (te zien met IP VPN provider)

Vraag

Beste antwoord (via heeten12 op 07-04-2021 10:02)

Alle reacties