Udało się komuś ustawić #vpn IKEv2/IPSec PSK tak, żeby latało pomiędzy #mikrotik (taki mam w domu router, z publicznym IP) a telefonem z #android - bo Google w nowej wersji postanowiło, że L2TP (z którego korzystałem na starym telefonie) jest be i już nie można go ustawić?
W certyfikaty (instrukcje w internecie pokazują wersję z certyfikatami) mi się bawić nie chce (bo i po co?). Jakieś dodatkowe aplikacje na telefon też mnie nie satysfakcjonują.
Wymieniłem w końcu #telefon (jak chwilę poużywam to skrobnę jakąś recenzję, bo telefon wielkości karty płatniczej z Androidem to coś niespotykanego i być może ktoś to chce, a nie wie nawet, że takie produkują) i już wszystko w nim mam, prócz możliwości połączenia się z siecią domową.
sylwester11pl

Gdyby był dostępny obraz na jakąś vm'kę to bym zrobił se laba i spróbował pomóc

mickpl

@REXus wrzuc wireguarda i zapomnij o problemach

mike-litoris

@REXus google nawet w starej wersji (chyba 9 czy 10) już postanowiło że VPNy będą "nielegalne".

Zjadłem zęby na eskponowaniu swojej sieci przez PPTP i L2TP+IPSec i konkluzje mam takie że jest to gówno warte na androgównie.

Pierwszy wiadomo - obsolete, ale dzieje się dokładnie to samo co z drugim. Czyli połączenie nawiązuje się i śmiga jak wściekłe, do pewneo momentu.

Po prostu komunikacja zamiera i Android nie wykrywa że pakiety wysłane nie doczekują odpowiedzi. Po prostu pcha cały ruch w devnulla a Ty dowiesz się o tym dopiero wtedy jak ziomek zadzwoni czego od 3h nie odpisujesz na telegramie ;d.

Po stronie mikrotika wygląda to tak jakby android niczego nie wysyłał. Połączenie jest nawiązane, niezerwane, ale bez ruchu w środku.

Troubleshooting tego to bół w dupie, bo zwiechy dzieją się między 15-240 min od nawiązania, Pod warunkiem że nie używasz tego łącza intensywnie. Przykładowo obejrzysz 10h kompilację nyancata, ale spróbuj zapauzować i wyskoczyć do żabki po zupę chmielową gdzie po drodze spotkasz znajomego z roboty.

Pingi nie lecą w obie strony. Tyle co zdążyłem ustalić przez 3 tyg podjęcia rękawicy.


Także popierwam przedmówcę - wireguard i zapominasz o problemach. Mikrotikowa implementacja (w przeciwieństwie do openvpn) jest bardzo przywzwoita, nie brakuje jej ficzerów i jest niezawodna.Przepustowością nie ustępuje przenatowanej na publiczny IP implementacji linuksowej.

REXus

@mike-litoris u mnie to służyło AŻ do wejścia aplikacją na rejestrator TVu. Teoretycznie mogłem korzystać z zasobów całej sieci domowej (i np. zapalić gdzieś światło), ale to była możliwość czysto teoretyczna.


Faktycznie moje doświadczenia z tym były raczej słabe - przekonany byłem, że to kwestia słabego uploadu (choć powinien spokojnie przepchnąć obraz) w domu, ale to chyba nie to.


Myślę realnie nad wystawieniem (a najpierw przestawieniem na jakiś pięcocyfrowy) portu rejestratora (ma dwa - 80 do wejścia przez przeglądarkę i bodaj 5900 do transmisji obrazu i całej reszty - tak, to jest jakiś chiński z dupy wysrany rejestrator, aplikacja jest do dupy, no ale w miarę działa i nic innego go nie rozumie) na świat i olanie VPN w telefonie - dla komputera (gdybym faktycznie czegoś potrzebował) zostałoby L2TP, które na Linuksie działało całkiem dobrze.


Pytanie, jaka jest realna szansa włamu i narobienia szkód w sieci wewnętrznej.

mike-litoris

@REXus

jaka jest realna szansa włamu

100%, raczej powinieneć pytać o czas w którym do tego dojdzie.


wystaw sobie ssh na raspberry pi i zobaczysz jak szybko małe chińskie rączki pukają do Twych drzwi

Mam reverse proxy na którym wystawiam dwie aplikację a resztę żądań (na mój IP ale nie na zdefiniowane vhosty) przerzucam na duckduckgo i musiałbym CI pokazać ile-set megabajtów ma dzienny access.log


a najpierw przestawieniem na jakiś pięcocyfrowy) portu rejestratora


zapomnij- w najlepszym wypadku botom zajęło dwa dni rozpracowanie że ssh nasłuchuje u mnie na porcie 22022.


i narobienia szkód w sieci wewnętrznej.


Jest takie powiedzenie- jeśli ktoś ma fizyczny dostęp do Twojego komputera- to już nie jest Twój komputer. Podobnie ma się sprawa z siecią. Przynajmniej ja do tego podchodzę bardzo na serio.

Temu możesz spróbować wdrożyć koncept DMZ - czyli takiej strefy sieci domowej która widoczna jest ze świata, z sieci wewnętrznej, ale ona NIE widzi Twojej sieci wewnętrznej.


Ja do takiego DMZu np mam wpięty firmowy komputer - bo traktuję go jako obce urządzenie w sieci. A nuż któryś admin będzie się nudził i odpyta cały zakres poszukując np zasobu SMB

Mam też inny segment w którym siedzi np NAS - on widzi całą sieć domową i sieć domowa widzi jego, ale on nie ma łączności z internetem i lamentuje że nie może pobrać aktualizacji Ale dzięki temu wiem że jakich metryk nie zbierałby - nie zadzwoni do bazy i nie sprzeda mnie.


Także jakbyś pytał mnie o zdanie - tylko i wyłącznie VPN na chatę.

REXus

@mike-litoris wiem jak szybko dzieją się pewne rzeczy - kiedyś niechcący wieczorem wystawiłem DNSa i rano się zdziwiłem, jak łączność muli. Po zablokowaniu jeszcze przez tydzień firewall ich odbijał.


Tylko, że trochę co innego SSH, które dawałoby realne możliwości, a co innego np. HTTP (mam przekierowany port na serwerek lighttpd i nie dzieje się kompletnie nic), czy kompletnie z dupy wysrany rejestrator, nasłuchujący na dwóch (jak się okazało) portach (jak rozumiem, jeden jest do komunikacji, a drugi do transmisji wideo) w sobie tylko znany sposób. No, może jeszcze tym chińczykom, którzy go zbudowali, bo już polski dystrybutor na pewno nie miał pojęcia (co wnioskuję z instrukcji). Realnie - trzeba by przez te porty wejść na konsolę tego ustrojstwa, żeby coś nachrzanić - bo to, że ktoś zdobędzie obraz z mojego podwórka - hmm... są łatwiejsze sposoby, z mniejszą szansą, że się zorientuję.


Na razie wystawiłem, od wczoraj MT nie zarejestrował ani jednego pakietu na tych portach. Jak mawiają - jeździć, obserwować, w razie "W" wyłączę przekierowania (i nad DMZ się wtedy też zastanowię).

Zaloguj się aby komentować