SOLO 4K a streaming na vzdialený počítač

[11chloe]

I openvpn mělo v minulosti bezpečnostní díru. Vůbec bych nerozlišoval server a klient. Pokud se bezpečnostní hrozba objeví tak tohle nebude vůbec rozhodující.
Ono je nakonec jedno jestli to openvpn nastavíte v boxu a nebo na routeru.

[dlhe_pole]

no praveze neni.. na routry vo firewalle si nastavis napriklad len pristup z tej alebo tej openvpn adresy a tak isto na ktory port moze .. kdezto box ziaden firewall nema - teda nepocitam chaby pokus o firewall v starych open pli images

[11chloe]

Nevím jak přesně funguje openvpn abych mohl argumentovat proč je právě klient na neaktuálním systému hrozbou. Chápu to tak že openvpn je tunel mezi routerem (server) a boxem (klient) . Pak ten tunel prochází routerem na straně boxu a tím není do bezpečnosti ten router zapojen a právě ten by mohl být dalším bezpečnostním prvkem. Je to jen teorie jak si vysvětlit to doporučení od OpenPLi, kdy dělat tunel přímo do vnitřní sítě je z hlediska bezpečnosti horší řešení a navíc kdy klient jede na neaktualizovaném , případně zastaralém os.
Můžete si například zjistit jak aktuální verze openvpn je na straně klienta a která se používá v dnešní době jako bezpečná.

Ono je nakonec jedno jestli to openvpn nastavíte v boxu a nebo na routeru.

Touhle větou jsem myslel jen to, že práce na konfiguraci klienta bude podobná jak u boxu tak u routeru. Tak proč nejít tou bezpečnější cestou a nedávat klienta přímo na router.

[gusto1]

OpenVPN mi bezi na normalnom x86_64 servery. Tam si pomocou easy_rsa (vid dnes eID a RSA kluce) vygeneroval kluce a CA.
Kedze iptables mi moc nesla, tak som si povolil, len porty ktore potrebujem pomocou ufw (21,22,1194, a pod ...).
Klientom som rozdal

Kód: Vybrat vše

ca ca.crt
cert client.crt
key client.key
client.conf  

a hotovo. Este na servery v configu si mozem nastavit ci sa klienti maju vidiet, alebo nemaju (client to client).
Urcite by som nerobil openvpn server na boxe (ale ako klient preco nie)

[dlhe_pole]

tie porty 21 a 22 davas vsetkym klientom ? to je sialenstvo.. taky fw ma aj svoje wiki a v nom sa dozvies ako si povolit pristup len pre urcitu ipcku

[dreteam]

I openvpn mělo v minulosti bezpečnostní díru. Vůbec bych nerozlišoval server a klient. Pokud se bezpečnostní hrozba objeví tak tohle nebude vůbec rozhodující.
Ono je nakonec jedno jestli to openvpn nastavíte v boxu a nebo na routeru.

no, tak s týmto sa dá len nesúhlasiť

- každý softvér môže mať nejakú chybu, bezpečnostnú dieru, rozdiel je že pri open source riešení je oprava pomerne rýchla a dokumentovaná, chyba bola v knižnici libssl ktorú používal openvpn a umožňovala sa dostať k certifikátom. Protokoly PPTP, IPSEC, sú od Microsoftu a tam okrem zastaralosti, to s tou opravou nemusí byť také horúce, napr. na webe sú návody ako haknúť PPTP

- existuje veľa komerčných openvpn serverov, tvoje tvrdenie by znamenalo, že keď je server dobre zabezpečený a aktualizovaný - tak zle nakonfigurovaný a zastaralý klient je bezpečnostná hrozba pre server - toto neplatí - ináč by boli všetky Openvpn servery v krátkom čase nefunkčné. To znamená - pokiaľ je na servery aktuálna knižnica libssl a na klientovi neaktuálna, tak z pohľadu bezpečnosti to nič neznamená, verzie libssl sú spätne kompatibilné

- je potrebné rozlišovať medzi serverom a klientom, predmetom útoku z internetu môže byť len server, z toho vyplýva že inštalácia klienta na prijímač je bezpečná, pravidlá šifrovanej komunikácie a certifikáty určuje server

- inštalácia klienta na router vs. prijímač, vpn spojenie medzi routrami sa používa väčšinou na prepojenie dvoch sietí, v podnikoch a pobočkách, kde potrebujeme sprístupniť služby pre viacerých lokálnych klientov (počítače), pre streamovanie jedného prijímača je to trochu overkill,

- takže vzhľadom na bezpečnostné riziká by som do návodu uvedeného v prvom príspevku uviedol, toto riešenie neberie primárne ohľad na bezpečnosť a jeho použitie je na vlastné riziko ....

[gusto1]

tie porty 21 a 22 davas vsetkym klientom ? to je sialenstvo.. taky fw ma aj svoje wiki a v nom sa dozvies ako si povolit pristup len pre urcitu ipcku

Ja ti to poviem takto: (fyzicky) klienti nemaju ponatia o tom, ze tam nejake openvpn bezi. Oni ani nevedia, ze tam je nejaky terminal a ze sa tam da prihlasit. Ovpn som spravil len na pristup k boxom aby som ich mohol bezpecne, vzdialene manazovat. Cez ufw som povolil len konkretnej IP pristup na dane porty.

[11chloe]

- inštalácia klienta na router vs. prijímač, vpn spojenie medzi routrami sa používa väčšinou na prepojenie dvoch sietí, v podnikoch a pobočkách, kde potrebujeme sprístupniť služby pre viacerých lokálnych klientov (počítače), pre streamovanie jedného prijímača je to trochu overkill,

Pak mi není jasné že u openvpn je to overkill, ale u té jeho konfigurace už ne. Vždyť v tom návodu to vpn přesně takhle používá.

Pokud je útok možný jen na server tak pak je divné že OpenPLi team openvpn na enigmě nedoporučuje. Proč tam rovnou nenapíšou že je to nebezpečné jenom v případě konfigurace jako server ?

[dreteam]

Pokud je útok možný jen na server tak pak je divné že OpenPLi team openvpn na enigmě nedoporučuje. Proč tam rovnou nenapíšou že je to nebezpečné jenom v případě konfigurace jako server ?

my friend, niekedy sa oplatí čítať aj medzi riadkami,
V starej Wiki ten návod bol, ako prešli na Openpli 6, tak to prekopali a toto tam ostalo, ako sme si mohli všimnúť - tak Openpli team trochu kontroverzne pri defaultnej inštalácii zapol len basic Menu, a ak chce človek niečo poriadne nastaviť tak sa musí prepnúť do Expert menu, snažia sa to spraviť viac blbuvzdorné, a s tým podľa mňa súvisí tá krátka stránka o VPN.
Keď ide človek na fórum a dá vyhľadať "openvpn", tak sa dostane viac do problematiky, o tom že Openvpn je de facto štandard a jediný použiteľný klient na prijímači, asi nie je pochýb
niekoľko citátov od Pli member členov teamu
WanWizard - moderátor fóra, člen core teamu

There is an effort on the way to make an OpenVPN plugin for the box, but that won't be ready for a while.

We don't advocate using the STB as an OpenVPN server, as it is not a security device. You don't convert your fridge into a router either. We do understand there are valid use-cases to want the OpenVPN client on your box (I use it myself with transcoding and the fallback tuner when I want to watch TV when I'm abroad).

Until that is ready, then you either have to wait if you are not familiar with Linux and/or OpenVPN, or do it yourself if you are familiar. It is not doable to take someone by the hand and lead them through a manual install, as there are a lot of configuration options that are specific to your personal situation.

https://forums.openpli.org/topic/47352- ... ntry648792

Some other devices, like for example a Synology NAS, can provide OpenVPN server functionality.

And offcourse, if your router has other options (perferrably IPSec, only if all else fails PPTP), you can also use these. Most desktop OS makes supports these VPN's out of the box.

https://forums.openpli.org/topic/44563- ... hl=openvpn

And I don't use the fallback tuner over the internet, I have an OpenVPN client on my box that connects to my Synology at home, and access the fallback through the VPN tunnel. Nothing wide open.

https://forums.openpli.org/topic/49937- ... ntry697919

nakoniec chlapík ktorý na prijímači spravil aj server, čo nie je doporučené neskúseným užívateľom, dajú sa stade odkukať konfiguráky...
https://forums.openpli.org/topic/47406- ... ient-side/

[11chloe]

Jak už jsem psal. Nikoho neodrazuju a klidně si to používejte. V tom wiki je to ale takhle napsané a ten důvod může být i to že mezi samotnými vývojáři nemusí být úplná shoda. Navíc pokud si projdeš fórum tak najdeš i diskuzi na téma "open source".

... rozdiel je že pri open source riešení je oprava pomerne rýchla a dokumentovaná

Tohle nemusí u OpenPLi platit protože kromě open source vrstvy je tam i vrstva od výrobce a ta je neveřejná. Tady pak vývoj vždy naráží na to že se jedno přizpůsobuje druhému. Nemůžeš čekat bezpečnostní aktualizaci pokud to neni možné a může to souviset i s aktualizací od výrobce.
Box je primárně satelitní příjímač a tam je jiná priorita než u routeru. Pak to doporučení chápu jako logické.
Když se kouknu na libssl tak v OpenPLi 4 je už nepodporovaná verze. Neříkám že není bezpečná , ale na aktualizovaném routeru budeš mít novější a v OpenPLi 6 taky. Nadruhou stranu OpenPLi 6 pořád trpí neduhy na některých boxech a důvodem může být právě vrstva od výrobce.
Podobně se dá najít diskuze kolem openvpn kdy někdo požaduje verzi 2.4.0 která je údajně výkonem někde jinde než ty staré. Záleží pak na tom kde vezmeš vývojáře aby na jiné architektuře dokázali tuhle verzi rozchodit. Opět to může narazit na to že nová verze potřebuje novější linuxové nástroje a to pak souvisí i s aktualizací vrstvy od výrobce.
Uznávám že provozovat openvpn klienta nebude nijak zásadní problém. V podstatě mě zajímal jen názor ostatních. Víc k tomu stejně nejni co říct.

[vlado222]

Na základe diskusie k téme prepojenia dvoch satelitných prijímačov, z ktorých jeden pracuje ako klient v lokálnej sieti (bez paraboly) a druhý ako server vo vzdialenej sieti, prikladám aj postup nastavenia routrov Asus RT-N18U bezpečnejším systémom VPN – OpenVPN oproti pôvodnému nastaveniu systémom VPN - PPTP. Použitý bol originálny firmware aktualizovaný na najnovšiu verziu (s alternatívnymi FW DD-WRT, Tomato a pod. som nemal čas sa párať).

[11chloe]

Čistě ze zvědavosti by mě zajímala rychlost přenosu. Můžeš udělat nějaký test ?

[vlado222]

áno, urobím, len prosím o chvíľu strpenia, nie som pri prijímači - Klientovi, vyskytujem sa tam príležitostne
a Klient nie je vždy ON, v každom prípade ti dám informáciu, keď ten test vykonám,
pekný večer,
V.

[vlado222]

ešte k OpenVPN,
uvítal by som vaše skúsenosti z alternatívnych FW, napr. DD-WRT, alebo Tomato,
z procesu flešovania a prevádzky, pozitívne, prípadne negatívne poznatky, nastavenie OpenVPN,
viem, že na týchto FW sú omnoho bohatšie funkcie a možnosti ako v prípade origo firmware,
hlavne by ma zaujímalo, či je to rýchlejšie, stabilnejšie,
či sa do toho mám vôbec púšťať...

[Mila_s]

Dá se nekde najít porovnání ruzných VPN ? Nebo jakou byste doporucili ?
(Mela by ochránit box VU+, i PC, oba jsou za routerem).

[Mila_s]

A ještě: já jsem na web pripojen přes UPC, tam se za pevnou IP adresu plati. Resenim je dyndns. Existuje jich nekolik. Podivat se (z PC se pripojit na konfiguracni web stranku routeru), jakou dyndns podporuje tvůj router (v mem pripade napr. no-ip.com), na strance te služby se z PC zaregistrovat, zvolit si jméno domény, a zvenku se pripojovat přes to jmeno (ono se to samo postara o namapovani jmena domeny i na menici se IP adresy). Priklad: zvenku pristoupim na box jako http://root:heslo@mojedomena.no-ip.com:80

[jajo4546]

V routri mas sluzbu ASUS DDNS a dalsie sluzby DDNS.

[Mila_s]

Jakou VPN byste tedy doporucili ? Podle ceho jste vybirali ?

[jajo4546]

ved sa pozri ake mas moznosti v nastaveniach routra a potom na vzdialenom PC

[Mila_s]

Můj router (TP-LINK) žádné VPN nemá. Budu muset dokoupit nějaký komerční VPN SW.