Avatar billede the_julle Praktikant
22. januar 2015 - 15:51 Der er 17 kommentarer

VPN Server: Router eller NAS

Hej alle.

Jeg ønsker at opsætte VPN på mit hjemmenetværk. Jeg har 2 muligheder for at opsætte en server:

1) Router: Asus RT-AC66U
Understøtter kun 1 protokol: PPTP

2) NAS: Synology DS214 Play
Protokoller: PPTP, OpenVPN eller L2TP/IPSec


Er der nogle for / imod for hvilken af disse to jeg opsætter som server?
Som udgangspunkt tænker jeg at bruge router som server, således at NAS ikke skal bruge ressourcer på dette.

Hvad har i af kloge ord? :-)
Avatar billede Slettet bruger
22. januar 2015 - 17:04 #1
Router er bedre, meget bedre hvis du har nas'en til at gøre det skal du først åbne en port midt in i dit netværk hvor efter du slipper nogen løs. Ved routeren giver du dig selv adgang ved døren.

Alternativet til at bruge nas'en hvis du ikke vil slide på resourcer, er at sætte en raspberry pi op.

Vil du give din router styrke er der altid: http://www.dd-wrt.com/wiki/index.php/Asus_RT-N66U
Avatar billede chalde Seniormester
22. januar 2015 - 18:59 #2
#1 Så du mener altså, at en PPTP løsning er bedre end openvpn/l2tp?
Personligt ville jeg hellere åbne en lang række porte rettet mod sikre løsninger, end at åbne hoveddøren ;)

#0 Af de muligheder du har: Løsning 2 og OpenVPN eller L2tp alt afhængig af hvad der skal benytte din VPN.
Tag evt. et kig her: https://www.ivpn.net/pptp-vs-l2tp-vs-openvpn
Avatar billede magic-mouse Novice
22. januar 2015 - 21:04 #3
#2 Jeg forsøgte at være objektiv så mine egne meninger ikke kom ind.

Svaret var udelukkende til hvor det var bedst at sætte den. Og jeg svarede at det var på routeren. Da der ikke forsvinder så stort overhead i hastighed som der gør ved at lægge den inde i netværket.

Desuden henviste jeg til dd-wrt hvor der findes mulighed for open vpn.
Avatar billede the_julle Praktikant
23. januar 2015 - 08:19 #4
Tak for jeres svar.

Jeg har kigget lidt på DD-wrt, men jeg kan ikke lige finde dokumentation for hvilke vpn protokoller der understøttes?
Avatar billede Slettet bruger
23. januar 2015 - 08:27 #5
Her har du fra 0-100 dd-wrt openvpn bridge: http://www.dd-wrt.com/wiki/index.php/VPN_%28the_easy_way%29_v24%2B
Avatar billede chalde Seniormester
23. januar 2015 - 09:15 #6
#3 Så længe der ikke er tale om en dedikeret vpn gateway, så vil jeg til enhver tid placere min VPN andetsteds.
DD-Wrt mv. er ikke gearet hardwaremæssigt til at håndtere VPN, så du vil med al sandsynlighed få højere ydelse ved at placere VPN'en på enten en dedikeret host eller på f.eks. en NAS med bedre hardware, hvormed routeren blot skal gøre det den er skabt til. Placeres VPN løsningen på en router der ikke er designet til det, så vil resten af routerens funktioner få impact når VPN (især med kryptering) er i brug (latency, pakketab mv.).
Der kan dog være begrænsninger hvis man f.eks bruger GRE baserede løsninger, hvilket f.eks. Linksys har problemer med. Men OpenVPN bruger ikke restriktive protokoller og vil blot være IP trafik en router ikke bliver belastet af.

Jeg har personligt en dedikeret VPN host af flere årsager:
- Skalérbar i forhold til hardware
- Snoren kan klippes hvis den kompromitteres
- Kan selv bestemme VPN teknologi
- Kan selv bestemme authentication (PAM, Ldap mv.)
- Kan selv styre logging
- Den vil kun have impact på sig selv

Note: Dette er naturligvis min egen personlige holdning.
Avatar billede the_julle Praktikant
26. januar 2015 - 08:08 #7
Tak for jeres svar.
Det lyder som om, det er en dårlig ide at gøre brug af vpn serveren i routeren, men at det er bedre at bruge den i NASen.

Kan også høre på det hele at man ikke skal bruge PPTP. Så er spørgsmålet hvilken af OpenVPN og L2TP/IPSec jeg skal vælge. Hvad er fordele og ulemper? Umiddelbart er sikkerheden omtrent lige god så vidt jeg forstår.
Avatar billede chalde Seniormester
26. januar 2015 - 08:35 #8
#7 Det kommer lidt an på behov.
OpenVPN kræver en klient mens L2TP er indbygget i de fleste enheder, så L2TP er lidt mere fleksibelt.
Omvendt har jeg haft lidt problemer med certifikater til IPSec (primært grundet Androids håndtering af certifikater) og personligt vil jeg aldrig køre VPN uden certifikat, så jeg har valgt OpenVPN.
Avatar billede magic-mouse Novice
26. januar 2015 - 08:44 #9
#7 PPTP er ikke dårligt hvis alt du kræver er at du skal sidde på samme netværk, MEN! - PPTP kan dekrypteres i realtid, hvilket er det som gør at mange undviger den.

Placeringen af VPN serveren er der (iflg. mig) lige store pros og cons.

Routeren pro: Hurtigere forbindelse og mindre overhead.
Routeren con: Hvis der ikke er støtte for de i routeren kan det være et stort pille arbejde.

NAS pro: Det er let og sætte op, og det tar ikke resourser fra routeren.
NAS con: routeren og andre netværks komponenter kan trække ned på hastigheden. Det her er ikke så farligt hvis din NAS sidder direkte til koplet på dit modem/router/firewall/switch.
Avatar billede the_julle Praktikant
04. februar 2015 - 08:06 #10
Tak for jeres hjælp.

Ved i om min Synology DS 214 play vil stå tændt hele tiden hvis den skal være vpn server?
Avatar billede chalde Seniormester
04. februar 2015 - 09:22 #11
#10 Hvis du har scheduleret den til at lukke ned, så nej. Men så længe den er slukket, så vil VPN ikke være tilgængelig.
Avatar billede the_julle Praktikant
04. februar 2015 - 10:47 #12
Arg, der var jeg lige hurtig nok :-) Det var ikke helt det jeg mente.

Jeg mente: Hvis jeg har sat den op til at gå i Dvale (dvs. mine diske slukker), vil den mon så fortsat gøre det ved brug af VPN? Eller vil mine diske stå og være tændt hele tiden?
Avatar billede chalde Seniormester
04. februar 2015 - 11:30 #13
De går først igang når der er aktivitet mod dem. Så længe du ikke forbinder til VPN, vil servicen ikke aktivere diskene.
Avatar billede puren Ekspert
17. februar 2015 - 23:25 #14
INGEN AF DEM

synnology har så mange sikkerheds huller og PPTP er ikke længer sikker da PPTP er afhængig af MS-CHAPv2 som knækket

så enten skal du reflashe din box med DD-wrt (har aldrig fået det til at virke) ellers skal du finde en gammel computer og bruge den til en PFsense box ja den koster lidt mere i strøm, men der er mulighed for OPENvpn, IPsec, L2tp og PPTP (selv om den ikke er sikker)

PFsense bygger på en BSD-kerne og bliver opdateret hyppigt...
https://www.pfsense.org/
Avatar billede chalde Seniormester
18. februar 2015 - 08:09 #15
#14 Hvilke huller (går ud fra du kender til huller der ikke er lappet).
Avatar billede the_julle Praktikant
21. februar 2015 - 00:34 #16
Tak for dit input.

Jeg er ikke interesseret i at have en dedikeret computer til vpn server, så det er ikke rigtig en mulighed.

Jeg påtænker at bruge Synology som server til dette formål, men har ikke sat det op endnu.
Avatar billede chalde Seniormester
21. februar 2015 - 11:29 #17
#16 Så længe du sørger for at holde den opdateret (både NAS og services) og kun eksponerer de services du har behov for mod internettet, sørger for at begrænse adgangen gennem firewall/router samt bruger adgangskontrol, så er du godt sikret. Bruger du en VPN service der giver mulighed for certifikater (såsom openvpn), så har du et ekstra lag af sikkerhed.
Men som altid, så snart du eksponerer dig mod internettet, så vil du åbne op for potentielle trusler.
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester