VPN Server: Router eller NAS

Router er bedre, meget bedre hvis du har nas'en til at gøre det skal du først åbne en port midt in i dit netværk hvor efter du slipper nogen løs. Ved routeren giver du dig selv adgang ved døren.

Alternativet til at bruge nas'en hvis du ikke vil slide på resourcer, er at sætte en raspberry pi op.

Vil du give din router styrke er der altid: http://www.dd-wrt.com/wiki/index.php/Asus_RT-N66U

#1 Så du mener altså, at en PPTP løsning er bedre end openvpn/l2tp?
Personligt ville jeg hellere åbne en lang række porte rettet mod sikre løsninger, end at åbne hoveddøren ;)

#0 Af de muligheder du har: Løsning 2 og OpenVPN eller L2tp alt afhængig af hvad der skal benytte din VPN.
Tag evt. et kig her: https://www.ivpn.net/pptp-vs-l2tp-vs-openvpn

#2 Jeg forsøgte at være objektiv så mine egne meninger ikke kom ind.

Svaret var udelukkende til hvor det var bedst at sætte den. Og jeg svarede at det var på routeren. Da der ikke forsvinder så stort overhead i hastighed som der gør ved at lægge den inde i netværket.

Desuden henviste jeg til dd-wrt hvor der findes mulighed for open vpn.

Tak for jeres svar.

Jeg har kigget lidt på DD-wrt, men jeg kan ikke lige finde dokumentation for hvilke vpn protokoller der understøttes?

Her har du fra 0-100 dd-wrt openvpn bridge: http://www.dd-wrt.com/wiki/index.php/VPN_%28the_easy_way%29_v24%2B

#3 Så længe der ikke er tale om en dedikeret vpn gateway, så vil jeg til enhver tid placere min VPN andetsteds.
DD-Wrt mv. er ikke gearet hardwaremæssigt til at håndtere VPN, så du vil med al sandsynlighed få højere ydelse ved at placere VPN'en på enten en dedikeret host eller på f.eks. en NAS med bedre hardware, hvormed routeren blot skal gøre det den er skabt til. Placeres VPN løsningen på en router der ikke er designet til det, så vil resten af routerens funktioner få impact når VPN (især med kryptering) er i brug (latency, pakketab mv.).
Der kan dog være begrænsninger hvis man f.eks bruger GRE baserede løsninger, hvilket f.eks. Linksys har problemer med. Men OpenVPN bruger ikke restriktive protokoller og vil blot være IP trafik en router ikke bliver belastet af.

Jeg har personligt en dedikeret VPN host af flere årsager:
- Skalérbar i forhold til hardware
- Snoren kan klippes hvis den kompromitteres
- Kan selv bestemme VPN teknologi
- Kan selv bestemme authentication (PAM, Ldap mv.)
- Kan selv styre logging
- Den vil kun have impact på sig selv

Note: Dette er naturligvis min egen personlige holdning.

Tak for jeres svar.
Det lyder som om, det er en dårlig ide at gøre brug af vpn serveren i routeren, men at det er bedre at bruge den i NASen.

Kan også høre på det hele at man ikke skal bruge PPTP. Så er spørgsmålet hvilken af OpenVPN og L2TP/IPSec jeg skal vælge. Hvad er fordele og ulemper? Umiddelbart er sikkerheden omtrent lige god så vidt jeg forstår.

#7 Det kommer lidt an på behov.
OpenVPN kræver en klient mens L2TP er indbygget i de fleste enheder, så L2TP er lidt mere fleksibelt.
Omvendt har jeg haft lidt problemer med certifikater til IPSec (primært grundet Androids håndtering af certifikater) og personligt vil jeg aldrig køre VPN uden certifikat, så jeg har valgt OpenVPN.

#7 PPTP er ikke dårligt hvis alt du kræver er at du skal sidde på samme netværk, MEN! - PPTP kan dekrypteres i realtid, hvilket er det som gør at mange undviger den.

Placeringen af VPN serveren er der (iflg. mig) lige store pros og cons.

Routeren pro: Hurtigere forbindelse og mindre overhead.
Routeren con: Hvis der ikke er støtte for de i routeren kan det være et stort pille arbejde.

NAS pro: Det er let og sætte op, og det tar ikke resourser fra routeren.
NAS con: routeren og andre netværks komponenter kan trække ned på hastigheden. Det her er ikke så farligt hvis din NAS sidder direkte til koplet på dit modem/router/firewall/switch.

Tak for jeres hjælp.

Ved i om min Synology DS 214 play vil stå tændt hele tiden hvis den skal være vpn server?

#10 Hvis du har scheduleret den til at lukke ned, så nej. Men så længe den er slukket, så vil VPN ikke være tilgængelig.

Arg, der var jeg lige hurtig nok :-) Det var ikke helt det jeg mente.

Jeg mente: Hvis jeg har sat den op til at gå i Dvale (dvs. mine diske slukker), vil den mon så fortsat gøre det ved brug af VPN? Eller vil mine diske stå og være tændt hele tiden?

De går først igang når der er aktivitet mod dem. Så længe du ikke forbinder til VPN, vil servicen ikke aktivere diskene.

INGEN AF DEM

synnology har så mange sikkerheds huller og PPTP er ikke længer sikker da PPTP er afhængig af MS-CHAPv2 som knækket

så enten skal du reflashe din box med DD-wrt (har aldrig fået det til at virke) ellers skal du finde en gammel computer og bruge den til en PFsense box ja den koster lidt mere i strøm, men der er mulighed for OPENvpn, IPsec, L2tp og PPTP (selv om den ikke er sikker)

PFsense bygger på en BSD-kerne og bliver opdateret hyppigt...
https://www.pfsense.org/

#14 Hvilke huller (går ud fra du kender til huller der ikke er lappet).

Tak for dit input.

Jeg er ikke interesseret i at have en dedikeret computer til vpn server, så det er ikke rigtig en mulighed.

Jeg påtænker at bruge Synology som server til dette formål, men har ikke sat det op endnu.

#16 Så længe du sørger for at holde den opdateret (både NAS og services) og kun eksponerer de services du har behov for mod internettet, sørger for at begrænse adgangen gennem firewall/router samt bruger adgangskontrol, så er du godt sikret. Bruger du en VPN service der giver mulighed for certifikater (såsom openvpn), så har du et ekstra lag af sikkerhed.
Men som altid, så snart du eksponerer dig mod internettet, så vil du åbne op for potentielle trusler.