VPN bez veřejné IPv4

klux · June 15, 2020, 8:45am

@Mracek
Když trošku odbočím, je při aktuálním nastavení možné nějak rozjet OpenVPN, pokud NEMÁM placenou veřejnou IPv4, pouze GPON IPv6/64?

Popř. byl by někdo schopen poskytnout takový config?
Popř. PM
Děkuji

ostravak · June 16, 2020, 5:53pm

K cemu to OpenVPN chces pouzivat?

Mozna by ti postacovalo mesh vpn jako Tailscale nebo ZeroTier.

klux · June 17, 2020, 7:05pm

Chci přistupovat na RaspberryPi, které mám zapojené za TO (ssh,scp a další služby…),
možná jsem paranoidní, ale úplně nechci mít vše “vystrčené” do světa

vcunat · June 17, 2020, 7:08pm

Já přesně na takové věci používám IPv6. Každé zařízení má svou adresu použitelnou zvenčí, ssh/scp autentikace jedině klíčem (heslo zakázáno)

EDIT: pochybuji že SSH jako protokol je zranitelnější než VPN.

klux · June 17, 2020, 7:10pm

Ano, to se dá na tyhle “nízké” protokoly, ale mám zde třebas HomeAssistant, kamery… (což jsou weby s jednoduchou autentizací, pokud bych nechtěl řešit multi factor authentication)
A to jsou věci, které… však chápete

vcunat · June 17, 2020, 7:12pm

Jasně… no pokud bude fungovat to IPv6 tak stejně jako jste se připojil na SSH se připojíte na VPN… prostě ta adresa serveru musí být dostupná zvenčí (pokud se nepoužívá nějaký prostředník nebo jiné triky). Alespoň to je moje teorie, já (na tohle) VPN nepoužívám.

ostravak · June 17, 2020, 7:20pm

Na pocitac/mobil si nainstaluj klienta Tailscale.

A na Raspi si taky nainstaluj klienta: https://tailscale.com/kb/1025/install-rpi

Za 10min mas hotovo - easy.

MikeP · June 17, 2020, 7:24pm

Já na stejný účel používám wireguard přímo na TO. Mám sice veřejnou IPv4, ale mělo by to fungovat i s nějakou dyndns službou.

klux · June 17, 2020, 7:27pm

Díky, mrknu na to pořádně o víkendu, až bude trocha času…
Varianty tedy by byly:

tailscale
wireguard
TO do režimu bridge pro wan6 + NDP (pro služby otevření některých služeb do netu)

ostravak · June 17, 2020, 7:36pm

Wireguard na TO je OK, ale bez verejne v4 si ani neskrtnes.

Bez verejne ip znamena, ze jsi za devatero NATy, tedy dyndns ti nepomuze.

Doba kdy se klientum davala nahodna verejka ja davno pryc

Tailscale je na bazi Wireguard, ale nepotrebujes server a pouzijes prostrednika na vytvoreni spojeni. Funguje to velmi dobre.

Jirka · June 17, 2020, 7:39pm

Ono Ipv6 neni idealni (viz problemy u PODy vedle), stejne jako WG UDP… Vetsinou, kdyz se clovek pripojuje zvenku, muze to byt letiste, nemocnice, nejake ostrovy… tak se neda spolehat na otevrene UDP, a na ipv6 uz vubec… Takze je dobry mit min. jako fallback “hloupe OpenVPN@TCP” na beznem portu typu 443 apod…

Tailscale apod… a tomu prostrednikovi se veri? Ja pouzivam na prostrednika prave TO s verejnou…

vcunat · June 17, 2020, 7:47pm

Veřejná IPv4 je pochopitelně “nejlepší”, ale normálně něco to stojí, běžně myslím i stovku měsíčně (alespoň u levnějších připojení).

ostravak · June 17, 2020, 7:49pm

Souhlas s v6@poda i s fallback na 443/TCP

Proste pokud nemam verejku, tak musim nekomu verit a Tailscale je na to vhodny kandidat.