Užil někdo vytvoření vlastního soukromého VPN serveru, který by fungoval napříč různými zeměmi pomocí některého z komerčních VPN zařízení? Hledám radu.
Mikrotik routery dělají skvělé, levné malé VPN servery. Je třeba podniknout základní kroky k jejich zabezpečení.
Wireguard, OpenVPN, IPSEC a půl tuctu dalších esoterických možností byste mohli potřebovat.
Ne pro váš účel, ale já používám několik jejich switchů k poskytování Wireguard VPN jako levného OOB sítě v krabici. Switche, které nemají výkonnou CPU, jsou vhodné pouze pro zhruba 100 Mbps. Ale od nich lze získat síťové zařízení za méně než tisíc, které zvládne 10 Gbps VPN throughput.
Edit: Pokud zvolíte některou z „esoterických možností“, které jsem zmínil, mějte na paměti, že Mikrotik znamená VPN v kontextu síťových inženýrů. Některé možnosti, které jsem nepojmenoval, nejsou vhodné, pokud je vaším cílem zabezpečit provoz proti odposlechu. VXLAN, GRE, IPIP jsou všechny VPN určeny pro inženýrské účely, ale samy o sobě neposkytují žádnou ochranu. Pokud nevíte, co děláte, a chcete bezpečnost, doporučil bych držet se wireguard; je speciálně navržen tak, aby bylo snadné ho správně nakonfigurovat.
https://help.mikrotik.com/docs/spaces/ROS/pages/119144597/Virtual+Private+Networks
VPN na rozpočet = „Podívejte se na Tailscale, je zdarma, snadné a nepotřebujete žádné hardware.“ Může také fungovat na jakémkoli připojení k internetu, takže různé země nejsou problém.
Firewalla je správná volba
Některé routery, které lidé již používají, podporují buď VPN server nebo VPN služby bez potřeby samostatného zařízení.
Cisco ISR series, Cisco Meraki, Sophos XGS, Fortigate, Watchguard, SonicWall, Netgate/pfSense, OPNsense, dokonce Wireguard v kontejneru nebo PiVPN na Raspberry Pi. Musíte rozhodnout o výkonu, zabezpečení, podpoře a rozpočtu.
Měli byste být schopni dosáhnout kolem 400 Mbps obousměrně přes Wireguard pomocí PiVPN na RPI4 za méně než 75 dolarů (včetně krytu, ventilátoru a napájení), a software je zdarma open source. To by byla levná možnost.
Budete potřebovat statickou IP nebo FQDN s poskytovatelem DDNS služeb a router, který umožní přeposílání příslušných portů na RPI.
Také si můžete pronajmout linuxový VPS od cloudového poskytovatele za asi 5 dolarů měsíčně a spustit tam Wireguard, buďte však vědomi případných omezení datové sítě.
Klíčem k obejití omezení země u VPN je nepoužívání komerční služby, protože servery jsou snadno identifikovatelné a blokované, a používat netradiční port pro VPN. Například místo UDP 51820 pro Wireguard, použijte port 61820.
Takže se snažím mít vlastní hardware, aby data procházela pouze přes hardware, který spravuji, nemohu důvěřovat třetím stranám.
Uvažuji o menších Palo Alto jako poslední možnost, ale chci vyčerpat všechny ostatní možnosti dříve, než to udělám.
Šifrovaná data projdou přes veřejné uzly, pokud používáte internet.
Tailscale používá WireGuard k vytvoření šifrované mesh sítě. Tradiční VPN by vyžadovala, aby veškerý provoz procházel přes centrální VPN koncentrátor, což by přidalo značné zpoždění pro mezinárodní přenos, takže je vhodnější použití mesh sítě.
Tailscale je zero trust, což předpokládá narušení.
Každý VPN gateway, který nastavíte, bude předpokládat důvěru v jakékoli zařízení, které poskytne požadované přihlašovací údaje. Je to v podstatě stálé důvěryhodné spojení.