Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Jun 2013

VPN när man kör brandvägg hemma

Tjena!

Har lite frågor om anonymiserande VPN. Jag kör idag en Sophos UTM 9 FW (som VM på min Esxi host) . All trafik går alltså genom brandväggen. För att göra det hela lite krångligare så kör jag 2st 4G abonnemang (företagsabonnemang utan trafiktak) . Kör dom med Upplink balancing i brandväggen, har fast ip på båda abonnemangen men min externa ip alternerar mellan de två beroendes på vilket av 4G modemen trafiken råkar går ut via.

Så nu till frågan, går det att konfa en VPN på Sophos brandväggen med den här setupen ? anonymiserande då. Kör redan ssl vpn mot brandväggen när jag kopplar upp mig utifrån och hem, men då mot en av de externa ip-adresserna.

Det blir fiber in i villan om några månader men skulle vilja få det här till att fungera under tiden.

__________________
Chassi: Fractal Design Define S Black, Mobo: ASUS Strix Z270F, CPU: Intel i7 7700K @ 5Ghz, kylning Noctua NH-D15, RAM: 32 GB Corsair Vengeance 3200 mhz, GPU: Nvidia MSI 1080 Gaming X, PSU: EVGA Supernova G2 750W, OS: Win10
Bärbar: Macbook Pro 15" 2016 QC i7, 16GB RAM, Akitio Node TB3 + GTX970 eGpu
Server: Esxi 6.5 | i5 4690K | 32GB DDR3 | 1TB SSD + iSCSI SATA [/B]

Trädvy Permalänk
Inaktiv
Registrerad
Mar 2010

Antar du vill köra Open VPN? Har Sophos stöd för det?

Jag är lite i samma sits, då jag kör en virtuell Juniper SRX brandvägg, som inte stödjer OpenVPN - ingen möjlighet där. Kör Kabel-TV som primär och 4G som sekundär.

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Jun 2013
Skrivet av studiox_swe:

Antar du vill köra Open VPN? Har Sophos stöd för det?

Jag är lite i samma sits, då jag kör en virtuell Juniper SRX brandvägg, som inte stödjer OpenVPN - ingen möjlighet där. Kör Kabel-TV som primär och 4G som sekundär.

Har inte SRX stöd för OpenVPN? Jag kör också en SRX virtuellt, fast på jobb åt en kund. Har inte tänkt på om den stödjer OpenVPN eller inte. Annars tror jag att Sophos har stöd för OpenVPN, Site to site iaf

Vet inte riktigt om det är OpenVPN jag är ute efter, är det inte någon typ av "klient-vpn" man kör när man abonnerar på anonymiserande VPN-Tjänst? Har aldrig testat så jag vet inte riktigt hur det fungerar.

Jag har nämligen för mig att Sophos inte har stöd för klient-vpn (att initiera en själv då menar jag)

__________________
Chassi: Fractal Design Define S Black, Mobo: ASUS Strix Z270F, CPU: Intel i7 7700K @ 5Ghz, kylning Noctua NH-D15, RAM: 32 GB Corsair Vengeance 3200 mhz, GPU: Nvidia MSI 1080 Gaming X, PSU: EVGA Supernova G2 750W, OS: Win10
Bärbar: Macbook Pro 15" 2016 QC i7, 16GB RAM, Akitio Node TB3 + GTX970 eGpu
Server: Esxi 6.5 | i5 4690K | 32GB DDR3 | 1TB SSD + iSCSI SATA [/B]

Trädvy Permalänk
Inaktiv
Registrerad
Mar 2010
Skrivet av AxF:

Har inte SRX stöd för OpenVPN?

Juniper har endast support för IP-SEC som "klient".

Skrivet av AxF:

Vet inte riktigt om det är OpenVPN jag är ute efter, är det inte någon typ av "klient-vpn" man kör när man abonnerar på anonymiserande VPN-Tjänst? Har aldrig testat så jag vet inte riktigt hur det fungerar.

De flesta använder open-vpn eftersom det är väldigt säkert och framförallt gratis, om du jobbat med IP-SEC så vet du vad jag pratar om....

De flesta "klienterna" är mest dumma skal till antagligen PPTP eller motsvarande eller har en egen open-vpn klient. Jag använder heller inte open-vpn, känner inte att jag har ett sådant stort behov av att vara anonym. Hade dock gärna velat testa det då det skapar en del intressanta utmaningar på routingsidan och jag skulle vilja leka med junipers filter baserad routing mer.

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Jun 2013
Skrivet av studiox_swe:

Juniper har endast support för IP-SEC som "klient".

De flesta använder open-vpn eftersom det är väldigt säkert och framförallt gratis, om du jobbat med IP-SEC så vet du vad jag pratar om....

De flesta "klienterna" är mest dumma skal till antagligen PPTP eller motsvarande eller har en egen open-vpn klient. Jag använder heller inte open-vpn, känner inte att jag har ett sådant stort behov av att vara anonym. Hade dock gärna velat testa det då det skapar en del intressanta utmaningar på routingsidan och jag skulle vilja leka med junipers filter baserad routing mer.

Ok,

Ska jag vara ärlig så håller jag mest på med vmware och storage. Nätverk/FW är inte min starka sida, pysslar bara med det för husbehov.

Jag tror problemet för mig också är att Sophos heller inte stödjer OpenVPN (som klient).Får luska runt lite bland VPN leverantörer och se vad jag kan hitta. Som jag skrev innan så får jag snart in fiber i huset, hade tänkt köra Bahnhof och då hade det varit trevligt att kunna använda deras vpn.

Alt får jag väl skapa en permanent tunnel till ngt av våra datacenter och surfa ut därigenom

__________________
Chassi: Fractal Design Define S Black, Mobo: ASUS Strix Z270F, CPU: Intel i7 7700K @ 5Ghz, kylning Noctua NH-D15, RAM: 32 GB Corsair Vengeance 3200 mhz, GPU: Nvidia MSI 1080 Gaming X, PSU: EVGA Supernova G2 750W, OS: Win10
Bärbar: Macbook Pro 15" 2016 QC i7, 16GB RAM, Akitio Node TB3 + GTX970 eGpu
Server: Esxi 6.5 | i5 4690K | 32GB DDR3 | 1TB SSD + iSCSI SATA [/B]

Trädvy Permalänk
Inaktiv
Registrerad
Mar 2010
Skrivet av AxF:

Alt får jag väl skapa en permanent tunnel till ngt av våra datacenter och surfa ut därigenom

No comments...

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Aug 2002

Det pratas om "VPN" och "Anonym". Det är två skilda saker. Som äpplen och päron.
En VPN är bara en Point to Point förbindelse. Den kan vara krypterad, eller okrypterad.
En anonymitets server är en helt annan sak, även om man använder en VPN för att nå den.

Vill du upprätta en VPN till en server, vad det än må vara för sort? Vore konstigt om inte det går att lösa med vad ni nu råkar ha för utrustningar där hemma? Det är en av de vanligaste sätten idag att komma åt jobbets nätverk osv...

Att sedan vilja ansluta mot en "Anonymitets server" med en VPN är en helt separat fråga.
Är du rädd för att din lina är avlyssnad? Då är det bra med en hårt krypterad VPN.
Om risken för att någon sitter runt hörnet med en fake WiFi och fiskar upp din data är obefintlig och du bara vill bli anonym, behöver du inte ens krypterad VPN, du behöver bara en Point to Point förbindelse med anonymitets servern.

Sitter man med en massa konstig hårdvara som saknar stöd för VPN och det är just VPN man behöver, har man lagt pengarna på fel grejer!

Att vara anonym på nätet idag, innebär bara att man utgår från en server som INTE registrerar vem man är.
Det går mao inte att efteråt komma och fråga vem som hade ett vist IP nummer.

Grund frågan: "VPN när man kör brandvägg hemma" är väldigt lätt besvarad.
En brandvägg låter svar komma in på samma port som frågan gick ut på. (Väldigt förenklat, men i alla fall.)
En brandvägg, om den tillåter att du överhuvud taget kommer ut, skall inte påverkas av att all trafik du skickar ut går till ett enda IP nummer (VPN servern i andra änden)
Stökar man till det med konstigheter i sin dator, får man skylla sig själv om man inte kan använda VPN. Sitter det konstigheter efter datorn, mellan denna och bredbands jacket/dongeln, skall det inte påverka då man konfigurerar VPN i den unika datorn. Det går givetvis att göra det i routern men då är man inte särskilt anonym, om man ligger uppkopplad mot anonymitets servern hela tiden.
Hela iden med anonymitets servern är som gerilla krigföring. Man går ut anonym, gör sin grej och släpper det anonyma IP numret, det är först efter genomförd "attack", dvs om man loggat upp, gjort sin grej och sedan loggat ner utan att blivit påkommen, som man kan säga att man varit anonym. Ligger man en vecka på samma IP, så är chansen stor att man har handen kvar i kakburken när någon undrar "vem är det som har det IP numret."
Om man bara stoppar in handen och tar en kaka, äter den, så är man anonym. "Vem åt upp kakan?" Ingen vet.
(Din ISP loggar vad du hade för IP, anonymitets servern gör det inte.)

Asus Sabertooth Z97 Mark-1 | CPU:i7 4790K - @ 4,4GHz | GPU:MSI GTX970 | RAM 32 Gb 2400 Corsair | SSD Samsung 960 EVO 500Gb | HD WD-black 1TB | PSU:EVGA Supernova G2 750W | Win-X

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Jun 2013
Skrivet av Turbonisse:

Det pratas om "VPN" och "Anonym". Det är två skilda saker. Som äpplen och päron.
En VPN är bara en Point to Point förbindelse. Den kan vara krypterad, eller okrypterad.
En anonymitets server är en helt annan sak, även om man använder en VPN för att nå den.

Vill du upprätta en VPN till en server, vad det än må vara för sort? Vore konstigt om inte det går att lösa med vad ni nu råkar ha för utrustningar där hemma? Det är en av de vanligaste sätten idag att komma åt jobbets nätverk osv...

Att sedan vilja ansluta mot en "Anonymitets server" med en VPN är en helt separat fråga.
Är du rädd för att din lina är avlyssnad? Då är det bra med en hårt krypterad VPN.
Om risken för att någon sitter runt hörnet med en fake WiFi och fiskar upp din data är obefintlig och du bara vill bli anonym, behöver du inte ens krypterad VPN, du behöver bara en Point to Point förbindelse med anonymitets servern.

Sitter man med en massa konstig hårdvara som saknar stöd för VPN och det är just VPN man behöver, har man lagt pengarna på fel grejer!

Att vara anonym på nätet idag, innebär bara att man utgår från en server som INTE registrerar vem man är.
Det går mao inte att efteråt komma och fråga vem som hade ett vist IP nummer.

Grund frågan: "VPN när man kör brandvägg hemma" är väldigt lätt besvarad.
En brandvägg låter svar komma in på samma port som frågan gick ut på. (Väldigt förenklat, men i alla fall.)
En brandvägg, om den tillåter att du överhuvud taget kommer ut, skall inte påverkas av att all trafik du skickar ut går till ett enda IP nummer (VPN servern i andra änden)
Stökar man till det med konstigheter i sin dator, får man skylla sig själv om man inte kan använda VPN. Sitter det konstigheter efter datorn, mellan denna och bredbands jacket/dongeln, skall det inte påverka då man konfigurerar VPN i den unika datorn. Det går givetvis att göra det i routern men då är man inte särskilt anonym, om man ligger uppkopplad mot anonymitets servern hela tiden.
Hela iden med anonymitets servern är som gerilla krigföring. Man går ut anonym, gör sin grej och släpper det anonyma IP numret, det är först efter genomförd "attack", dvs om man loggat upp, gjort sin grej och sedan loggat ner utan att blivit påkommen, som man kan säga att man varit anonym. Ligger man en vecka på samma IP, så är chansen stor att man har handen kvar i kakburken när någon undrar "vem är det som har det IP numret."
Om man bara stoppar in handen och tar en kaka, äter den, så är man anonym. "Vem åt upp kakan?" Ingen vet.
(Din ISP loggar vad du hade för IP, anonymitets servern gör det inte.)

Det var en ganska lång utläggning om saker de flesta redan vet om ?!

Jag vet precis hur en anonymitets-server/vpn fungerar, det är inte det som diskuteras eller jag frågar om. Det jag undrar är om det finns ngt sätt att för Sophos UTM 9.4 att koppla upp sig till en "anonymiserande" tjänst (som oftast tillhandahålls genom att man kopplar upp en klient vpn" och oftast via OpenVPN.

Problemt ligger i 1. Sophos, Juniper, Watchguard, Checkpoint eller andra kommersiella (läs inte hemma hos brandväggar) inte är tänkta att kopplas upp till ngt annat ställe via klient-vpn
2. De företag som erbjuder anonymitetstjänster riktar sig till 99% mot privatkunder som installerar en klient på sin pc/mac och sedan kopplar upp den när dom vill vara anonyma.

Nu vill jag inte behöva klicka på superhemligavpn ikonen på mitt skrivbord varje gång jag vill vara anonym utan vill att all min trafik ut från huset ska gå via en ip som 50 miljarder andra också använder, företrädesvis ska det företaget som äger den IPn även kasta sina loggar innan dom ens hinner landa på disk

__________________
Chassi: Fractal Design Define S Black, Mobo: ASUS Strix Z270F, CPU: Intel i7 7700K @ 5Ghz, kylning Noctua NH-D15, RAM: 32 GB Corsair Vengeance 3200 mhz, GPU: Nvidia MSI 1080 Gaming X, PSU: EVGA Supernova G2 750W, OS: Win10
Bärbar: Macbook Pro 15" 2016 QC i7, 16GB RAM, Akitio Node TB3 + GTX970 eGpu
Server: Esxi 6.5 | i5 4690K | 32GB DDR3 | 1TB SSD + iSCSI SATA [/B]

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Aug 2002
Skrivet av AxF:

Det var en ganska lång utläggning om saker de flesta redan vet om ?! ...

...Nu vill jag inte behöva klicka på superhemligavpn ikonen på mitt skrivbord varje gång jag vill vara anonym...
...företrädesvis ska det företaget som äger den IPn även kasta sina loggar innan dom ens hinner landa på disk :)...

Först vill jag säga att det inte var min avsikt att upprepa vad alla redan vet.
Men som det var upplagt i texten så tyckte jag att man blandade begreppen lite gran. Men skit i det, det var bara min personliga reflektion.

Kan följande länk hjälpa nått? https://kb.juniper.net/InfoCenter/index?page=content&id=KB5663&actp=search
Annars kan du köpa en billig router, montera den längs ut mot internet och åstadkomma en permanent VPN tunnel från den. På det sättet går all trafik från husets nätverk via VPN. Men som jag skrev tidigare, kan man inte förvänta sig särskilt mycket anonymitet om man ligger upp kopplad hela tiden.
Hela idén med anonymitets server är att inga loggar ens skapas. Att föra logg är precis motsatsen till vad de vill åstadkomma. Så vi får väl hoppas att de inte är så korkade. För man loggar, kan man inte kalla sig för anonymitets server.

Asus Sabertooth Z97 Mark-1 | CPU:i7 4790K - @ 4,4GHz | GPU:MSI GTX970 | RAM 32 Gb 2400 Corsair | SSD Samsung 960 EVO 500Gb | HD WD-black 1TB | PSU:EVGA Supernova G2 750W | Win-X

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Jun 2013
Skrivet av Turbonisse:

Först vill jag säga att det inte var min avsikt att upprepa vad alla redan vet.
Men som det var upplagt i texten så tyckte jag att man blandade begreppen lite gran. Men skit i det, det var bara min personliga reflektion.

Kan följande länk hjälpa nått? https://kb.juniper.net/InfoCenter/index?page=content&id=KB5663&actp=search
Annars kan du köpa en billig router, montera den längs ut mot internet och åstadkomma en permanent VPN tunnel från den. På det sättet går all trafik från husets nätverk via VPN. Men som jag skrev tidigare, kan man inte förvänta sig särskilt mycket anonymitet om man ligger upp kopplad hela tiden.
Hela idén med anonymitets server är att inga loggar ens skapas. Att föra logg är precis motsatsen till vad de vill åstadkomma. Så vi får väl hoppas att de inte är så korkade. För man loggar, kan man inte kalla sig för anonymitets server.

Vet inte, det kanske hjälper studiox_swe. Själv kör jag Sophos.

Ang de företag som tillhandahåller anonymitets vpn så blir det kanske svårt att inte logga överhuvudtaget då i princip all mjukvara loggar både det ena och det andra. Det man får hoppas på är 1. Att dom i sina inställningar sparar extremt kort tid (bakåt) och 2. Att dom inte lämnar ut det dom ev har loggat till kreti o pleti.

__________________
Chassi: Fractal Design Define S Black, Mobo: ASUS Strix Z270F, CPU: Intel i7 7700K @ 5Ghz, kylning Noctua NH-D15, RAM: 32 GB Corsair Vengeance 3200 mhz, GPU: Nvidia MSI 1080 Gaming X, PSU: EVGA Supernova G2 750W, OS: Win10
Bärbar: Macbook Pro 15" 2016 QC i7, 16GB RAM, Akitio Node TB3 + GTX970 eGpu
Server: Esxi 6.5 | i5 4690K | 32GB DDR3 | 1TB SSD + iSCSI SATA [/B]