Страницы

Домашний VPN


Если вы частенько пользуетесь мобильными устройствами на хакерских конференциях или любите сидеть через бесплатный Wi-Fi в Макдоналдсе, то рано или поздно вы задумаетесь о безопасности вашего соединения и придете к VPN.

Конечно, есть множество платных и бесплатных VPN сервисов на любой вкус и бюджет, однако домашние каналы интернет доступа уже настолько растолстели, что пару мегабит под VPN трафик можно безболезненно выделить всегда. А большего для мобильного доступа и не надо.

Организовав домашний VPN, вы так же получаете домашнюю тучку (в смысле маленькое облако :)), в которой можно хранить фотки и документы, которые могут вам понадобится в командировке и которые неохота доверять публичным облакам.

Настроить домашний VPN сервер сегодня можно уже практически на каждом домашнем wi-fi роутере. Правда для этого порой необходимо поставить кастомную прошивку, такую как DD-WRT, OpenWRT и другие.

Дома у меня живет и работает роутер Asus rt-n56u с кастомной прошивкой от Padavan

Роутер быстрый, двухдиапазонный (2.4 и 5 ГГц), стримит вебкамеру (используем как видеоняню) и шарит принтер, иногда подрабатывает медиасервером.

Вот на нем я и расположил свой домашний приватный VPN сервер. Для корректной работы VPN рекомендую подключить услугу статического IP у провайдера.
Сконфигурировать iPad для работы через VPN сервис оказалось делом 2х минут

Теперь можно смело подключаться к любому бесплатному wifi (а можно даже и к быстрому 3G), включать ползунок VPN на iPad, смело лазить в интернете и даже управлять домашним хозяйством, не переживая за безопасность паролей, кражу куки и подмену вебстраниц.

Однако протокол PPTP (точнее, MS-CHAPv2) имеет серьёзную уязвимость: злоумышленник может дампнуть пакеты хендшейка MS-CHAPv2 и расшифровать ваш ключ шифрования в течение суток. 

Решением этой проблемы является использование альтернативных VPN технологий, таких как OpenVPN. В интернете уже достаточно давно есть спец. сборка OpenVPN для домашних роутеров. Минусом OpenVPN является работа в пользовательском контексте (к примеру, демон PPTP работает обычно на уровне ядра), что должно заметно сказаться на производительности и загрузке мозгов маршрутизатора. Плюсы от использования OpenVPN - значительно более стойкое шифрование AES 128 бит (можно защищать даже гостайну по американским стандартам) и возможность работы на любом порту, а значит заблокировать такой VPN будет намного сложнее.

К сожалению, для установки OpenVPN клиента на айдевайсы нужен джеилбрейк и очень большой бубен. С Android таких проблем нет. Настроить OpenVPN сервер на роутере можно по этой инструкции.

И еще раз. Домашний VPN помогает вам прятать ваш трафик с ноутбуков, телефонов и планшетов от любопытных глаз, обходить локальные запреты на доступ к различным интернет ресурсам, иметь доступ к домашнему файловому хранилищу, вебкамере и т.д. ... и всё это бесплатно и без особых забот на обычном домашнем wifi маршрутизаторе. Круто?

17 комментариев:

  1. про openvpn+айдевайс уже сказал, но у этих девайсов есть ещё одна проблема - vpn нужно постоянно включать руками

    ОтветитьУдалить
    Ответы
    1. еще нужно всегда обязательно следить за состоянием vpn соединения, ибо если оно отвалится - тупой айпад полезет в интернет напрямую %)

      Удалить
  2. Этот комментарий был удален автором.

    ОтветитьУдалить
  3. Так всётаки ты PPTP + MS-CHAP используешь или OpenVPN? ;)

    Что помещало выбрать другой тип VPN (L2TP или IPSec) или другой протокол проверки подлинности?

    ОтветитьУдалить
    Ответы
    1. PPTP проще. OpenVPN надежней, но не все устройства с ним работают + там свои грабли.

      Сейчас пока кручу OpenVPN... Есть пару идеек как сделать вообще круто!

      L2TP без шифрования. IPSEC роутер не поддерживает (тут циска нужна). Кроме CHAP'ов роутер ничего другого не поддерживает для PPTP.

      Удалить
  4. А можно подробнее как проходит трафик веб-камеры?
    По каким протоколам, приложениям?

    Было бы удобно на какой-то web страничке смотреть веб-камеру.

    ОтветитьУдалить
    Ответы
    1. Обычная вебкамера подключена по USB к роутеру, на котором крутится mjpg-streamer. На роутере поднят еще один локальный минивебсервер, где весит страничка с видепотоком 720p с камеры.

      Звучит намного сложнее чем есть на самом деле. :)

      Удалить
    2. Ааа - по USB неудобно.
      Я хочу беспроводные камеры расставлять - с видом на парковку и т.п.
      Тоже думаю как бы с них получать видео.

      Удалить
    3. Если не нужна конфиденциальность - ставь дешевые китайские камеры с аналоговой трансляцией в ТВ эфир. Ловить сигнал с такой камеры можно обычным телевизором.

      wifi камера, способная давать 720p/30fps и выше, стоит кучу денег.

      Кстати моя USB камера отлично работает с 7ми метровым кабелем.

      Удалить
  5. Домашний VPN не всегда даст нужную надёжность:) Представим банальное выключение света.

    Я бы использовал платные VPN-сервера, которые стоят щас копейки и обеспечивают достаточную стабильность коннекта, если нужен только VPN. Но с внешними серверами тема про камеры и хранилище фоток отходит на второй план.

    ОтветитьУдалить
  6. Стоит добавить, что дома обязательно нужно иметь белый ip адрес. В связи с дефицитов белых ipv4, многие провайдеры предоставляют клиентам доступ в интернет через nat, а белый ip - в качестве дополнительной платной услуги.

    ОтветитьУдалить
  7. Скиньте пожалуйста инструкцию по настройке openvpn сервера и клиента прошивки Padavan. В статье ссылка битая. И вопрос. Можно раздавать таким образом интернет для клиента?

    ОтветитьУдалить
    Ответы
    1. Нет у меня такой инструкции. На 90% уверен, что раздавать интернет клиенту можно будет сразу (в остальных 10% прийдется стучать в бубен).

      Удалить
  8. Здравствуйте, спасибо за статью.
    Я на даче использую свою собственную систему управления на основе RaspberryPi и вот такой способ удаленного доступа к ней — https://vpnki.ru
    У меня это единственный вариант, потому что белого IP нет, а соединение снаружи закрыто провайдером, хотя ddns работает, но толку никакого.
    Насчет скорости не проверял, но мою камеру нормально показывает на смартфоне. Удаленное управление тоже вполне быстро работает.

    ОтветитьУдалить
    Ответы
    1. добрый день,

      я не люблю сторонние VPN сервисы, я им не верю.

      Удалить
  9. Тут мнения у людей расходятся, динамический IP - не проблема благодаря dynDNS я так понял. Но что с серыми IP? Будет работать или нет?

    ОтветитьУдалить