Похожие вопросы

Virtualbox - как настроить NAT и перенаправление портов?
Можно ли использовать расширитель Netgear EX6200 W-Fi для подключения Ethernet?
Беспроводной мост между ZTE ZXHN H298N и WAG320N
Я хочу использовать дополнительный беспроводной маршрутизатор для беспроводного подключения к основному. Нужен ли мне мост, точка доступа или ретранслятор?
Как войти в мой второй роутер?
Можно ли подключить" универсальные WiFi адаптеры " к коммутатору вместо конечного устройства?
VirtualBox: ifconfig не показывает мой ip-адрес
Восстановление STP при сбое и восстановлении корня дерева?
Как запустить сетевой мост при загрузке
Безопасно ли добавлять маршрутизатор к модему без режима моста с помощью DMZ?
Как я могу использовать telnet для настройки моего модема/маршрутизатора в режим моста?
Маршрутизатор томата: мост к LAN локальных сетей, приборам достигает через радиотелеграф
Как я получаю доступ к GUI моего модема, когда это находится в мостовом режиме?
Как настроить сеть / мост с помощью оборудования Apple Airport?
Как конвертировать кабели PCIe x1 для работы с картами размера x16?

VPN, мост, маршрутизатор или брандмауэр?

пожалуйста, помогите мне разобраться, какой путь реализации выбрать для следующей задачи:

У меня есть черный ящик, устройство, которое действует как веб-сервер (я могу подключиться к нему локально, введя его IP-адрес в поле адреса браузера.) В коробке не реализованы никакие меры безопасности, кроме простого имени пользователя и пароля. Это, конечно, хорошо, когда этот сервер находится в изолированной сети, но я хочу иметь доступ к нему из интернета - это из любой точки мира. При этом я хочу использовать безопасность TLS для шифрования данных.

имея Rasbperry PI (и программное обеспечение openVPN), я думал, что он будет соответствовать этому приложению. Есть много различных учебников о том, как реализовать VPN, мост, маршрутизатор и брандмауэр с помощью Raspberry PI, но я не могу понять, какой из четырех функциональных возможностей подходит для моего приложения. Концептуальная схема показана ниже:

enter image description here

Raspberry Pi будет иметь два сетевых интерфейса для доступа в интернет: один через наземный ethernet (eth0), другой - с помощью сотового интернета (eth1) - который когда-либо доступен в пользу наземного подключения к интернету. IP-адреса для обоих интерфейсов будут известны. Третий интерфейс ethernet (eth2) будет подключен к локальной сети через коммутатор. Сервер будет подключен к коммутатору. У меня нет контроля над сервером (это черный ящик) - я знаю только его IP адрес.

идея состоит в том, чтобы Raspberry PI выступал в качестве посредника между мной и сервером, чтобы я мог безопасно подключаться к его веб-приложению с помощью моего веб-браузера. но какую функциональность Raspberry Pi должна реализовать: VPN, маршрутизатор, мост или брандмауэр?

изменить:

задача, о которой я говорил выше, была слишком крутой для меня (отсутствие компетенции), и я решил упростить настройку для начала. Я не хотел, чтобы удалить верхняя часть вопроса на всякий случай, если кто-то найдет его и соответствующие ответы полезными. Вместо этого моя новая (упрощенная) настройка будет выглядеть следующим образом:

enter image description here

RP будет подключен к сотовому интернету через ppp0 интерфейс и маршрут весь трафик eth0 интерфейс, который будет напрямую подключен к серверу:

  1. dynamic ppp0 IP address (given by cell service provider)
  2. static eth0 IP address (assigned by me)
  3. non-secure internet connection
  4. RP is connected to the server directly (no switch needed)

Я нашел несколько решения вроде этой и этой, но они не ясно объясняют, почему все так происходит. Они также предоставляют директивы командной строки, которые я не буду знать, как отменить. Вместо этого я хочу, чтобы кто-то ссылался на фактические системные/конфигурационные файлы, которые я мог бы редактировать и отменять, если это необходимо.

В настоящее время, когда я подключаю RPi к веб-серверу, я могу просматривать его из веб-браузера. Цель состоит в том, чтобы быть в состоянии получить доступ к веб-серверу с интернет через ИРЦ. Может ли кто-нибудь предоставить учебное пособие о том, как правильно настроить маршрутизацию, принимая во внимание, что интерфейс ppp0 будет идти вверх и вниз в зависимости от сотовой связи, а также его IP-адрес будет отличаться и неизвестен каждый раз.

5
задан Nazar
источник

2 ответов

TLDR;

вам нужен брандмауэр для защиты вашего веб-сервера, и ваш маршрутизатор, вероятно, уже предоставляет эту функциональность.

подробности

все, что вам действительно нужно, это брандмауэр и SSL для защиты вашего веб-сервера. Если ваш домашний маршрутизатор уже предоставляет это, то Raspberry Pi не даст вам больше безопасности.

вы должны использовать SSL для безопасной связи с веб-сервером. Вы могли бы потенциально использовать Raspberry Pi в качестве обратного прокси-сервера для обеспечения функциональности SSL, но обратные прокси существуют, потому что шифрование SSL является вычислительным тяжелым, и прокси снимает нагрузку SSL с веб-сервера. Pi, вероятно, имеет гораздо меньше вычислений, чем ваш веб-сервер. Но если вы ищете проект Pi, это может быть весело.

распространенное заблуждение заключается в том, что VPN "более безопасна", чем без. VPN - это просто шифрование + туннелирование. Туннелирование-это то, что позволяет обеим сетям полагать, что они находятся на та же сеть. Если вы не пытаетесь "жениться" на двух сетях, вам не нужен VPN. SSL + брандмауэр должен быть в порядке.

enter image description here

3
отвечен Robear 2018-06-09 00:07:19
источник

самое простое решение было бы настроить Pi в качестве маршрутизатора / брандмауэра устройства-то есть вы хотели бы, чтобы брандмауэр запросы к веб-серверу, так что они будут проходить только PI, если они приходят через интерфейс VPN, который завершается на нем, но не будет изолировать Pi от других устройств в локальной сети. Это означает, что он будет работать только все интернет-соединения принудительно через Pi в соответствии с вашей схеме. Если другое устройство в локальной сети скомпрометировано, доступ к веб-серверу может быть приобретенные через него.

(Если вам нужно простое и умеренно безопасное решение, вы можете игнорировать все ниже)

есть более сложные и дорогостоящие сценарии, которые вы могли бы использовать вместо этого. Вместо использования обычного коммутатора можно использовать управляемый коммутатор и настроить веб-сервер на его собственной VLAN, которая видна только Pi (т. е. Pi будет говорить на нескольких VLAN). Вы также поставили бы веб-сервер на свой собственный IP-адрес, в результате чего устройства в локальной сети, чтобы поговорить с ним, но только через Pi.

можно далее расширить на идее коммутатора выше, путем межсетевого экрана VLAN, что веб-сервер находится на таком, что только пакеты, происходящие на интерфейсе VLAN PI, могут говорить на порту 80. Затем вы можете добавить обратный прокси-сервер (например, с помощью Apache) к Pi, который может отвечать на порт 443, а затем получать запросы от веб-сервера на порту 80. Используя клиентскую часть и обычный сертификат, вы можете гарантировать, что только люди, которые могут получить доступ к маршрутизатору, и люди с сертификатом клиента смогут подключиться.

1
отвечен davidgo 2018-06-09 01:02:27
источник

Другие вопросы bridge firewall openvpn router vpn