Egy router több VPN-el

A router biztosítja az otthoni/kisirodai hálózatunk számára a kapcsolatot a külvilág felé, valamit egyben biztosítja az első védelmi vonalat is.

Ez a két, részben egymásnak ellent mondó feladat a routerekbe beépített korlátozott számítási teljesítménnyel, az eszköz felprogramozását a kompromisszumok művészetévé teszi. Ebben a cikksorozatban egy konkrét (bár anonimizált) példa keretében bemutatjuk a szempontokat és a lehetőségeket.

A bemutatáshoz nem a router saját kezelő felületét használjuk, hanem az LEDE nevűt. Erre két okunk is van:

  • Az adatforgalom szabályozásába több beleszólást enged.
  • A ruterre Tomi ezt már korábban telepítette

Azért ezt az esetet választottuk bemutatásra, mert a feladat nagyon hasonlít egy kisirodai hálózatnál felmerülő igényekre.

A feladat

Egy szép napon besétált Tomi 1, a táskájában egy routerrel, és elkezdte magyarázni, hogy mit szeretne.

  • A kollégiumi hálózatot elérni a suliból és út közben
  • Az itthoni hálózatot elérni a kollégiumi eszközökkel
  • Esetleg egy nyomtatót megosztani (ha már van USB port a routeren)

A nyomtatóra már korábban telepítette az LEDE routerekre való operációs rendszert 2

Végül ez a rajz készült:

 

A feladat megoldása valamilyen VPN szolgáltatás használatával célszerű. Az egyszerűség kedvéért a rajz elkészülte után kiderült, hogy Tomi laptopja ugyan Linuxos, de a lakótársa Windowst használ. Tomi az OpenVPN-hez a lakótársa a (Windowsba gyárilag beépített) PPtP protokollhoz ragaszkodik. Próbáltunk érvelni, hogy a PPtP protokoll már többször kompromittálódott, ezért a Windows alatt is használjunk OpenVPN-t. Ebből egy érdekes eszmefuttatás lett (amelynek részletei nem tartoznak-e cikk keretei közé), hogy egyes erős biztonsági protokolloknak a titkosszolgálatok nem keltik-e rossz hírét, pont azért, hogy gyengébbet használjunk helyette? Nem éreztük magunkat felhatalmazva, hogy egy ilyen témában állást foglaljunk. Elintéztük annyival, hogy ez már a konteok témakörébe tartozik.

Ismét eszmefuttatás: Ha már a PPtP fent van, akkor miért nem használjuk azt? A Linux is, a Windows is támogatja, egy szolgáltatással oldjuk meg a feladatot. Megint a makacsságba akadtunk bele: Ha a Linuxra fel lehet tenni az OpenVPN-t, ki kéne használni… Ezzel nem értettünk egyet, mert így egy feladatra két szolgáltatást használunk, ami nehezíti az adminisztrációt, feleslegesen terheli az amúgy is kis teljesítményű routert valamit egy esetleges támadással szemben is nagyobb felületet nyújt (mindkét szolgáltatást támadhatják) . Ezt jeleztük Tominak, aki annyit mondott nem baj.

Elkészítettük az akciótervet

A feladatot megvizsgálva arra jutottunk, hogy ez már összetettségében egy komoly vállalati hálózat (azért az egyes “telephelyeken” a hálózat nem vállalati szintű), ehhez nem biztos, hogy elegendő teljesítményű ez a router, de hobby projektként meg lehet próbálni. A vállalati hálózathoz hasonlóan egy kollégiumi szobában is feltételezni kell, hogy nem mindenki áll a hálózathoz lojálisan.

A routerre a következő szolgáltatások kerülnek telepítésre:

  • OpenVPN kliens, az “otthoni” hálózathoz való csatlakozáshoz
  • OpenVPN szerver a Linux munkaállomások részére
  • PPtP szerver a Windows számítógépek kezelésére
  • Dyndns kliens, hogy a dinamikus IP ellenére elérhető legyen a router az Internet felől
  • LPD vagy hasonló telepítése a nyomtatáshoz

Az OpenVPN kulcsok generálásával már nem kell foglalkoznunk azt már Tomi legenerálta.

Amikor megnéztük, akkor újra generáltuk, mert 1024 bites kulcshosszat választott (Ez az OpenVPN alapértelmezett beállítása). A szakmailag elfogadott RSA kulcshossz a cikk írásának időpontjában a 2048 bites, ezért a 4096 bites kulcshosszat választottuk, hogy amennyiben valami nem várt esemény miatt a 2048 bites kulcsok kompromittálódnak (az ilyen események azért rendszeresen történnek), legyen időnk a rendszert átparaméterezni. (ha a router nem tudja kellő gördülékenységgel kezelni, még választhatunk rövidebb kulcsot)

A Cikksorozatban lépésről lépésre bemutatjuk, hogyan építettük fel a routert, milyen védelmi intézkedéseket tettünk, mik a fejlődés irányai. Ki fog derülni, hogy egy egyszerű routert is védeni kell (a kezelő felületet mindenképpen), valamint megmutatjuk, hogy a router sokkal több annál, hogy „internetet csinál a számítógépre”

Köszönet Tominak, hogy a router nálunk maradhatott, míg a cikkek elkészültek.

 

Kapcsolódó cikkek

Notes:

  1. A név fiktív. Nem járult hozzá a neve közléséhez
  2. AZ LEDE és az OpenWRT projekt azóta újra egyesült