[Overkilla]

Väike OpenVPN server tiksub, hoiab andmebaasi ja jagab 5-6 kliendiga. Küll tulevad robotid pidevalt seda porti torkima ja OpenVPN teatab: client limit (20) reached.
Telia ruuteris otse suunamine port 1194 -> serveri peale.

Kuidas muuta seda turvalisemaks, et rünnakuid vähemaks jääks.

Seni pole keegi võõras ühendust saanud, sertifikaadid hoiavad, aga päris muretult ei tunne ikkagi.

[Etz]

Overkilla, port ära vahetada ja panna püsti tarpit või brute force prevention.
Kui liiga palju pordi kallal niisama krõbistada, pannakse ip blacklisti ja dropitakse sealt tulevad paketid iptablesi prerouting chainis lihtsalt ära.

Ise aga soovitan OpenVPN'i asemel, wireguardile kolimist kaaluda.
See ei anna oma olemasolust kuidagi märku ja niisama seda porti probedes, on tulemuseks vaikus.

[napoleon]

Custom port jah. Pluss kui platform võimaldab, siis port knocking oleks ka variant eeldusel, et kasutajad sellega hakkama saavad.
Mõni nipp on veel. Näiteks panna rule, et kui keegi default porti proovib, siis saab ip mingiks ajaks ban-i.

[laurx]

Robotid müttavad custom pordid ka välja.

[napoleon]

Siis on port knocking. Aga see tuleb nutikalt seadistada, Muud vahendit kui iptables ei oskagi kohe soovitada, ise olen käsitsi need reeglid teinud

[Overkilla]

Need head vastused, aga server jooksutab Windowsi. Andmebaasi jaoks vaja.
Pordi vahetus oli mul endal ka mõte, vähemasti mõnede pahalaste vastu töötab, kuhugi 45678 peale kolida.

Hetkel kaalun isegi tulemüüri seadme ostmist, kas see aitaks filtreerida, näiteks ZYXEL USG Flex Firewall 10/100/1000.

[laurx]

kuidas sul praegu see openvpn on? mingi võrguseade on sul seal ju? openvpn i serverit oskab asus mis nad olid, rt660/680 ja ilmselt ka järglased teha.

mul ühes kohas oli 660rt vms ja openvpn i server jooksis seal. ehk siis klient ühendas võrguseadmesse, sealt siis tegin edasi, antud juhul läksid kasutajad oma masinale remote desktopiga edasi (seda kasutajad oskasid)

meil olid customa rdp pordid otsitud, igale kasutajale siis seadistatud, et tema masin kuulas kindlat porti ja võrguseade siis suunas vastavalt. ühel hetkel läks malwarebytes business masinatesse. siis hakkas tekkima logi, et mingitesse masinatesse on käidud koputamas. asuses käisin katsumas ja ip sid blokeerimas. enamus olid hiinast, prooviti suvapordil masinatesse sisse logida. panin openvpn i siis asuses käima. sättisin asuse ka nii, et logiks, saadaks kirjeid. asus oli vait. masinatest read kadusid.

[Overkilla]

[Dijital]

Kas kliendid on väljamaalt või kohalikud ning kas botid on väljamaalt või kohalikud? Ehk saad whitelistida sobivad IP-vahemikud ja teised kõik saadetakse juba eos pikalt.

[laurx]

Asus maha ei käinud.

[Etz]

laurx, ma arvan et VPN’i teise purki tõstmine teda et vaevalt nende kiibitsejate vastu aitab.
Aga samas masinas VPN’i ja baase hostida küll ilmselgelt hea mõte pole.

[laurx]

niipalju aitab, et võtab selle teise purgi konfiga veidi läbu kinni. kui sinna vahele saab mingi rohkem konfitav asi, saab vast puhtamaks ja muretumaks. ma tahtsin seda näidata, et juba teise purki kolimisega läksid logid puhtamaks aga see mida asus ei näidanud, ei tähendanud, et ei olnud seda kangutamist.

[Overkilla]

[warwas]

Kui Sul seal Windowsi masinas on tulemüür traditsiooniliselt välja lülitatud, siis lülita see sisse ja tee siseneva 1194 pordi peale reegel, kus on lubatud ainult Eesti vahemikud (https://suip.biz/?act=ipcountry).

Edasijõudnute variant oleks see, et ajad seal masinas Hyper-V käima ja teed ühe pisikese linuxi vm'i, mis hakkab nö. VPN gateway'd mängima. Sinna saaksid juba seadistada fail2ban vms, vidina mis kõik kiibitsejad lühemaks või pikemaks ajaks risti lööb.

[DigeBeni]

Ei saa kuidagi väga tõsiselt seda mure võtta, kui kasutuses teenusepakkuja DG400, mis on sisuliselt kasutaja jaoks kinnine karp

Jah, võib igast keemiat kokku aretada selle karbi taha, kuid kuniks ruuter pole sinu kontrolli all, siis millest me siin üldse räägime

[Tint]

ruuter ruuteriks, seal sa saad piirata ehk ip põhiselt ligipääsu, pigem on sinna tulemüüri ruuteri asemel vaja

[Overkilla]

Ma eelpool uurisin ka, et milline seade sobiks. Cisco tulemüür? Paneks sinna vahele ja saaks päris töötava lahenduse.

[DigeBeni]

Pole mõtet üle pingutada, kui see just mingi ülimalt teenusekriitiline ja massilise liiklusega lahendus pole, siis soovitaks:
https://foorum.hinnavaatlus.ee/viewtopic.php?t=830452

Saab juba ruuteri tasemel suuremas osa asju kätte, mis turvalise ühenduse loomiseks vajalik.
Muidugi eeldab pisut algteadmisi, kuidas asju seadistada, kuid võimalused on kõik olemas.

[warwas]

Overkilla, kui sa "päris" Ciscode hinda näed, siis läheb Sul isu üle
Cisco pole mingi võluvits, mis kõik probleemid automaatselt ära lahendab.

Ma ei saa endiselt aru, miks soovitatakse asja nii hullult keeruliseks ajada. Saaks veel aru mingi suurema teenuse pakkumise kontektsis aga 5-6 kasutajat? Kui on eelarves vahendeid, mida vaja kulutada, siis muidugi, miks mitte.

Sesmõtts olen DigeBeni'ga nõus, et kontrolli puudumine teeb Telia seadmete kasutamise veidi ebamugavaks. Aga mitte võimatuks. Jah, kohe perimeetril müürimine võiks olla eelistatud aga mitte märkimisväärselt halvem pole ka selle tegemine veidike kaugemal (eriti veel sellise väikese setupi kontekstis).

Kui hakkad uut ruuter/müüri vaatama, siis vaata juba selline, millel on miski VPN'i teenus juba sisse ehitatud. Siis Tikkude RouterOS sai vist nüüd 7. versiooniga lõpuks ometi UDP toega OpenVPN'i. Samuti on seal olemas Wireguard, mis võiks olla tänasel päeval eelistatud.


Tulles tagasi probleemi enda juurde - kas need kasutajad tulevad dünaamiliste või fikseeritud aadresside tagant? Kui aadressid ei muutu, siis teed ruuterisse konkreetsete piirangutega suunamised ja probleem ongi lahendatud. Kohe perimeetril, ja puha.
Kui dünaamilised, siis miks mitte kasutada Windowsi enda tulemüüri reegleid? Müürid kõik peale Eesti välja ja ongi vaikus majas.

[Overkilla]

Tänud kaasa mõtlemast. HyperV ei hakka seadistama ajakulu tõttu, seepärast pigem plaan väline seade võtta, vaatasin hetkel natuke alla 1000eur seadmeid, kuigi jah Cisco ka 17k - enamus sellest võimekusest pole vaja.
Telia pakub 400eur/kuu tulemüüri teenust, see ikka tundub liig.

Dünaamilised aadressid klientidel, ma natuke jälgin kas need tihti muutuvad ja jäävad sinna eelpool toodud Eesti vahemikku.

[napoleon]

Kui hyper V liiga keeruline tundub, siis virtualboxis saab ka vabalt mingi linuxi käima lasta. Saad põmst oma windowsi masinast openvpn konfi võtta ja pole isegi väga palju seadistada, et openvpn seal virtuaalmasinas tööle hakkaks.
Kui mingisugunegi eelnev kogemus olemas on, siis pakuks et paar tundi ja asi töötab. Tulemüüri(ja soovi korral fail2ban) seadetega peab muidugi natuke mängima et endale see kõikse parem leida, see võib mõnevõrra rohkem aega võtta.

[warwas]

Hyper-V soovitus oli puhtalt selle pärast, et see on Sul "tasuta" juba praegu olemas.

Eraldi "VPN lüüsi" lahendust (vahet pole, kas füüsilise või virtuaalsena) pakkusin seetõttu, et olen isiklikult Sinu probleemiga sarnast olukorda aastaid tagasi sedasi lahendanud. Wireguard'i serveriks sai kasutatud vana 2. generatsiooni vaarikat (B+, äkki?), mis tänu WG efektiivsusele võimaldas ~95Mb/s liiklust (võib-olla oleks tulnud isegi rohkem, aga neil vanadel vaarikatel oli ju 100'ne võrkar).
Ja sellisest setupist pumbati probleemideta igapäevaselt kümneid gigasid läbi.
(analoogne lahendus OpenVPN'i puhul kasutas alumise otsa Inteli NUC'i, sest OVPN pole just väga "kerge" asi, mida vedada).

PS! Alla 1000 euriku Sa õiget Ciscot ei saa. Kui mälu ei peta, siis kõige odavamad Firepower'id algavad vist kuskil 1500 kandist.

[DigeBeni]

Ma ei väida, et ei saaks teisiti, kuid kui inimese jaoks tekivad küsimused nii põhimõttelistes asjades, siis ilmselgelt ei ole ise ehitamine parim mõte ja valmis purk, mis oskab natuke kõike ja on kõigeks selleks ka mõeldud; on olemas ka mingi arvestav tugi ja know-how, oleks igal juhul parem lahendus.

[pppd]

siin on mõne kliendi teenindamiseks mõeldud pisi-VPNi konfimisest juba ulmesse ära jõutud.. võta sammhaaval, kõigepealt muuda port mingi kõrge ja mittestandardse peale ära ja siis vaata, kas oleks üldse midagi veel vaja

[napoleon]

pppd, tõsi ta on, see on kõige lihtsam meede mingit lollid bot-d eemale peksta.
Samas windowsi peal openvpn jooksutamine on üldse nagu on, mina seda parema meelega ei teeks kui just hädavajadust pole.