Envío erróneo o controvertido, por favor lee los comentarios.
Vamos a aprender a montar una VPN en nuestro servidor para poder usarla desde nuestros móviles, nuestros portátiles, etc. si en algún momento nos conectamos con una wifi insegura de un hotel, de un McDonald's, etc. Además, para evitar tocar algo que no debamos vamos a hacerlo en un contenedor docker virtualizado.
|
etiquetas: android , ios , linux , ovh , seguridad , servidores , ubuntu , vpn , wifi
Cualquier ayuda se agradecería!!!
...hasta que llega la NSA y se FOLLA a esos 1024bits en los que tanto confías.
No perdáis el tiempo configurando estas mierdas, el Pokémon GO mola mucho más y aporta mas información de calidad a los AMOS.
El servidor funciona, porque en Android 4.4 y Ubuntu no tengo ese problema. Creo que debe de ser una limitación de la tabla de enrutado en las nuevas versiones de Android...
Ahora bien, el articulo es interesante por explicar dos cosas a la vez
Ahí van mis dies.
Lo hice cuando tenía fibra con 20Mb de subida y ahí sí. Ahora pago VPN que ademas me deja salir por el país que quiera
1) Las wifi públicas no bloquean puertos? TEndré que andar jugando con puertos en cada wifi, y si hago como el comentario en el blog, y asigno el 443TCP por ejemplo, debería rular siempre?
2) Como se ve afectada la velocidad de transmisión? Y el LAG? es decir, esto hará que todo vaya más lento, hará que todo tarde en arrancar, ambas cosas o ninguna?
Antes de votar errónea, alguien experto en seguridad me puede explicar si estoy equivocado?
Te debes haber tirado al menos media hora en arrancar un puto servidor de VPN, cuando lo normal es arrancarlo en menos de 3 minutos. En entorno Windows viene de fábrica y configurarlo es un juego de niños, y si no, te bajas uno, lo instalas, y COMO MUCHO solamente tienes que abrir el puerto en tu firewall y en tu router (en 10 minutos estás probándolo desde el móvil).
De verdad que LO FLIPO cómo en el entorno Linux hacer cosas tan sencillas os habéis acostumbrado a que necesite tropecientos pasos (O QUE NECESITE UN DETERMINADA VERSIÓN DEL KERNEL) (con deviemapper, decía el artículo...) ajjajajjajajajjajajajjajajajjajaja
Tíos, evolucionad un poco. Que sea difícil y complicado de instalar y configurar NO QUIERE DECIR QUE SEA MEJOR!!!!!
Tomad ejemplo de Mac, joder, que es un Linux pero te pone las cosas FÁCILES....
Sabréis que Linux está en el buen camino cuando SÓLO los frikis muy frikis sepan qué es y utilizen un Terminal
Y efectivamente es una opción del cliente, aunque se puede "mandar la orden" configurando el servidor: es el cliente el que tiene que modificar la ruta por defecto.
beefproject.com/
Con esto tendrían acceso a tus sesiones establecidas y cockies.
2) Las wifis públicas ya no suelen tener muy buen rendimiento, por lo que será despreciable. Pero siendo estrictos: sí, lógicamente hay un paso más en la comunicación y eso se notará, al tiempo de comunicación entre la wifi y el servidor al que accedes se suma el tiempo del equipo VPN al servidor.
Otro factor es que limitas tu conexión a la velocidad que dé la red de la VPN, y lo que es peor, la velocidad de descarga tuya se limita a la de subida de la VPN (que es la que se va a utilizar para enviarte los datos).
Para navegar no vas a notar nada, unas décimas de segundo más, un pestañeo. Para jugar en tiempo real ya es tontería estar en una Wifi pública. Para descargar también, pero si la wifi es buena vas a estar limitado por la red de tu servidor VPN.
Que me parece muy bien si es una prueba de concepto, una especie de excusa para explicar las bondades de apt-get, de montar cosas virtualizadas, de explicar qué es y para qué sirve una VPN, etc (vamos, como experimento sin fines prácticos pero SI didácticos).
Pero no parece el caso. Parece un tutorial real y serio de explicar cómo se instala un servidor de VPN, y ahí, os pongáis como os pongáis, la gente de Linux acepta como normal algo que no es normal.
No es normal que para que un programa funcione tengas que tener un kernel compilado con ciertas librerías
No es normal que tengamos que configurar manualmente un servicio del sistema
No es normal que tengas que conocer tropecientos comandos y sus parámetros para tropecientas instrucciones (como por ejemplo para crear un fichero de certificado)
No es normal arrancar la consola para tantas y tantas cosas. A mí como informático rarito me gusta mucho abrir la cónsola y usarla, pero es una opción personal: lo normal tiene que ser que los programas tengan una bonita interfaz, con botones, ckeckboxes, combos y sliders. ¿que también se pueden arrancar des de la línea de comandos? PERFECTO ¿Que tienen TODAS las opciones en un fichero de configuración que podemos toquetear? PUES AÚN MEJOR
Pero que sea opcional, que sea para profesionales con necesidades profesionales, NO que sea lo normal
Paz tíos, y a ver si me podéis hacer alguna crítica constructiva y con argumentos
¿Qué cosas aparecen por defecto en Ubuntu?
Las APIs estandarizadas de impresión? (A no, que tienes que poner CUPS u otras cosas)
El firewall ? (A no, que lo tienes que configurar y sacarte una carrera para hacerlo)
Configurar un gateway entre 2 targetas de red con 3 clicks? (A no, que tienes que meterte en las iptables...)
Compartir archivos e impresoras con un par de clicks? (si, en Ubuntu con 1 sólo click lo haces...)
Por favor, cuéntame esas cosas que vienen en Ubuntu y que ninguna de ellas necesites abrir una ventana de Terminal para que te funcione...
1.- Algunos tenéis muy poquito sentido del humor. Mas o menos lo mismo que yo de gracia, vale.
2.- El artículo empieza sin recomendar algo importante para lo que va a hacer despues: Backup, backup, backup.
3.- Necesitas un servidor en un proveedor de hosting lo que significa billetes. Gratis no es.
4.- Necesitas tener privilegios de root lo que exige si o si o un VPS o un contenedor LXC o una máquina dedicada. Eso ya son muchos más billetes.
5.- Como tienes privilegios de root lo siguiente es un apt-get dist-upgrade... ¿En serio? ¿Lo dices en serio? Si solo tienes eso o dos servicios básicos no críticos me vale. Cualquier otra opción significa tener claro que no se va a romper nada. Y vuelvo a 2
6.- Montar una VPN para interconectar sedes a través de un host intermedio no tiene sentido porque enrutas todo el tráfico intersedes por un servidor adicional. Lo montas directamente en cada sede o incluso en cada router de cada sede. Hay mucho host en internet con Traficc Shapping y con limitaciones a 10Mb de salida. He desplegado VPNs site-2-site mediante routers (Cisco/Microtik los tiene güenos, güenos), con pFSense, a pelo, con Turnkey Linux. Hay siempre mil opciones
7.- Hacer lo anterior en un host que no tengas tráfico ilimitado es un suicidio.
8.- Hacer todo lo anterior en un host en el que además hay servicios web, y fundamentalmente MTAs significa que a esa IP le van a zurrar de lo lindo con lo cual como caiga el servidor VPN la que lias es pequeña.
8.- Montar todo esto para ir mas seguro y con privacidad reforzada al Facebook... bueno, como lo diría. Además hay un error de concepto. No te protege una mierda en los extremos. Te protege en el camino. Si te revientan el ordenador desde el que inicias el tunel te va a dar igual.
Mi resumen: Como experimento con Dockers está bien, como opción para algunas cosas personales es interesante pero para uso empresarial Site-2-site es un error. Esto significa tener que gastarte un dinerito en un VPS (20€/mes más o menos) con lo cual ya no es para todos los públicos.
Además la VPN aporta una cosa que #0 no comenta. Conectas dos redes separadas físicamente a nivel Capa 2 o Capa 3, es decir, que se comportan como si estuvieran físicamente unidas. BVamos, que da igual que estés sentado en la oficina con tu portátil que en un hotel con tu portátil. El acceso a los recursos de la red son idénticos.
Por cierto, revísate los de Mac OSX, que creo que has patinado un poco.
No sé ni lo que he escrito, como usuario de Windows creo que estoy poseído.
Estoy contigo, yo uso linux por ser abierto y tener un montón de herramientas, pero consideró que es mucho más cómodo y del siglo XXI que todo tenga GUI, y que sea sencillo.
A veces creo que hay cosas que lo complican innecesariamente para hacerse los guays que saben mucho de tecnología. Hay proyectos opensource que para mí han sido un dolor de huevos ponerlos en marcha. Horrible configuración, horrible documentación, poco amigables... Eso con un poco de menos frikismo se pueden poner más sencillos de instalar y configurar.
Entiendo que un GUI es tedioso de hacer, pero al menos que los archivos de configuración sean sencillos de armar, que me ha tocado repetir la misma configuración en 15 archivos distintos (puto SpagoBI, nunca lo pude echar a andar)
Eso me parece perfecto.
Lo del Mac OSX... quizá si. La verdad es que no estoy muy dentro del mundillo. Yo me acuerdo de haberme bajado un proyecto que se llamaba Darwin o algo así, y que Mac OSX era como la interfaz gráfica que había encima de esto.
Pero también recuerdo haber abierto varias veces un Terminal en OSX, y que podías ejecuatr un ls / y veías carpetas que parecían de Linux (etc, mnt, var, proc)(o algo así, igual también estoy patinando con los nombres, hace tiempo que lo hice y no googlearé esto ahora).
Si me he equivocado, PIDO PERDÓN, OSX NO ES UN LINUX
Dicho esto, no creo que un VPS sea una buena opción para VPN, por el salto intermedio que tú dices que añade redundancia y mete a un tercero en tu camino.
A nivel usuario es un poco matar moscas a cañonazos, te da privacidad porque nadie ve qué haces navegando, pero es caro y complicado de administrar.
Para eso hay empresas que te ofrecen VPN con muchas terminaciones en muchos países. Lo malo claro está es que esa empresa sí ve lo que tú navegas.
Aunque considero que el SSL es un problema gordo para filtrar (no puedes ver nada desde el firewall), la alternativa me parece mucho peor.
Si lo entiendo bien, esto se basa en explotar los navegadores. La VPN tampoco te protege ante este tipo de ataques.
BeEF se vasa en crear un hook en java script que se inyecta dentro de un código HTML creando una web de bypass entre el navegador cliente y el destino.
Un pequeño tutorial de kali linux que explica su funcionamiento básico.
forums.kali.org/showthread.php?23861-Tutorial-Easy-Beef-XSS-hook
Si eres el administrador de la red WiFi solo tendrias que interponer un web proxy que injectara el javascript antes de ir a la web destino.
pivpn.io
github.com/OpenVPN/openvpn/pull/7
Pero desde luego, desde que tenemos montado esto las infecciones han bajado a niveles próximos a cero.
Y respecto a los certificados, bueno tendrían que petar el servidor de A.D. y el Sophos, y entonces ya daría igual la navegación, que nos suplanten páginas y su puta madre porque nos habrían jodido de verdad.
Pero es eso o el Pleistoceno la informática.
Lo que digo es que, en general, https y un poco de sentido común basta para casi todo, excepto para agencias gubernamentales, que esas sí tienen certificados universales y legales que permiten interceptar tráfico, por lo visto.
La VPN sí sirve para evitar filtros y, en general, censura (se usa habitualmente en sitios como China, Iran, etc, pese a que OpenVPN en China está ya bastante controlado).
Ahora bien el interfaz de synology es cremita
En todo caso ¿Cómo sabe el cliente que el gateway de la VPN enruta hacia fuera? No tiene por qué hacerlo.
Yo creo que tienes el servidor configurado para mandar por DHCP la ruta y por eso el cliente te enruta todo por la VPN, puede que no tenga una opción como tal pero al final es el cliente el que tiene que cambiar sus rutas.
Pero para eso hay trampas, como bien enlazas con ese pull, puedes fingir que es comunicación HTTPS o incluso usar websockets con HTTPS de verdad.
Luego pueden impedir las comunicaciones con websockets o que sean muy duraderas... y así seguir la persecución en círculos
También es la más complicada para los clientes windows, ya que por defecto no viene en Windows (ups).
Al mismo tiempo es la solución más flexible, potente y configurable, perfecta para entornos corporativos o empresariales donde otros se quedan cortos.
Que alguien quiera montar un OpenVPN para su casa, y más sobre un docker... pues es una cosa personal de quien lo haga, como si lo monta en Windows que seguro que le da el doble de problemas (aparte de no tener un equivalente a docker, claro).
Es como si yo critico la complicación de Indra para montar un puente, cuando yo en mi finca cogí cuatro maderas y ya pude cruzar el regato que tengo.
OpenVPN es el puente de hormigón y asfalto, resistente a torsión, de tantos metros como quieras y que dura varias décadas.
El asistente de VPN de Windows es el puente de madera (Microsoft tiene otras cosas para hacerlos de hormigón, pero no viene en tu edición de Windows ni es tan sencillo )
Luego, hablando de tirarse tiempo configurando chorradas ¿Has visto ya como configurar el puerto de la conexion PPTP en Windows? Que me interesa.
Imagínate que en medio de una zona turística habilitáramos una WiFi abierta haciéndonos pasar por una entidad de turismo y que requiriéramos hacer un like en facebook para poder navegar. En nuestra pagina de bienvenida colocamos el hook y luego un botón de login en facebook para el like.
La cantidad de gente que haría un like por no gastar datos del teléfono sin preocuparse en que su cuenta puede estar siendo robada.
La mayor vulnerabilidad informática somos las personas
Y luego, confundes Linux con UNIX. Linux se inspira en UNIX, Darwin es un UNIX certificado.
Al final la gente que ataca de forma tan ridícula Linux acaba demostrando que tiene poca idea de lo que habla, lo que motiva que nadie se lo tome en serio ni de respuestas productivas.
Te puede servir para saltarte las restriciones geográficas para ver la TV por internet, pero si lo que quieres es evitar exponer datos privados en la wifi del McDonals puede que los esté viendo el administrador del nodo de salida TOR o del proxy.
pk no lo simplifican a un "siguiente siguiente siguiente" ?
Esto está pensado para un servidor pequeño como el mío, que ya lo tienes por la circunstancia que sea y entonces lo utilizas también para VPN.
Y por cierto, docker no se puede comparar con VMware, Hiper-V ni Virtualbox. No es una virtualización de un sistema completo y por tanto necesita muchos menos recursos.
Espero haber aclarado tus dudas