Router for VPN (client)

[dimxr]

Χαίρετε και καλή χρονιά σε όλους!

Αυτή τη στιγμή χρησιμοποιώ το κλασσικό Speedport με μια VDSL σύνδεση ΟΤΕ.
Θα ήθελα με κάποιο τρόπο να συνδέσω VPN στο ρούτερ κατευθείαν, έτσι ώστε να μπορώ επιτύχω privacy σε συνδυασμό με το local network μου, που χρησιμοποιώ συνεχώς. Το ρούτερ που θα χρησιμοποιώ θα πρέπει να είναι συμβατό με OpenVPN as a “Client” ή IKEv2.

Οπότε κάποια ερωτήματα:

1. Χρειάζομαι καινούριο router; Μήπως μπορώ να χρησιμοποιήσω μόνο το router του ΟΤΕ για να συνδέεται στο internet και όλη τη διαχείριση των τοπικών IPs (και πιθανό port forwarding) να το κάνω μέσω του καινούριου ρουτερ;
2. Αν αποφασίσω να πάρω κάποιο router, θα πρέπει να μπορεί να συνδεθεί και με το VDSL του ΟΤΕ, σωστά; Υπάρχει κάποιο που να μπορεί να συνδεθεί με όλους τους ISPs;
3. Υπάρχει κάποιο router που θα προτείνατε που να μπορεί να κάνει όλα τα παραπάνω πολύ καλά; Έστω ότι θα μπορούσα να δώσω μέχρι 150 ευρώ (όσο φθηνότερα, τόσο καλύτερα προφανώς).

Ευχαριστώ πολύ εκ των προτέρων!

[netblues]

pfsense, σε καποιο pc χαμηλης καταναλωσης

[fadasma]

Κι εγώ το pfsense θα σου πρότεινα. Στο router του Οτε θα ενεργοποιήσεις το pppoe passthrough και στο pfsense θα φτιάξεις μια σύνδεση WAN PPPOE και μία σύνδεση Openvpn client. Μπορείς να φτιάξεις και κανόνες για το τι θα περνάει από το vpn και τι όχι.

Υπάρχει και αυτή η λύση που είναι έτοιμη και βασίζεται στο Openwrt και όχι στο pfsense που απαιτεί λίγο χρόνο για να το μάθεις:
https://www.gl-inet.com/products/gl-ax1800/

[K1m0n]

Δεν θα σου πω "πάνε πάρε το x",
αλλά θα προσπαθήσω να απαντήσω μερικά απο τα ερωτήματα σου,
εσύ θα κάνεις την έρευνα σου.

να μπορώ επιτύχω privacy σε συνδυασμό με το local network μου

Με το x vpn θα επιτύχεις privacy από την αρχή του tunnel (στο lan/router) μέχρι
το σημείο εξόδου (το dc του vpn provider).
Τίποτα περισσότερο, τίποτα λιγότερο.
Αν η χρήση είναι για να παρακάμψεις geoblocking, ή iptv/torrents ok,
αλλιώς δεν αλλάζει και τπτ όσον αφορά το privacy.

Χρειάζομαι καινούριο router; Μήπως μπορώ να χρησιμοποιήσω μόνο το router του ΟΤΕ για να συνδέεται στο internet και όλη τη διαχείριση των τοπικών IPs (και πιθανό port forwarding) να το κάνω μέσω του καινούριου ρουτερ;

Υποθέτωντας ότι έχεις voip τηλεφωνία και σε ενδιαφέρει να κρατήσεις την τηλεφωνία στο cpe του isp,
ναι, τυπικά στήνεις ένα 2ό router "πίσω" από το cpe να κάνει το vpn και το policy routing κλπ.

Όσον αφορά το port-forwarding, τυπικά το σημείο εξόδου των vpn providers είναι πίσω απο cg-nat,
οπότε δεν δύνασαι να έχεις port forward/maping μέσα απο το tunnel (τουλάχιστον όχι όσο δεν πληρώνεις για tunnel με stattic ip).

Αν αποφασίσω να πάρω κάποιο router, θα πρέπει να μπορεί να συνδεθεί και με το VDSL του ΟΤΕ, σωστά; Υπάρχει κάποιο που να μπορεί να συνδεθεί με όλους τους ISPs;

Τυπικά, θα χρησιμοποιούσες το cpe του isp για το modem μέρος του (να συνδεθεί με την xdsl του ote),
και πίσω από αυτό θα έβαζες ένα router να κάνει το vpn.
Οπότε, εφόσον θα χρησιμοποιείς το cpe του x isp σαν modem το ίδιο το router που θα κάνει vpn θα παίξει με όλους τους isp.

Θα μπορούσες να βάλεις και ένα modem/router ώστε να έχεις 1 συσκευή, αλλά:
α) περιορίζεις/ακριβαίνεις τις επιλογές σου (ένα draytek ταιριάζει εδώ), και
β) πρέπει να δεις αναλόγως της dsl σου *τι* modem χρειάζεσαι (17a/35b?), και
γ) πρέπει να δεις τι θα κάνεις με το τηλέφωνο... πρέπει να στήσεις κάπου ένα ata/pbx να κάνει το voip session,
και αυτό το τελευταίο μπορεί να μην είναι εφικτό με όλους τους isp.

Ιδανική περίπτωση για cosmote θα ήταν κάποιο fritz (που υποστηρίζεται και παίζει και το voip αυτόματα) τώρα που κάνει ike2,
αλλά είναι ρευστά τα πράγματα ακόμα,
και δεν ξέρω πόσο θα παίξει με όλους/κάποιους vpn providers,
και οπωσδήποτε θα θέλει να σκαλίσεις το config, και δεν είναι και πολύ παραμετροποιήσιμα,
και μέχρι να στρώσουν το νέο fritz!os θέλουμε μήνες ακόμα.

Υπάρχει κάποιο router που θα προτείνατε που να μπορεί να κάνει όλα τα παραπάνω πολύ καλά; Έστω ότι θα μπορούσα να δώσω μέχρι 150 ευρώ (όσο φθηνότερα, τόσο καλύτερα προφανώς).

Ξεκινάς από το τι κάνει ike2:
ένα οποιοδήποτε κουτί/pc με linux/bsd (θα πρέπει να το στήσεις ο ίδιος όμως),
οτιδήποτε wrt (ένα tp-link (πχ) + flash σε wrt) ή wrt-based (gl.inet/turris omnia/whatever),
pf-sense/opnsense,
mikrotik,
ubnt edge,
cisco ios/asa ή juniper ή whatever enterprise router/firewall από e-bay,
τα διάφορα draytek,
asus (+ merlin?),
sophos ή untangle (νάχεις και firewall/utm μιας και θα ασχοληθείς...),
+ ότι άλλο δεν ξέρω/θυμάμαι (και θα το βρείς εσύ μιας και θα κάνεις την έρευνα σου...).

Αποφασίζεις τι ακριβώς θέλεις, πόσο θες να ασχοληθείς, πόσα $ θες να ξοδέψεις, κάνεις την έρευνα σου,
κάνεις και μια επιβεβαίωση τι ακριβώς ζητάει για το tunnel ο vpn provider και αποφασίζεις.

Να επισημάνω επιπλέον:

1. Κάποια εκ των ανωτέρω, δεν στήνονται με wizzard, πρέπει να έχεις όρεξη να ασχοληθείς,
οπότε πρίν αποφασίσεις να πάρεις ένα mikrotik η να στήσεις ένα wrt,
ρίξε μια ματιά πως στήνονται, ναι?
Γιατί αν περιμένεις wizard και next->next->next->ok, σε περιμένουν εκπλήξεις....

2. Αυτό που δεν μας είπες είναι τι througput περιμένεις από το tunnel.
Αν έχεις 50mbps vdsl αυτό γίνεται σχετικά εύκολα με wrt + ένα (σύγχρονο) οικιακό router,
θα κάνεις δουλειά σου με <150€.
Αν έχεις 200mbps vdsl, εδώ γίνεται πιο δύσκολο, αλλά με ένα mtik θα κάνεις την δουλειά σου με <150€,
ή με ένα wrt + ένα ακριβό/γρήγορο οικιακό router (>150€).
Αν σκέφτεσαι να βάλεις Gbit FTTH αύριο, και θες το x router να σου σηκώνει 1 Gbit tunnel εδώ ακριβαίνει στο σπόρ,
και θα στήσεις κάτι x86 + pfsense οπότε θα είσαι πολύ παραπάνω απο 150€.

ΥΓ
Επειδή τα ίδια έχουν συζητηθεί πολλάκις, κάνε μια έρευνα στα αντίστοιχα παλαιότερα θέματα.

[dimxr]

pfsense, σε καποιο pc χαμηλης καταναλωσης

Με μια τέτοια λύση, θα πρέπει ουσιαστικά να μπει το router σε Bridge mode, σωστά;
Και τι γίνεται αν δεν μπορεί να γίνει αυτό (αν σε 6 μήνες δεν έχω για παράδειγμα ΟΤΕ).

[netblues]

οσο μιλας για vpn client, παιζει και με double nat, χωρις κανενα port forward, και χωρις bridge.

Ομως με λιγο προσεκτικες κινησεις, θα εχεις bridge mode (εφοσον σου χρειαζεται)

[dimxr]

Γι'αρχή φίλε μου, ευχαριστώ πολύ για την αναλυτική απάντηση, την εκτιμώ πολύ.
Κάποιες ερωτήσεις επειδή το αναγνωρίζω ότι δεν είμαι και ιδιαίτερα γνώστης σε ό,τι αφορά δικτυακά ζητήματα.

Με το x vpn θα επιτύχεις privacy από την αρχή του tunnel (στο lan/router) μέχρι
το σημείο εξόδου (το dc του vpn provider).
Τίποτα περισσότερο, τίποτα λιγότερο.
Αν η χρήση είναι για να παρακάμψεις geoblocking, ή iptv/torrents ok,
αλλιώς δεν αλλάζει και τπτ όσον αφορά το privacy.

Τι εννοείς δεν αλλάζει κάτι; Πρακτικά κόβεις τα πάντα από τον ISP σου... Είναι κάτι που χάνω εδώ;

Υποθέτωντας ότι έχεις voip τηλεφωνία και σε ενδιαφέρει να κρατήσεις την τηλεφωνία στο cpe του isp,
ναι, τυπικά στήνεις ένα 2ό router "πίσω" από το cpe να κάνει το vpn και το policy routing κλπ.

Το τηλέφωνο προσωπικά δε με απασχολεί καθόλου, οπότε η ζωή μου στο συγκεκριμένο κομμάτι θα γίνει πιο εύκολη.[/QUOTE]

Όσον αφορά το port-forwarding, τυπικά το σημείο εξόδου των vpn providers είναι πίσω απο cg-nat,
οπότε δεν δύνασαι να έχεις port forward/maping μέσα απο το tunnel (τουλάχιστον όχι όσο δεν πληρώνεις για tunnel με stattic ip).

Ορισμένοι ISPs επιτρέπουν port forwarding μέσω των applications που μπορείς να τρέξεις individually σε κάθε συσκευή. Γίνεται να κάνεις το αντίστοιχο port forwarding σε περίπτωση που το VPN έχει εφαρμοστεί πάνω στο ρούτερ; Ή έχει να κάνει με τον εκάστοτε VPN provider αυτό;

1. Κάποια εκ των ανωτέρω, δεν στήνονται με wizzard, πρέπει να έχεις όρεξη να ασχοληθείς,
οπότε πρίν αποφασίσεις να πάρεις ένα mikrotik η να στήσεις ένα wrt,
ρίξε μια ματιά πως στήνονται, ναι?
Γιατί αν περιμένεις wizard και next->next->next->ok, σε περιμένουν εκπλήξεις....

Η αλήθεια είναι ότι δεν είμαι τόσο προχωρημένος στα δικτυακά ζητήματα, αλλά εφόσον υπάρχουν tutorials που εξηγούν, όλα καλά θα πάνε.

2. Αυτό που δεν μας είπες είναι τι througput περιμένεις από το tunnel.
Αν έχεις 50mbps vdsl αυτό γίνεται σχετικά εύκολα με wrt + ένα (σύγχρονο) οικιακό router,
θα κάνεις δουλειά σου με <150€.
Αν έχεις 200mbps vdsl, εδώ γίνεται πιο δύσκολο, αλλά με ένα mtik θα κάνεις την δουλειά σου με <150€,
ή με ένα wrt + ένα ακριβό/γρήγορο οικιακό router (>150€).
Αν σκέφτεσαι να βάλεις Gbit FTTH αύριο, και θες το x router να σου σηκώνει 1 Gbit tunnel εδώ ακριβαίνει στο σπόρ,
και θα στήσεις κάτι x86 + pfsense οπότε θα είσαι πολύ παραπάνω απο 150€.

Αυτή τη στιγμή, δεν περιμένω κάτι πάνω από 50Mbps. Το τι θα γίνει στο μέλλον, το βλέπουμε, αλλά ας έρθει πρώτα πιο γρήγορη σύνδεση (χλωμό) και μετά το βλέπουμε τι και πώς...

Για την ώρα δεν έχω καμία προτίμηση ως προς τα πού να κινηθώ, αλλά μάλον η λύση του PC με pfsense αποκλείεται λόγω κόστους (αν και καταλαβαίνω ότι θα ήταν η πιο ευέλικτη λύση).

[netblues]

Εαν το προβλημα σου ειναι ο isp σου, και ειδικοτερα στην ελλαδα, η εισαι drag lord ή κατι βλεπεις κατι περιεργα
Ο vpn provider ειναι ενας αλλος isp.
Για καποιο λογο πουλανε οτι αυτοι ειναι καλυτεροι απο τους ντοπιους. Αν ησουν στη κινα, ισως.
Αν θες να παρακαμψεις geolocation, κατι παει και ερχεται, αλλα ο isp σου παντα θα ξερει οτι χρησιμοποιεις vpn. Και οχι, δεν υπαρχει ανωνυμια στο Internet. (Στο διαδυκτιο, για αυτους που το λενε ετσι, πιστευουν οτι υπαρχει :P :P )

[K1m0n]

Τι εννοείς δεν αλλάζει κάτι; Πρακτικά κόβεις τα πάντα από τον ISP σου... Είναι κάτι που χάνω εδώ;

To "τα πάντα" είναι συζητήσιμο.
Ο isp σου μπορεί να δει ότι χρησιμοποιείς vpn και το σημείο εξόδου,
δεν μπορεί να δει τι γίνεται *μέσα* στο tunnel.
Τα υπόλοιπα (ποια sites επισκέπτεσαι με ποιές ip συνδέεσαι...) αντί να τα βλέπει ο τοπικός
isp πλέον θα τα βλέπει ο vpn provider.
Αλλάζεις το σημείο που πρέπει να εμπιστεύεσαι από τον isp στον vpn provider.
Αν το προτιμάς έτσι, ok.
Το τι ακριβώς κάνεις όταν επισκέπτεσαι το x site ή την z υπηρεσία
έτσι-κι-αλλιώς δεν το βλέπουν όταν η επικοινωνία είναι encrypted,
και τα περισσότερα πράγματα πλέον τρέχουν μέσα από https/tls/ssh/whatever-encrypted-protocol.
Θα συνιστούσα έρευνα γύρω απ'το θέμα πρίν αποφασίσεις να πληρώνεις x $/μήνα για να είσαι "ασφαλής".

Ορισμένοι ISPs επιτρέπουν port forwarding μέσω των applications που μπορείς να τρέξεις individually σε κάθε συσκευή. Γίνεται να κάνεις το αντίστοιχο port forwarding σε περίπτωση που το VPN έχει εφαρμοστεί πάνω στο ρούτερ; Ή έχει να κάνει με τον εκάστοτε VPN provider αυτό;

Δεν ξέρω τι κάνουν με τις εφαρμογές τους, αλλά τυπικά στα tunnels νομίζω ότι το exit point είναι cg-nated.
Και αν είναι, Port-forward = γιόκ.
Αν δεν είναι nat-ed, η ip του wan tunnel δεν διαφέρει σε κάτι απ'την wan ip του isp,
θα κάνεις port forward/mapping στο vpn router όπως θα το έκανες και χωρίς το tunnel.
Τουλάχιστον έτσι είναι στο nord (που τυγχάνει να έχω ένα account), αλλά νομίζω ότι αυτή είναι η κοινή πρακτική.
Αν σε ενδιαφέρει ενδεχόμενο port forward μέσα απ'το tunnel επιβεβαίωσε με τον vpn provider ότι γίνεται.