Ahoj, prosím o radu, mám router Asus který umožňuje vytvořit VPNku na protokolech OpenVPN, PPTP, L2TP / IPSec. Jaký mám použít? VPN bude použita pro přístup do vnitřní sítě z venku pro 3 osoby (každý by měl mít vlastní přístupy z Windows 10/11, Android 14 a vejš). Netuším co je bezpečnější, lepší atd. a ani jaké jsou rozdíly mezi protokoly. A když už vybereme protokol, jakého klienta na to použít? Stačí integrovaný do Windows / Androida nebo je nutné instalovat program třetí strany, jaký? Díky moc za pomoc.
Mate aj staticku IP alebo dynamicku IP (cez DynDNS)?Pozor na dynamicku IP na CGNAT. Tam nie je mozne rozbehnut VPN tunel na routri.
mam statickou IPv4
Jakou ma souvislost dynamicka IP a CGNAT?
Internetoví poskytovatelia napr. na Slovensku používajú často CGNAT spolu s dynamickou adresou. Každých pár dni menia IP adresu v ich rozsahu, ale stále je človek za CGNAT a aj keď nastavím DynDNS cez externú službu a externá DynDNS mi aktualizuje aktuálnu dynamickú adresu, za CGNAT pri pripojení cez VPN dôjde ku timeoutu a nespojí ma. Nato sa dá použiť Tailscale, ZeroTier alebo vlastná VPSka, ale to routre bežne nepodporujú, jedine žeby mal pfSense/OPNsense router.
Nastuduj si prosim rozdily mezi pojmy "dynamicka" a "staticka" versus "verejna" a "neverejna".
Tak mi to vysvetli prosím, lebo som stále neprišiel nato, prečo mám dynamickú IP v rozsahu internetového operátora, ale som za CGNAT.
To je snad musis zeptat operatora, proc to ma takhle udelane, ne? Kazdopadne dynamicka IP != verejna IP. Tzn. pokud ta adresa neni z nejakeho duvodu verejna (at uz kvuli CGNAT, nebo ji ISP "zvenci" blokuje firewallem, ci jen proto, aby sis za verejnou priplatil), je uplne jedno jestli je za tim CGNAT nebo jiny mechanismus. Proste to fungovat nebude.
S dynamickou IP adresou (bez CGNAT) som sa bez problémov pripájal s DynDNS cez OpenVPN. Tak som to mal riešene cez Orange, IP bola dynamická. Namiesto IPčky som zadával názov vytvoreného DDNS servera cez pfSense.
Potom som sa presťahoval a bol tam iba Slovak Telekom a ten mal v paneláku CGNAT s dynamickými adresami. Slovak Telekom tvrdil, že je to bezpečnostné opatrenie, lebo si ľudia vytvárali rôzne VPNky.
Můžeš mít neveřejnou IP (IP za NATem z vnitřního rozsahu operátora), která může být statická (přidělena napevno vždy pro tebe), může být dynamická (bude se ti ta IP na routeru jednou za čas měnit), nebo můžeš mít veřejnou IP dynamickou (bude se měnit), případně statickou (pevnou / neměnnou). Stejně tak můžeš mít samozřejmě přiřazenou (ať už statickou či dynamickou) IP z vnitřního IP rozsahu operátora, která ale bude NATovaná 1:1 na jeho veřejnou IP adresu (čili máš veřejnou IP, jen ji nemáš nastavenou na tvém routeru, ale na routeru operátora, který s ní může dělat cokoli). Čili nejdříve by bylo fajn, kdybys nám pověděl, jaká je Tvá IP na routeru (ideálně poslední trojčíslí zakryj). Následně si zjisti, jestli se ta IP shoduje s tím, co vidíš třeba na adrese mojeip.cz. Pokud se shoduje - hurá, máš veřejnou IP. Ale stále to nehovoří nic o tom, jestli je statická nebo dynamická. To zjistíš jedině tak, že jednou za dva-tři dny restartuješ router a opět porovnáš, jakou jsi… dostal. Pokud stejnou, je pravděpodobné statická. Pokud jinou, je dynamická. Pokud to tak bude i za měsíc, je statická. Ještě můžeš kouknout do nastavení routeru, jestli si bere IP přes DHCP nebo je nastavena ručně. Jinak sorry, moc jsem ty příspěvky nezkoumal, tak je možné, že na něco z toho jsi již odpověděl. Ukázat celý příspěvek
Je uplne jedno, jestli byla dynamicka, nebo ne. Podstatne je, ze byla verejna.
Nebylo by lepsi si neco nastudovat o tematech, o kterych chces diskutovat?Je vidno, ze vis o sitarine kulove.
Tebe se to nějak dotklo co, tak hlavně že sis ulevil.Asi by ses měl podívat, na jaké doméně se nacházíš. Zde jsi hostem TY, ne JÁ.
Z techto bude nejlepsi volbou pro bezneho uzivatele OpenVPN.Klienta najdes beznym hledanim na Internetu, je to velmi bezny VPN protokol.
Díky, použiji OpenVPN, ohledně klienta, mohu na to využít integrovaného klienta ve Windows / Android nebo musím instalovat toto https://openvpn.net - Je to bezpečné?
OpenVPN nema nativni implementaci v uvadenych OS. Musis stahnout klienta a presne z openvpn.net je to oficialni.
L2TP s IPsec je ve většině OS nativně bez nutnosti instalace aplikace třetí strany. PPTP se vyhnout obloukem, OpenVPN je taky možnost (osobně využívám).
Určitě ne PPTP, ten je už dávno prolomený/nebezpečný.OpenVPN je relativně jednoduchý na nastavení/provozování a klienta najdeš pro spoustu systémů. Ale vyžaduje to instalaci klienta.L2TP / IPSec je asi o ždibec složitější, ale tady hodně záleží na implementaci v tom VPN serveru, jak složité to nastavení bude. Tahle varianta se většinou obejde bez klienta, protože je nativně podporována v operačních systémech.
Doporucuji VPN postavenou na HTTPS, nebo aspon nerozeznatelnou od HTTPS. Takze v tvem pripade asi OpenVPN na 443/TCPProc: HTTPS na rozdil od ruznych VPN postavenych na jinych protokolech nez TCP/UDP proleze pres vetsinu firewalluMP
Jak již zaznělo - PPTP již není považovaný za bezpečný. L2TP/IPsec také pomalu mizí z OS (Android ani iOS ho již nativně nepodporuje). Pro OVPN potřebujete všude instalovat klienta.Jak je na tom ale implementace OVPN u Asusu z pohledu bezpečnosti nedokážu posoudit (jedinečnost certifikátů apod.) V novém firmwaru tuším nabízí i WireGuard.
L2TP / IPsec iOS nativně podporuje. Alespoň teda verze 18.4 ano.
A potrebujes pristup naozaj do siete alebo len na nejake NASko/server ? Ak len na zariadenie tak napr. Tailscale vyzera fajn.
Tailscale jsem si taky oblíbil, navíc jsem přešel z routerů Asus na GL-iNet.
Já k tomu dodám, že ikdyž potřebuje přístup do celé sítě, tak se stále Tailscale / zerotier a další služby dají použít. Jakmile rozchodí VPN přístup na jeden prvek v síti, tak při správném síťovém nastavení (routy, firewall, nat, apod) lze přistupovat do celé sítě. Je pravda, že tohle nastavení už neuděláš jedním kliknutím, ale jde to.
Před pár měsíci jsem to zkoušel a alespoň u klienta pro Windows bylo celé nastavení pro přístup do lokální sítě na 2 kliknutí a funkční.
Za mě jednoznačně L2TP over IPSec. A proč? Je implementováno ve všech systémech - Win, MacOS, Linux, Android, iOS a nemusíš nic instalovat. Jednoduše nastavíš, jestli chceš mít přístup jen do domácí sítě, nebo jestli chceš hnát přes VPN i internetový provoz (vhodné např na WiFi, kterým nedůvěřuješ - obchodní centra, restaurace, nemocnice, letiště, hotely, ...; nebo pokud jsi v zahraničí a z nějakého důvodu potřebuješ, abys byl připojen "přes ČR" - Česká televize, či další služby omezené provozem pouze na území ČR).OpenVPN mi přijde výrazně horší, než L2TP, nebo Wireguard...
Android uz nativne podporuje jen IKEv2/IPSEC. L2TP/IPSEC docela dlouho ne (zmysel v 13)Viz napr https://support.google.com/android/thread...e%20enough. MP
Ok, děkuji za opravu. Z Androidu jsem před pár lety utekl a tehdá ještě L2TP over IPSec fungovalo bez problému :)
Skoda ze se do mobilu nedostala podpora MS SSTP VPN, to je v podstate opravdu VPN over HTTPS - zadne exoticke protokoly, nerozlisitelne od https, proleze i pres 50 NATu a 10 proxy ....MP
Wireguard nebo IPSec.Open„VPN“ není VPN. To je profláknutá hloupá chyba v názvu. Je to nesmysl, jednovláknová (!) dětská hračka v userspace, která nezvládne ani 1 Gb/s. IPSec i Wireguard dovedou plně využít vícevláknový a (dle možností) hardwarově akcelerovaný síťový stack v kernelu. Open„VPN“ nedovede nic.
OpenVPN UDP ma podobne rychlosti ako Wireguard, ktory je tiez UDP. Ty zrejme myslis OpenVPN TCP, ktory je pomalsi.
Ne, nemyslím. Kde jsou ty „rychlosti“ vidět v nějakém benchmarku?Dá mi Open„VPN“ na mém 10 Gb/s připojení 10 Gb/s propustnosti? Nedá. Protože nedá ani 1 Gb/s.Nemá to smysl. 2–4 extra context switche na každý paket, to všechno na j.e.d.n.o.m procesoru z 64 nebo co kdo má… Proooč??? K čemu? Cui bono?
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.