Здравствуйте,
Я использую OpenVPN на своем сервере trueNAS Scale с установленным плагином nextcloud для удаленного доступа к моему диску. Является ли это приемлемым? Должен ли я бояться возможных проблем с безопасностью?
Спасибо.
Насколько мне известно, это самый безопасный и удобный способ. Открытие портов 80 или 443 постоянно поднимает ваш сервер.
Я использую fail2ban с блокировкой по GeoIP. Блокирую более 200 соединений за 24 часа. Многие попытки эксплуатации.
Также стоит посмотреть wireguard вместо OpenVPN, если не делали этого. Он быстрее и надежнее по моему опыту, и, пожалуй, проще в настройке.
Я бы рекомендовал Tailscale. Переключился и доволен. Никто не может получить доступ, если только он не в моей сети Tailscale.
Tailscale отлично работает. Также как и wireguard. И OpenVPN. Что делает wireguard и tailscale более удобными для пользователя, так это то, что они используют стандарты безопасности и реализуют их по умолчанию. В то время как OpenVPN этого не делает. Его нужно настраивать.
Говорить, что wireguard быстрее OpenVPN, немного naївно, я считаю. Вы можете настроить OpenVPN для туннелирования соединения без шифрования. Возможно, вас не волнует безопасность данных или оно идет через уже установленный канал. Также можно настроить OpenVPN на использование очень сильного шифрования, которое ваш процессор не сможет обработать. OpenVPN предполагает, что вы знаете, что делаете, во всех аспектах.
Wireguard отличный. Он быстрый, обновленный и значительно упрощает настройку. Больше ошибок, связанных с HMAC, не будет. Слава богу!
Tailscale идет дальше. И он делает две вещи для вас… Первое — он управляет вашими публичными ключами для шифрования, в то время как приватные ключи остаются безопасно на конечных точках. Это отлично. Позволяет веб-интерфейсу или клиенту управлять многими этими аспектами.
Еще одна вещь, которую делает tailscale, — если ваши компьютеры находятся за NAT и вы не открыли никаких портов файрволла, и не можете установить прямое подключение, tailscale автоматически использует “DERP Relay” (DERP servers · Tailscale Docs)
Это помогает вашему трафику подключаться, когда ваш клиент не может напрямую подключиться к одному из пиров. Например, мой провайдер использует CGNAT. У меня нет публичного IPv4-адреса, но я все равно могу использовать Tailscale в моей внутренней сети и подключаться извне.
Минус в том, что я ограничен пропускной способностью этого узла DERP. Поэтому я часто получаю около 2-4 МБ/с, хотя у меня гигабитный интернет (~800 вниз и 700 вверх). Обычно это нормально… Если только вы не пытаетесь скачать что-то размером в гигабайты.
Так что YMMV. OpenVPN по-прежнему отличный выбор. Очень настраиваемый… Но его нужно настроить и адаптировать под свои нужды. Если вы не знаете, что делаете, могут возникнуть медлительность и серьезные проблемы с безопасностью.
– исправление орфографии. На мобильном устройстве.
У меня есть случай с отдельным сервером, использующим локальный домен (еще один уровень безопасности и экономии). OpenVPN позволяет создать туннель между клиентами и сервером и быть DNS-сервером для клиентов. Так что вам не нужно платить за доменное имя. Однако минусы этого подхода — самоподписанные сертификаты, необходимость установки клиентов и сертификатов на устройства и т. д.
Я использую tailscale, который использует wireguard.