Насколько безопасна настройка VPN Viscosity?

VPN
1

Я пытался настроить VPN для доступа к файлам, когда я в отъезде, вместо открытия множества портов в интернете. Я наткнулся на этот гайд по использованию пакета VPN Server от Synology и смог его настроить.

Однако, кажется, настройка слишком проста? У меня сложилось впечатление, что, подобно сертификатам SSL, здесь больше обработки с сертификатами? Согласно гиду, это просто:

  1. скачать ZIP-файл конфигурации Synology OVPN
  2. загрузить CA.crt из пункта (1) в приложение (без загрузки ключа или сертификата)
  3. нажать подключить.

Можно ли считать этот метод полностью безопасным?

Спасибо!

2

Это достаточно безопасно. Вот несколько рекомендаций:

  • Измените порт с 1194 на другой. 1194 — это стандартный порт openvpn, и любые уязвимости этого протокола или алгоритма шифрования будут легче обнаружены, если сервер находится на блоке по умолчанию. Также измените его в файле ovpn клиента.
  • Создайте отдельных пользователей для VPN. Например, пользователь “Mike” может иметь связанного пользователя “MikeVPN” с отдельным паролем. “MikeVPN” сможет только подключаться к VPN и ничего более. Даже домашний каталог отключен. Отключите VPN-доступ для пользователя “Mike”. Если учетные данные “MikeVPN” скомпрометированы, это не даст автоматического доступа ко всем сервисам вашего NAS.
  • Используйте сложные пароли и включите блокировку IP-адресов после 5 неудачных попыток аутентификации. Это можно настроить в DSM.

Дополнительные советы:

  • Поиск “усиление безопасности openvpn” и при помощи SSH измените конфигурационный файл сервера.
  • Настройте доступ через сертификаты (без необходимости в DSM-пользователе).
  • Запускайте openvpn в Docker (если ваш NAS это поддерживает), что изолирует сервер и затрудняет эксплуатацию уязвимостей. Также используйте последнюю версию openvpn, так как в Synology она устарела примерно на 3 года.

Я настраивал openvpn на двух своих NAS почти два года. Это стало немного хобби. Спрашивайте, если нужна помощь.

3

Если взглянуть на файл ovpn, там будет указано:

cipher AES-256-CBC
auth SHA256
auth-user-pass

Так что безопасность зависит от ваших учетных данных.

Обратите внимание, что встроенный сертификат в файл ovpn — это тот же сертификат, который выбран для OpenVPN в настройках Synology. Поэтому не используйте Let’s Encrypt для этого сертификата или вам придется обновлять ваши клиентские файлы каждый раз при его обновлении.

4

(Это видео длинное, но если внимательно смотреть и следовать инструкции, настроить OpenVPN будет легко).

OpenVPN на DSM — Обучение от MMD

https://www.youtube.com/watch?v=ZcLhSfOU-r0

Я не уверен, более ли безопасен этот метод, чем ваш гайд, но он на несколько шагов сложнее.

5

Значит, при использовании VPN ваш NAS будет отображаться в Finder?

6

Могу ли я писать вам в личку по некоторым из этих вопросов? После этого я обновлю этот пост с информацией, как только разберусь.

7

В настройках OpenVPN в пакете VPN Server не было конкретного поля. Значит, он использует мой SSL-сертификат, который я использую для домена Synology?

8

Спасибо! Я уже пробовал этот туториал раньше, до версии с Viscosity, но в конце возникают ошибки, так как я не на Windows, и Mac не поддерживает split DNS. Также я заметил в комментариях к тому видео, что у пользователей Mac были проблемы, поэтому я искал альтернативу.

На самом деле, благодаря вашему связанному руководству я стал немного скептически относиться к настройке через Viscosity. Мне кажется более контролируемым процесс, когда вы добавляете один сертификат в другой и получаете третий, так что чувствуешь, что более управляешь ключами (понятно?).

9

Control Panel - Security - Certificate - Configure

10

Да, использование уникальных параметров D-H казалось более безопасным. Надеюсь, кто-то смог сделать это и на Mac. Стоит почитать на голландском форуме Synology, и при необходимости переводить через Google.