Перейти к содержанию
Форум русской поддержки продукции Synology

Рекомендованные сообщения

Для чего друзьям и знакомым нужен VPN?

для того, для чего он (VPN) предназначен. Я рассматриваю неограниченное использование на случай передачи доступа злоумышленнику

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 119
  • Создано
  • Последний ответ

Лучшие авторы в этой теме

Лучшие авторы в этой теме

Здравствуйте! Подскажите, пожалуйста, кто знает - насколько безопасно раздавать пароли от своего VPN-сервера друзьям и коллегам по работе? Тут вопрос стоит так - очень нужно помочь товарищам, мне не жалко, но боюсь, что потенциальный злоумышленник может взломать, например, мой архив с личными фотографиями и пустить по миру.

 

Схема предполагается следующая:

создаю отдельного пользователя, например, VPN-GUEST, запрещаю ему через настройки всё, что можно запретить , отменяю все разрешения, которые можно отменить.

И только в настройках Прав Доступа VPN-сервера даю ему разрешение на использование VPN-соединения L2TP (IPSec).

 

Остаётся ли где-то лазейка для потенциальных злоумышленников или просто слишком любопытных к моим домашним устройствам, файлам, настройкам роутера или еще к чему-то, ведь фактически я пускаю их в свою ЛОКАЛЬНУЮ сеть, хоть мои ресурсы в ней запаролены и моя учётная запись защищена 2-факторной авторизацией.

 

Заранее спасибо за дельные ответы по теме моего вопроса!

Если для выдаваемого логина всё что можно запретить и задать надёжные внутренние пароли на домашние ресурсы - не вижу смысла переживать. Передаваемый логин так же можно ограничить по времени.

Ссылка на сообщение
Поделиться на другие сайты
PPTP vs L2TP vs OpenVPN

https://netmap.net/ru/articles/table/

меня не волнует безопасность передачи данных по протоколу L2TP

меня беспокоит другое - смогут ли пользователи, получившие доступ по паролю к моему VPN-серверу, получить несанкционированный доступ к ресурсам в моей локальной сети? Есть ли где-нибудь открытые лазейки, которые нельзя закрыть с помощью настроек пользователя в DSM ?

Ссылка на сообщение
Поделиться на другие сайты
Если для выдаваемого логина всё что можно запретить и задать надёжные внутренние пароли на домашние ресурсы - не вижу смысла переживать. Передаваемый логин так же можно ограничить по времени.

Спасибо, в душе я тоже так надеюсь... Но вот где кроется слабое место в моём шатком мировоззрении: пользователь, получивший логин в системе, пусть и ограниченный во всех правах, и просто гость без логина, пытающийся вломиться извне в мою локальную сеть через NAS - одинаковы ли они с своих возможностях для взлома моих ресурсов ?

 

Я не очень понимаю в теме, поэтому сомневаюсь и попытаюсь немного углубить вопрос - пользователь, фактически допущенный в мою локальную сеть, может, например, залезть ко мне на компьютер, который также будет подключен к этой локальной сети? Или напечатать что-то на сетевом принтере? Я ведь не могу вообще везде поставить пароли в локальной сети, тогда я заколебусь сам в ней работать, если каждый раз мне придётся вводить пароль.

 

Поэтому и хочется понять в итоге - каков уровень доступа к моей локальной сети у пользователя с логином от NAS, допущенным к VPN-серверу ? Есть ли он вообще ?! (если есть, тогда понятно, что он увидит все мои сетевые ресурсы)

Ссылка на сообщение
Поделиться на другие сайты
для того, для чего он (VPN) предназначен. Я рассматриваю неограниченное использование на случай передачи доступа злоумышленнику

Ответа я не услышал. Если VPN нужен только для браузера, а не для всей системы, то есть вполне вменяемый browsec - безлимитный и с ограничением по скорости и количеству предлагаемых стран в бесплатном варианте. Или Opera, у которой VPN встроен.

Ссылка на сообщение
Поделиться на другие сайты

Если не предполагать, что подключающемуся из вне клиенту VPN можно запретить вход в локалку и вообще куда-либо на уровне конфигурации сервера VPN (кажется это можно реализовать на том же pfsense, хотя я всегда преследовал обратную цель), то уровень доступа пользователя, попавшего в Вашу сеть через VPN - такой же, как у непосредственно подключившегося к Вашей локалке. Т.е. теоретически он может спокойно подбирать пароли к внутренним ресурсам и пользоваться без ограничения всем, что не запаролено. В т.ч. сетевым принтером, на админку которого обычно стоит дефолтный лог/пасс в домашних сетках. И некоторых не домашних. :)

Поэтому если есть серьёзные опасения в плане безопасности - я бы предложил друзьям дешёвое решение в виде своего маленького сервера VPN - и городите что хотите. У меня например такой сервер работает на базе старенького двухядерника E5500, прекрасно пережёвывает 150-200Мбит/с. В конце концов не обязательно использовать готовые дорогие решения.

VPN серверов в одном месте можно сделать сколько угодно, на том же pfsense их можно нагородить несколько, назначив разные порты подключения и обозначив разные правила и права для тех кто подключился.

Ссылка на сообщение
Поделиться на другие сайты
...уровень доступа пользователя, попавшего в Вашу сеть через VPN - такой же, как у непосредственно подключившегося к Вашей локалке...

спасибо, это я и хотел понять... жаль, пусть тогда коллеги сами выкручиваются ))) Попытаюсь объяснить им, что я не жадина ))

 

Ссылка на сообщение
Поделиться на другие сайты
спасибо, это я и хотел понять... жаль, пусть тогда коллеги сами выкручиваются ))) Попытаюсь объяснить им, что я не жадина ))

А почему вы хотите дать доступ именно по VPN, если

меня не волнует безопасность передачи данных по протоколу L2TP
?

Дайте доступ через DDNS, как пример anton5000.synology.me.

Ссылка на сообщение
Поделиться на другие сайты
А почему вы хотите дать доступ именно по VPN, если ?

Дайте доступ через DDNS, как пример anton5000.synology.me.

 

дело в том, что наша деятельность активно завязана на 1с, и надо обязательно приезжать к рабочему компу, чтобы работать работу. А у меня волшебный набор: Synology NAS и белый IP. Благодаря постоянному IP мне разрешён удалённый доступ к 1с, а имея свой VPN, могу работать с базой из любого места даже с телефона, заходя с белого IP.

Долго держать в тайне это не удалось, и теперь мне приходится объяснять своим коллегам, почему я не могу давать им всем доступ к своему VPN-серверу. Часть из них не имеет возможности получить белый IP, вторая часть не смыслит в том, где и как создать VPN-сервер... Как-то так... :)

Соответственно, мне всё равно, чем они там будут обмениваться с 1с через мой туннель и по какому протоколу, это головная боль наших IT-шников, раз они открыли доступ

Ссылка на сообщение
Поделиться на другие сайты

Я вам про другое толкую. Ваши коллеги могут зайти в NAS и без VPN. И какая разница какой IP, серый или белый?

 

 

Ссылка на сообщение
Поделиться на другие сайты
Я вам про другое толкую. Ваши коллеги могут зайти в NAS и без VPN. И какая разница какой IP, серый или белый?

Им не надо в мой NAS, им надо удалённо в корпоративную базу 1С, а пускают туда только с белым IP. Или я снова чего-то не допонимаю?

Ссылка на сообщение
Поделиться на другие сайты
Им не надо в мой NAS, им надо удалённо в корпоративную базу 1С, а пускают туда только с белым IP. Или я снова чего-то не допонимаю?

Упс. Прошу прощения. Это я не допонял из-за своей невнимательности. Я думал база на вашем NASe.

А коллегам подкинте идею о покупке общего NASa.

Ссылка на сообщение
Поделиться на другие сайты
Здравствуйте! Подскажите, пожалуйста, кто знает - насколько безопасно раздавать пароли от своего VPN-сервера друзьям и коллегам по работе? Тут вопрос стоит так - очень нужно помочь товарищам, мне не жалко, но боюсь, что потенциальный злоумышленник может взломать, например, мой архив с личными фотографиями и пустить по миру.

 

По моему отсюда и идет во всем обсуждении ошибка.

Как связан ВАШ пароль от NAS с паролями и пользователями для VPN?

Нового пользователя делаете и не паритесь. рекомендую и Вам иметь разных пользователей под разные задачи.

 

 

Ссылка на сообщение
Поделиться на другие сайты
По моему отсюда и идет во всем обсуждении ошибка.

Как связан ВАШ пароль от NAS с паролями и пользователями для VPN?

Нового пользователя делаете и не паритесь. рекомендую и Вам иметь разных пользователей под разные задачи.

Вопрос был об уровне доступа нового пользователя к моей домашней локальной сети. Мне уже ответили, спасибо.

Ссылка на сообщение
Поделиться на другие сайты
  • 1 год спустя...

Что-то я совсем запутался.

Приложение Vpn Server дает возможность только к NAS и локальным устройствам подключаться по VPN?

Браузерить через Synology Vpn Server получая доступ к заблокированному контенту нельзя?

Ссылка на сообщение
Поделиться на другие сайты
  • 4 месяца спустя...

коллеги, приветствую!

настраиваю L2TP/IPSec VPN server:

Screenshot-2022-07-24-152345.png

 

пробрасываю порты:

Screenshot-2022-07-24-152619.png

 

настраиваю соединение (Win 11, 64):

Screenshot-2022-07-24-152819.png

 

и вот результат:

Screenshot-2022-07-24-152950.png

 

при этом OpenVPN работает (если включаю). Пробовал два разных Сино (920+, DSM 7.1), за двумя разными НАТами.

Ссылка на сообщение
Поделиться на другие сайты

Крыжик "Включить режим совместимости с SHA2-256 (96-разрядный)" не помогает?

L2TP/IPSec были проблемы у винды. Приходилось править реестр на win10. Но на DSM VPN не запускал, только на роутере. Не пробовали на смартфоне проверить?

Ссылка на сообщение
Поделиться на другие сайты
  • 2 недели спустя...

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в этой теме...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Загрузка...

×
×
  • Создать...