VPN на своем сервере Круто!
Наткнулся в интернете на такую статью:
"VPN на своем сервере? Круто!
Но безопасно ли? Сейчас чуть ли не каждый «средних оборотов» вебмастер имеет свой выделенный сервер, или на крайний случай, VPS. VPN-сервисам доверяют не все. И ставят OpenVPN/PPTP на свой собственный сервер.
Поставили VPN, соединились, все! Никто нас не отследит, СОРМ — кашляй. Однако, есть ньюансы!
Во-первых, зачастую VPN ставится на дефолтный айпи сервера.
Во-вторых, на дефолтном айпи сервера зачастую располагаются некоторые ресурсы вебмастера. Ну там, сайты, админки, FTP, Jabber…
В-третьих, любой VPN-клиент первым делом создает прямую роуту на этот самый айпи, дабы не терять соединение с сервером после соединения с сервером. Бррр. Ну, понятно к чему это я?
К тому что весь трафик на этот айпи, на который вы коннектитесь VPN-клиентом, не шифруется.
Не верите? Проверьте с помощью tracert ))
Пуск-выполнить
tracert VPN-IP
tracert my-site-on-this-ip.com
tracert my-ftp-on-this-ip.com
Итак, если на этом айпи вы пользуетесь какими то сервисами, например, там висит FTP сервер и вы на него коннектитесь, то и провайдер и СОРМ и все кто посредине, весело потирают ручонки и жрут попкорн, глядя на окно WireShark. А там… БЛЖДЖАТ ваши пароли….
Что же делать?
Айпи, на который коннектиться ваш клиент VPN — не должен быть привязан к каким либо сервисам: фтп, www и т.д. Он должен быть полностью выделенным под VPN."
Если роутинг только один, и через него идёт весь траф, то это невозможно. Траф будет идти до OpenVPN-сервера, а оттуда пытаться уйти с него на реальный IP, но при этом он не покинет пределов сервера, т.к. реальный IP висит просто на другом сетевом интерфейсе сервера (пакеты перебросятся с интерфейса на интерфейс, но не более того). Впрочем, раз VPN уже есть, я бы предпочёл пользоваться сервисами, поднятыми на виртуальных IP:порт, а не на реальных (ибо зачем?). Поднимите себе ftp-сервер на каком-нибудь 10.0.0.1:21 и т.п.
Конечно, если дропнуть VPN-тунель и продолжить ходить на сервис по его реальному IP, то да. Но можно и в ногу себе стрелять. Для безопасности потому вообще не надо вешать сервисы на порты на реальном IP: пусть на реальном IP слушает только ssh и/или OpenVPN.
OpenVPN шифрует.
Когда поднимаю VPN сам смотрю свой трафик WireSharkом. Там сразу видно когда он шифрованный а когда нет. ТОЛЬКО НЕ ЗАБУДЬТЕ ВЫКЛЮЧИТЬ СЖАТИЕ ТРАФИКА на время теста !!!