Privacy - Wat niemand over je mag weten

Zelf een vpn-server draaien.

07-06-2016, 12:45 door Woopie, 18 reacties
Beste security-adepten,

Ik zit met een vraag, waar jullie mij enorm zouden kunnen helpen, door die te beantwoorden.
De vakantietijd staat voor de deur en voor het eerst wil ik de laptop meenemen op vakantie.
Dat wil ik dan een beetje veilig doen door een vpn-tunnel te creëren in/vanuit mijn huis.

Thuissituatie is als volgt:
Glasvezel van KPN met modem/router Experia Box v8. Hierachter hangt al sinds een tijd een FON-router.
Normaliter ga ik via wifi het internet op en als het heel snel moet, dan leg ik een kabel door de kamer. (Ondanks al het gemopper...) Ook de huisgenoot en visite gaat dan via de wifi prive-aansluiting, dat gaat prima.
De bedoeling is, dat tussen de Experia Box en de FON-router een router komt met een vpn-server.
Daarmee wil ik dan met de laptop en 3 mobieltjes van de reisgenoten vanuit het vakantie-adres de verbinding tunnelen
via mijn huis. Op de vakantieplaats is wifi aanwezig. Hoe en wat is niet duidelijk, ik weet niet of ik in die router mag
klooien, dat hoor ik pas ter plekke van de eigenaar.

Ik ben nu al weken aan het zoeken op Internet, maar kom daar niet uit. De info is overweldigend. Ik heb al gezocht bij Tweakers, PCMweb, HCC, Linuxmag, Computertotaal, vpndiensten, Keezel, enz.
Uiteraard ook de nodige sites van router fabrikanten. (duh) :) Hierbij heb ik 2 keiharde eisen: geen amerikaans product en mocht ook (ook onderdelen) niet voorkomen op deze lijsten:
https://leaksource.info/2013/12/30/nsas-ant-division-catalog-of-exploits-for-nearly-every-major-software-hardware-firmware/
http://theunhivedmind.com/wordpress3/beware-got-an-intel-processor-centrino-or-newer/

In samenwerking met mijn computerzaak in de stad, is de keus gevallen op een TP-Link router.
http://nl.tp-link.com/products/details/cat-9_Archer-C9.html#specifications
Voordelen van dit merk zijn:
Gebruik van vrije software, er is een forum, Chinees produkt en draait (ook) op Linux.
Nadelen: wéér een adapter erbij, wifi, wat ik eigenlijk niet nodig heb, weet niet wat voor processor erin zit.
De winkel wil mij helpen met instellen van de router en laptop en 1 mobieltje (Alcatel-Android).
Dan kan ik zelf later die andere 2 mobieltjes wel instellen. Beide Android. Users aanmaken lukt mij wel.

Voor het geval het nodig is heb ik ook deze website met gebruiksaanwijzing op de kop getikt:
http://experiabox-bridge-modus.weebly.com/
vereisten: o.a. - "Verstand van netwerken en routers en alles wat daar bij komt kijken zo'n beetje." Neee, echt? Dus niet helemaal...
Ik kan een verbinding instellen, maar daar houdt het mee op. Zodoende reken ik een beetje op hulp van security.nl...
Wachtwoord instellen lukt ook nog wel, alsmede wps en usb uitzetten. Maar een DMZ instellen mogen jullie mij leren.
Ook hoe ik de DNS van KPN kan omzeilen, de Experia Box laat dat niet toe. Ik moet zelf een DNS-server gaan runnen.
Verder nog wat software instellingen gezocht op Internet:
http://xmodulo.com/how-to-set-up-vpn-over-ssh-in-linux.html
http://xmodulo.com/configure-peer-to-peer-vpn-linux.html
Maar ik denk, dat het het beste is om OpenVPN op de laptop te installeren via de betreffende distributies.

Ik dacht bij deze voldoende mijn huiswerk te hebben gedaan. In ieder geval niet zoals dit figuur:
https://www.security.nl/posting/456850/Is+de+%22keezel%22+echt+veilig+zoals+ze+beweren%3F
(Eigenlijk is dit precies wat ik wilde hebben, maar volgens een thread in Tweakers was dit te duur en was het ook op een andere manier te bereiken.)

Bedoeling is uiteindelijk: Ik maak in Z-Frankrijk (als er genoeg brandstof is, ha ha) contact met de wifi aldaar en ik ga getunneld naar Nederland en dan pas naar een web-adres.
Ik heb geen trek in een vpn-service-provider: ze beloven allemaal niet te loggen, maar ik vertrouw ze voor geen meter.
Hooguit een provider in Verweggistan, maar dat gaat weer ten koste van kwaliteit en snelheid. En ik zou niet weten, hoe
ik ze zou moeten betalen: ik doe niet aan die onzin als internetbankieren enzo.
Ik doe in principe niet aan p2p-downloaden, maar het is wel mooi meegenomen, als het kan. Ik weet, dat het via mijn eigen ip-nummer gaat, dus risico.
Wifi van de nieuwe router schakel ik voorlopig uit, evenals ik met de Experia Box heb gedaan, dat laat ik nog via m'n ouwe trouwe Fonera regelen. Die laatste gaat tijdens de vakantie uit. Last but not least: Ik werk met Linux Mint.

Één zwak punt al gevonden: Als de stroom uitvalt en daarna de stroom weer terug is, zal eerst de KPN-router moeten worden gestart en daarna pas de vpn-router. Die moet ik dan met een rechtstreekse verbinding softwarematig kunnen herstarten. Dan moet ik dus in de Experia Box een poort openzetten.

Wat vinden jullie ervan? Goede router of is er een betere? Alternatieven? Goedkoper-duurder, meer privacy? Welke software nog meer?
Reacties (18)
07-06-2016, 12:57 door Anoniem
Waar je je al niet druk om maakt.

Ik lees nadrukkelijk dat je voor het eerst je laptop meeneemt naar je bestemming.

Laat dat stomme ding thuis, man.
Ga lekker vakantie vieren op je bestemming. Ontmoet leuike mensen, ontspan je, Ga zwemmen of wandelen ofzo.

Is facebook een leuk tijdverdrijf ( op je vakantie bestemming ) ?

Fijne vakantie, dat wel.
07-06-2016, 13:37 door Anoniem
Gewoon een Fritzbox 7490 router configureren met VPN en klaar-is-Woopie.
07-06-2016, 13:46 door Anoniem
Interessant onderwerp, ik zit zelf ook aan zo'n opstelling te denken. Heb zelf zitten te kijken om 1 van mijn Raspberry Pi's in te zetten als VPN server. Poortjes openzetten in de router en forwarden naar de PI.

Voordelen van Raspberry imo:

* Laag verbruik (ja een router ook)
* Volledig eigen beheer
* Als je VPN down is kan je altijd nog via SSH een SSH tunneltje opbouwen vanaf je Linux Mint machine.
07-06-2016, 14:01 door Anoniem
Allereerst begin je al verkeerd, je hebt een KPN abbo.
KPN modems/routers zijn niet flexibel en kunnen vaak weinig.

Ik adviseer om een openvpn server op te zetten.
Indien je technische kennis hiervoor tekort schiet kan je ook een turnkey installatie downloaden.
(https://www.turnkeylinux.org/openvpn)

Het enige wat je dan nog hoeft te doen is poorten forwarden.
Ik zou niet de default poort 1194 nemen aangezien deze vaak dichtgezet word in hotels e.d.

Je kan openvpn ook op port 443 laten draaien (https) deze poort zal in 99% van de gevallen openstaan omdat er anders geen https websites bezocht kunnen worden.

Voor Android, IOS en Windows phone zijn Openvpn clients beschikbaar, deze zijn simpel te configureren.

Werking is gegarandeerd top!

Wil je echt alles hiden ?
Zorg dan dat de optie remote-dns aanstaat, zo pak je de dns van je thuisverbinding en niet die van je vakantieverblijf.
07-06-2016, 14:02 door Anoniem
Toevoeging:

Koop een wrt54g (zolang het geen hardware versie 7 is).

Flash hier DDWRT op.

Ingebouwde VPN (pptp) en SSH server.

Je kan zelfs WOL gebruiken om een pc op afstand aan te zetten.
07-06-2016, 14:08 door [Account Verwijderd]
[Verwijderd]
07-06-2016, 14:09 door PietdeVries
In plaats van in te gaan op je eisen en wensen zal ik je mijn opzet schetsen, zodat je kan beoordelen of dit is wat je aanspreekt en je eventueel (keiharde) eisen wat kan versoepelen.

Ikzelf heb na de kabelmodem een router (TP-Link) met OpenWRT draaien. Die zou zelf inderdaad een OpenVPN tunnel kunnen termineren, maar ik stuur in plaats daarvan het verkeer door naar een NAS (Synology). Het NAS regelt de tunnel en de authenticatie/authorisatie. Werkt prima met bijvoorbeeld Windows clients maar ook met apps op m'n telefoon.

Dan nog even een 'side note' over je wensenlijst. Deze lijkt geïnspireerd door de onthullingen van Snowden over de macht van de NSA en andere geheime diensten. Prima uiteraard - er speelt een boel waar we niks van weten. Maar daarnaast geef je aan dat je kennis van netwerken en tunnel protocollen vrij beperkt is. Dat maakt je dan in dit geval extra kwetsbaar: je schaft "weapons-grade" spullen aan maar je kennis niveau is waarschijnlijk onvoldoende om dit goed te beheren/beheersen. Kleine foutjes in je configuratie kunnen dan leiden tot flinke problemen.
In plaats daarvan zou ik standaard consumentenspul nemen (NAS met OpenVPN ;-) ), en het risico dat de geheime dienst je afluistert voor lief nemen in ruil voor het extra configuratie gemak. Als je inderdaad dingen wilt bespreken over die verbinding waar de NSA in geïnteresseerd is, dan gaat die encryptie je toch niet helpen. En met dat consumentenspul houd je de reguliere hacker wel buiten de deur...
07-06-2016, 14:16 door Anoniem
Advies:

Kies voor een ISP die wel VPN (IPSEC) en FON op hun router leveren en jou daarbij kunnen helpen om er gebruik van te maken. En ga genieten van je vakantie!
07-06-2016, 16:39 door Anoniem
Door Anoniem: Toevoeging:

Koop een wrt54g (zolang het geen hardware versie 7 is).

Flash hier DDWRT op.

Ingebouwde VPN (pptp) en SSH server.

Je kan zelfs WOL gebruiken om een pc op afstand aan te zetten.
Ik zou alles van v5 en hoger niet nemen.
Cisco/Linksys heeft de hardware specs regelmatig gewijzigd. Neem een GL of GS, en betaal er niet te veel (<20 euro) voor, ze zijn erg verouderd. Maar check altijd als je iets wilt kopen de openWRT of ddwrt site

Verder een pi (circa 35-40 euro) met Open VPN, een openwrt of ddwrt op een support network devic zetten (TP link 1043ND (45 euro) of C7 (90 euro) (via ziggo goedkooper te krijgen, voor 60 euro ).

Met een Pi kan je nog leuke dingen doen als Kodi etc....
07-06-2016, 18:06 door Woopie
Whoow, wat een reacties. En zo snel. Ik heb er weer voor dagen lees-werk aan, maar dat is juist leuk. Daar leer ik van. Ik zal proberen in chronologische volgorde te reageren:

Anoniem 07-06-2016 12:57
Ik heb hem wel eerder meegenomen, maar liet de wireless-card expres thuis, zodat ik niet kon internetten. Diende alleen voor opslag op de harde schijf van foto's en films.
Ik doe niet aan Facebook, Twitter, Whatsapp. Partner alleen Whatsapp. Andere 2 reisgenoten ook.
Uiteraard ga ik vakantie vieren, zwemmen etc. We hebben zelfs een privé-zwembad, dat komt echt wel goed. Dank voor je wens, gaat lukken.

Anoniem 07-06-2016 13:37
Is zeker de revue gepasserd, maar afgevallen door usa-contacten. Ik moge verwijzen naar:
http://nl.hardware.info/reviews/5234/3/avm-fritzbox-7490-review-nieuw-topmodel-intern
"Kijken we naar de routerfuncties, dan zien we dat AVM traditiegetrouw heeft gekozen voor Atheros, dat na de overname door Qualcomm inmiddels door het leven gaat als Qualcomm Atheros."
Daardoor valt die af. Ook, omdat het een (adsl)modem-router is, waardoor ik een nutteloze functie erbij zou hebben. Dat 'ie iets duurder is, zou geen bezwaar zijn.
Toch hartelijk dank voor uw tip.

Anoniem 07-06-2016 13:46
Ook een Raspberry-pi heb ik overwogen. Vind het echter te veel gepruts en kan het niet kwijt in mijn kast. Zou de hele boel eerst weer moeten inpakken, om het te kunnen ophangen.
* Als je VPN down is kan je altijd nog via SSH een SSH tunneltje opbouwen vanaf je Linux Mint machine.
Bij deze nodig ik U uit, mij dat uit te leggen, hoe dat op te bouwen. Heel interessante optie, i.v.m. de door mij eerder genoemde zwakheid bij stroom-uitval.
Anders kijk ik wel bij het Mint-forum of http://community.linuxmint.com/tutorial/search
Dank voor Uw nuttige tip.

Anoniem 07-06-2016 14:01
Ben het volkomen met U eens over de KPN-apparatuur. Daarom uitbreiding met die vpn-router. De Turnkey is een optie, ga ik vanavond eens inlezen. Het betekent in mijn geval, dat er een pc moet blijven doordraaien. Dank voor Uw tips m.b.t. openzetten van poorten en remote-dns.

Anoniem 07-06-2016 14:02
Helaas voldoet Linksys niet aan de non-usa-eis. Ik ben (soms) roomscher dan de Paus.

Buran 07-06-2016 14:08
Zie antwoord aan Anoniem 07-06-2016 13:46. Toch dank voor je meedenken.

PietdeVries 07-06-2016 14:09
Ikzelf heb na de kabelmodem een router (TP-Link) met OpenWRT draaien.
Dat zou beteken, dat ik de router zou moeten flashen met andere software. Flashen houdt een risico in. Ik ben ik bekend met de combinatie NAS-VPN. Maar dan zou ik een NAS erbij moeten aanschaffen.
In principe gebruik ik dat niet, ik maak mijn back-ups op usb-harde schijven.
Dan nog even een 'side note' over je wensenlijst. Deze lijkt geïnspireerd door de onthullingen van Snowden over de macht van de NSA en andere geheime diensten. Prima uiteraard - er speelt een boel waar we niks van weten. Maar daarnaast geef je aan dat je kennis van netwerken en tunnel protocollen vrij beperkt is. Dat maakt je dan in dit geval extra kwetsbaar: je schaft "weapons-grade" spullen aan maar je kennis niveau is waarschijnlijk onvoldoende om dit goed te beheren/beheersen. Kleine foutjes in je configuratie kunnen dan leiden tot flinke problemen.
Klopt helemaal. Ik wil het ze dan ook zo moeilijk mogelijk maken. En aangezien ik nog niet zover ben met het configureren, stel ik juist daarom die vraag bij security.nl, omdat ik ervan uitga, dat daar voldoende kennis aanwezig is. Ik ben mij zeer bewust van mijn weinige kennis op dit terrein.
en het risico dat de geheime dienst je afluistert voor lief nemen in ruil voor het extra configuratie gemak. Als je inderdaad dingen wilt bespreken over die verbinding waar de NSA in geïnteresseerd is, dan gaat die encryptie je toch niet helpen.
Dat weet ik. Ik ga voor het extra configuratie gemak. Dat heb je goed opgemerkt.
En met dat consumentenspul houd je de reguliere hacker wel buiten de deur.
En dát is nu juist de bedoeling. Dank voor je reactie.

Anoniem 07-06-2016 14:16
Kies voor een ISP die wel VPN (IPSEC) en FON op hun router leveren en jou daarbij kunnen helpen om er gebruik van te maken.
Heb ik ook overwogen. Ik weet, dat XS4ALL die service levert. Denk alleen, dat daar nu te weinig tijd voor is, om van provider te wisselen. En XS4ALL is een stuk duurder dan mijn huidige abbo en heeft niet het door mij gewenste pakket. Ik doe aan risicospreiding en neem bij diverse instanties maar 1 dienst af.
Ik weet ook, dat een lidmaatschap van de HCC eenzelfde optie biedt. Dan kan ik tunnelen via hun routers. Maar ik vind het leuk, om juist zelf zoiets op te zetten.
En ga genieten van je vakantie!
Dank U, ga ik zeker doen. En als ik straks op een terras een biertje pak, zal ik zeker aan jullie denken en op jullie gezondheid proosten!

Anoniem 07-06-2016 16:39
Zie mijn non-usa-eis en opmerkingen over Raspberry Pi. Toch dank voor Uw reactie.

Nog een algemene opmerking: Als er nu iemand is, die denkt: "Ik heb dat, bij wijze van spreken, in een half uurtje aangesloten en goed geconfigureerd", dan is dat ook een optie, uiteraard tegen betaling, geen enkel probleem.
We kunnen dan via het forum contact leggen en via e-mail afspraken maken, bij mij of bij jou thuis. Ik heb vervoer.
Ik ga in eerste instantie voor het gemak, als het maar goed gebeurt. Ik reageer alleen niet op een aanbod van een anoniem, dat moge duidelijk zijn. (duh) :)
07-06-2016, 18:42 door Anoniem
Waarom al die moeite, neem een maandje VPN af van een VPN provider.
Zal ongeveer 5 euro kosten en je weet dat het werkt.
07-06-2016, 18:43 door Anoniem
Ik draai zelf een asus router met Asuswrt-Merlin.
Deze heeft een openvpn configuratie ingebouwd.
Je hoeft alleen de client config op je laptop te downloaden en invoeren bij de openvpn client.

Thats it meer niet geen port niks
07-06-2016, 18:45 door Anoniem
Je KPN verbinding heeft een statisch IP adres? Zo niet dan moet je daar ook nog een oplossing op verzinnen anders kan je straks onderweg je vpn service niet meer vinden als je die thuis zet.
07-06-2016, 20:18 door Anoniem
De goedkoopste oplossing is een oud model RaspBerry Pi kopen, een type 1 B bijvoorbeeld via ebay. Ben je nog geen 20 euro kwijt. Die heeft 512mb ram. Doe er een 8 gb kaart in en installeer de standaard Raspberry Distro. Volg dan deze handleiding. openvpn is het veiligste protocol:

http://computertotaal.nl/internet-thuis/raspberry-pi-als-vpn-router-en-server-63600/pagina-3

Vind je dat allemaal te veel werk, neem dan een VPN client account bij "Private Internet Access" (de goedkoopste, ik ben er al 3 jaar klant) en forward op je router de poorten door naar de apparaten die je van buiten af wil bereiken. Je hoeft dan enkel je thuis ip adres te onthouden en het nummer van de poort die geforward staat. Kun je ddns instellen op je router dan is het nog makkelijker.

Ik zou voor de optie met de RaspBerry gaan, een leuk project.
07-06-2016, 21:07 door [Account Verwijderd] - Bijgewerkt: 07-06-2016, 21:12
[Verwijderd]
07-06-2016, 23:23 door Anoniem
Reactie op:

Ga dan voor pfsense (IPS,FW, and a lot more).

'The end of time is time' ;-)

Anoniem 07-06-2016 14:16
Kies voor een ISP die wel VPN (IPSEC) en FON op hun router leveren en jou daarbij kunnen helpen om er gebruik van te maken.
Heb ik ook overwogen. Ik weet, dat XS4ALL die service levert. Denk alleen, dat daar nu te weinig tijd voor is, om van provider te wisselen. En XS4ALL is een stuk duurder dan mijn huidige abbo en heeft niet het door mij gewenste pakket. Ik doe aan risicospreiding en neem bij diverse instanties maar 1 dienst af.
Ik weet ook, dat een lidmaatschap van de HCC eenzelfde optie biedt. Dan kan ik tunnelen via hun routers. Maar ik vind het leuk, om juist zelf zoiets op te zetten.
En ga genieten van je vakantie!
Dank U, ga ik zeker doen. En als ik straks op een terras een biertje pak, zal ik zeker aan jullie denken en op jullie gezondheid proosten!
08-06-2016, 14:06 door Anoniem
Ik zie dat je sshuttle al gevonden hebt. Ik gebruik dat af en toe als aanvulling op SSH-toegang als ik buiten de deur bezig ben, bijvoorbeeld om websites op het interne netwerk te benaderen. Het werkt eenvoudig en probleemloos in mijn ervaring, en aan de serverkant hoefde ik er niets voor te regelen wat er niet al was (daar heb je alleen SSH-toegang nodig en een Python-installatie die niet extreem verouderd is, je hoeft daar niets voor sshuttle te installeren). Je kan DNS-requests optioneel over de SSH-server leiden en je kan aangeven welke subnetten wel en niet over de VPN moeten (dus ook alle).

Als SSH-server thuis kan een Raspberry Pi met Raspbian (=Debian voor de RPi) prima volstaan.
09-06-2016, 13:58 door Anoniem
ik gebruik een mikrotik (duits), 12 core router. kon ik meteen dat trage kpn modem weggooien met de 3 vlans op de fiber termination unit, zo wektmijn tv en telwfoon ook nog.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.