Hoi allemaal. Heeft iemand tutorials over hoe ik een Mikrotik mAP kan gebruiken als VPN-eindpunt hier, maar zonder dat iemand die het gebruikt toegang krijgt tot mijn thuisnetwerk?
Use case: voor mezelf (tijdens reizen) of vrienden die in andere landen wonen, om geo-gelokaliseerd te lijken in dit land en niet waar ze echt zijn, om de regio-blokkades op sommige (niet Netflix) software te omzeilen.
Ik geef niet veel om VPN-accountbeveiliging, dat mag een open deur zijn - maar nul toegang tot mijn thuisnetwerk is een must. Als ik per gebruiker een gebruikersnaam en wachtwoord moet maken, dan doe ik dat, maar ik vind het oké om dat niet te doen als de configuratie dat toelaat.
Ik ben momenteel beperkt doordat ik hardware van mijn ISP gebruik voor de GPON thuisgateway; Alcatel_Lucent I-240W-A. Ik heb wel beheerdersrechten, dus kan poortdoorschakking doen zonder problemen.
De mAP is vooral een testrichting, omdat ik er op dit moment een paar heb liggen (ik heb beide versies van Mikrotik Map - de lichte en niet-lichte, als een van beide geschikter is). Ik wil op een gegeven moment een betere router kopen van Mikrotik (als die hier beschikbaar is), maar ik dacht dat ik de mAP nu als test kon gebruiken.
Alle tips zeer gewaardeerd.
Hoe ben je van plan de mAP te gebruiken? Zit die achter de ONT?
Als de ONT geen Ethernet-poortisolatie ondersteunt, kan het erg moeilijk zijn om volledig netwerktoegang te voorkomen. Als je VPN geen L2 VPN is, maar L3 (zoals WG), kun je waarschijnlijk gewoon een firewallregel op de mAP maken in de forward-keten, waarin staat dat al het verkeer dat afkomstig is van de VPN-interface en gericht is op het interne LAN moet worden geblokkeerd, wat waarschijnlijk bijna alles zou afhandelen. Dingen worden behoorlijk lastig bij L2 VPNs, vooral bij bridging.
Worden dingen ‘simpeler’ als ik in plaats van de mAP direct op de hardware van mijn ISP aan te sluiten, ik hem aansluit op de “CSS610-8G-2S+” (switchOS lite) die ik in een andere kamer heb en daar wat regels aan toevoeg om het veiliger te maken?
Ik denk dat het afhangt van hoe flexibel de ACL’s op de CSS zijn. Het zou misschien een goed idee zijn om gewoon een L3 VPN te gebruiken, omdat je dan geen Ethernet-frames kunt transporteren via die VPN. Alleen IP-verkeer. En als je het IP-laag voldoende kunt beveiligen, wordt het erg moeilijk om toegang te krijgen tot de rest van het netwerk.
De ONT maakt het moeilijk omdat, mocht er een valse Ethernet-frame naar boven komen, de ONT die waarschijnlijk zou switchen, waardoor andere maatregelen onpraktisch worden. Daarom raad ik af om L2 VPNs te gebruiken in dit scenario - als de mogelijke aanvaller deze laag niet kan beheersen, wordt het moeilijker om laterale bewegingen te maken.