Hybridilaajakaista + kotiautomaatio

  • 10 December 2021
  • 12 kommenttia
  • 2 katselukertaa

Onkohan kukaan onnistunut konfiguroimaan hybridilaajakaistamodeemiin sellaiset asetukset, joilla esim. Raspberry pi:n keräämiä kodin lämpötiloja pystyisi seuraamaan kotiverkon ulkopuolelta ilman lisälaitteita? 


12 kommenttia

Kunniamerkki +9

Moikka @erasvuo ja tervetuloa Telia Yhteisöön! Mukavaa kun päätit kirjoittaa tänne. Yhteisöstä löydät varmasti mielenkiintoista luettavaa ja keskusteluja, joihin osallistua!

Itsellä ei ole kokemusta kyseisestä yhdistelmästä, mutta voidaan yrittää käydä tätä läpi. Oletko tehnyt vielä mitään muutoksia Hybridin -hallintasivulta ja voitko kuvailla tarkemmin, mihin kohtaan jää nyt jumiin / missä kohtaan ongelmat alkavat?

Toivotaan myös muilta Yhteisön käyttäjiltä toki apua tähän!

Access -välilehdelle olen määritellyt port forwarding servicen, jolle ext. host ja int. host sekä ext. ja int. portit. Ext. host on ulkopuolisen tahon tarjoama julkinen IP.
Lisäksi Router -välilehdelle Dyndns alle dyn. DNS clientiksi custom-tyypin ulkopuolisen palveluntarjoajani tiedot.

Mitähän puuttuu tai on pielessä?

Mulla on useita Raspberry Pi tietokoneita pyörimässä 24/7 ja hoitamassa erilaisia tehtäviään. Näihin kaikkiin pääsen etänä käsiksi VPN:n yli, eli tarvitset vain reitittimen jossa on VPN serveri. Esimerkiksi PPTP VPN on helppo pistää pystyyn ja kaikki laitteet mukaanlukien älypuhelimet tukevat tällaista VPN:ää oletuksena, ilman että tarvitsee asennella mitään lisäjuttuja mihinkään. Ainoa miinus PPTP VPN:ssä on että siinä on tunnettu tietoturvaheikkous, mutta jotta sitä voisi hyödyntää olisi hyökkääjän käytännössä päästävä käsiksi sinun ja kotisi väliseen verkkoliikenteeseen eli olla käytännössä pääsy operaattoreiden tiloihin yms. Joten esim. mikään random hakkeri jostain vinkuintiasta ei sitä murra kunhan laitat hyvän salasanan.

 

Hybridireitittimestä en tiedä että onko edes mahdollista mutta hybridissähän on osana perinteinen DSL, jonka päällä kaikki mainitsemani toimii kunhan hommaat kunnollisen reitittimen. Tai jos hybridiä voi ajaa sillattuna niin sillatun portin perään sopiva reititin. Jo ADSL-aikoina mulla oli Telewellin modeemi missä oli VPN serveri ja sen jälkeen (nykyisin valokuidulla) toimii Ubiquitin Edgerouter. Edgerouterissa voi myös helposti rajoittaa VPN yhteydet sallituksi pelkästään suomalaisista IP osoitteista, joka lisää tietoturvaa entisestään.

Joo, toimisi varmaan noin, mutta haluaisin tietää onko mahdollista saada toimimaan ilman mitään lisäkilkkeitä. Aiemmat liittymäni eivät ole lisävermeitä tähän tarvinneet.


@erasvuo  kirjoitti:

Joo, toimisi varmaan noin, mutta haluaisin tietää onko mahdollista saada toimimaan ilman mitään lisäkilkkeitä. Aiemmat liittymäni eivät ole lisävermeitä tähän tarvinneet.


Suoraan port forwardeilla sitten kuten tuossa edellä neuvottu - kunhan laitteiden tietoturva on kunnossa. Ne tulee näkymään julkiseen verkkoon sellaisinaan. Esim ssh:ta ei missään tapauksessa saa olla auki, siellä on muutamassa tunnissa joku vinkuintialainen sitä kolkuttelemassa (testattu on). Jos aivan pakko, niin kannattaa käyttää jotain tosi eksoottisia portteja esim. yli 50000 alueelta ja kääntää port forwareissa ssh porttiin. Toisaalta myös Raspberry Pi:stä voisi tehdä VPN gatewayn.


@erasvuo  kirjoitti:

Access -välilehdelle olen määritellyt port forwarding servicen, jolle ext. host ja int. host sekä ext. ja int. portit. Ext. host on ulkopuolisen tahon tarjoama julkinen IP.
Lisäksi Router -välilehdelle Dyndns alle dyn. DNS clientiksi custom-tyypin ulkopuolisen palveluntarjoajani tiedot.

Mitähän puuttuu tai on pielessä?


Jätä kyseinen kohta tyhjäksi, koska käytössäsi on vaihtuva IP, silloin ainoastaan sisäverkon IP voidaan määrittää kiinteäksi, muutoin asetukset taitaa olla oikein.

 

"Jos kaveri hostaa peliä hybridillä niin porttiohjaukset pitää tehdä Access control-valikosta Port Forwarding.

External host:iin laitetaan hybridin kiinteän osuuden IP-osoite.

Internal host:iin hostaavan laitteen lähiverkon osoite.

External/Internal Port-valintoihin portit mitkä haluatte avata.

Protocol-kohtaan valinta sen mukaan oletko avaamassa TCP- vai UDP-portteja." https://yhteiso.telia.fi/t5/Kiinteat-nettiyhteydet-ja/Porttiohjauksen-tekeminen/td-p/206163

 

Täällä olikin minulle uusi tieto, että TCP liikenne osaa myös porttiohjattuna hyödyntää 4G kaistaa. https://yhteiso.telia.fi/t5/Kiinteat-nettiyhteydet-ja/Port-forwarding-ja-port-triggering-telia-hybridilla/td-p/174664

 


 


@SINAD  kirjoitti:

@erasvuo  kirjoitti:

Joo, toimisi varmaan noin, mutta haluaisin tietää onko mahdollista saada toimimaan ilman mitään lisäkilkkeitä. Aiemmat liittymäni eivät ole lisävermeitä tähän tarvinneet.


Suoraan port forwardeilla sitten kuten tuossa edellä neuvottu - kunhan laitteiden tietoturva on kunnossa. Ne tulee näkymään julkiseen verkkoon sellaisinaan. Esim ssh:ta ei missään tapauksessa saa olla auki, siellä on muutamassa tunnissa joku vinkuintialainen sitä kolkuttelemassa (testattu on). Jos aivan pakko, niin kannattaa käyttää jotain tosi eksoottisia portteja esim. yli 50000 alueelta ja kääntää port forwareissa ssh porttiin. Toisaalta myös Raspberry Pi:stä voisi tehdä VPN gatewayn.


Siis jos tietoturvan laittaa kuntoon, silloin juurikin voi SSH:ta pyörittää oletusportissa. Toki muukuin oletusportti vähentää yrittäjiä, mutta voi aiheuttaa käytännön ongelmia. SSH:ssa tärkeimmät asiat: käyttäjänimi poikkeaa tavanomaisesta, vahva salasana, fail2ban asennettuna ja conffattuna sopivan tiukaksi.

Yhtä helposti sinne omaan VPN palvelimeen murtautuja iskee kuin oikein määriteltyyn SSH palvelimeen.

 

PPTP oli aikoinaan käytössä, kun havaitsin logista, että joku tuntematon oli yrittänyt/kirjautunut jopa omalla käyttäjätunnuksellani sisään, siirryin OpenVPN pohjaisiin ja nyt ei ole yrityksiä tullut kertaakaan oikealla käyttäjätunnuksella. Rasberryn asennusvalikossa oleva Softether on myös hyvän olonen VPN-ohjelmisto.


@samivdsl  kirjoitti:


Siis jos tietoturvan laittaa kuntoon, silloin juurikin voi SSH:ta pyörittää oletusportissa. Toki muukuin oletusportti vähentää yrittäjiä, mutta voi aiheuttaa käytännön ongelmia. SSH:ssa tärkeimmät asiat: käyttäjänimi poikkeaa tavanomaisesta, vahva salasana, fail2ban asennettuna ja conffattuna sopivan tiukaksi.


Joo joo mutta siellä on kolkuttelijoita aivan koko ajan.. ei siis mitään järkeä, ellei ole aivan pakko. Been there done that. IP whitelistaus auttoi - tai jos onnistuu conffata siten että muutamasta väärästä yrityksestä tulee automaattisesti IP bannaus.

 


@samivdsl  kirjoitti:

Yhtä helposti sinne omaan VPN palvelimeen murtautuja iskee kuin oikein määriteltyyn SSH palvelimeen.


Eikä iske. Harrastanut tuota mitähän se nyt olis.. varmaan yli 15 vuotta eikä siellä ole läheskään samanlaista pommitusta kuin SSH porttiin. Toki en myöskään PPTP:tä pidä turhaan aktiivisena, mutta silloin kun se on ollut päällä niin tosi harvoin siellä kukaan yrittää - ja jos yrittää niin se jää siihen yhteen kertaan. Ssh:ta ei tarvia pitää auki kuin muutama hassu tunti ja jopa alkaa pommitus, eikä loppua näy. Samalla murtautujat näkee että kyseinen IP on aktiivinen ja voivat kohdistaa siihen kaikenlaista muutakin pommitusta.

 

OpenVPN on tosiaan parempi, mutta ei onnistu ihan ilman asenteluja, mitä tässä nyt haettiin mutta esim. Raspberry Pi:stä saa kätevän OpenVPN gatewayn myös.


@SINAD  kirjoitti:

@samivdsl  kirjoitti:


Siis jos tietoturvan laittaa kuntoon, silloin juurikin voi SSH:ta pyörittää oletusportissa. Toki muukuin oletusportti vähentää yrittäjiä, mutta voi aiheuttaa käytännön ongelmia. SSH:ssa tärkeimmät asiat: käyttäjänimi poikkeaa tavanomaisesta, vahva salasana, fail2ban asennettuna ja conffattuna sopivan tiukaksi.


Joo joo mutta siellä on kolkuttelijoita aivan koko ajan.. ei siis mitään järkeä, ellei ole aivan pakko. Been there done that. IP whitelistaus auttoi - tai jos onnistuu conffata siten että muutamasta väärästä yrityksestä tulee automaattisesti IP bannaus.



Kannattaa tutustua ehdottomasti Fail2ban nimiseen ohjelmaan, oletus asetuksilla antaa jo hyvän suojan ja asennus tosi helppoa. Voi säätää sitten tarkemmat sallitut yrityskerrat, eston keston jne. Ilman sitä tai vastaavaa asetusta, joka estää brute force hyökkäykset, on kyllä hyvin riskialtista aivan sama missä portissa Internetissä.

Itselläni on erään organisaation palvelimelle tunnukset, jonka SSH ollut Internetissä oletusportissa iät ja ajat, fail2ban käytössä ja käytännössä se antaa jo riittävän suojan. Ja tosiaan kyseiselle palvelimelle on noin 10000 käyttäjällä tunnukset eli muussakuin oletusportissa pyöritys ei tulisi kysymykseen, toki aktiivikäyttäjiä varmaan alle tuhat, loput tunnukset omaavista tuskin edes tietävät mikä SSH on.

Vastaava järjestely on kyllä käytössä yhdellä palvelimella, tosin siinä on myös reitittimen palomuurissa sallittuna vain suomalaiset IP-osoitteet. Kenties tuon (ja eksoottisen portin) vuoksi siellä ei ole käynyt kukaan koskaan edes yrittämässä.

 

Mutta SSH on kyllä suosittu hakkerointikohde. Ajelin huvikseki reitittimen screenissä tcpdumppia portissa 22 (jossa mulla toimii ainoastaan whitelistattu ssh eräälle Raspberry Pi:lle) niin vajaa 2 minuuttia aloituksesta ekat kolkuttelijat ja koko ajan sellainen tasaisen jatkuva pommitus. Että ei tosiaan kannata laittaa sitä julkiseksi ilman erikoisjärjestelyjä. Työhommissa meillä oli joskus ssh palvelin julkisena ja siinä taas käytettiin avaintiedostoon (public key) pohjautuvaa kirjautumista jossa ei ollut sellaista yhteiskohtaisesti kysyttävää salasanaa. Sekin rauhoitti tilannetta melkoisesti.

 

Samaan aikaan ajoin myös PPTP portista 1723 tcpdumppia, siellä ei ollut testijakson aikana mitään elämää. PPTP:stä jää kyllä lokia muutenkin silloin kun se on aktiivisena ja sillä puolella kolkuttelijoita on ollut tasolla yksi muutaman päivän välein. Usien näitä ei satu yhtään sille jaksolle kun PPTP on ollut sallittuna.

 

En silti KOSKAAN käyttäisi PPTP:tä avoimissa verkoissa esim. hotelleissa ja etenkään jos reissaa vaikkapa Kiinassa. Siellä on iso armeija porukkaa työllistettynä pelkästään verkkoliikenteen monitorointiin ja sitä kautta valtiollinen taho kyttäämässä mm. VPN liikennettä. Melko varmasti jos sieltä "soittaa kotiin" PPTP:llä niin "man in the middle" -uhka toteutuu ja ne voi saada tunnukset selville PPTP:n tunetun heikkouden takia. Kun itse olin Kiinassa työmatkalla niin käytin NordVPN-palvelua kaikkeen nettilikenteeseen, se on OpenVPN-pohjainen. Vasta sen päällä ajelin sitten esim. PPTP:tä kotiin tms. Eivät ainakaan vielä tuolloin olleet estäneet NordVPN:ää tai OpenVPN:ää mutta tänä päivänä tilanne voi olla jo toinen.


@SINAD  kirjoitti:

Vastaava järjestely on kyllä käytössä yhdellä palvelimella, tosin siinä on myös reitittimen palomuurissa sallittuna vain suomalaiset IP-osoitteet. Kenties tuon (ja eksoottisen portin) vuoksi siellä ei ole käynyt kukaan koskaan edes yrittämässä.

 

Mutta SSH on kyllä suosittu hakkerointikohde. Ajelin huvikseki reitittimen screenissä tcpdumppia portissa 22 (jossa mulla toimii ainoastaan whitelistattu ssh eräälle Raspberry Pi:lle) niin vajaa 2 minuuttia aloituksesta ekat kolkuttelijat ja koko ajan sellainen tasaisen jatkuva pommitus. Että ei tosiaan kannata laittaa sitä julkiseksi ilman erikoisjärjestelyjä. Työhommissa meillä oli joskus ssh palvelin julkisena ja siinä taas käytettiin avaintiedostoon (public key) pohjautuvaa kirjautumista jossa ei ollut sellaista yhteiskohtaisesti kysyttävää salasanaa. Sekin rauhoitti tilannetta melkoisesti.


fail2ban login koko näyttää olevan viikon ajalta noin 900K elikkä pikaisella laskutoimituksella vajaa 7000 yrittäjää viikossa. Kyllä niitä piisaa ja toki tässä on murto-osa niitä, jotka itsensä listoille "laittaa". Muuta "suojaa" en ainakaan omilla tunnuksilla näe, mutta palomuuri ehkä vielä jotain voi estellä, kyseisellä palvelimella käytetään käyttäjätunnusta ja salasanaa ja toimii myös ulkomailla.


@samivdsl  kirjoitti:


fail2ban login koko näyttää olevan viikon ajalta noin 900K elikkä pikaisella laskutoimituksella vajaa 7000 yrittäjää viikossa.


Tästä tuli vielä mieleen sellainen vinkki että jos rakentelee kotiautomaatiota yms. Raspberry Pi:llä niin kaikki tällainen logitus pitäisi saada niin minimiin kuin ikinä mahdollista, sillä ne aiheuttaa kirjoittamista MicroSD kortille. Ja sitähän ne kortit ei loputtomiin kestä. Pelkästän Telian järjetön 1200 leasetime aiheuttaa sen verran kirjoittamista että Rpi2 ntp-serveristä menee MicroSD vaihtoon 3...4 vuoden välein. Kaikenkaikkiaan on menyt jo monta MicroSD korttia näissä. Tämän vuoksi siirsin jo muutaman RpI:n iSCSI:n taakse levypalvelimelle, jolloi saavat kirjoittaa miten huvittaa kun kaikki menee lopulta kovalvylle. MicroSD:tä käytetään ainoastaan bootissa. Mutta toi ntp pyörii suoraan muistikortilta. Avoinna oleva ssh kerää kans sen verta nopeasti lokia että syö korttia kohtuu nopeasti.

Ongelmaa voi koittaa hallita myös mountaamalla /var:in ram-levylle, tähän oli joku valmiskin kehitelmä jossain (olisko ollut log2ram) mutta en ole itse tuota joutanut kokeilemaan.

Vastaa