VPN, most, router lub firewall?

Pomóż mi dowiedzieć się, którą ścieżkę implementacji wykonać dla następującego zadania:

Mam urządzenie Blackbox, które działa jako serwer WWW (mogę połączyć się z nim lokalnie, wpisując jego adres IP w polu adresu przeglądarki.) To pole nie implementuje żadnych zabezpieczeń poza prostą nazwą użytkownika i hasłem. Jest to z pewnością dobre rozwiązanie, gdy serwer jest w odizolowanej sieci, ale chcę mieć do niego dostęp z Internetu - czyli z dowolnego miejsca na świecie. Dzięki temu chcę użyć zabezpieczenia TLS do szyfrowania danych.

Mając dostęp do Rasbperry PI (i oprogramowanie openVPN), pomyślałem, że pasuje do tej aplikacji. Istnieje wiele różnych samouczków na temat implementacji VPN, mostu, routera i zapory ogniowej za pomocą Raspberry PI, ale nie mogę stwierdzić, która z czterech funkcji jest odpowiednia dla mojej aplikacji. Schemat pojęciowy pokazano poniżej:

Raspberry Pi będzie miał dwa interfejsy sieciowe do dostępu do Internetu: jeden za pośrednictwem naziemnej sieci Ethernet (eth0), drugi - za pomocą komórkowego Internetu (eth1) - który kiedykolwiek jest dostępny, faworyzując połączenie internetowe. Adresy IP obu interfejsów będą znane. Trzeci interfejs ethernetowy (eth2) zostanie podłączony do sieci lokalnej za pośrednictwem przełącznika. Serwer będzie również połączony z przełącznikiem. Nie mam kontroli nad serwerem (to czarna skrzynka) - znam tylko jego adres IP.

Chodzi o to, aby Raspberry PI działał jako pośrednik między mną a serwerem, dzięki czemu mógłbym bezpiecznie łączyć się z jego aplikacją internetową za pomocą mojej przeglądarki internetowej. Ale która funkcjonalność Raspberry Pi musi implementować: VPN, router, most lub firewall?

EDYTOWAĆ:

Zadanie, które stwierdziłem powyżej, było dla mnie zbyt strome (brak kompetencji) i postanowiłem uprościć instalację. Nie chciałem usuwać górnej części pytania na wypadek, gdyby ktoś znalazł je i odpowiadające mu odpowiedzi były przydatne. Zamiast tego moja nowa (uproszczona) konfiguracja wyglądałaby następująco:

RP byłby połączony z internetem komórkowym przez interfejs ppp0 i kierował cały ruch do interfejsu eth0 , który byłby bezpośrednio połączony z serwerem:

  1. dynamic ppp0 IP address (given by cell service provider)
  2. static eth0 IP address (assigned by me)
  3. non-secure internet connection
  4. RP is connected to the server directly (no switch needed)

Znalazłem kilka rozwiązań takich jak to i to , ale nie dokładnie wyjaśnić, dlaczego rzeczy są zrobione w taki sposób. Zapewniają także dyrektywy wiersza poleceń, których nie będę wiedział, jak cofnąć . Zamiast tego chciałbym, aby ktoś odwoływał się do rzeczywistych plików systemowych / konfiguracyjnych, które mógłbym edytować i przywracać w razie potrzeby.

Obecnie, kiedy podłączam RPi do serwera, mogę przeglądać go z przeglądarki internetowej. Celem jest uzyskanie dostępu do serwera z Internetu za pośrednictwem RPi. Czy ktoś mógłby dostarczyć samouczek edukacyjny na temat prawidłowego ustawienia routingu, biorąc pod uwagę, że interfejs ppp0 byłby UP i DOWN w zależności od łączności komórkowej, a jego adres IP byłby inny i nieznany za każdym razem.

TLDR;

Potrzebujesz zapory ogniowej, aby zabezpieczyć serwer WWW, a router prawdopodobnie zapewnia już tę funkcjonalność.

DETALE

Wszystko, czego naprawdę potrzebujesz, to firewall i SSL, aby zabezpieczyć serwer WWW. Jeśli Twój router domowy już to zapewnia, Raspberry Pi nie zapewni Ci większego bezpieczeństwa.

Należy użyć SSL do zabezpieczenia komunikacji z serwerem sieciowym. Możesz potencjalnie użyć Raspberry Pi jako odwrotnego proxy, aby zapewnić funkcjonalność SSL, ale istnieją odwrotne serwery proxy, ponieważ szyfrowanie SSL jest ciężkie pod względem obliczeniowym i proxy pobiera obciążenie SSL z serwera WWW. Pi prawdopodobnie ma znacznie mniejszą moc obliczeniową niż serwer WWW. Ale jeśli szukasz projektu Pi, to może być świetna zabawa.

Powszechnym błędem jest to, że VPN jest „bezpieczniejsza” niż bez. VPN to po prostu szyfrowanie + tunelowanie. Tunelowanie pozwala obu sieciom wierzyć, że są w tej samej sieci. Jeśli nie próbujesz „poślubić” dwóch sieci, nie potrzebujesz VPN. Zapora SSL + powinna być w porządku.

Najprostszym rozwiązaniem byłoby skonfigurowanie Pi jako urządzenia router / firewall - tzn. Chciałbyś, aby zapory były wysyłane do serwera WWW, tak aby przechodził on przez PI, jeśli przejdą przez interfejs VPN, który się na nim kończy, ale nie będzie odizoluj Pi od innych urządzeń w sieci LAN. Oznacza to, że będzie działać tylko dla wszystkich połączeń internetowych, które są wymuszane przez Pi zgodnie ze schematem. Jeśli inne urządzenie w sieci LAN zostanie naruszone, można uzyskać do niego dostęp do serwera WWW.

(Jeśli szukasz prostego rozwiązania i umiarkowanie bezpieczne rozwiązanie, możesz zignorować wszystko poniżej)

Istnieją bardziej złożone i kosztowne scenariusze, których można użyć zamiast tego. Zamiast używać zwykłego przełącznika, można użyć przełącznika zarządzanego i skonfigurować serwer WWW na własnej sieci VLAN, która jest widoczna tylko dla Pi (tj. Pi będzie rozmawiać na wielu VLANACH). Możesz także umieścić serwer WWW na swoim własnym adresie IP, dzięki czemu inne urządzenia w sieci LAN będą mogły z nim rozmawiać, ale tylko przez Pi.

Możesz dalej rozwinąć powyższy pomysł przełączania, poprzez zaporę sieci VLAN, na której znajduje się serwer WWW, tak że tylko pakiety pochodzące z interfejsu VLAN PI mogą rozmawiać przez port 80. Następnie możesz dodać odwrotne proxy (na przykład przy użyciu Apache ) do Pi, która może odpowiadać na porcie 443, a następnie pobierać żądania z serwera WWW na porcie 80. Korzystając ze strony klienta i zwykłego certyfikatu, można zapewnić, że tylko ludzie, którzy mogą uzyskać dostęp do routera, i osoby z certyfikatem klienta będą być w stanie się połączyć.