Добрый день комрады!
Есть у меня домашний комп. i7, SSD, 32 оперативы, в общем полный фарш. Хотелось бы к нему подключаться удаленно с ноута по RDP. Для этого я собираюсь проплатить провайдеру белый статический айпи и провайдер откроет все порты. После чего мне комп обязательно хакнут. В связи с этим хочу  правильно настроить роутер  и поднять VPN с помощью OPEN VPN.
Собственно просветите про настройки роутера для интернета, какие порты и как открывать, какой протокол прокидывать на порт open vpn?

как порты пробросить я вроде понял
http://s48.radikal.ru/i119/1709/f6/1f2a2acd881d.png

как брандмауэр настроить? что в этой таблице писать?

(17) https://ru.wikipedia.org/wiki/Межсетевой_экран

https://ru.wikipedia.org/wiki/Трансляция_порт-адрес

ты не умничай ;) Ты по русски скажи, что мне в таблице фильтрации заполнить? http://s11.radikal.ru/i183/1709/03/cbee53e2d7af.png

чтобы меня не хакнули. Фильтр по ip не подходит, так как я буду подключаться с разных ip

(17) Брандмауэр кого: компа или роутера? Роутер тут тупой и все сам настроит (не забудь привязать мак компа в настройках DHCP), на компе открой входящий UDP на порт 1194.

это я все к чему?.. пока теорию не поймешь, не лезь )

(22) я теорию, чуть чуть понимаю. Мне бы практику настроить.

(21) роутера конечно.

(22) Не спеши - будет вторая ветка: Как настроить Open VPN ))

(23) судя по вопросам, нифига не понимаешь

(24) Исчо раз - роутер тупой: проброс включил - он сам на фаерволе порт открыл.

Asmody, ну куда же ты? Я думал, ты что напишешь хорошее. Поможи! Один ты по русски про сети объяснять можешь.

(21) нафига ему OpenVPN! ему и PPTP роутерного за глаза будет

(29) Не думаю, что железка из (0) это сможет.

(27) Если я пробросил порт, только для open vpn, то другие порты будут закрыты? Тогда не нужно таблицу фильтрации заполнять, не хакнут?

(31) Они и так все закрыты по дефолту на входящие подключения из интернет.

+(31) Что бы не хакунули - нужно не гуаножелезки пользовать.

*хакнули

в общем в таблице фильтрации роутера ничего не пишем, там и так все закрыто?

(35) Да.

Я бы помимо проброса, еще и порт RDP бы сменил на нестандартный.

(36) Спасибо. с пробросом вроде проблем нет, роутер сам подсказывает какие порты для каких игр/программ пробрасывать.
зы
ну вот. В выходные ждем ветку "Как настроить open vpn?" :)

(37) Я ж не буду порт RDP открывать в инет. Он только с частной виртуальной сети доступен будет.

(38) Пжст. Документацию читай - в яндексе примеров как г#$%а за баней.

(39) Он о том, что лучше вообще его сменить, в т.ч. и для локальной сети (если уж паранойя беспокоит осенью).

Да,  с примерами проблем нет, мне совет нужен правильно ли я все делаю. Так бы я беспокоился, что в таблице фильтрации брандмауэра чего то не настроил. А ее оказывается для моего случая и настраивать не нужно.

+(41) Можно еще админам дефолтный вход закорячить и под юзером сидеть, если совсем туго.

(38) зачем вообще порты пробрасывать? просто сделай выдачу айпи для клиентов впн из диапазона домашней локалки

(44) я такое не асилю.

(30) посмотри скриншот в (10)

(41) я правильно понимаю, что если я порт не проброшу  TCP/3389 то по  RDP никто из интернета не подключится? А подключится только клиенты vpn? Значит и беспокоится не о чем.

пункт 4 https://www.asus.com/ru/support/faq/113805

(47) именно

(46) Я имею ввиду как оно работать будет?

+(51) Точнее насколько стабильно.

(51) ну вот и узнает

(46) На сколько я понял, прога open vpn выдает сертификат, который забирается на клиент. И клиент имеющий этот сертификат может подключится к серверу, что его выдал. А Кстати чего мне даст встроенный сервер VPN?

(5) все таки стоит исходить из того что оно работает, если нет свидетельств обратного

он то не дает сертификат для шифрования, в чем защита?

(53) PPTP доступ по логину паролю

(56) ну так и rdp тоже по логину паролю, однако ж ломают.

Или лучше поднять встроенный клиент VPN  и не иметь себе мозг настройкой open vpn?

(57) ты в пентагоне что ли работаешь? кому нужен твой PPTP?

+(58) вернее встроенный сервер vpn.
(59) Может тогда и RDP выставить без впн?

(60) я не против, с условием что пароли будут сложные и на вход будет нестандартный порт

Что значит фраза "Установите IP пул для клиентов"? Список ip интернет адресов с которых будут подключаться? А я не знаю, откуда я буду подключаться. Как тогда быть.

(59) не надо никуда рдп "выставлять" он будет висеть на локальном айпи, не видимом без поднятого впн

(62) ужс, это адрес который будет выдан твоему удаленному компу

(64) кем выдан? Провайдером инета или роутером для внутренней сети?

(62) это в настройках DHCP что ли?

(65) сервер впн роутера выдаст клиенту впн этот адрес

(66) фраза с (10) го скрина.

(68) адреса для клиентов PPTP подключения (VPN)

а зачем тогда его задавать, он автоматом не раздаст внутренние ip как для клиентов wifi?

(70) нет

(52) Ладно подождем пока настроит - потом будет ветка почему оно не работает при использовании мобильного интернета.

(70) этот нет

(72) кстати да. Буду в выходные настраивать и собственно тестить буду с мобильного интернета.

(74) См. (52).

(74) не сцы

(72) у тебя есть сведения что кто то из опсосов блочит порт 1523?

пардон 1723

(77) Да - от ОПС'а и тарифа сильно зависит.

(79) например?

(80) У меня клиенты жаловались - подробнее в яндексе: "pptp gre через сотового оператора".

(0) nat, 3389

(81) gre немного из другой сказки? pptp - это только tcp 1723

(0) Если вы сильно озабочены безопасностью и при этом есть желание прокачать навык работы с сетями - поставьте дома недорогой MikroTik и настройте на нем L2TP. Сложность настройки - присутствует, но в меру, безопасность - довольно высокая, ресурсы компа для защиты - не используются, только роутер.
Если просто есть желание сделать VPN и сильно не выносить мозг - используйте встроенный PPTP - сервер вашего роутера. PPTP менее безопасен, чем L2TP/IPSec, но ломать вас вряд ли кто-то будет, а некую базовую защиту он обеспечивает.

(83) пардон, они вместе работают

(84) микротик "в меру"?) да там на 10 вкладках надо настройки делать осмысленные чтобы поднять л2тп

(0) кстати, если у тебя ip и так белый, но динамический, можешь просто асусовский DDNS использовать.

(0) У же два года работаю по RDP, хоть и комп мой, конечно, не такой фарш, как Ваш, но хакнуть еще никому не удавалось. Хотя постоянно долбятся всякие adminы rootы superUserы и прочая нечисть с разных IP, но пока все хорошо.

(88) Сижу с клиентами на аналоге Open VPN - стучат редко и не могут понять что это.

(86) мурзилок в инете много и они довольно доступные. Люди любят микротик и охотно выкладывают как и что делать...

(89) Что за аналог такой.
В опенвпн стучись, не стучись, никто не пустит без правильного сертификата + логин пароль(хотя это зависит от настроек сервера).

в общем все настроил, но осталась пара вопросов.

прописал пул ip адресов.
http://s019.radikal.ru/i631/1709/ac/84ff5f7ef1b6.png

прописал настройку чтобы выдавала адрес 5 в конце.
http://s019.radikal.ru/i627/1709/53/97ca737d0d1e.png или это не то?

а он гад все равно выдает как хочет.
http://s019.radikal.ru/i633/1709/94/bfcdad9af0fd.png
в принципе не критично, но хотелось бы статический адрес в сети иметь, а то по рдп то 1 айпи писать надо, то другой.

как настроить vpn на роутере, чтобы всегда выдавала 192.168.10.5, а не 192.168.10.2...

и вопрос номер 2. Я звонил провайдеру, спрашивал, какой у меня ip и все такое можно ли я по нем по RDP ходить буду? Представитель сказал, что нет, потому что у них порты закрыты. И нужно им 135 рублей в месяц оплатить, чтобы они открыли. Так вот у меня вопрос. Если я по vpn хожу, то он должен заголовки пакетов скрывать, а пакеты шифровать. И значит ли это, что я мог и не платить 135 рублей?

т.е. vpn роутера, вроде как должен пакеты шифровать, а значит никто не увидит на какой порт они когда то шли.

(93) он похоже не умеет, или пул поставить .5-.5
Ничего они не  увидят кроме соединения впн. То что они берут деньги за разблокировку портов теоретически может стоить им лицензии на предоставление услуг связи.

(96) я не пойму, что это даст .5-5. Ну даст он один ip серверу RDP, а клиенту пользователю он какой даст?

тут то вопрос в чем, кто первый подключился, того и ipшник 192.169.10.2, кто второй тому 192.168.10.3 .

vpn тоже по какому то протоколу работает, могут они его на вход забанить, а на выход пожалуйста? Или они просто разводят.

(96) почему? Есть много провайдеров, которые дают клиенту серый ip и нет никакого доступа кроме установки соединения по инициативе клиента. А за дополнительную денежку просто дают белую статику и делают с неё мост на этот серый ip клиента. У меня так сумтел работал.

как вообще проверить, какие порты закрывает провайдер? Извне какая то звонилка есть?

зашел в portscan.ru, на все порты говорит закрыт. А я по RDP подключился даже без vpn? я чета не так сделал?

(101) а у вас вообще белый ip есть? Роутер какой адрес получает при соединении с провайдером? достаточно первые две цифры

(103) сейчас да. Ну, по крайней мере я за него деньги заплатил.

(104) тогда порты закрыты, скорее всего, у вас на роутере.

ну RDP по любому проброшен  это раз, vpn тоже подключается значит 50й и 1751 тоже открыт.

ладно, допустим закрыт. А как извне проверить, какие порты закрывает провайдер? Кстати, если они 80 закрывают, то и vpn порты тоже грохнуть могут, просто закроют 47 и 1723.

Тогда не вижу вариантов, кроме того что, portscan работает не совсем корректно.

(107) с белым айпи закрытие портов не сочетается никак. Его дают чтобы с вами могли установить соединение.

значит я что то не так делаю. Набрал порт 3389, он проброшен, но все равно говорит порт закрыт.

надо запустить программу слушалку на компе.

PFPortChecker сначала надо поставить, открыть порт, а потом проверять.

еще есть  вопрос, допустим у асуса есть сервер DDNS, я на нем зарегистрировался и он мне дал имя vasya100500.asuscom.com и запомнил внеший ip. я теперь подключаюсь к vpn не по адресу ххх.ххх.ххх.ххх, а по имени vasya100500.asuscom.com. А если провайдер сменит ip на ххх.ххх.ххх.yyy, то роутер автоматом на сервер асус данные пошлет и привяжет ip  к имени или нужно будет самому в роутере кнопку жмякнуть?

у кого подобный сервис на роутере настроен?

(113) роутер должен сам все сделать. Для этого такие сервисы и делаются на роутерах, чтобы юзер раз настроил и больше не грел себе голову.