On 05/12/2020 21:41, Marek wrote:
>> Klient VPN jest na telefon i komputer, całkiem dobrze działa.
> Który klient VPN na androida polecasz?

Działajacego z *Twoim* VPN.

W *MOIM* przypadku to jest OpenVPN.

do góry

On Sun, 6 Dec 2020 00:18:21 +0100, heby <h...@p...onet.pl> wrote:
> W *MOIM* przypadku to jest OpenVPN.

Wiem, dlatego pytam, który bo jest ich kilka.
Openvpn Connect (zamknięty)? Openvpn for Android (otwarty)? Openvpn
Settings?
Wiadomo, że po stronie serwera mówimy o openvpn na Debianie or
compatible, o to nie pytam.

Przetestowałem ten otwarto źródłowy i stwierdzam, że używanie klienta
VPN na komórce (podstawowe urządzenie do dostępu do kamer) jest
niedopracowane a przez to niewygodne:

- najbardziej eleganckie czyli eth bridge over tap Android natywnie
nie wspiera ale powiedzmy można to obejść puszczając klienta przez
tun z natem
- przed użyciem trzeba pamiętać by klienta odpalić. Pozostawienie go
aktywnego gubi po chwili synchronizację TLS gdy telefon się usypia.
Wymuszanie aktywnego połączenia nonstop zżera baterię to raz, dwa
trzeba pamiętać by wyłączyć gdy łączymy się z lokalnym Wi-Fi (jest
jakaś opcja by klient nie puszczał ruchu gdy jest aktywne połączenie
z lokalnym wifi?)
- wydajność, VPN to TCP over UDP (włączanie TCP over TCP to zły
pomysł), mówimy o zewnętrznym dostępie do kamer (najczęściej
potrzebne poza domem) i ich streamingu oraz dostęp do streamingu z
DVR (rzadziej). W obu przypadkach streaming idzie over UDP, widać że
się męczy.

Nie kwestionuję, że przez VPN bezpieczniej no i się ma w ten sposób
przezroczysty dostęp do infrastruktury ale w przypadku szybkiego
dostępu do kamer czy automatyki domowej to nie jest to za wygodne
rozwiązanie. Dostęp ad hoc jednym kliknięciem w jedną aplikację tego
nie zrobisz, bez VPN owszem.
Lepszym kompromisem jest dedykowany IP dla klienta i dozwolony ruch
tylko z niego.
Także rozumiem niektórych, że wolą wystawić poty urządzeń na zewnątrz
niż pierniczyć się z VPNem.

--
Marek

do góry

On Sun, 6 Dec 2020 00:17:46 +0100, heby <h...@p...onet.pl> wrote:
> Ano nic, kogoś tam okradzono i tle.

Wątpię by dzięki tej konkretnej podatności.

--
Marek

do góry

On 06/12/2020 10:25, Marek wrote:
>> Ano nic, kogoś tam okradzono i tle.
> Wątpię

Całe szczęscie to bez znaczenia w co wątpisz.

https://niebezpiecznik.pl/post/oszusci-przejmuja-pro
file-zaufane-w-celu-wyludzenia-pozyczek-strach-pomys
lec-co-jeszcze-mogliby-zrobic/

do góry

On 06/12/2020 10:24, Marek wrote:
>> W *MOIM* przypadku to jest OpenVPN.
> Wiem, dlatego pytam, który bo jest ich kilka.

Nie znajmuje się zawodowo oceną ich jakości. Uzywam tego, którego mogłem
skomfigurtować tak jak chcę. Akurat OpenVPN znam od bardzo dawna i
okazało się że ciągle działa.

> Openvpn Connect (zamknięty)? Openvpn for Android (otwarty)? Openvpn
> Settings?

OpenVPN Connect Android.

> Wiadomo, że po stronie serwera mówimy o openvpn na Debianie or
> compatible, o to nie pytam.

W wątku mówimy o PiVPN. Dlatego że to "pl.misc.budowanie" a nie grupa o
linuxie.

> - najbardziej eleganckie czyli eth bridge over tap Android natywnie nie
> wspiera ale powiedzmy można to obejść puszczając klienta przez tun z natem

Nie chcesz tego. Ilośc komunikacji jaka lata po sieci LAN i przenika
przez bridge jest znacząca.

> - przed użyciem trzeba pamiętać by klienta odpalić.

Mam odpalonego cały czas. Dom/świat tak samo, nic nie zmieniam. Działa.

> Pozostawienie go
> aktywnego gubi po chwili synchronizację TLS gdy telefon się usypia.

Nic takiego nie obserwuje. Jest praktycznie niewidoczny, poza ikoną.

> Wymuszanie aktywnego połączenia nonstop zżera baterię to raz

Nic takiego nie obserwuje.

, dwa trzeba
> pamiętać by wyłączyć gdy łączymy się z lokalnym Wi-Fi (jest jakaś opcja
> by klient nie puszczał ruchu gdy jest aktywne połączenie z lokalnym wifi?)

Nic takiego nie obserwuje.

> -  wydajność, VPN to TCP over UDP (włączanie TCP over TCP to zły
> pomysł), mówimy o zewnętrznym dostępie do kamer (najczęściej potrzebne
> poza domem) i ich streamingu oraz dostęp do streamingu z DVR (rzadziej).
> W obu przypadkach streaming idzie over UDP,  widać że się męczy.

Bez problemu mam 25 klatek/s (przy czym normalnie używam i tak tylko 8)
na 3 kamerach, realtime. Przy czym u mnie normalnie jest jeszcze po
drodze zone minder i home assistant. Jesli chodzi o dostep wprost przez
onvif to używałem dawno temu, działało znakomicie.

> Nie kwestionuję, że przez VPN bezpieczniej no i się ma w ten sposób
> przezroczysty dostęp do infrastruktury ale w przypadku szybkiego dostępu
> do kamer czy automatyki domowej to nie jest to za wygodne rozwiązanie.

To jest bardzo wygodne rozwiązanie. Sprawdziłeś kiepskiego klienta albo
masz jakiś problem z telefonem.

> Dostęp ad hoc jednym kliknięciem w jedną aplikację tego nie zrobisz, bez
> VPN owszem.

Ależ właśnie dokłądnie tak mam. Odpalam HomeAssistanta i mam, odpalam
\\ip\zasob i mam itd itp. Dom czy poza, żadna różnica.

> Lepszym kompromisem jest dedykowany IP dla klienta i dozwolony ruch
> tylko z niego.

Security by obscurity. Wybywasz sobie do innego kraju i dostajesz inną
sieć. Faktycznie, wygodne.

> Także rozumiem niektórych, że wolą wystawić poty urządzeń na zewnątrz
> niż pierniczyć się z VPNem.

Pierniczenie się z VPNem widać tylko w Twojej sytuacji. Ludzie
najzwyczajniej odpalają raz i zapominają ze działa.

do góry

On Sun, 6 Dec 2020 11:49:25 +0100, heby <h...@p...onet.pl> wrote:
> Nie chcesz tego. Ilośc komunikacji jaka lata po sieci LAN i
> przenika
> przez bridge jest znacząca.

Mi to jest potrzebne. Nat over tun to brzydka proteza.

> > pamiętać by wyłączyć gdy łączymy się z lokalnym Wi-Fi (jest jakaś
>> opcja
> > by klient nie puszczał ruchu gdy jest aktywne połączenie z
>> lokalnym wifi?)
> Nic takiego nie obserwuje.

Niby jak klient VPN odróżni przypadkową ale taką samą sieć lokalną
(wifi w barze i sieć 192.168.1.*) od identycznej w domu by nie
puszczać ruch przez tun? Klienci mają owszem opcje ignorowania gdy
lokalny interfejs ma sieć zgodną z tunelem ale to nie zadziała w/w
szczególnym przypadku.


> Security by obscurity. Wybywasz sobie do innego kraju i dostajesz
> inną
> sieć. Faktycznie, wygodne.

Tak nie działa m2m. Gdziekolwiek ma się roaming ma się zawsze ten sam
IP.
Poza tym wybycie do innego kraju bez roamingu to akurat przypadek
wyjątkowy, który można zastąpić VPNem.

> To jest bardzo wygodne rozwiązanie. Sprawdziłeś kiepskiego klienta
> albo
> masz jakiś problem z telefonem.

Nie wykluczam stąd było moje pytanie o klienta, bo otwarty jest
drewniany.
No i podziel się konfiguracją, która tak wyśmienicie działa,
wystarczy .conf z serwera.

--
Marek

do góry

On Sun, 6 Dec 2020 11:39:11 +0100, heby <h...@p...onet.pl> wrote:
> Całe szczęscie to bez znaczenia w co wątpisz.
> https://niebezpiecznik.pl/post/oszusci-przejmuja-pro
file-zaufane-w-celu-wyludzenia-pozyczek-strach-pomys
lec-co-jeszcze-mogliby-zrobic/

No i gdzie tu ta podatność dot. IPsec bo nie widzę? To była podatność
na "fałszywy dowód" a nie IPsec.

--
Marek

do góry

On 06/12/2020 12:54, Marek wrote:
>> Nie chcesz tego. Ilośc komunikacji jaka lata po sieci LAN i przenika
>> przez bridge jest znacząca.
> Mi to jest potrzebne. Nat over tun to brzydka proteza.

Więc możesz to sobie zestrugać. Jesli klient Androida tego nie wspira to
nic nie poradze, ale używam VPN nie tylko na androidzie.

>> > pamiętać by wyłączyć gdy łączymy się z lokalnym Wi-Fi (jest jakaś
>>> opcja
>> > by klient nie puszczał ruchu gdy jest aktywne połączenie z
>>> lokalnym wifi?)
>> Nic takiego nie obserwuje.
> Niby jak klient VPN odróżni przypadkową ale taką  samą sieć lokalną
> (wifi w barze i sieć 192.168.1.*)

Jeśli ktoś jest mądry choć trochę to nie ma w domu 192.168.

Po drugie możesz, jesli już naprawdę nie masz wyjścia, zabronić dostępu
do VPN kiedy jesteś w sieci domowej. Nie połaczy się, problem solved.

>> Security by obscurity. Wybywasz sobie do innego kraju i dostajesz inną
>> sieć. Faktycznie, wygodne.
> Tak nie działa m2m. Gdziekolwiek ma się roaming ma się zawsze ten sam IP.

Wiadomo, na przykład w barzez z wifi na Filipinach gdzie normalnym
odruchem każdego jest używanie ramingu przez GSM zamiast jakiś głupich wifi.

> Poza tym wybycie do innego kraju bez roamingu to akurat przypadek
> wyjątkowy, który można zastąpić VPNem.

Innymi słowy to rozwiązanie ma sens tylko jeśli masz gwarancje
stabilnego IP której nie masz. Ok.

>> To jest bardzo wygodne rozwiązanie. Sprawdziłeś kiepskiego klienta
>> albo masz jakiś problem z telefonem.
> Nie wykluczam stąd było moje pytanie o klienta, bo otwarty jest drewniany.
> No i podziel się konfiguracją, która tak wyśmienicie działa, wystarczy
> .conf z serwera.

Ten sam conf do wypluty przez PiVPN.

do góry

On 06/12/2020 12:58, Marek wrote:
>> Całe szczęscie to bez znaczenia w co wątpisz.
>> https://niebezpiecznik.pl/post/oszusci-przejmuja-pro
file-zaufane-w-celu-wyludzenia-pozyczek-strach-pomys
lec-co-jeszcze-mogliby-zrobic/
> No i gdzie tu ta podatność dot. IPsec bo nie widzę? To była podatność na
> "fałszywy dowód" a nie IPsec.


Pogubiłeś się biedaczku, mowa w wątku była to Profilu Zaufanym, do tego
się odnosiłeś. Jak będziesz mniej wycinał to może ogarniesz. Pozwolisz,
że Ci przypomnę:

On 05/12/2020 21:37, Marek wrote:
>> jest gdzieś daleko, ale ona jest tutaj. Czy wiesz że chwile temu
znaleziono "podatność" pozwalajacą na przejmowanie profili zaufanych?
Interesujesz się tym? Myślisz że Ciebie to nie dotyczy?
> Ziew. Takich "podatności",. które miały mieć niewiadomo jaki wpływ
już było bez liku. I co - i nic.

Ano nic, kogoś tam okradzono i tle. Państwo z tektury, ale z daleka
wygląda na betonowe.

do góry

On Sun, 6 Dec 2020 13:16:36 +0100, heby <h...@p...onet.pl> wrote:
> Jeśli ktoś jest mądry choć trochę to nie ma w domu 192.168.

No pochwal się kolego przemądrzały co tam nowego wymyśliłeś, rfc1918
już nie obowiązuje? Czym siec 193.168 jest gorsza od pozostałych?
Argument, że w 99% jest to domyślną możemy przemilczeć


> Wiadomo, na przykład w barzez z wifi na Filipinach gdzie normalnym
> odruchem każdego jest używanie ramingu przez GSM zamiast jakiś
> głupich wifi.

Jeśli ktoś jest mądry choć trochę i świadomie używa vpn to
szczególnie na Filipinach nie będzie korzystał z takiego wifi w
barze.

--
Marek

do góry