目前,我的家庭网络由 5 台计算机(3 台笔记本电脑和 2 台台式机)组成,其中一台运行 Windows Server 2008,用作我们一些文件的家庭存储库。我们通过 Thomson TG784 路由器访问互联网,该路由器接收两个无线连接和三个有线连接,其中一个通过交换机。也就是说,我们没有在任何地方使用防火墙,因此 100% 依赖路由器的防火墙功能。到目前为止,我们从未遇到过任何问题,但现在我想设置 VPN(可能使用 RRAS 或 OpenVPN),以便我可以从外部访问这里的计算机。问题是我真的不确定我是否应该这样做,因为这意味着将至少一个端口转发到一台计算机(即 Windows Server 2008 计算机),据我所知,这样就将整个网络开放到外部。所以,我的问题确实有三个:
1)我们当前的设置在安全性方面是否足够,或者我们是否应该在每台计算机上使用防火墙(即使没有任何 VPN 或端口转发)?
2) 在这样的网络上设置 VPN 是否安全,或者我是否会面临不必要的网络访问风险?
2) 如果我真的决定设置 VPN,我应该如何配置它和网络中的机器以确保安全?
答案1
回答您的问题:
- 当前设置已足够。您的路由器可以充当一个不错的防火墙,尽管功能不全(显然专业防火墙更好,并且将提供更多选项和深度数据包检查)。如果您真的希望增加安全性,您当然可以启用软件防火墙,但是,如果防火墙的端口 3389 已打开,仅转发到您的服务器,它们无论如何都无法访问其他计算机,除非它们以某种方式猜出您的 VPN 用户名和密码。
- 任何开放端口或外部访问都存在风险:连接到互联网本身就是一种风险。话虽如此,你必须权衡风险和收益,只有你才能真正做到这一点。我认为风险很低,多年来我一直在为企业做同样的事情。
- 除非您想要添加证书服务器并为您的笔记本电脑颁发证书以便只有它们才能访问 VPN,否则不需要进行太多配置。请注意,这将为您提供更多的安全保障,但设置起来要复杂得多,并且将是一个单独的问题,可能是在 Server Fault 上。设置 VPN 后,它们将连接到网络,就像您实际上将计算机插入交换机一样。您可以访问服务器上的驱动器,或者如果您使用的是远程笔记本电脑和运行 Windows 专业版的台式机系统,则可以使用笔记本电脑通过 RDP 连接到台式机。在这种情况下,您在 LAN 上完成所有工作,因此大文件的延迟非常小,只有屏幕绘制和使用 RDP 的鼠标/键盘单击。
最后,如果您将驱动器映射到服务器,而服务器不在(未本地连接或通过 VPN 连接),您的笔记本电脑可能会出现性能问题。您可能需要使用脚本根据需要映射和取消映射驱动器。
答案2
使用 Hamachi。您可以轻松创建 VPN 隧道,并且无需打开路由器上的端口。我使用它是因为我会带着笔记本电脑旅行,但需要访问我的家庭服务器上的文件,或者我可能需要更新我的私有云上的设置/虚拟机。