我想知道哪一个 openvpn 设置会被认为更安全。
1:使用开箱即用的 Netgear r7000 运行 openvpn 服务器,问题在于我不相信 Netgear 会按要求持续更新固件。
2:使用 DD-Wrt 运行 openvpn 服务器,安装过程比较复杂,而且在尝试启动和运行服务器时,我可能会错误地破坏其他一些安全设置。
3:在路由器“后面”运行带有 openvpn 服务器的专用 Rapsberry Pi。
选项 3 是我最喜欢的(并且更便宜),但我想知道是否在路由器后面运行服务器并因此必须从路由器端口转发到服务器会产生更多的安全威胁。
谢谢 !
编辑一下,更清楚一点
简而言之,在路由器上运行的 openvpn 服务器是否比在路由器转发端口后面运行的服务器更安全?
答案1
在提供远程访问(入口)方面,两种方法都有优缺点,但我建议使用带端口转发的内部服务器。这有几个优点:
- 软件可以更及时地升级/更新(一般来说)
- 可以根据需要对流量应用额外的防火墙,以更严格地限制允许的流量。
- 内部入侵保护系统可以查看和分析流量。
路由器唯一优越的情况是 VPN 连接大量依赖 UDP 端口。允许 UDP 进入 LAN 可能更危险,而且 NAT 难度更大。在这种情况下,在允许流量进入 LAN 之前对其进行处理会更有优势。