我有一台具有公共 IP 的服务器 (vpn)。此服务器还连接到本地网络,并为通过 openvpn 连接的用户提供对此网络的访问(openvpn 托管在此服务器上)。假设此服务器配置了sysctl net.ipv4.ip_forward=1(因为它是 vpn 服务器),命令ip a(简化)显示如下内容:
eth0: inet 192.168.10.12/24
eth1: inet 142.250.184.206/26
本地网络192.168.10.0/24不应能够通过互联网访问。
潜在攻击者是否有可能将我的服务器设置为网关或强制通过我的公共 IP(142.250.184.206)来访问我的本地网络?
答案1
是也不是。这在很大程度上取决于您的设置,但以下几点可能会有所帮助。
假设服务器是 142.250.184.206(我称之为 VPN 盒),并且如果 LAN 上没有设置 VPN 盒,则需要进行极具针对性的攻击来危害您的设备,以另一种方式强制流量通过 VPN 盒 - 您的网络受到严重损害,通过 VPN 访问几乎没有区别。
如果 VPN 盒被攻破,它可能会被用来访问、破坏和重新路由您的流量。虽然保护这个盒子非常实用(实际上这与大多数 soho 路由器非常相似),但由于盒子上有全球可访问的 IP,因此它很容易成为攻击目标。至少您需要在其上安装一个强大的防火墙,既用于保护盒子上的服务,也用于保护通过盒子转发的流量。
答案2
我不会说那句老话“没有什么是真正安全的”,即使这绝对是真的。这样做没什么大不了的,而且完全可行。这取决于您对 VPN 服务器的信任程度以及您将如何使用它,有很多机器人会尝试使用默认密码,并对公共 IP 上的任何开放端口进行常见攻击。因此,您需要确保您的服务器已更新,并确保您的密码足够安全。您正在打开通往本地网络的大门,因此您必须确保这扇大门是安全的。
只应打开 VPN 端口,而不是默认端口,您应确保您的 VPN 版本没有任何安全漏洞。如果它只是访问本地网络的一种方式,我建议将您的 VPN 放在路由器后面,这样您就可以管理流量并轻松更改端口重定向,例如,您的 VPN 在您的网络内只有一个 IP 并且只有一个接口。然后您的路由器将从您选择的随机端口重定向到您的 VPN。然后您可以将您的 VPN 视为不安全的机器(例如使用 IDS)以保护您的本地网络。