Ubuntu: NAS raggiungibile da remoto

[deggial]

Salve a tutti, in ufficio (dove ho un indirizzo IP fisso libero) vorrei installare un nas e raggiungerlo dal portatile (da qualunque parte del mondo).

E' una buona idea? Come renderlo sicuro? Ammesso che si possa renderlo veramente sicuro.
VPN basata su certificato può bastare? (e nel caso va bene openVpn?)

Grazie mille a chi mi toglie un po' di dubbi

[eaman]

Prima cosa: quanto hai di banda in upload?
Una ADSL da 20Mb tira circa 100KB al secondo, e gli dovrai lasciare almeno ~30/40KB liberi a quelli dell'ufficio per non piantarli mentre stai delle ore a tirar su file. A spostare 100MB a 65KBs ci vuole una mezzora: ti conviene?

Ti consiglio di prenedere dello storage on line, tipo drop box. Oppure dello storage puro a cui accedere con FTP / unison.

[deggial]

Quote:

Originariamente inviato da eaman

Prima cosa: quanto hai di banda in upload?
Una ADSL da 20Mb tira circa 100KB al secondo, e gli dovrai lasciare almeno ~30/40KB liberi a quelli dell'ufficio per non piantarli mentre stai delle ore a tirar su file. A spostare 100MB a 65KBs ci vuole una mezzora: ti conviene?

Ti consiglio di prenedere dello storage on line, tipo drop box. Oppure dello storage puro a cui accedere con FTP / unison.

il nas ha 4MB simmetrici, minimo garantito 1MB (non è che sono miliardario, non lo pago io :P)
io in casa 10MB simmetrici (fibra ottica fastweb)

[deggial]

Quote:

Originariamente inviato da eaman

Ti consiglio di prenedere dello storage on line, tipo drop box. Oppure dello storage puro a cui accedere con FTP / unison.

Vorrei un nas per due motivi:
1- il gusto di farlo e di imparare
2- servirebbe anche a mia moglie, e per lei voglio una cosa che "clicca il pulsante per connetterti (in vpn) e poi usa le cartelle come fossero sul tuo computer". nulla di complicato per l'utente finale.

[eaman]

Resta il fatto che un ip libero non e' raggiungibile dall'esterno, ti servirebbe un ip pubblico. Per altro mi sembra strano che ti abbiano dato una linea simmetrica senza un ip pubblico (e magari statico).

Ci sono modi per per raggiungere un ip privato, se questo instanzia la connessione per primo e comunica ip del gateway e porta utilizzata. Un po' come fa skype. Ma non e' un meccanismo elementare e idealmente servirebbe un 'ponte' esterno con ip pubblico.

A parte la premessa, di suo openvpn e' fatto apposta, se i client sono sempre quei due puoi anche fare un unica chiave simmetrica, metterla sul pc di tua moglie con una chiavetta usb, e buona li'.

[deggial]

infatti ho un ip pubblico fisso e raggiungibile.
partendo da queste premesse, volevo approfondire il discorso che sta dietro:

con
openvpn con certificato (che metto sui due pc)
iptables che blocca tutto il non necessario
una porta aperta per ssh (non la 22 sicuramente)

posso considerarlo sicuro?

[eaman]

Secondo me si, magari metti un controllo anti brute force per ssh su iptables, tipo:
[/code]iptables -A INPUT -i ppp0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 2 --name DEFAULT --rsource -j DROP
iptables -A INPUT -i ppp0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
[/code]
Tieni conto che se i client usano linux non ti serve openvpn, puoi montare direttamente tramite ssh:
- http://fuse.sourceforge.net/sshfs.html

[deggial]

Quote:

Originariamente inviato da eaman

Secondo me si, magari metti un controllo anti brute force per ssh su iptables, tipo:
[/code]iptables -A INPUT -i ppp0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 180 --hitcount 2 --name DEFAULT --rsource -j DROP
iptables -A INPUT -i ppp0 -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource
[/code]
Tieni conto che se i client usano linux non ti serve openvpn, puoi montare direttamente tramite ssh:
- http://fuse.sourceforge.net/sshfs.html

grazie per l'anti bruteforce, non conoscevo la sintassi e sicuramente è di aiuto.
Ma a questo punto se sono protetto da attacchi bruteforce posso anche "permettermi" di non usare openvpn con certificati, ma usare semplicemente pptp con protezione su password? (sarebbe più semplice da configurare).

ps: no, i client sono windows.

[eaman]

Quote:

Originariamente inviato da deggial

Ma a questo punto se sono protetto da attacchi bruteforce posso anche "permettermi" di non usare openvpn con certificati, ma usare semplicemente pptp con protezione su password?

Premetto che non conosco pptp, ma il fatto che tu sia meno sensibile ad attacchi brute-force non vuol dire che puoi fare a meno di autenticazione e criptazione del traffico.

Quote:

(sarebbe più semplice da configurare).

ps: no, i client sono windows.

Bho openvpn con chiave simmetrica e semplice da tirar su.
Ma tanto se lo fai per provare, fai prima l'uno poi l'altro...

...poi c'e' netcat, tunnel su ssh, unison, DRBD, ...

[sn0z33r]

pptp e ipsec necessitano il protocollo GRE che in alcuni casi potrebbe essere inibito (almeno i provider ti vendono servizi bussiness ). OpenVPN con certificato e ti passa la paura... è una cosa decisamente banale... i certificati te li generi da solo

[deggial]

Quote:

Originariamente inviato da sn0z33r

pptp e ipsec necessitano il protocollo GRE che in alcuni casi potrebbe essere inibito (almeno i provider ti vendono servizi bussiness ). OpenVPN con certificato e ti passa la paura... è una cosa decisamente banale... i certificati te li generi da solo

perfetto grazie a entrambi.

comunque pptp l'ho configurato, quindi il provider (fastweb sia in casa che ufficio) non dovrebbe bloccare.
ora provo con openvpn