Pokud jste ještě o VPN neslyšeli a nebo není vám úplně jasné jak to funguje a čemu je to dobré, doporučuji nejprve mkrnout na můj starší článek o VPN.

Co se skrývá za NordLynx

NordLynx používá VPN protokol WireGuard, který se vyznačuje rychlostí a svým moderním pojetí (kód samotného protokolu je údajně 1tis. x menší než jinak velmi populární OpenVPN.

WireGuard

Určitým problémem WireGuard může ale být, že na straně VPN serveru jsou uloženy informace o tom, která IP adresa patří kterému uživateli. Na serveru tak nevystupujete jako anonymní uživatel i když z pohledu Internetu jím jste.

NordLynx

To se v NordVPN rozhodli vyřešit přidáním dvojitého NAT (síťového překladu adres). První část je stejná jako v případě originálního WireGuard, tj. všichni uživatelé dostanou stejnou lokální IP adresu.

Jakmile je tunel vytvořen nastupuje druhá nová část, která každému tunelu přiřadí unikátní IP adresu. Dvojitý systém NAT tak umožňuje navázat zabezpečené připojení VPN bez uložení jakýchkoli identifikovatelných dat na server. Dynamické místní adresy IP zůstávají přiřazeny pouze v době, kdy je relace aktivní. Mezitím se ověřování uživatelů provádí pomocí zabezpečené externí databáze.

Testování rychlosti

Samotný NordVPN udělal za poslední měsíc 8200 testů denně a pro nás bude nejzajímavější část testovaná přes britské servery:

Na jedné ose můžete vidět rychlost internetu v porování s tím kolikrát test rychlosti skončil s toto rychlostí. Jak je vidět v případě NordLynx je mnohem více testů vpravo, což značí vyšší rychlosti.

Nicméně toto je jen nějaký obecný test a mě zajímalo jak to dopadne v mém případě. Porovnal jsem tedy hned čtyři varianty – OpenVPN, IKEv2, NordLynx a připojení bez VPN.

OpenVPN

IKEv2

NordLynx

Bez VPN

I v mém případě se tedy potvrdilo co se očekávalo, tj. OpenVPN je nejpomalejší. Druhý v pořadí je pak protokol IKEv2, který byl cca. o 10% rychlejší než OpenVPN. Třetí skončil NordLynx s dalším cca. 10% nárůstem a konečně logicky nejrychlejší je připojení bez VPN.

Je vidět, že stále je rozdíl mezi připojením bez VPN a s VPN cca. 10%, nicméně je už to velice blízko a rozdíl oproti OpenVPN už je poměrně značný.

Je potřeba si uvědomit, že konečné rychlosti hodně závisí na umístění VPN serveru a rychlosti se tak mohou lišit.

Nastavení protokolu pro VPN

Samotná změna protokolu na novější není automatická a pokud již NordVPN používáte je potřeba jít do nastavení v protokol změnit.

Na počítači

Na mobilu

Já používám NordVPN cca. 2 roky na všech zařízeních a pokud hledáte stabilní a rychle VPN připojení s velkým důrazem na bezpečí tak ho mohu stále doporučit.

Ceny aktuálně začínají na nějakých $3 při 3 ročním kontraktu:

The post NordLynx – rychlejší VPN od NordVPN appeared first on blog.vyoralek.cz.

Co poskytuje Onion Router?

Onion Router (Tor) je anonymizační službou, která je provozována pomocí serverů dobrovolníků. Jejím úkolem je skrýt naší identitu a přenášená data. Ty se náhodně posílají a kryptují v různých lokacích a obalují náš původní požadavek dalšími uzly (jako cibule).

To znamená, že místo aby náš požadavek šel napřímo ze zdroje do cíle, tak je náhodně přesměrovávan po světě. Každý uzel má navíc informaci pouze o tom od koho data přijal a kam je má přeposlat.

Ve finále tak pouze vstupní uzel vidí naši reálnou IP adresu, ale cílový server zná pouze adresu posledního uzlu, tj. úplně jiného než přes který jsme se připojili do Internetu my.

Proč VPN + Onion Router

Jelikož žádný prvek sítě nevidí celý průběch našeho brouzdání po Intenetu a získáme přístup i k „neveřejné“ části Internetu, je používání služby Tor často znemožněno na úrovni poskytovatele připojení k Internetu.

Abychom toto omezení odstranili, vstupuje do hry právě VPN, která veškerou komunikaci zašifruje a poskytoval připojení pak nemá žádné informace o tom, že se chystáme Tor použít.

Druhým důvodem je skutečnost, že pokud VPN nepoužijeme, pak musíme stahovat speciální Tor Internet prohlížeč. S VPN toto odpadá – stačí když se připojíme na VPN, které Tor podporuje, což zjistíme v seznamu připojení.

Kdy službu použít?

Kombinace VPN + Onion Routeru není úplně vhodná na denní používání, jelikož spousta služeb bude mít se značnou anonymizací problém a nebudou buď fungovat vůbec a nebo velmi omezeně. Zároveň díky přeposílání mezi různými servery často i kontinenty je připojení značně pomalejší.

Na druhou stranu budou fungovat služby, na které se jinak v klasickém Internetu nedostaneme. Je nutné ale podotknout, že se často pohybují za hranicemi zákonů některých států. Použití tedy nechám na zvážení každým, nicméně je dobré mít alespoň základní přehled, že něco podobného existuje a můžeme této možnosti využít pokud jsme trochu více paranoidní vůči sledování provozu.

Pokud ještě NordVPN nemáte tak je ještě stále v akci s 66% slevou při objednávce na 2 roky přesto tento link – za sebe mohu s klidným svědomím doporučit. Jestli nad NordVPN stále váháte, můžete si přečíst mou podrobnější recenzi.

The post Onion Over VPN – maximální bezpečí a soukromí na Internetu appeared first on blog.vyoralek.cz.

Pokud zatím netušíte co šifrované připojení přes VPN je, pak si nejprve zkoukněte starší článek Bezpečně na internetu – připojení přes VPN.

Článek popisuje nastavení pro službu NordVPN, nicméně lze použít i obecně, jelikož využívá velmi rozšířenou OpenVPN službu.

Vypnutí VPN serveru

Pokud jste na NASce službu OpenVPN serveru nepoužívali, pak můžete tuhle část přeskočit.

Jelikož na Synology nelze mít OpenVPN službu zároveň jako klienta (NordVPN používá tento mód) a server bude potřeba nejprve vypnout službu OpenVPN serveru pokud ji máte aktivovanou.

To můžete zjistit v Centrumu balíčku a vyhledáním „VPN“. Balíček buď vypněte a nebo úplně odinstalujte.

Přidání VPN profilu

1. Spustíme si ovládací panely -> „Síť“ a záložku „Síťové rozhraní“, kde klikneme na „Vytvořit“ -> „Vytvořit profil VPN“.

1. Na další obrazovce zvolíme možnost třetí, tj. OpenVPN s importem konfigurace z .ovpn souboru.

1. Soubor .ovpn získáte z archívu https://nordvpn.com/api/files/zip ve kterém je nyní aktuálně přes 8tis. položek.

Českých serverů je v seznamu 30 přičemž vždy ve variantě přes TCP a UDP – obecně je doporučována spíše varianta UDP – a jeden tedy zvolíme.

1. Vyplníme libovolně název profilu a zadáme uživatelské jméno a heslo, které používáme k přihlašování na NordVPN službu. Pomocí procházet pak přidáme konfigurační soubor z předchozího kroku.

Certifikát ani pokročilé funkce vyplňovat nemusíme a můžeme tak kliknout na „další“.

1. Zatrhneme všechny možnosti – ve stručnosti přesměrujeme veškerý provoz na šifrované připojení, umožníme použítí tohoto připojení i ostatním zařízením a povolíme znovupřipojení při přerušení.

Navázání šifrovaného připojení

V seznamu Síťových rozhraní nám přibyde nová položka s VPN a stačí už jen kliknout na připojit.

Po připojení vidíme základní údaje a pokud by došlo k přerušení měla by se automaticky VPNka obnovit – mám vyzkoušeno a funguje to výborně.

Alternativní řešení

Existuje i alternativní cesta a to nastavit šifrované připojení už na úrovni routeru, tedy nejbližší brány do Internetu a pak nemusíte nastavovat VPNky na všech jednotlivých zařízeních zvlášť, ale pouze jednou právě na routeru.

Nicméně je potřeba mít poněkud sofistikovanější a výkonější router, který funkci VPN klienta zvládá, což zatím nemám. Pokud by se to v budoucnosti změnilo tak o tom sepíšu bližší informace.

Btw. NordVPN má ještě stále akci na 66% slevu při objednávce na 2 roky přesto tento link – za sebe mohu s klidným svědomím doporučit.

The post Šifrované OpenVPN připojení na NAS Synology appeared first on blog.vyoralek.cz.

Pokud se chceme šanci na únik osobních informací výrazně snížit je připojení přes VPN ideální volbou. Veškerá data mezi našim zařízením a cílovým serverem jsou zašifrovaná a špiónovi tak zbydou pouze nečitelná data.

Jak si vybrat VPN poskytovatele

Jakou službu budeme potřebovat už víme a nyní nám zbývá vybrat si poskytovatele VPN – můžeme to přirovnat k výběru např. mobilního operátora. Možností je více a je potřeba dobře zvolit na základě referencí uživatelů a v případě VPN zejména důvěry v poskytovatele.

Jedním z vodítek by mohly být srovnávačky serverů, které se v tomto technologickém oboru pohybují a jejich závěry můžeme brát směrodatně.

Například poměrně detailní srovnání má PCMag:

Z vícero podobných srovnání velice dobře výchází NordVPN, který má navíc servery i v České Republice a na ten se podívám podrobněji.

60 lokací na výběr

Jeden z dalších benefitů VPN – kromě primárně výrazně zvýšené bezpečnosti – je možnost virtuálně „cestovat“ po světě. NordVPN nabízí nyní 60 destinací do kterých se můžete připojit a pro Internet se budete tvářit jako byste se připojovali z této země.

To sebou přináší hned několik výhod:

• můžete používat služby, které jsou blokované jen pro určité lokace – např. americký NetFlix v US verzi a nebo vysílání britské BBC. Podobně je blokováno i vysílání České Televize jen na Českou republiku.
• můžete používat služby, které by jinak byly blokovány v lokaci, kde se nacházíte a to ať už např. v práci a nebo i opět geolokačně, tj. např. cenzura v Číně, Vietnamu, Rusku atp.

Na prvním obrázku jde například vidět, že jsem připojený z České republiky.

Ale chvíli na to už se mohu tvářit, že jsem v americkém Denveru.

A tím výhody nekončí…

Bezpečnost a změny geolokace patří mezi to zásadní, co v menší či větší míře nabízejí všichni. NordVPN má však i pár vychytávek navíc.

Internet Kill Switch

Tato služba je dostupná jak na počítačích tak v mobilech a jde jednoduše o to, že pokud vám VPN připojení spadne – což se občas prostě může stát – tak se automaticky zablokuje veškerý váš provoz na internet. Tím odpadne možnost vyslání nějakých osobních dat bez ochrany VPN na Internet.

CyberSec

Popis této služby zní trochu až marketingově – automaticky zabrání škodlivým webovým stránkám, aby nedošlo k napadení webovým stránkám napadení zákeřným softwarem ani jinými kybernetickými hrozbami. Určitým způsobem by měla zabrát i vyskakování nevyžádaných oken, automatického přehrávání videí a zobrazování reklamy. Z vlastní zkušenosti mohu potvrdit, že to funguje, i když to není úplně 100%.

Zařízení kde mohu VPN použít

Základní dva typy jsou samozřejmě počítače a mobily. Jsou podporovány snad všechny operační systémy jak počítačů tak mobilů.

Pokud neexistuje přímo aplikace, tak je vždy možnost použít poměrně hojně rozšířené klienty OpenVPN serveru – přijdete jen o možnost si pohodlně vybírat servery a o některé doplňkové služby.

Rychlost připojení

Pokud se rozhodneme hrnout veškerý provoz přes VPN pak nás může zajímat, zda to bude mít nějaký vliv na rychlost.

Vzhledem k tomu, že data jsou šifrovány dá se předpokládat, že nějaký vliv zde bude, nicméně pojďme si ukázat konkrétní čísla.

Mé základní připojení je 150Mbit upload a 10Mbit download od UPC, jak můžete vidět na prvním snímku.

Jakmile do připojení vstoupí VPN rychlost obou směrů se sníží, nicméně není to nic kritického – download klesl na 135Mbit (-10,1%) a upload na 9,61Mbit (-2,75%).

Svou roli zřejmě bude hrát hrát i konrétní VPN server, ke kterému se připojíte, jelikož jen v CZ je jich aktuálně k dispozici 30 a zatížení je velmi různé – od 8-80%. Pokud použijete přímo připojení přes aplikaci NordVPN pak by se automaticky měl vybrat ten nejvýhodnější.

Co se nepovedlo

Zatím jsem psal víceméně jen pozitivní ohlasy, ale nějaké mouchy se najdou téměř na všem. U NordVPN to naštěstí zatím nejsou nějaké zásadní věci.

Jediná věc, která se mi zatím nelíbí je poměrně velká nekonzistence mezi aplikacemi pro jednotlivé operační systémy – možnosti nastavení ve Windows jsou výrazně jiné než na Macu a musíte si tak zvykat na jiné rozhraní a hledat.

Cena?

A teď to přijde. Vše výše zní určitě skvěle, ale připravte se na to, že tenhle typ služby není zadarmo. Na druhou stranu soukromí je jedna z nejcennějších věcí, čili by to měla být správná investice.

Základní otázka zní zda budete chtít zabezpeční jak na mobilu tak na počítači. Spousta poskytovatelů totiž nabízí službu odděleně na základě typu zařízení a cena se pak může pěkně vyšroubovat.

NordVPN na to jde naštěstí jednoduše a v jednom poplatku máte až 6 současně připojených zařízení bez ohledu na typ a bez jakéholiv datového limitu.

Měsíční poplatek je nyní 11,95USD což je cca 265 Kč – to není málo. Naštěstí cena se poměrně rychle snižuje pokud si předplatíte delší období.

U ročního přeplatného je to 5,75USD na měsíc, tj. cca. 127 Kč, při dvou ročním přeplatném pak 3,29USD, tj. cca. 73Kč a při 3-letém předplatném cena klesá na 2,65USD, což je nějakých 61Kč měsíčně.

Aktualizace 9/2018

U ročního předplatného je to 6,99USD na měsíc, tj. cca 152 Kč a při 2-letém předlatném cena klasá na 3,99USD, tj. cca. 87 Kč za měsíc. Původní možnost 3-letého přeplatného byla bohužel zrušena a maximální úspora je tak nyní 66% při 2-letém předplatném.

Na vyzkoušení máte 30dní a pokud nebudete spokojení můžete od služby odstoupit s vrácením peněz.

Já službu už nějakou dobu používám a mohu ji vřele doporučit => NordVPN.

The post Bezpečně na internetu – připojení přes VPN appeared first on blog.vyoralek.cz.

Níže uvedený postup platí pro iOS 10.3.

Nastavení nového VPN připojení

Přejdeme do „Nastavení/Obecné/VPN“ a klikneme na „Přidat konfiguraci VPN…“

a vyplníme nastavení:

• Typ – vybereme L2TP
• Server – zadáme veřejnou IP adresu domácího připojení (tedy tam kam se chceme připojit)
• Účet – uživatelské jméno, které se bude ověřovat vůči RADIUS serveru
• RSA SecurID – necháme nezatržené
• Heslo – uživatelské heslo
• Sdílený klíč – sdílené heslo
• Odeslat vše – zatrhneme – veškeré požadavky (i na Internet) půjdou skrz domácí připojení

Připojení se přes VPN

Vrátíme se zpět na plochu a v „Nastavení“ se nám objeví nová položka „VPN“, kde můžeme aktivovat připojení na VPN.

Pokud jsme vše nastavili vpořádku a server náš požadavek přijal, pak bychom v horní liště měli vidět ikonku „VPN“.

The post Ubiquiti – USG – Nastavení L2TP VPN připojení na mobilu (iOS) appeared first on blog.vyoralek.cz.

Návod je sepsán pro Unifi Controller ve verzi 5.6.12

Možnost 1 – Synology RADIUS Server

Výhodou tohoto řešení je sdílení seznamu uživatelů mezi Synology NAS serverem a Ubiquiti USG VPN serverem. Pro přístup k VPN tak není potřeba zakládat uživatele, pokud je již nastavený na NAS serveru, ale stačí nastavit RADIUS server na NASu a pak na USG přidat nový RADIUS profil.

Instalace a nastavení RADIUS serveru na NAS

Ta je poměrně jednoduchá a jedinou věcí co je potřeba přidat je klientské zařízení USG s následujícími hodnotami:

• Název – pojmenování klientského zařízení, např. „Router“
• IP adresa – IP adresa USG Routeru
• Maska podsítě – Maska podsítě USG Routeru
• Sdílený tajný klíč – jakýkoliv tajný klíč, který později nastavíme v USG
• Zatrhneme povolit

Vytvoření RADIUS profilu na USG

Dalším krokem je „spárování“ RADIUS serveru na NASu s USG. K tomu nám poslouží RADIUS profil, jehož přidání najdeme v Unifi controlleru v sekci „Profiles“, kde klikneme na „Create new radius profile“ a vyplníme následující hodnoty:

• Profile Name – název profilu, např. „NAS“
• VLAN Support – necháme nezatržené
• RADIUS Auth Server
  • IP Address – zadáme IP adresu NAS serveru (Radius serveru)
  • Port – zadáme 1812, pokud jsme nezměnili v nastavení – na NASu sekce „Běžná nastavení“ – „Port ověřování“
  • Password/Shared Secret – zadáme „Sdílený tajný klíč“ vyplněný v RADIUS serveru
• Accounting – necháme nezatržené

Možnost 2 – RADIUS server na USG

Pokud máte některou z posledních verzích Unifi controlleru, pak byste v sekci „Services“ měli vidět záložku „RADIUS“, u které zatím svítí „BETA“, nicméně už je funkční.

Vytvoření Radius uživatele

Prvním krokem při použití RADIUSu na USG je vytvoření účtu uživatele, který použijeme pro přihlašování k VPN. Vyplníme následující:

• Name – název uživatele
• Password – heslo
• VLAN – necháme prázdné
• Tunnel Type – 2 – Layer Two Tunneling Protocol (L2TP)
• Tunnel Medium Type – 1 – IPv4 (IP version 4)

Zapnutí RADIUS serveru

V sekci RADIUS se překlikneme na druhou záložku „Server“ a nastavíme:

• Enable Radius Server – přepneme na ON
• Secret – zadáme nějaký tajný kód, který bude společný pro všechny uživatele
• Clients – necháme zatržené
• Authentication Port – nechápe výchozí port
• Accouting Port – necháme výchozí port
• Accounting Interim Interval – necháme výchozí hodnotu
• Tunneled Reply – necháme ON

V sekci RADIUS profilů bychom nyní měli vidět „Nas“ pokud jsme použili volbu první a nebo „Default“ pokud jste použili možnost druhou.

Definice VPN sítě

Dalším krokem je vytvoření VPN sítě a proto se přepneme do sekce „Networks“ a vypníme:

• Name – název sítě, např. VPN
• Purpose – vybereme „Remote User VPN“
• VPN Type – vybereme „L2TP Server“
• Pre-Shared Key – vypníme heslo, které jsme nastavení na RADIUS serveru (to společné pro všechny uživatele)
• Gateway/Subnet – vypníme adresu rozsahu VPN sítě – zobrazí se nám počet IP adres a IP rozsah
• Name server – můžeme zadat pokud potřebujeme vlastní DNS servery
• RADIUS Profile – vybereme profil podle možnost, kterou jsme použili – viz. výše

Po přidání bychom měli vidět novou síť jako purpose „Remote User VPN (L2TP)“.

To je vše co je potřeba udělat na serverové straně. Veškeré nastavení Firewallu za nás udělá přímo USG.

The post Ubiquiti – USG – Nastavení L2TP VPN serveru appeared first on blog.vyoralek.cz.