#openvpn

bkoehn@diaspora.koehn.com

Setting up #OpenVPN on #pfSense was very easy. There’s a wizard that does most of the heavy lifting for you (PKI, firewall rules, client profiles) and unlike #ipfire it actually works.

I wish that the #wireguard configuration was as easy; I’ve never gotten it to work on any platform. Regardless, I now have good VPN connectivity to the LAN.

gunnar@diasp.org

VPN services - what kind of privacy are they talking about?

Just made a test using Blacklight. Blacklight is a Real-Time Website Privacy Inspector.

Tested: expressvpn.com

ExpressVPN belongs to Kape Technologies, a UK and Israel based digital privacy and security company (ExpressVPN was acquired 2021).

This VPN service makes marketing with slogans like "Just one click to a safer internet - Going online doesn’t have to mean being exposed. Whether you’re shopping from your desk or just connecting at a cafe, keep your personal information more private and secure."

It turned out to be much worse than expected... Personal conclusion: Such a service is not recommended

Blacklight Inspection Result

6 Ad trackers found on this site.

Blacklight detected trackers on this page sending data to companies involved in online advertising.

Blacklight detected scripts belonging to the companies Facebook, Inc., Microsoft Corporation and Alphabet, Inc

3 Third-party cookies were found.

These are commonly used by advertising tracking companies to profile you based on your internet usage. Blacklight detected cookies set for Alphabet, Inc. and Microsoft Corporation.

When you visit this site, it tells Facebook.

The Facebook pixel is a snippet of code that sends data back to Facebook about people who visit this site and allows the site operator to later target them with ads on Facebook. 

A Facebook spokesperson told The Markup that the company set up this system so that a user doesn’t have to be “simultaneously logged into Facebook and viewing a third-party website for our business tools to function.”
Common actions that can be tracked via pixel include viewing a page or specific content, adding payment information, or making a purchase.

This site uses Google Analytics and seems to use its ”remarketing audiences” feature that enables user tracking for targeted advertising across the internet.

This feature allows a website to build custom audiences based on how a user interacts with this particular site and then follow those users across the internet and target them with advertising on other sites using Google Ads and Display & Video 360.

A Google spokesperson told The Markup that site operators are supposed to inform visitors when data collected with this feature is used to connect this browsing data with someone’s real-world identity. You know when those shoes you were looking at follow you around the internet? This is one of the trackers leading to that.

Some of the ad-tech companies this website interacted with:

The inspected website contacted some well known actors in the ad-tech industry. Not all of these loaded trackers, so they may be different from those listed in the tests section above. For more information on each company, what it does, and which of its domains Blacklight found during the inspection, click the arrow. Reading this can give you a better idea of how the ad-tech industry works.

Alphabet

Blacklight detected this website sending user data to Alphabet, the technology conglomerate that encompasses Google and associated companies like Nest. The Silicon Valley giant collects data from twice the number of websites as its closest competitor, Facebook. An Alphabet spokesperson told The Markup that internet users can go here if they want to opt out of the company showing them targeted ads based on their browsing history.

The site sent information to the following domains doubleclick.net, google-analytics.com, google.com, googleadservices.com, googleoptimize.com, googletagmanager.com.

#vpn #tracking #security #linux #openvpn #wireguard #privacy #expressvpn #bsd #solaris #google #facebook #microsoft #hackernews #blacklight #alphabet #meta #marketing #trackers #trackingpixel

taerl_jell@diasp.org

Пока мы спим, здесь отключают VPN – идет тест блокировки двух протоколов


VPN был недоступен в Ростове-на-Дону, Западной Сибири, Краснодаре.

2 июня 2022 года в Роскомнадзоре признали блокировку VPN-сервисов в России. Пресс-служба ведомства дала «Известиям» следующий комментарий: «Согласно закону "О связи", средства обхода блокировок противоправного контента признаются угрозой».

На момент публикации этой статьи проблемы испытывают как минимум пользователи сервисов Proton, NordVPN, Windscribe и Browsec. Некоторые VPN-сервисы продолжают работать, но со сниженной скоростью и сбоями в работе приложений (гендиректор Telecom Daily Денис Кусков называет это признаками попыток заблокировать сервисы).

Скорее всего, все, что РКН технически сумеет заблокировать, будет заблокировано. Самое время зайти через рабочий VPN на те ресурсы, где у вас остались какие-то данные и файлы, скачать все необходимое и, если нужно, написать своим подписчикам, где вас можно найти.

29 мая жители разных регионов России заметили проблемы с подключением VPN по протоколам IPsec и IKEv2. Точно установить причину возникновения проблем не удалось. Пока обсуждаются две популярных версии.

  • Российские власти тестируют блокировку VPN. В пользу этой идеи говорят последние инициативы Роскомнадзора (блокировки соцсетей и VPN-сервисов), а также время «сбоя»: протоколами IPsec и IKEv2 пользуются в основном компании, а не обычные пользователи, поэтому в выходные дни урон от блокировки минимален – отличное время для теста.
  • Просто где-то что-то сломалось. Случайно, непреднамеренно, не контролируемо, починили так быстро, как смогли. Даже если так, повод для тревоги все равно есть.


29 мая многие пользователи столкнулись с проблемами: подключение к VPN либо превращалось в бесконечный процесс, либо останавливалось, не получив ответа от сервера

Что такое IPsec и IKEv2

Это VPN-протоколы – основа VPN-сервисов. Они содержат требования и условия передачи данных, стандарты шифрования, формат организации подключения и другие аспекты работы. Без протокола VPN-сеть не сможет функционировать, потому что просто не поймет, как это делать.

VPN-протоколы нужны для решения разных задач: какие-то больше подходят для корпоративного использования, какие-то – для личного. Степень защиты и скорость загрузки тоже могут отличаться.

IPsec и IKEv2 – одни из самых распространенных и востребованных протоколов для устройств как на базе Android, так и iOS, Windows, Linux, macOS.

На этих протоколах работают многие популярные VPN-сервисы. Хорошие платные сервисы иногда предлагают альтернативное подключение и таким образом защищают пользователя от блокировки.

Например, популярный сервис VPN Proxy Master работает на нескольких протоколах: AES-256, IPSec и OpenVPN. Первый протокол подходит для компаний, которым нужно сильное шифрование данных, а второй и третий – для обычных пользователей. Если бы IPSec заблокировали полностью, скорее всего, сервис позволил бы клиентам использовать OpenVPN.

Частные серверы часто используют только один протокол, поэтому они более уязвимы. Из-за блокировок может нарушиться работа компаний.

И что страшного

  • IPsec и IKEv2 – популярные протоколы, блокировка которых может привести к остановке работы многих компаний и удаленных специалистов. Практически все частные VDS (виртуальные серверы) сегодня работают именно с этими протоколами.
  • Если у государственного регулятора появился инструмент, с помощью которого можно заблокировать VPN (и даже если это вышло случайно), ничто не мешает регулятору воспроизвести ошибку по требованию.

Тревожиться по поводу блокировки VPN или нет – ваш выбор. Наш совет: не волноваться, но готовиться к худшему. А то в феврале мы тоже слышали, что блокировки невозможны, а потом что-то произошло…

#VPN #IPsec #IKEv2 #IP #AES-256 #OpenVPN #блокировка #Роскомнадзор #интернет #blocking #Roskomnadzor #internet #lang-ru #lang_ru

Источник

Тревожиться прям совсем не стоит, а вот переживать, если ничего не делаешь - стоит. Что б VPN не заблокировали, нужны нестандартные условия. К счастью я это предвидел, так что мои VPN серверы надёжно держатся. Протестируйте и вы их, а если понравятся, то подключайтесь ко мне за дешего!

rainerhgw@diasp.org

Has anyone set up #openvpn with a let's encrypt certificate?
I know how to get a certificate, that is not the problem, but I wonder if I still would have to reference the CA certificate in both server and client configuration?

katzenjens@pod.tchncs.de

Leichte Besserung der Gesundheit meinerseits.

Zum einen sind die quälenden Depressionen zur Zeit nicht vorhanden. Zum anderen kann ich mich auch wieder länger am Stück konzentrieren. Und dadurch macht natürlich alles mehr Spaß. Ich habe die Tage meine Schilddrüsenmedis selbständig erhöht, weil es bis jetzt schon in die richtige Richtung ging. Kasse zahlt Bluttest leider nur alle 3 Monate. Da muss man halt kreativ sein.

Das Wochenende und die gute Stimmung habe ich genutzt, um den NAS-Server, von welchem ich letztens gesprochen habe, weiter "aufzubohren".

Bisher hatte ich ja neben dem Western Digital NAS aus 2013 zusätzlich noch einen Raspberry PI als Miniwebserver und Konzentrator für meine Webcams und sonstige IoT Gerätschaften um Daten vom internen Netz kontrolliert nach aussen zu bekommen und umgekehrt. Ich möchte nicht an vielen Stellen Ports nach aussen freigeben, da bin ich etwas paranoid. Und so habe ich einen Apache Webserver inkl. PHP und MqSQL mit der Adminsoftware "Froxlor" installiert und eine Subdomain nach aussen freigegeben, selbstredend inkl. SSL. Trick ist, die Administration läuft nur im internen Netz, somit ist die Sicherheit gewährleistet.

Nun fragen sich natürlich einige, wie man dann von unterwegs auf das NAS zugreifen kann und wieso ich keine Standardsoftware wie OpenMediaVault verwende? Ganz einfach, da weiss ich nie, ob es irgendwelche Sicherheitsprobleme geben kann. Die gibt es leider zu häufig. Da müsste man stetig das System auf dem neuesten Stand halten. Und ja, auch das würde automatisch gehen. Aber ich bin ein alter paranoider Sack, welcher ein Problem damit hat, wenn Sachen unkontrolliert irgendwo hintelefonieren oder man nicht weiß, was unter der Haube so funktioniert.

Meine Standardkonfiguration für Webserver nutze ich seit 17 Jahren und habe erst ein einziges Mal durch ein unsicheres CMS mir vor 15 Jahren mal was eingefangen. Seitdem nutze ich kein Standard CMS mehr sondern entweder ich wurschtel was von Hand zurecht oder nehme übersichtliche Software mit möglichst wenig Angriffsfläche. Ich empfehle gerne https://www.cmsimple.org/ Das braucht nicht einmal eine Datenbank und reicht für viele Zwecke aus.

So, gut. NAS läuft, Webserver nebst Verwaltung auch. Aber wenn NAS und Verwaltung von aussen nicht zugänglich ist, was dann?! Die Antwort ist auch recht simpel und nennt sich OpenVPN. Also habe ich das auch noch auf den PI4 installiert. Nun kann ich auf Smartphones wie auch Notebook den passenden OpenVPN Client installieren um von ausserhalb in mein internes Netz zu kommen. Seit Corona ist sowas ja bei vielen Dienstrechnern zum Standard geworden, wenn man im Homeoffice ist.

Somit ist nun das alte WD NAS sowie mein alter Raspberry PI3 Geschichte. Der PI4 übernimmt das alles, und das noch schneller als vorher. Eine kleine Erweiterung habe ich aber noch im Hinterkopf, nämlich an den zweiten USB3-Port eine weitere externe Festplatte anzuschließen, diesmal aber eine 3,5 Zoll mit externem Netzteil. Dort möchte ich dann zusätzliche Datensicherheit durch rsync einbringen. Jaja, meine Paranoia. :)))))

Will sagen, das ganze System kann man vielleicht auch als Security durch Obscurity bezeichnen, da es zwar vermutlich auch Lücken haben kann, diese aber kaum zu finden sind, da es Handarbeit ist. Bösewichte werfen sich ja hauptsächlich auf standardisierte Dinge. Port 80 und 443 TCP sind offen und ein UDP Port für OpenVPN, natürlich nicht der Standardport. Alles andere ist zugenagelt und ist nur entweder direkt zuhause oder über VPN erreichbar.

Als zusätzliches Schmankerl bin ich über das VPN unterwegs am Handy übers Festnetz erreichbar. Ist allerdings heutzutage fast obsolet geworden wegen Flatrates.

Ich bin jedenfalls zufrieden, dass die Installation recht flüssig geklappt hat. OK, Freitag abend bis Samstag morgen 2 Uhr. Und dann die Reste noch heute mittag.
#nas #raspberry #openvpn #froxlor #hashimoto