[cancellato] Che VPN stai usando

Surfshark, VPN commerciale.

[cancellato] Sì, c'è qualche configurazione che lo permette.

Infatti. Avere IP pubblico e statico, ed esposto, non mi lascia tranquillo. Temo possa essere facilmente bucato. per forzuta su quell'SSD non c'è nulla di particolare da proteggere, ma questa situazione non mi piace.
DOMANDA:
dato che non si può tornare all'IP privato, conoscete un modo per renderlo, con router Fastgate, almeno dinamico?

E grazie per il supporto! 😁

MaxBarbero non_dormo come faccio ad aprire una porta che permetta ad uno dei device che utilizzo di utilizzare la VPN?, ovvero il software che è installato sul device stesso e non sul router?

Come ti è stato detto, se usi un vpn client sul dispositivo non devi aprire nulla, visto che devi uscire non entrare. Non è che sul device o router hai impostato qualche sorta di simil firewall che limita le connessioni in uscita?

Quello che mi hai scritto, in effetti, mi ha aiutato.
Ho disattivato, dal pannello di controllo del ruoter, la funzione " firewall", ed in effetti adesso il laptop sul quale lancio la VPN si collega senza problemi. Andando su MyIP, ho verificato che la rete percepisce che non mi sto collegando dal mio IP pubblico, benché io sia nella mia rete locale.
Quindi ne deduco che il problema era il firewall nativo di fastgate......

          non_dormo dato che non si può tornare all'IP privato, conoscete un modo per renderlo, con router Fastgate, almeno dinamico?

          No, dipende sempre dal provider. Tu non puoi fare nulla.

          Dovresti vedere se tra le opzioni del fastgate c'è quella per non pubblicare il servizio che raggiungi (a meno che tu non abbia messo qualche regola di forwarding specifica)

            non_dormo Avere IP pubblico e statico, ed esposto, non mi lascia tranquillo. Temo possa essere facilmente bucato.

            La soluzione non è tornare al CG-NAT, ma implementare o attivare un firewall sul router e sui singoli dispositivi, enumerare e mettere in sicurezza l'accesso remoto, se ne hai bisogno. L'IP dinamico al più riduce la portata per qualche ora, poi i bot che scansionano internet 24/7/365 ti troveranno lo stesso. Per altro, diversi servizi come accesso al feed di IP camera o hard disk tengono conto di eventuale CG-NAT e lo bypassano usando un server e tecniche quali NAT hole-punch.

              • [cancellato]

              • Messaggio #24
              • Modificato

              non_dormo Surfshark, VPN commerciale.

              Dipende dal protocollo che usa effettivamente (per fortuna non si inventano le loro VPN) - usare Wireguard o OpenVPN è diverso da usare IPSec/IKEv2. Dipende da come l'hai configurata.

              non_dormo Infatti. Avere IP pubblico e statico, ed esposto, non mi lascia tranquillo.
              non_dormo Ho disattivato, dal pannello di controllo del ruoter, la funzione " firewall",

              Ecco, con IP pubblico (e perdipiù statico) è meglio avere un buon firewall attivo, con regole adeguate. C'è da capire cosa bloccava il firewall del Fastgate.

              Che l'IP pubblico sia statico o dinamico dal punto di vista delle sicurezza cambia poco, uno scan individua cosa c'è di aperto. Con il dinamico hai il piccolo vantaggio di non essere facilmente associabile ad uno specifico sistema, ma dipende da cosa vuoi proteggerti. per i DDoS può essere utile, per una vulnerabilità sul router no.

              Tieni presente che in Italia la maggior parte degli utenti fissi (TIM, Wind, ecc.) ha comunque IP pubblico, il CG-NAT per adesso è una minoranza.

                    Vi ringrazio.
                    Al momento la mia situazione è:

                    • IP pubblico e statico
                    • con l'IP di cui al punto sopra raggiungo il mio router dall'esterno e leggo l'SSD che è attaccato
                    • dal pannello di controllo del ruoter - ci accedo con 192...... - ho disattivato il firewall
                    • dalla rete locale, quando navigo da laptop (dotato di firewall) e lancio una VPN e poi su un sito di verifica (tipo "https://whatismyipaddress.com") vado a controllare il mio IP, in effetti sembra che io sia fuori casa e fuori Italia.

                    La domanda a questo punto è:
                    Di fatto sto esponendo il mio IP verso l'esterno, corretto? cosa rischio? ce come posso limitare il rischio?

                      • [cancellato]

                      • Messaggio #26
                      • Modificato

                      non_dormo Di fatto sto esponendo il mio IP verso l'esterno, corretto?

                      L'IP pubblico? È inevitabile, se vuoi essere collegato a internet devi per forza avere un IP pubblico, anche dietro CG-NAT hai un IP pubblico - mascherato dal NAT operatore (e questo implica maggiori difficoltà ad essere raggiunto dall'esterno, nel bene e nel male - ad esempio con certi servizi quali VoIP o certi giochi è un problema) e condiviso con n utenti (anche questo, nel bene e nel male - un utente che fa casini può danneggiare la "reputazione" dell'IP, che poi viene bloccato da certi servizi). Come detto, però, non fasciarti la testa perché hai un IP pubblico statico, non è un rischio particolare.

                      Anche con una VPN hai un IP pubblico - è quello al termine del tunnel VPN. Molti servizi bannano questi IP perché sono usati per bypassare le restrizioni che impongono, per motivi commerciali e legali. Il gestore del server VPN vede il tuo IP reale (e anche il tuo traffico, visto che deve decrittarlo per farlo uscire su internet...)

                      non_dormo cosa rischio?

                      Tutto ciò che è direttamente esposto su internet può essere individuato, e se vulnerabile attaccato direttamente, anche se questo non è l'unico vettore di attacco. Se vieni compromesso in altro modo (es. sito web malevolo che sfrutta una vulnerabilità del browser), avere un IP pubblico statico o dinamico o essere in CG-NAT è irrilevante.

                      Per questo è meglio non avere servizi esposti se non necessari. Ad esempio se accedi al disco dall'esterno via protocollo SMB hai un rischio piuttosto elevato, SMB è sconsigliatissimo su internet per vari motivi, è da usare solo in LAN. Altri protocolli sono più o meno sicuri, poi dipende quanto bene li implementa l'applicazione esposta.

                      non_dormo come posso limitare il rischio?

                      Come fanno tutti. Innanzi tutto un buon firewall configurato correttamente. Se è necessario accedere a servizi interni dall'esterno (applicazioni di gestione, condivisioni file), farlo tramite VPN, ma non quella che usi tu ora dall'interno verso l'esterno, ma una dall'esterno verso l'interno. Se è proprio necessario esporre servizi all'esterno senza VPN, allora oltre al firewall ci vorrebbero adeguate configurazioni - es. una DMZ (vera, posta fra due firewall), reverse proxy per le applicazioni web, hardening dei dispositivi che espongono i servizi, cifratura delle connessioni, ecc. ecc. Cosa fare effettivamente dipende da che rischio sei disposto ad accettare e dalla tua capacità di impostare le configurazioni corrette e monitorare lo stato dei sistemi per rilevare eventuali pericoli.

                            Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                            P.I. IT16712091004 - info@fibraclick.it

                            ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile