Ĉi tio estas maŝine tradukita teksto kiu povas enhavi erarojn!
VPN, aŭ Virtuala Privateca Reto, estas solvo kiu permesas al ni krei sekuran (ĉifritan) konekton al alia reto kaj aparato(j) super la interreto.
Unue, kio estas privata reto? (ne VPN)
Privata reto estas reto izolita de aliaj reto. Ĝi povas esti entreprena reto, hejma reto, aŭ alia tipo de reto, kiu ne estas malferma por ĉiuj. Malferma reto, kiel ekzemple ĉe flughaveno, estas ankaŭ teknike privata reto, sed ili estas kutime konfiguritaj por izoligi la aparatojn unu de la alia por plibonigi la sekurecon.
Tenkt scenario
Imagu, ke vi havas presilon hejme, kiun ni volas uzi por presi dokumenton. Ĉi tiu presilo estas konektita al via hejma reto, kaj do havas privatan IP-adreson, kiu estas disponebla nur por aparatoj konektitaj al via propra reto. Vi povas uzi vian maŝinon hejme por presi sen problemoj, sed via najbaro estas sur alia reto kaj ne povas atingi vian presilon tute sen plia helpo.
Vi ankaŭ ne povas komuniki kun la presilo de ekzemple lernejo aŭ aliaj retojn, ĉar la presilo ne estas eksponita al la interreto (kion ĝi ne devus esti pro sekurecaj kialoj).
Notu: Neniu regulo sen escepto…
Kelkaj aparatoj tamen ofertas solvojn, kie ili uzas teknologion rilatan al VPN por permesi al vi presi dokumentojn de ĉie en la mondo, kondiĉe ke vi havas aliron al la interreto. Ĉi tio povas kaŭzi sekurecan riskon, do estu atenta pri kion vi konektas al via reto, precipe kun IoT-aparatoj aŭ sekurkameruoj.
Ĉu vi rimarkis, ke ĉiufoje kiam vi konektiĝas al nova reto, vi ricevas demandon ĉu vi konektiĝas al “privata” aŭ “publika” reto?
Tio estas ĉar Windows (aŭ aliaj operacisistemoj) uzas ĉi tiun informon por determini kiuj fajrobarilaj reguloj devas esti uzataj por protekti vian aparaton. Privata reto kutime estas nesekura (ĉiuj konektitaj aparatoj aŭtomate fidas unu la alian), kaj do estas vundebla al aliaj aparatoj en la sama reto. En ŝanĝo, vi povas pli facile dividi presilojn, dosierojn kaj aliajn resursojn kiam maŝinoj estas en la sama reto.
Komercaj agantoj
Ekzistas multaj komercaj agantoj kiuj ofertas VPN-servojn, kiuj reklamas ke ili povas protekti vian privatecon en la interreto kaj permesi al vi surfi anonime. Tio ne nepre estas la tuta vero, kaj estas grave esti konscia pri kion VPN fakte faras.
En praktiko, oni transigas la retajn konekton al alia loko (plej ofte alia lando), ĉar ni uzas VPN-servilojn kiel perantojn de nia kliento al la interreto.
Komerca VPN != sekureco
Multaj agantoj reklamas sin kiel servo kiu ofertas pliigitan sekurecon, sed por la plejparto de uzantoj, ĉi tio ne estas la kazo. Kiam ni vizitas retejojn kiuj uzas HTTPS (eĉ sur publika WiFi), la konekto jam estas ĉifrita, kaj VPN do ne nepre ofertas iun ajn plian sekurecon. Ĝi ne povas nek “kaŝi” vian aktivecon de via interreta provizanto tute.
En iuj landoj aŭ lokoj tamen, ĝi povas esti profitega, sed estas grave scii, ke vi transigas vian fidon de via interreta provizanto al la VPN-provizanto.
Publikaj Retoj
Ni ofte aŭdas, ke ni ne devas konektiĝi al nesekuraj publikaj retoj, kiel en kafejoj, flughavenoj, hoteloj, ktp. Tio ne nepre estas problema tiel longe kiel ni uzas HTTPS (ĉifrita) por viziti retejojn.
Kio povas esti problema estas se iu starigas “falsan” reton kun ekz. malbona Captive Portal (paĝo, kiu kutime postulas eniron aŭ akcepton de kondiĉoj antaŭ ol ni ricevas aliron al la interreto).
Ĉu vi kontrolis, ĉu vi havas “aŭtomatan konekton” al malfermaj retoj sur via telefono aŭ portebla komputilo? Tio povas igi vian aparaton konektiĝi al malbona reto sen ke vi estu konscia pri tio.
Kion ni povas uzi VPN por?
VPN povas esti uzata por konekti aparatojn trans retojn, kiel se ili estus sur la sama (privata) reto, pli sekure ol eksponi la aparatojn rekte al la interreto (malfermi pordojn en la fajromuro). Notu, ke ni tamen bezonas VPN-servilon al kiu ni povas konekti, ni povas aŭ starigi ĝin mem (postulas malfermon en fajromuro), aŭ uzi provizon, kiu ofertas relayon (mezan ilon) por ni. Populareaj elektoj estas OpenVPN, WireGuard, kaj IPsec.
Ekzemple
Vi havas ludkomputilon, kiun vi volas konekti kun via portebla komputilo kiam vi estas en lernejo per Malproksima Buro-programaro (RDP). Vi tiam povas starigi VPN-solucion, kiu permesas al vi konektiĝi al via hejma reto, kaj poste uzi RDP por konektiĝi al via ludkomputilo kiel se vi estus hejme.
En nia kazo, ni uzos ĝin por aliri la resursojn ĉi tie en la lernejo de aliaj lokoj en la mondo, kaj poste ni rigardos nubkomputadon, kie ni volas konektiĝi al virtualaj serviloj en la nubo sekure. Kutime, ni malfermas pordon al nia servilo por starigi tion, antaŭ ol ni ŝlosas la servilon poste (kutime Site-to-site VPN).
La sola praktika diferenco estas, ke ni ricevas alian IP-adreson super nia VPN-reto (ekz. 100.64.x.x/10 ofte uzatas por VPN), sed la funkcieco estas kiel se ni estus sur la sama reto. Tio signifas, ke ni povas uzi ekz. RDP, SSH, FTP (File Transfer Protocol), ktp. sen devi malfermi niajn servojn en la fajromuro.
Tasko 1 - Instalado de TailScale VPN
Feliĉe por ni, la instalado de VPN estas simpla, precipe se oni uzas servon kiel TailScale. Ĉi tio estas komerca servo kiu ofertas simplan manieron por starigi WireGuard VPN, kiu donas al ni pli ol sufiĉan funkciecon por niaj bezonoj je sia senpaga nivelo (100 aparatoj).
Sekvu la instalan procezon kiel en la dokumentaro: https://tailscale.com/download
Merk
Vi bezonas VPN-on ĉiujn aparatojn, kiujn vi volas konekti al la reto. Ĉi tio inkluzivas kaj servilojn, komputilojn, poŝtelefonojn, ktp.
Tasko 2 - Konfiguriu Elirejon
Elirejo en TailScale estas aparato en via reto kiu funkcias kiel pordo por ĉiuj trafikoj de aliaj aparatoj en la TailScale-reto. Ĉi tio direktas ĉiujn trafikojn tra ĉi tiu aparato, kio povas esti utila por aliri resursojn en aparta reto, aŭ akiri novan IP-adreson por eviti geografiajn limigojn.
Ni uzas Nginx Proxy Manager por limigi alirojn al apartaj resursoj bazite sur IP-adreso (ekz. via Proxmox-servero), kun Elirejo en la lernejo, vi povos akiri IP-adreson kiu estas “en la lernejo” sen kio vi estas en la mondo.
Sekvu la dokumentadon por konfiguri Elirejon: https://tailscale.com/kb/1103/exit-nodes#configure-an-exit-node
Obs! “Edit Routes” menuo
Ne forgesu la paŝon pri ŝalti “Use as Exit Node” en la TailScale-menuo sur la aparato, kiun vi starigis kiel Elirejo. Ĉi tio estas ofta paŝo por forgesi.
Eliru-Nodon sur VPS en la ĉielo!
Se vi starigas virtualan maŝinon en alia lando per ekz. Azure (kie vi ricevas senpagan krediton kiel studento), tiam vi povas facile starigi Eliru-Nodon por ricevi IP-adreson en tiu lando - simile al komerca VPN-servo, kun malpli da limigoj kaj pli da lernado!