Dette er ein maskinomsett tekst som kann innehalda feil!
VPN, eller Virtuelt Privatt Nettverk, er ei løysing som let oss skapa ein trygg (krypta) sambinding til eit anna nettverk og einingar(e) over internett.
Fyrst, kva er eit privat nettverk? (ikkje VPN)
Eit privat nettverk er eit nettverk som er isolert frå andre nettverk. Dette kan vera eit føretaksnettverk, eit heimenettverk, eller ein annan type nettverk som ikkje er ope for alle. Eit ope nettverk, som til dømes på ein flyplass, er også teknisk sett eit privat nettverk, men dei er som regel konfigurert til å isolera einingane frå kvarandre for å auka tryggleiken.
Tenkt scenario
Sjå føre deg at du har ein skrivar heime som du ynskjer å bruka til å skriva ut eit dokument. Denne skrivaren er kobla til ditt heimenettverk, og har difor ei privat IP-adresse som berre er tilgjengeleg for einingar som er kobla til ditt eige nettverk. Du kan bruka din maskin heime hos deg til å skriva ut utan problem, men din nabo er på eit anna nettverk og kan ikkje nå skrivaren din heilt utan vidare.
Du kan heller ikkje kommunisera med skrivaren din frå f.eks. skulen eller andre nettverk, fordi skrivaren ikkje er eksponert til internett (noko ho heller ikkje burde vera av sikkerheitsmessige årsaker).
Merk: Ingen reglar utan unntak…
Nokre einingar tilbyr derimot løysingar der dei brukar ein VPN relaterte teknologi for å la deg skriva ut dokument frå kvar som helst i verda, så lenge du har internett-tilgang. Dette kan medføra ein sikkerheitsrisiko, så ver obs på kva du koblar til nettverket ditt, særleg med IOT einingar eller overvåkingskameraer.
Har du lagt merke til at kvar gong du koblar til eit nytt nettverk, så får du eit spørsmål om du koblar til eit «privat» eller «offentleg» nettverk?
Dette er fordi Windows (eller andre operativsystem) nyttar denne informasjonen til å bestemme kva brannmursreglar som skal brukast for å verne eininga di. Eit privat nettverk er vanlegvis usikra (alle tilknytte einingar har tillit til kvarandre automatisk), og er difor sårbart mot andre einingar på same nettverk. Til gjengjeld kan du enklare dele skrivarar, filer og andre ressursar når maskiner er på same nettverk.
Kommersielle aktørar
Det finst mange kommersielle aktørar som tilbyr VPN-tenester, som reklamerer med at dei kan verne ditt privatliv på internett og låte deg surfa anonymt. Dette er ikkje nødvendigvis heile sanninga, og det er viktig å vera klar over kva ein VPN faktisk gjer.
I praksis så flytter ein nettverksforbindinga til eit anna stad (gjerne eit anna land), då me brukar VPN-tenarar som eit mellomledd frå vår klient og til internett.
Kommersiell VPN != tryggleik
Mange aktørar marknadsfører seg sjølv som ei teneste som tilbyr auka tryggleik, men for dei fleste brukarane er ikkje dette tilfelle. Når me vitjar nettstader som nyttar HTTPS (til og med på offentleg wifi), er sambandet allereie kryptert, og ein VPN vil difor ikkje nødvendigvis tilby nokon ekstra tryggleik. Han kan heller ikkje «skjule» aktiviteten din frå internettleverandøren din heilt.
I enkelte land eller stader derimot kan det vera fordelaktig, men det er viktig å vera klar over at du flytter tilliten din frå internettleverandøren din til VPN-leverandøren.
Offentlege nettverk
Me høyrer ofte at me ikkje må kople oss til usikra offentlege nettverk, som på kafear, flyplassar, hotell, osv. Dette er ikkje nødvendigvis problematisk så lenge me brukar HTTPS (kryptert) til å vitja nettstader.
Det som kan vera problematisk er dersom nokon set opp eit “falskt” nettverk med f.eks. ein ondsinna Captive Portal (ei nettside som til vanleg krev innlogging eller aksept av vilkår før me får tilgang til internett).
Har du sjekka om du har “automatisk tilkobling” til opne nettverk på mobilen eller laptopen din? Dette kan gjera at eininga di koblar seg til eit ondsinna nettverk utan at du er klar over det.
Kva kan me bruke ein VPN til?
Ein VPN kan brukast til å kople til einingar på tvers av nettverk, som om dei var på same (private) nettverk, på ein tryggare måte enn å eksponere einingane direkte til internett (opne porter i brannmuren). Merk at me må ha likevel ein VPN-tenar som me kan kople til, me kan anten setje han opp sjølv (krev opning i brannmur), eller bruke ein aktør som tilbyr eit relé (mellomledd) for oss. Populære alternativ er OpenVPN, WireGuard, og IPsec.
Eksempel
Du hev ein spel-PC som du ynskjer å kobla til med datamaskina di når du er på skulen via Remote Desktop programvare (RDP). Du kann då setja upp ein VPN-løysing som let deg kobla til heimenettverket ditt, og deretter bruka RDP til å kobla til spel-PC-en din som um du var heime.
I vårt tilfelle vil me bruke han til å få tilgang til ressursane her på skulen frå andre stader i verda, og me skal seinare sjå på cloud computing der me ynskjer å kople oss til virtuelle tenarar i skya på ein trygg måte. Til vanleg opnar me ei port til vår tenar for å setje dette opp, før me låser ned tenaren etterpå (som regel ein Site-to-site VPN).
Einaste praktiske skilnaden er at me får ei annar IP-adresse over vårt VPN-nettverk (f.eks. 100.64.x.x/10 vert ofte nytta til VPN), men funksjonaliteten er som om me var på same nettverket. Dette tyder at me kan bruke f.eks. RDP, SSH, FTP (File Transfer Protocol), osv. utan å måtte opna opp tenestene våre i brannmuren.
Oppgåve 1 – Installasjon av TailScale VPN
Heldigvis for oss, er installasjon av VPN einskt, særleg um ein nyttar ein teneste som TailScale. Dette er ein kommersiell teneste som tilbyr ein enkel måte å setja opp eit WireGuard VPN på, som gjev oss meir enn nok funksjonalitet for våre behov på sitt gratisnivå (100 einingar).
Følg installasjonsprosessen som i dokumentasjonen: https://tailscale.com/download
Merk
Du treng VPN på alle einingane du ynskjer å kobla til nettverket med. Dette inkluderar både tenarar, PC-ar, mobilar, osv.
Oppgåve 2 – Sett opp ein Exit Node
Ein Exit-Node i TailScale er ei eining i nettverket ditt som fungerer som ein port for all trafikk frå andre einingar i TailScale-nettverket. Dette leier all trafikk gjennom denne eininga, noko som kan vera nyttig for å få tilgang til ressursar på eit bestemt nettverk, eller få ny IP-adresse for å omgå geografiske avgrensingar.
Me brukar Nginx Proxy Manager for å avgrensa tilgangar til enkelte ressursar basert på IP-adresse (t.d. din Proxmox server), med ein Exit-Node på skulen vil du kunne få ein IP-adresse som er «på skulen» uansett kvar du er i verda.
Følg dokumentasjonen for å setta opp ein Exit-Node: https://tailscale.com/kb/1103/exit-nodes#configure-an-exit-node
Obs! “Edit Routes” meny
Hugs ikkje steget med å skru på «Use as Exit Node» i TailScale-menyen på eininga du har sett opp som Exit-Node. Dette er eit vanleg steg å gløyma.
Exit-Node på ein VPS i skya!
Dersom du set opp ein virtuell maskin i eit anna land via f.eks. Azure (der du får gratis kreditt som student), så kan du lett setje opp ein Exit-Node for å få ei IP-adresse i det landet – på same måten som ei kommersiell VPN-teneste, med mindre restriksjonar og meir lærdom!