V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
sakisaki
V2EX  ›  宽带症候群

从网络安全方面考虑 , wireguard 服务安装在拨号的路由器是更好,还是内网服务器上更好?

  •  
  •   sakisaki · 2023-04-14 13:57:19 +08:00 via Android · 2677 次点击
    这是一个创建于 587 天前的主题,其中的信息可能已经有所发展或是发生改变。
    用 wireguard 回家。

    方案 1 、把 wireguard 服务安装到路由器上。需要在路由器上开放 wireguatd 的端口。隐患是,必须保证路由器和 wireguard 没有出现重大漏洞,一个方面出现问题,整个路由器都会不安全。

    方案 2 、把 wireguard 服务安装在内网的一台 debian 服务器上。路由器不用开放端口(路由器安全许多),只需开启端口转发。坏处是,一旦内网服务被攻破,整个内网就会全部沦陷。

    从稳定性上看,路由器是更好的选择,但是从网络安全方面考虑,那个更好呢?
    15 条回复    2023-04-20 19:53:55 +08:00
    hronro
        1
    hronro  
       2023-04-14 14:10:14 +08:00   ❤️ 3
    没觉得这两个方案在安全性上有什么差异
    sakisaki
        2
    sakisaki  
    OP
       2023-04-14 14:14:39 +08:00 via Android
    @hronro 主要差别是路由器是否开放端口。目前相关知识匮乏,不能判断路由器开放端口与路由器端口转发哪个更安全,所以发帖问问大家
    maybeonly
        3
    maybeonly  
       2023-04-14 14:14:55 +08:00
    安全性没什么区别啊。但是如果你要做互通的话,就会感觉到放在路由器上方便太多了……否则还需要在路由器上把到 wg 网段的路由指向那个 wg 服务器。
    malash
        4
    malash  
       2023-04-14 14:25:07 +08:00
    安全性上两者区别确实不太大,都依赖 wireguard 本身的安全性,一旦 wireguard 被突破都会被网漫游的。
    不过从可靠性和逻辑上考虑,把 wireguard 放在路由器更合适一点,方便你配置防火墙之类的规则。
    luckjoe680
        5
    luckjoe680  
       2023-04-14 14:27:15 +08:00 via Android
    @sakisaki 你开启端口转发了 端口也相当于打开了 有什么本质区别吗?
    Daeyn
        6
    Daeyn  
       2023-04-14 14:33:41 +08:00 via iPhone
    都很安全只要合理配置防火墙,方案 1 更方便
    xiaoun001
        7
    xiaoun001  
       2023-04-14 15:34:02 +08:00   ❤️ 1
    你的问题很有深度,我尝试着回答一下:
    我的理解如下,我自己是做在 OpenWRT 路由器上面的,以前也有做在内网服务器主机上。
    1 、路由器本身的 IPV4 NAT 机制相当于一个防火墙,正常情况下,外面是没有办法访问内网的,因此,可以理解为 NAT 后面的局域网为一个可信任区域。
    2 、WIREGUARD 放在路由上,如果区域设置为 LAN ,那么与放内网主机并无实质区别,因为都在可信任区域。
    3 、WIREGUARD 放路由器上,区域设置为 VPN ,或者 WAN ,放在了不可信任的区域,那么在路由层面它本身就是和内网是隔离的,需要通过 NAT 机制,因此,理论上它是安全的。
    4 、关于端口映射和开放端口,其实用到的是 NETFLITER 机制( IPTABLES )中两个不同的链表,路由开放端口是 INPUT 链表,是针对路由设备本身而言。开放端口转发是在 NAT 和 FORWARD 表,它本身是不对路由设备造成危害,但暴露的是咱们内网(安全区域)。
    话说,WIREGUARD 是点对多点的,一个终端配置同时只能在一个终端用,并不能复用,因此,我觉得要破解还是有难度的。
    dude4
        8
    dude4  
       2023-04-14 17:58:26 +08:00
    放内网主机 A ,需要 A 和外网接入客户端( WG 没有客户端不过暂且这么叫)同时配置路由,否则只能在外网访问内网主机 A
    而要在客户端配置路由,如果客户端是安卓设备,基本就需要 root ,在现在这是不小的问题
    所以你要访问内网除了 A 之外的机子,就只能把 WG 放网关,起码我的理解是这样
    azure2023us559
        9
    azure2023us559  
       2023-04-14 18:08:11 +08:00
    在用和方便之间,你要懂得权衡与取舍。同时要知道哪些不能做,哪些是能做的。

    另,wireguard 可以绑定在 ipv6 ,现在蜂窝普遍支持 v6
    azure2023us559
        10
    azure2023us559  
       2023-04-14 18:10:25 +08:00
    我现在是 ipv6 和 v4 都绑定在 udp443 ,一直开放的。

    wireguard 建议开启 psk ,防止量子攻击的。定期检查下服务,基本没什么问题。除非有顶级 hacker 。再说了,你又不是什么大人物,人家 hack 你的成本是什么呢?
    Jhma
        11
    Jhma  
       2023-04-14 20:18:21 +08:00
    按照楼主的思维,暴露在公网环境中的所有应用端口,都可能会被攻击渗透进来,那干脆不要开放任何端口就 OK 了。
    Jhma
        12
    Jhma  
       2023-04-14 20:24:28 +08:00
    @azure2023us559 网络上就有很多这种 hacker ,利用已知或者未知的漏洞,批量扫描端口,批量植入木马,然后你的全部东西,包括照片,各种账号密码,各种秘密,这些不就是价值很高的东西吗?千万不要轻视个人电脑的安全保护!
    LnTrx
        13
    LnTrx  
       2023-04-16 19:10:12 +08:00
    路由器相比内网主机更容易被外网发现。但总体上没有太大区别。
    ppbaozi
        14
    ppbaozi  
       2023-04-18 16:57:04 +08:00
    能无差别突破 wireguard 的人有更多的事情要忙,可能没空光顾你家
    yhz1114
        15
    yhz1114  
       2023-04-20 19:53:55 +08:00 via Android
    安全没有区别,性能有区别
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2111 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 16:13 · PVG 00:13 · LAX 08:13 · JFK 11:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.