Согласно этой статье NAT passthrough - это функция маршрутизатора, позволяющая осуществлять исходящие VPN-подключения с компьютеров локальной сети. Мой маршрутизатор Asus имеет функцию NAT для трех протоколов VPN: PPTP, L2TP и IPSec. Из них только PPTP включен по умолчанию.
Какие есть причины для отключения сквозного прохождения NAT? Похоже, что эта функция полезна и безопасна для меня. Кроме того, есть ли причина, по которой PPTP является единственным протоколом, включенным по умолчанию?
NAT из внешней сети внутрь отключен по умолчанию из-за безопасности. Пропуск VPN не такой же, как NAT. VPN используется для подключения к внешней сети, чтобы все, что находится между вами и внешней сетью, считало вас частью другой сети (где вы подключились к VPN).
По умолчанию вам не нужно разрешать пользователям подключаться к другим сетям (из-за безопасности). Но я думаю, что Asus открыл протокол PPTP по умолчанию, так как он довольно часто используется (хотя не должен, так как его безопасность полностью нарушена), и большинство пользователей никогда не получают доступ к веб-интерфейсу маршрутизатора, поэтому они рассердятся, если их старый PPTP-VPN не будет работать после покупки нового маршрутизатора.
Лично у меня все они открыты, но я использую более профессиональную систему межсетевого экрана для фильтрации трафика. Если вы не собираетесь их использовать, оставьте их все отключенными и включите их, когда они вам понадобятся.
VPN используется для удаленного подключения к другой сети таким образом, чтобы все, что находится между вашим ПК и сервером VPN, считало вас частью сети сервера VPN. Это означает, что вы получите новый внутренний IP-адрес из пула VPN-сервера и будете "отключены" от локальной сети, то есть вы не сможете печатать на домашнем сетевом принтере и не сможете получить доступ к своему NAS-хранилищу (НОТА! <- по умолчанию, конечно, вы можете применить некоторые расширенные VPN и интерфейсную маршрутизацию, чтобы включить их).
Когда вы становитесь частью другой сети и включена сквозная передача через брандмауэр VPN, соединение между вашим ПК и сервером VPN будет обходить все правила брандмауэра вашего маршрутизатора. Если VPN-клиент может связаться с VPN-сервером, сервер также может связаться с вашим ПК (клиентом). Теперь это приводит к проблеме, если кто-то в вашей сети подключается к небезопасному или вредоносному VPN-серверу: хакер на сервере теперь может получить доступ к локальной сети вашего дома через VPN.
VPN-туннель - это двусторонний туннель (не всегда, если вы делаете некоторые трюки). А подключившись к VPN-серверу, пользователь внутри вашей сети может случайно открыть всю сеть наружу, в случае, если VPN-сервер является вредоносным или где-то есть неправильная конфигурация. Возможный вирус на вашем ПК может также открыть VPN-соединение, не сообщая вам об этом, что приводит к другой истории, которую могут делать все хакеры в вашей локальной сети (от кражи паролей до уничтожения данных).
Если вам не обязательно нужен VPN, держите его закрытым. Это также основное правило для всех межсетевых экранов и маршрутизации: по умолчанию все порты, протоколы и интерфейсы должны быть заблокированы, а на случай, если они понадобятся, откройте их.
-AirPett
