从网络安全方面考虑 , wireguard 服务安装在拨号的路由器是更好,还是内网服务器上更好?

2023-04-14 13:57:19 +08:00
 sakisaki
用 wireguard 回家。

方案 1 、把 wireguard 服务安装到路由器上。需要在路由器上开放 wireguatd 的端口。隐患是,必须保证路由器和 wireguard 没有出现重大漏洞,一个方面出现问题,整个路由器都会不安全。

方案 2 、把 wireguard 服务安装在内网的一台 debian 服务器上。路由器不用开放端口(路由器安全许多),只需开启端口转发。坏处是,一旦内网服务被攻破,整个内网就会全部沦陷。

从稳定性上看,路由器是更好的选择,但是从网络安全方面考虑,那个更好呢?
2732 次点击
所在节点    宽带症候群
15 条回复
hronro
2023-04-14 14:10:14 +08:00
没觉得这两个方案在安全性上有什么差异
sakisaki
2023-04-14 14:14:39 +08:00
@hronro 主要差别是路由器是否开放端口。目前相关知识匮乏,不能判断路由器开放端口与路由器端口转发哪个更安全,所以发帖问问大家
maybeonly
2023-04-14 14:14:55 +08:00
安全性没什么区别啊。但是如果你要做互通的话,就会感觉到放在路由器上方便太多了……否则还需要在路由器上把到 wg 网段的路由指向那个 wg 服务器。
malash
2023-04-14 14:25:07 +08:00
安全性上两者区别确实不太大,都依赖 wireguard 本身的安全性,一旦 wireguard 被突破都会被网漫游的。
不过从可靠性和逻辑上考虑,把 wireguard 放在路由器更合适一点,方便你配置防火墙之类的规则。
luckjoe680
2023-04-14 14:27:15 +08:00
@sakisaki 你开启端口转发了 端口也相当于打开了 有什么本质区别吗?
Daeyn
2023-04-14 14:33:41 +08:00
都很安全只要合理配置防火墙,方案 1 更方便
xiaoun001
2023-04-14 15:34:02 +08:00
你的问题很有深度,我尝试着回答一下:
我的理解如下,我自己是做在 OpenWRT 路由器上面的,以前也有做在内网服务器主机上。
1 、路由器本身的 IPV4 NAT 机制相当于一个防火墙,正常情况下,外面是没有办法访问内网的,因此,可以理解为 NAT 后面的局域网为一个可信任区域。
2 、WIREGUARD 放在路由上,如果区域设置为 LAN ,那么与放内网主机并无实质区别,因为都在可信任区域。
3 、WIREGUARD 放路由器上,区域设置为 VPN ,或者 WAN ,放在了不可信任的区域,那么在路由层面它本身就是和内网是隔离的,需要通过 NAT 机制,因此,理论上它是安全的。
4 、关于端口映射和开放端口,其实用到的是 NETFLITER 机制( IPTABLES )中两个不同的链表,路由开放端口是 INPUT 链表,是针对路由设备本身而言。开放端口转发是在 NAT 和 FORWARD 表,它本身是不对路由设备造成危害,但暴露的是咱们内网(安全区域)。
话说,WIREGUARD 是点对多点的,一个终端配置同时只能在一个终端用,并不能复用,因此,我觉得要破解还是有难度的。
dude4
2023-04-14 17:58:26 +08:00
放内网主机 A ,需要 A 和外网接入客户端( WG 没有客户端不过暂且这么叫)同时配置路由,否则只能在外网访问内网主机 A
而要在客户端配置路由,如果客户端是安卓设备,基本就需要 root ,在现在这是不小的问题
所以你要访问内网除了 A 之外的机子,就只能把 WG 放网关,起码我的理解是这样
azure2023us559
2023-04-14 18:08:11 +08:00
在用和方便之间,你要懂得权衡与取舍。同时要知道哪些不能做,哪些是能做的。

另,wireguard 可以绑定在 ipv6 ,现在蜂窝普遍支持 v6
azure2023us559
2023-04-14 18:10:25 +08:00
我现在是 ipv6 和 v4 都绑定在 udp443 ,一直开放的。

wireguard 建议开启 psk ,防止量子攻击的。定期检查下服务,基本没什么问题。除非有顶级 hacker 。再说了,你又不是什么大人物,人家 hack 你的成本是什么呢?
Jhma
2023-04-14 20:18:21 +08:00
按照楼主的思维,暴露在公网环境中的所有应用端口,都可能会被攻击渗透进来,那干脆不要开放任何端口就 OK 了。
Jhma
2023-04-14 20:24:28 +08:00
@azure2023us559 网络上就有很多这种 hacker ,利用已知或者未知的漏洞,批量扫描端口,批量植入木马,然后你的全部东西,包括照片,各种账号密码,各种秘密,这些不就是价值很高的东西吗?千万不要轻视个人电脑的安全保护!
LnTrx
2023-04-16 19:10:12 +08:00
路由器相比内网主机更容易被外网发现。但总体上没有太大区别。
ppbaozi
2023-04-18 16:57:04 +08:00
能无差别突破 wireguard 的人有更多的事情要忙,可能没空光顾你家
yhz1114
2023-04-20 19:53:55 +08:00
安全没有区别,性能有区别

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/932504

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX