È sicuro fornire a terzi un server VPN a casa?

Puoi farlo in gran parte in sicurezza con una combinazione di tecnologie. Sarai in grado di mitigare la maggior parte dei problemi tranne le attività illegali . Il loro traffico in uscita sarà originato dal tuo indirizzo IP di casa e quindi eventuali azioni illegali ti ricollegheranno. Per il resto dei problemi:

• Protezione della rete domestica. Vorresti metterli in una VLAN / sottorete separata che non ha accesso alla rete domestica. Puoi farlo facilmente con molti router, specialmente se hai OpenWRT, DDWRT installato sul tuo router. Di solito, come funziona, connetti il PI a una porta specifica sul tuo router (oppure puoi rendere WLAN ospite se il tuo router lo supporta) e poi nel software specifichi che questa porta è LAN separata che non ha alcuna connessione con il resto dei porti / WIFI, solo su Internet. Se il router supporta guest / multi WLAN, è possibile crearne uno e collegare il PI a tale WLAN e sarà separato dal resto della rete. Se colleghi semplicemente il RaspberryPI alla tua rete, avranno accesso a tutti i tuoi dispositivi e computer LAN interni.
• Limitazione della larghezza di banda. Potresti voler limitare la larghezza di banda che possono utilizzare, in modo che non rallentino / saturino la tua rete. Questo può essere fatto anche sul tuo router di casa, ma di nuovo dipende dal sistema operativo / firmware che hai lì.
• Imposta un firewall su RaspberryPI o sul tuo router che consentirà loro di utilizzare solo servizi che ritieni sicuri, ad esempio 80 (HTTP) 443 (HTTPS). Ad esempio, il blocco delle connessioni in uscita sulla porta 25 impedirà loro di inviare spam direttamente. È sicuro bloccare tutto e solo aprire le porte che richiedono in particolare. Ciò impedirà loro di eseguire scansioni di porte, servizi di bruteforceing ecc.
• Avrai bisogno di configurare alcuni port forwarding in modo che il Raspberry sia accessibile dall'esterno della tua lan domestica.
• fai un controllo più approfondito su questi amici . Cercare di aiutare è uno sforzo nobile, ma al giorno d'oggi la quantità di truffa / spam / pesca / malware è problematica ed è diventata un'attività redditizia. Anche se non hanno cattive intenzioni, i loro dispositivi potrebbero essere infettati da virus / ratto / malware che possono diffondersi nella tua rete se non prendi le precauzioni necessarie.

Purtroppo questo non è un tema breve e non potrò coprire tutti gli aspetti in dettaglio. Dovrai fare un po 'di lettura e di ricerca da solo. Buona fortuna:)

I rischi che menzioni sono reali.

For example can they access my home network (e.g. shared files)?

Questo dipende dalla tua configurazione. Se possibile, si dovrebbe mettere l'endpoint VPN in una zona separata (ad esempio una rete fisicamente o almeno separata logicamente) in cui solo l'accesso a Internet è consentito da questa zona. Questa separazione fisica / logica della macchina dalla rete locale è l'opzione consigliata.

Se il tuo router non fornisce questa opzione, potresti provare ad aggiungere le appropriate regole del firewall per aggiungere l'endpoint VPN (cioè il RasPi) stesso, nella speranza che un utente malintenzionato non sia in grado di compromettere la macchina e modificare le regole del firewall.

La terza opzione è quella di comportarsi come se la rete domestica fosse una rete pubblica a cui chiunque ha accesso, ovvero proteggere tutti i dispositivi dagli attacchi provenienti dalla rete locale. Questa è probabilmente la cosa più difficile da fare correttamente.

What if they use my home network for illegal activities which are illegal in my country?

Se offri un accesso illimitato o insufficientemente controllato per gli altri, potresti essere responsabile. Immagina solo che qualcuno mandi una bomba attraverso la connessione che fornisci o pubblica pornografia infantile. Questo non è vero solo nel caso di un gateway VPN pubblico ma anche se crei un hotspot pubblico o permetti ad altri di usare la tua rete mentre sono a casa tua.

Se sei personalmente responsabile di tali cose dipende dalla legge locale. Ma anche con leggi in cui non sei personalmente responsabile se altri fanno cose illegali nella tua rete locale, avrai almeno un sacco di problemi per provare che sei personalmente innocente.

Almeno in caso di creazione di hotspot pubblici ci sono alcuni provider che corrono questo rischio da te in quanto offrono di indirizzare il traffico potenzialmente malevolo attraverso la propria infrastruttura, cioè essenzialmente sono l'endpoint VPN e non te. Ovviamente, assumere questo rischio per te non è solitamente gratuito.

What are the risks?

Ci sono altri rischi:

• Condividi la tua larghezza di banda con altri che potrebbero influenzare il tuo accesso a Internet
• Dal momento che le opinioni possono essere espresse utilizzando la tua rete che non è apprezzata da tutti, le parti interessate potrebbero provare a chiudere la VPN di origine. Questo probabilmente influenzerà anche l'accesso a Internet locale e forse anche a te personalmente. Tali tentativi di spegnimento potrebbero essere ad esempio tecnici (cioè DoS o tentare di infettare il malware), legali (cercando di costringere il tuo ISP a disconnetterti) ma anche di tipo di criminale (molestie, mailing nero ...).

Is there any way to do this without these concerns?

Potresti ridurre alcuni rischi. Altri, come la responsabilità, non possono essere ridotti molto. Devi chiederti quanto ti fidi dei tuoi amici e se il rischio residuo ne vale la pena.