Sys-Admin Forum

Создание корпоративной приватной сетки на 3 рабочих места. Нужны советы.

Итак, всем привет! Помогите, кто чем может! Цель - максимально анонимизироваться, спрятаться и зашифроваться, насколько это возможно, не используя аппратное шифрование.
ТЗ: имеется 3 компьютера. Нужно организовать 3 рабочих места с максимальной анонимностью и шифрованием.
Теперь распишу, как мне это видится.

  1. подключение к интернету.
    Будет использован ЮСБ модем с симкой на дропа с комнатной антенной усилителем, подключенный к вифи роутера. Сеть будет скрытая. Помогите определиться с моделью роутера! Хочу роутер на 5 Гигагерц (а надо ли?), с поддержкой альтернативных прошивок openwrt или ddwrt стоимостью порядка 3 т.р., из вариантов, которые присмотрел, это acher c59 (не уверен, что альтернативные прошивки поддерживаются) и asus ac51u. На роутере будет поднят ВПН клиент (а это безопасно? или лучше подключаться клиентами непосредственно с каждой рабочей машины, обрезав все подключения, кроме “через впн”?), который будет стучать на сервер где-нибудь в Панаме (а надо ли это), купленном в одном из сервисов из гугла. Есть ли там какие-то нюансы по супер-грамотной настройке впн сервера, или будет достаточно запусть скрипт по поднятию впн сервера wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh?
  2. операционки на компах.
    В качестве хоста будет использоваться виндовс 7 с выключенным вифи адаптером. Будет поднята виртуалка, хранящаяся на зашифрованном контейнере, с операционкой lubuntu. Непосредственно с нее будут идти все рабочие процессы. Как ее дополнительно анонимизировать? Какие сервисы выключать, что шифровать и т.д.? К этой виртуалке будет подключен вифи юсб адаптер, который будет коннектиться к роутеру из п.1. Т.е. сети между хостом и виртуалкой не будет. Опять же вопрос по впн клиенту, где его лучше поднимать? На каждой рабочей станции или на роутере?
  3. хранение информации.
    В плане шифрование домашних папок каждого компьютера. Это первое. Второе - все данные (логины, пароли и т.д.) планирую разместить на удаленном сервере, допустим там, где будет поднят впн сервер, под каждого из 3 пользователей на сервере с впн будет расшарена папка, которую он будет монтировать к рабочей машине на lubuntu по sshfs (вроде так протокол называется). Эту папку, вероятно, надо тоже зашифровать с лубунты-клиента? Сможет ли в этом случае, в теории, хостер получить доступ к файлам, хранящимся в этой зашифрованной папке?

Достаточно ли анонимно и безопасно выглядит подобная структура приватной сети? Может что-то добавить или поправить?
П.С. пентагоны взламывать не планирую, детское порно и подобную жесть, распространять тоже.

Ну если прям заморачиваться, яб еще подумал о https://tails.boum.org

А цель данного мероприятия какова?
От кого потенциально защищаемся?

Ты сам на половину вопросов ответил, на счёт хранения паролей и ключей копни vault…

тогда уж, вместо lubuntu, лучшеуж tails заюзать https://en.wikipedia.org/wiki/Tails_(operating_system), если в тех. детали анонимности не углубляться)

Ну если прям заморачиваться, яб еще подумал о https://tails.boum.org
Если в лубунте нет принципиальных "но", которые могут помешать, предпочту остаться на ней
От кого потенциально защищаемся?
Потенциально от спецслужб и прочих надзорных органов! Цель данных мероприятий снизить потенциальную доказательную базу в случае пи3деCA.
Ты сам на половину вопросов ответил, на счёт хранения паролей и ключей копни vault...
От идеи хранения инфы на удаленке я отказался. Теперь остались вопросы: куда натягивать впн: в роутер или на каждую рабочую машину? И какой страны взять впс под впн и в какой конторе?

Ищи любую страну, где тебя устроят юридические обязательства этой конторы к отношению той страны где она находится. На каждую машину можно поставить, для каждой машины выписать свой профиль в настройках vpn сервера.

В общем, на данный момент пришел к выводу, что трафф впн надо обрезать через iptables
Подскажите пожалуйста, какие политики нужно прописать в этом фаерволле, чтобы трафф в интернет с рабочей машины мог уходить только через опенвпн, а в случае обрыва соединения, никто и ничто в интернет попасть не могло? 3 недели гуглю, не могу нагуглить

Настрой на своем маршрутизаторе VPN, в случае если производйет обрыв соединение, у всех пропадет интернет (если кратко)