[Techinfo] Synology NAS-ra VPN szerver

Sándor Fehér sandor.feher84 at gmail.com
2021. Ápr. 13., K, 15:48:45 CEST 

 >hogy egy soho routerrel tudok „becselezni” a privátba
Kérlek ha tudod rajzold le nekem, hogy hogyan gondolod. Nem lesz jó két 
dolog miatt sem.

1: hiába teszed be a wan interfészét a privátba oda nem tudsz portot 
forwardolni, mert nem lehetséges plusz felesleges lenne.
2: ha úgy kötöd be, hogy a wan a publikusra megy, a lan pedig a privátba 
belefutsz egy problémába::: a benti lanos gépek alapértelmezett átjárója 
nem a soho router most, ezért a hálózati gépek egyike sem fogja elérni a 
vpn mögötti subnetet, mert hogy ez menjen a cisco-ba kellene belenyúlni 
és módosítani a route táblát. Nem hinném, hogy a kifü ezt megteszi 
neked, amúgy működhet, de ne így csináld szerintem.  Pont emiatt is van 
saját routerem....

A wifi miért kell lássa a privát/vpn szubnetet?
-ezt nem értem, sorry nálunk nem kell, ha igen akkor vpn ahogyan írtad....

Az openvpn tcp vagy udp portot kér, 1194 alapból, de bármi más is lehet, 
sokszor ajánlott is mást használni.

A win10-hez a kliens az openvpn community oldalon a community 
downloadson belül érhető el, rendszergazdaként kell telepíteni.
https://openvpn.net/community-downloads/

Androidra és szifonra is van kliens és persze linuxra is....







2021. 04. 13. 14:58 keltezéssel, Kiss Zsolt írta:
>
> Én ezzel tisztában voltam, ezért is írtam, hogy egy soho routerrel 
> tudok „becselezni” a privátba. Úgy már tudok port forwardolni. Engem 
> elvileg el kellene, hogy bírjon. Az egész sulit nem akarom ráterelni. 
> Egy gyors próbát megér, aztán max eldobom az ötletet.
>
> Az eduroam wifi miatt eléggé nehéz kikerülni a kifü routerét. Akkor 
> onnan is VPN-ezni kellene ha a publikus szegmens mögé építenék ki 
> saját infrastruktúrát a priváttól függetlenül. Ez gyakorlatilag az 
> egész hálózat átalakítását jelentené. Most nekem az elég ha én egyedül 
> tudok VPN-en közlekedni.
>
> Open VPN-hez milyen portok kellenek?
>
> Meg akkor milyen kliens a célszerű W10 alá?
>
> Kipróbálom Sohoval, aztán majd módosítok ha nem jön be, ill. a 
> tapasztalatok függvényében lehet majd átalakítani.
>
> Zsolt
>
> *From:*techinfo-bounces at lista.sulinet.hu 
> <techinfo-bounces at lista.sulinet.hu> *On Behalf Of *Sándor Fehér
> *Sent:* Tuesday, April 13, 2021 2:39 PM
> *To:* techinfo at lista.sulinet.hu
> *Subject:* Re: [Techinfo] Synology NAS-ra VPN szerver
>
> Összességében nem nem jól gondolod:
> Kérlek nézd ezt át:
> https://sulinet.niif.hu/dashboard2_0 
> <https://sulinet.niif.hu/dashboard2_0>
>
> A lényeg:
>
> *Figyelem! A Cisco router mögött csak a Publikus szegmensen 
> elhelyezett szerver/router érhető el az Internet irányából, amennyiben 
> a megfelelő engedő szabályok rögzítve vannak.*
>
> *Egyéb (Privát, Wifi) szegmens erre nem alkalmas, port átirányításra 
> nincs lehetőség!*
>
> *EZT ÉN NEM TUDTAM :)**
>
> *
>
>
> A fentiek miatt (is) NEM ajánlom senkinek a gyári megoldást használni, 
> mert korszerűtlen és rugalmatlan.
> Javaslom, hogy szerezz be egy normális routert (mikrotik) és kösd a 
> publikus szegmensre. Az egyszerű soho routert nem fogja bírni a teljes 
> iskolátokat ellátni.
> Át kellene raknod ez esetben az egész sulitokat saját router mögé. (pl 
> hap ac2 mikrotikkel vagy attól nagyobb router segítségével)
>
> Egyedüli járható út, hogy mégis megoldjad:
> pc (pfsense) két ethernet kártyával az egyik a publikus tartományba 
> megy, a másik a privát szegmensre
> A wifi szegmenst akkor láthatja a vpn kliens(ek), ha a dashboardon 
> összenyitod, de ez megint passz, hogy lehet e ilyet. >>> én semmi 
> gyári kifüs megoldást nem használok, nálunk minden saját megoldás 
> mikrotik routerrel
>
> A nas-t felejsd el sajnos a fentiek miatt nem lesz megoldható ezzel a 
> hálózati kialakítással.
>
>
>
>
>
> 2021. 04. 13. 12:12 keltezéssel, Kiss Zsolt írta:
>
>         Ok, akkor portforwardot megtudod oldani és a nast berakni a belső hálóra?
>
>     Ha mezei TP-Link, ZyXEL (melyiket szeressem inkább) router úgy jó, hogy
>
>     bekötöm a belső lábát a privát szegmensbe, a DHCP-t a privát adja, tehát ez
>
>     a router csak átdobja a belső portra, akkor igen. Viszont akkor itt arra
>
>     kell figyeljek, hogy a NAS átjáróját a kifü routerről át kell állítsam a
>
>     soho router belső IP címére, különben nem talál vissza a csomag. A régi
>
>     helyemen volt egy ilyen megoldásom, más miatt. Ha jól rémlik azért dobtam
>
>     végül ki, mert lassú volt valamiért a net azon keresztül. De lehet csak a
>
>     soho haldoklott, végül másként oldottam azt meg, ezért sem emlékszem már
>
>     pontosan miért vetettem el.
>
>     Itt még az vetődik fel, hogy akkor a wifi szegmensből elérik a NAS-t? A kifü
>
>     nem a soho routerem átjáróján keresztül akarja küldeni a csomagokat, az
>
>     tuti. Tehát átgondolandó amit tárolok rajta, akkor mi legyen az, honnan
>
>     akarják elérni.
>
>         Akkor az openvpn teljesen biztonságos megoldás lesz. (sha256/ aes256
>
>         melett)
>
>         A kms is működik akkor, ha a belső hálózatodon is működik most.
>
>     Jól hangzik :)
>
>         Tanároknak illetve az eszközökön service-ként futtatva az openvpn-t pl
>
>         iterakció nélkül is tud futni a vpn és akkor minden automata. A tanárnak
>
>     nem
>
>         kell csinálni semmit, te pedig korábban vagy anydeskel beállítod.
>
>     Milyen kliens kell ehhez? Beépítetten tudja a w10, vagy telepítenem kell
>
>     openvpn kliens programot?
>
>     Milyen portokat nyittassak a kifünél, mert azt ki kell nyitni a tűzfalon,
>
>     majd akkor tovább dobnom belső lábra.
>
>         Nálunk a pfsense segítségével oldottam meg ezt, mert ott nagyon egyszerű a
>
>         megfelelő konfigokat exportálni a webgui-n és jó a teljesítmény is.
>
>     Nálatok is a pfsense a privátra van kötve? Ott így első körben azért tűnik
>
>     jobbnak, mert ha csak a vpn-t kezeli, akkor nincs az a gond, ami a NAS-nál
>
>     az adatok wifis elérése. Már persze ha jól gondoltam át, és ez ténylegesen
>
>     valós probléma. Viszont, mint írtam a NAS gyorsabb megvalósítás, aztán lehet
>
>     ismerkedni majd később mással is :)
>
>     Zsolt
>
>     _______________________________________________
>
>     Techinfo mailing list
>
>     Techinfo at lista.sulinet.hu  <mailto:Techinfo at lista.sulinet.hu>
>
>     Fel- és leiratkozás:http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo  <http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo>
>
>     Illemtan:http://www.szag.hu/illemtan.html  <http://www.szag.hu/illemtan.html>
>
>     Ügyfélszolgálat FAQ:http://sulinet.niif.hu/  <http://sulinet.niif.hu/>
>
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20210413/a579dbd8/attachment-0001.html>

További információk a(z) Techinfo levelezőlistáról