[Techinfo] Synology NAS-ra VPN szerver

2021. Ápr. 13., K, 16:33:17 CEST

Értem ez a 2. eset.

Akkor gondolj bele ebbe:
a synology csak tun típusú vpn szervert tud emlékeim szerint.
A tun layer 3 szerint működik, tehát ezt routolt vpn-nek hívjuk
A vpn kliensed felkeresi a lan-os valamelyik belső gépet.
A belső gép a vpn kliensnek nem fog tudni választ küldeni, mert az 
alapértelmezett átjáróra fog válaszolni, ami pedig a kifüs cisco eszköz.
A kifüs cisco router a route táblájába nem lesz benne a vpn tartomány, 
így ő is kivágja a csomagot a def gw-re a kifü gw-jére és ott eldobódik....

példa:
otthoni lan           >>>>>>> soho router publikuson >>>>>>>>>synology
192.168.1.0/24 195.199.23x.x/29                               192.168.2.0/24
vpn kliens tun ip: 10.0.0.1 ------------------------------------------> 
syno tun ip 10.0.0.2

A vpn egy tunnelt hoz létre a két eszköz között, ami ezektől az ip 
címektől független lesz. pl 10.0.0.0/24
A vpn kliensed ebben az esetben a 192.168.1.1 stb ip címeken "látszódik" 
a suliba, mivel layer 3 alapú a vpn.
A belső hálód nincs tisztában a 192.168.1.0/24 hálózatról, mert azt csak 
a vpn szerver ismeri. Sajnos nem a vpn szervered az alapértelmezett 
átjáró, mert ha az lenne nincs probléma.
Az hogy ezt áthidald a kifü cisco-ba kellene route táblát 
frissíteni/hozzáírni, hogy a 192.168.1.0/24 hálózatot a synology ip 
címén keresse. Ehhez kellene a kifü, de elzárkóznak ettől szerintem.
Ha ez nincs, akkor a belső gépek azt csinálják amit fenn írtam.

Csak 2. rétegbeli vpn-el lehet ezt megoldani ún transport módú vagyis 
"tap" típusú openvpn megoldással.
!!!A pfsense tudja ezt, a synology nem. !!!
Ennek a működése annyi, hogy a vpn kliensed a belső hálózatról a mostani 
!!!kifüs!!! cisco routertől fog ip címet kapni és a cisco úgy fogja őt 
látni, mintha a switchbe dugtad volna azt a gépet, ami neked sulin kívül 
van. A wifi sub is megy a kmsel együtt, ha most is jó.
Ehhez kell egy pc két ethernet kártyával.
Mással időhúzás próbálkozni és kudarc lesz a vége ebben a környezetben..
Ha hajlasz ennek a megoldására keress nyugodtan.

Üdv!

2021. 04. 13. 16:11 keltezéssel, Kiss Zsolt írta:
>
> Nem rajzolok inkább leírom, szerintem érthető lesz.
>
> Fogok egy soho routert. WAN portját bedugom a kifü publikus portjába, 
> beállítom a routerben a publikus IP-t.
>
> A soho tartományát ugyanarra állítom, mint a privát szegmensem 
> tartománya, és a DHCP-t kikapcsolom.
>
> Fogok egy UTP kábelt és a LAN1 portot rádugom a kifü privát tartományára.
>
> Így bármelyik privátos gépre tudok port forwardot csinálni. Ami 
> speciel a NAS lesz. Annyi benne még a csavar, hogy az a gép, amire 
> port forwardot állítok be, neki az átjárója IP-je a soho router belső 
> IP-je kell legyen, tehát ő nem a kifün közlekedik közvetlenül hanem a 
> sohon. Ez régen simán működött, de az rémlik lassú volt, de az router 
> hiba volt.
>
> Pl az eduroamnak azért kell látnia a privátot, mert abban van a 
> hálózati nyomtató. Ha az adatokat teljesen felhőbe teszem, így nem 
> lesz mondjuk fileszerver, akkor is a nyomtató miatt kelleni fog az 
> átjárás. De ez most működik is, minden mindennel össze van nyitva.
>
> Akkor az open VPN-nek elég 1 port, semmi sok portos bonyolultság. 
> Bekonfigolom a NAS-on, amit ott beállítok portot kinyitok és meglátjuk 
> működik-e J
>
> W10 alapból fel sem ismeri, vagy felismeri, csak egészségesebb 
> klienssel használni? Mert ha felismeri, a teszt erejéig akár mehetne 
> azzal is. Ha jól csatlakozik, akkor a szerver része OK, lehet 
> klienssel is bíbelődni…
>
> Zsolt
>
> *From:*techinfo-bounces at lista.sulinet.hu 
> <techinfo-bounces at lista.sulinet.hu> *On Behalf Of *Sándor Fehér
> *Sent:* Tuesday, April 13, 2021 3:49 PM
> *To:* techinfo at lista.sulinet.hu
> *Subject:* Re: [Techinfo] Synology NAS-ra VPN szerver
>
> >hogy egy soho routerrel tudok „becselezni” a privátba
> Kérlek ha tudod rajzold le nekem, hogy hogyan gondolod. Nem lesz jó 
> két dolog miatt sem.
>
> 1: hiába teszed be a wan interfészét a privátba oda nem tudsz portot 
> forwardolni, mert nem lehetséges plusz felesleges lenne.
> 2: ha úgy kötöd be, hogy a wan a publikusra megy, a lan pedig a 
> privátba belefutsz egy problémába::: a benti lanos gépek 
> alapértelmezett átjárója nem a soho router most, ezért a hálózati 
> gépek egyike sem fogja elérni a vpn mögötti subnetet, mert hogy ez 
> menjen a cisco-ba kellene belenyúlni és módosítani a route táblát. Nem 
> hinném, hogy a kifü ezt megteszi neked, amúgy működhet, de ne így 
> csináld szerintem.  Pont emiatt is van saját routerem....
>
> A wifi miért kell lássa a privát/vpn szubnetet?
> -ezt nem értem, sorry nálunk nem kell, ha igen akkor vpn ahogyan írtad....
>
> Az openvpn tcp vagy udp portot kér, 1194 alapból, de bármi más is 
> lehet, sokszor ajánlott is mást használni.
>
> A win10-hez a kliens az openvpn community oldalon a community 
> downloadson belül érhető el, rendszergazdaként kell telepíteni.
> https://openvpn.net/community-downloads/ 
> <https://openvpn.net/community-downloads/>
>
> Androidra és szifonra is van kliens és persze linuxra is....
>
>
>
>
>
>
> 2021. 04. 13. 14:58 keltezéssel, Kiss Zsolt írta:
>
>     Én ezzel tisztában voltam, ezért is írtam, hogy egy soho routerrel
>     tudok „becselezni” a privátba. Úgy már tudok port forwardolni.
>     Engem elvileg el kellene, hogy bírjon. Az egész sulit nem akarom
>     ráterelni. Egy gyors próbát megér, aztán max eldobom az ötletet.
>
>     Az eduroam wifi miatt eléggé nehéz kikerülni a kifü routerét.
>     Akkor onnan is VPN-ezni kellene ha a publikus szegmens mögé
>     építenék ki saját infrastruktúrát a priváttól függetlenül. Ez
>     gyakorlatilag az egész hálózat átalakítását jelentené. Most nekem
>     az elég ha én egyedül tudok VPN-en közlekedni.
>
>     Open VPN-hez milyen portok kellenek?
>
>     Meg akkor milyen kliens a célszerű W10 alá?
>
>     Kipróbálom Sohoval, aztán majd módosítok ha nem jön be, ill. a
>     tapasztalatok függvényében lehet majd átalakítani.
>
>     Zsolt
>
>     *From:*techinfo-bounces at lista.sulinet.hu
>     <mailto:techinfo-bounces at lista.sulinet.hu>
>     <techinfo-bounces at lista.sulinet.hu>
>     <mailto:techinfo-bounces at lista.sulinet.hu> *On Behalf Of *Sándor Fehér
>     *Sent:* Tuesday, April 13, 2021 2:39 PM
>     *To:* techinfo at lista.sulinet.hu <mailto:techinfo at lista.sulinet.hu>
>     *Subject:* Re: [Techinfo] Synology NAS-ra VPN szerver
>
>     Összességében nem nem jól gondolod:
>     Kérlek nézd ezt át:
>     https://sulinet.niif.hu/dashboard2_0
>     <https://sulinet.niif.hu/dashboard2_0>
>
>     A lényeg:
>
>
>     *Figyelem! A Cisco router mögött csak a Publikus szegmensen
>     elhelyezett szerver/router érhető el az Internet irányából,
>     amennyiben a megfelelő engedő szabályok rögzítve vannak.*
>
>     *Egyéb (Privát, Wifi) szegmens erre nem alkalmas, port
>     átirányításra nincs lehetőség!*
>
>     *EZT ÉN NEM TUDTAM :)**
>
>
>     *
>
>
>     A fentiek miatt (is) NEM ajánlom senkinek a gyári megoldást
>     használni, mert korszerűtlen és rugalmatlan.
>     Javaslom, hogy szerezz be egy normális routert (mikrotik) és kösd
>     a publikus szegmensre. Az egyszerű soho routert nem fogja bírni a
>     teljes iskolátokat ellátni.
>     Át kellene raknod ez esetben az egész sulitokat saját router mögé.
>     (pl hap ac2 mikrotikkel vagy attól nagyobb router segítségével)
>
>     Egyedüli járható út, hogy mégis megoldjad:
>     pc (pfsense) két ethernet kártyával az egyik a publikus
>     tartományba megy, a másik a privát szegmensre
>     A wifi szegmenst akkor láthatja a vpn kliens(ek), ha a dashboardon
>     összenyitod, de ez megint passz, hogy lehet e ilyet. >>> én semmi
>     gyári kifüs megoldást nem használok, nálunk minden saját megoldás
>     mikrotik routerrel
>
>     A nas-t felejsd el sajnos a fentiek miatt nem lesz megoldható
>     ezzel a hálózati kialakítással.
>
>
>
>
>
>
>     2021. 04. 13. 12:12 keltezéssel, Kiss Zsolt írta:
>
>               
>
>             Ok, akkor portforwardot megtudod oldani és a nast berakni a belső hálóra?
>
>               
>
>         Ha mezei TP-Link, ZyXEL (melyiket szeressem inkább) router úgy jó, hogy
>
>         bekötöm a belső lábát a privát szegmensbe, a DHCP-t a privát adja, tehát ez
>
>         a router csak átdobja a belső portra, akkor igen. Viszont akkor itt arra
>
>         kell figyeljek, hogy a NAS átjáróját a kifü routerről át kell állítsam a
>
>         soho router belső IP címére, különben nem talál vissza a csomag. A régi
>
>         helyemen volt egy ilyen megoldásom, más miatt. Ha jól rémlik azért dobtam
>
>         végül ki, mert lassú volt valamiért a net azon keresztül. De lehet csak a
>
>         soho haldoklott, végül másként oldottam azt meg, ezért sem emlékszem már
>
>         pontosan miért vetettem el.
>
>           
>
>         Itt még az vetődik fel, hogy akkor a wifi szegmensből elérik a NAS-t? A kifü
>
>         nem a soho routerem átjáróján keresztül akarja küldeni a csomagokat, az
>
>         tuti. Tehát átgondolandó amit tárolok rajta, akkor mi legyen az, honnan
>
>         akarják elérni.
>
>           
>
>             Akkor az openvpn teljesen biztonságos megoldás lesz. (sha256/ aes256
>
>             melett)
>
>             A kms is működik akkor, ha a belső hálózatodon is működik most.
>
>               
>
>           
>
>         Jól hangzik :)
>
>           
>
>           
>
>             Tanároknak illetve az eszközökön service-ként futtatva az openvpn-t pl
>
>             iterakció nélkül is tud futni a vpn és akkor minden automata. A tanárnak
>
>         nem
>
>             kell csinálni semmit, te pedig korábban vagy anydeskel beállítod.
>
>           
>
>         Milyen kliens kell ehhez? Beépítetten tudja a w10, vagy telepítenem kell
>
>         openvpn kliens programot?
>
>           
>
>         Milyen portokat nyittassak a kifünél, mert azt ki kell nyitni a tűzfalon,
>
>         majd akkor tovább dobnom belső lábra.
>
>           
>
>           
>
>           
>
>             Nálunk a pfsense segítségével oldottam meg ezt, mert ott nagyon egyszerű a
>
>             megfelelő konfigokat exportálni a webgui-n és jó a teljesítmény is.
>
>           
>
>         Nálatok is a pfsense a privátra van kötve? Ott így első körben azért tűnik
>
>         jobbnak, mert ha csak a vpn-t kezeli, akkor nincs az a gond, ami a NAS-nál
>
>         az adatok wifis elérése. Már persze ha jól gondoltam át, és ez ténylegesen
>
>         valós probléma. Viszont, mint írtam a NAS gyorsabb megvalósítás, aztán lehet
>
>         ismerkedni majd később mással is :)
>
>           
>
>         Zsolt
>
>           
>
>         _______________________________________________
>
>         Techinfo mailing list
>
>         Techinfo at lista.sulinet.hu  <mailto:Techinfo at lista.sulinet.hu>
>
>         Fel- és leiratkozás:http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo  <http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo>
>
>         Illemtan:http://www.szag.hu/illemtan.html  <http://www.szag.hu/illemtan.html>
>
>         Ügyfélszolgálat FAQ:http://sulinet.niif.hu/  <http://sulinet.niif.hu/>
>
>
>
>     _______________________________________________
>
>     Techinfo mailing list
>
>     Techinfo at lista.sulinet.hu  <mailto:Techinfo at lista.sulinet.hu>
>
>     Fel- és leiratkozás:http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo  <http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo>
>
>     Illemtan:http://www.szag.hu/illemtan.html  <http://www.szag.hu/illemtan.html>
>
>     Ügyfélszolgálat FAQ:http://sulinet.niif.hu/  <http://sulinet.niif.hu/>
>
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/

--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20210413/9109634a/attachment.html>