[Techinfo] Synology NAS-ra VPN szerver
Sándor Fehér
sandor.feher84 at gmail.com
2021. Ápr. 13., K, 17:06:29 CEST
Ha rám hallgatsz nem kell szólnod a kifünek! :), nem is javaslom amúgy
>Ha a pfsense-t felteszem egy gépre, akkor azzal viszont ugyanezt a
felállást ha jól értem meg lehet valósítani
igen
>Tehát LAN1 lába publikus, LAN2 lába privát?
igen és működik is fog rendesen gyorsan
>Mennyi idő egy ilyen
nekem 1 óra hossza kb , mert már csináltam ilyet párszor és most is ez
van suliba az efopos laptopokhoz
>Milyen vas volna célszerű hozzá?
2010-es gyártmányú gépen 2gb memóriával működött. (celeron g sorozatú
cpu) >> majdnem mindegy milyen a gép, a sebességet befolyásolja a cpu
sebessége. Kicsit vissza kell venni a titkosítást észszerű kereten
belül, ha régi a gép. (sha1/aes128 pl tökéletes és biztonságos is)
Nekünk most proxmoxon fut virtualizálva már 1 éve, mert kaptunk új szervert.
1 dologról nem esett szó, de fontos:
A pfsense freebsd alapú és a realtek egyes gigabit kártyáival meggyűlik
a baja.
Ha lehet intel hálózati kártyát szerezz bele, vagy realtek 8139-et.
!!!A 8169 egyes verzió instabilak/lassúak. !!!
A 8139 viszont csak 100mbit/s, de ide több mint tökéletes, ahhoz elég
erős cpu kell, hogy több mint 100mbit/s sebességet produkáljon.
Ne ess kétségbe, ha véletlenül 8169 kártyák vannak (alaplapon is), mert
nem mindegyik chip rosszalkodik.
Ki kell próbálni és megfogod látni, ha nem lesz jó. No akkor
innen-onnan rtl8139 kártyát majd szerzel bele. Lehet nekem is van vagy
5 darab szerteszét.
https://www.pfsense.org/download/
Majd ezt töltsd le és írd ki lemezre, a telepítés nagyon egyszerű, ne
tarts tőle. (ufs filerendszert válassz majd! )
Ha van ssd, az kellene bele, de csak a 0/24 üzem miatt, egyébként
mindegy hdd is jó ha más nincs. 16GB hely kell neki.
Ami még fontos, hogy ha lehet keress bele egy jobb tápot, ez is a 0/24
miatt... Bár írtad szerver gép, ha tényleg az akkor okés....
2021. 04. 13. 16:49 keltezéssel, Kiss Zsolt írta:
>
> Aha. Így már értem. Akkor max a kifü felé érhet meg egy kérdést,
> támogatnának-e egy ilyen route tábla „hegesztést” Egy próbát megér,
> kérdésért nem vágnak csak pofon J
>
> Ha a pfsense-t felteszem egy gépre, akkor azzal viszont ugyanezt a
> felállást ha jól értem meg lehet valósítani? Tehát LAN1 lába publikus,
> LAN2 lába privát? Gyakorlatilag azt csinálná mint most a soho, csak
> működne is? Mennyi idő egy ilyen összedobni? Milyen vas volna célszerű
> hozzá? Van egy régebbi szerverem, amin csak egy sima win10 fut, nem is
> tudom mire használták. Szerintem két hálókártya is akad benne, még
> bugázni sem kell. Szerintem nincs baja sem, csak kaptak újabbat, azért
> cserélték le. De majd meg kell nézni persze jobban.
>
> Zsolt
>
> *From:*techinfo-bounces at lista.sulinet.hu
> <techinfo-bounces at lista.sulinet.hu> *On Behalf Of *Sándor Fehér
> *Sent:* Tuesday, April 13, 2021 4:33 PM
> *To:* techinfo at lista.sulinet.hu
> *Subject:* Re: [Techinfo] Synology NAS-ra VPN szerver
>
> Értem ez a 2. eset.
>
> Akkor gondolj bele ebbe:
> a synology csak tun típusú vpn szervert tud emlékeim szerint.
> A tun layer 3 szerint működik, tehát ezt routolt vpn-nek hívjuk
> A vpn kliensed felkeresi a lan-os valamelyik belső gépet.
> A belső gép a vpn kliensnek nem fog tudni választ küldeni, mert az
> alapértelmezett átjáróra fog válaszolni, ami pedig a kifüs cisco eszköz.
> A kifüs cisco router a route táblájába nem lesz benne a vpn tartomány,
> így ő is kivágja a csomagot a def gw-re a kifü gw-jére és ott
> eldobódik....
>
> példa:
> otthoni lan >>>>>>> soho router publikuson >>>>>>>>>synology
> 192.168.1.0/24 195.199.23x.x/29 192.168.2.0/24
> vpn kliens tun ip: 10.0.0.1
> ------------------------------------------> syno tun ip 10.0.0.2
>
> A vpn egy tunnelt hoz létre a két eszköz között, ami ezektől az ip
> címektől független lesz. pl 10.0.0.0/24
> A vpn kliensed ebben az esetben a 192.168.1.1 stb ip címeken
> "látszódik" a suliba, mivel layer 3 alapú a vpn.
> A belső hálód nincs tisztában a 192.168.1.0/24 hálózatról, mert azt
> csak a vpn szerver ismeri. Sajnos nem a vpn szervered az
> alapértelmezett átjáró, mert ha az lenne nincs probléma.
> Az hogy ezt áthidald a kifü cisco-ba kellene route táblát
> frissíteni/hozzáírni, hogy a 192.168.1.0/24 hálózatot a synology ip
> címén keresse. Ehhez kellene a kifü, de elzárkóznak ettől szerintem.
> Ha ez nincs, akkor a belső gépek azt csinálják amit fenn írtam.
>
> Csak 2. rétegbeli vpn-el lehet ezt megoldani ún transport módú vagyis
> "tap" típusú openvpn megoldással.
> !!!A pfsense tudja ezt, a synology nem. !!!
> Ennek a működése annyi, hogy a vpn kliensed a belső hálózatról a
> mostani !!!kifüs!!! cisco routertől fog ip címet kapni és a cisco úgy
> fogja őt látni, mintha a switchbe dugtad volna azt a gépet, ami neked
> sulin kívül van. A wifi sub is megy a kmsel együtt, ha most is jó.
> Ehhez kell egy pc két ethernet kártyával.
> Mással időhúzás próbálkozni és kudarc lesz a vége ebben a környezetben..
> Ha hajlasz ennek a megoldására keress nyugodtan.
>
> Üdv!
>
>
>
>
>
> 2021. 04. 13. 16:11 keltezéssel, Kiss Zsolt írta:
>
> Nem rajzolok inkább leírom, szerintem érthető lesz.
>
> Fogok egy soho routert. WAN portját bedugom a kifü publikus
> portjába, beállítom a routerben a publikus IP-t.
>
> A soho tartományát ugyanarra állítom, mint a privát szegmensem
> tartománya, és a DHCP-t kikapcsolom.
>
> Fogok egy UTP kábelt és a LAN1 portot rádugom a kifü privát
> tartományára.
>
> Így bármelyik privátos gépre tudok port forwardot csinálni. Ami
> speciel a NAS lesz. Annyi benne még a csavar, hogy az a gép, amire
> port forwardot állítok be, neki az átjárója IP-je a soho router
> belső IP-je kell legyen, tehát ő nem a kifün közlekedik
> közvetlenül hanem a sohon. Ez régen simán működött, de az rémlik
> lassú volt, de az router hiba volt.
>
> Pl az eduroamnak azért kell látnia a privátot, mert abban van a
> hálózati nyomtató. Ha az adatokat teljesen felhőbe teszem, így nem
> lesz mondjuk fileszerver, akkor is a nyomtató miatt kelleni fog az
> átjárás. De ez most működik is, minden mindennel össze van nyitva.
>
> Akkor az open VPN-nek elég 1 port, semmi sok portos bonyolultság.
> Bekonfigolom a NAS-on, amit ott beállítok portot kinyitok és
> meglátjuk működik-e J
>
> W10 alapból fel sem ismeri, vagy felismeri, csak egészségesebb
> klienssel használni? Mert ha felismeri, a teszt erejéig akár
> mehetne azzal is. Ha jól csatlakozik, akkor a szerver része OK,
> lehet klienssel is bíbelődni…
>
> Zsolt
>
> *From:*techinfo-bounces at lista.sulinet.hu
> <mailto:techinfo-bounces at lista.sulinet.hu>
> <techinfo-bounces at lista.sulinet.hu>
> <mailto:techinfo-bounces at lista.sulinet.hu> *On Behalf Of *Sándor Fehér
> *Sent:* Tuesday, April 13, 2021 3:49 PM
> *To:* techinfo at lista.sulinet.hu <mailto:techinfo at lista.sulinet.hu>
> *Subject:* Re: [Techinfo] Synology NAS-ra VPN szerver
>
> >hogy egy soho routerrel tudok „becselezni” a privátba
> Kérlek ha tudod rajzold le nekem, hogy hogyan gondolod. Nem lesz
> jó két dolog miatt sem.
>
> 1: hiába teszed be a wan interfészét a privátba oda nem tudsz
> portot forwardolni, mert nem lehetséges plusz felesleges lenne.
> 2: ha úgy kötöd be, hogy a wan a publikusra megy, a lan pedig a
> privátba belefutsz egy problémába::: a benti lanos gépek
> alapértelmezett átjárója nem a soho router most, ezért a hálózati
> gépek egyike sem fogja elérni a vpn mögötti subnetet, mert hogy ez
> menjen a cisco-ba kellene belenyúlni és módosítani a route táblát.
> Nem hinném, hogy a kifü ezt megteszi neked, amúgy működhet, de ne
> így csináld szerintem. Pont emiatt is van saját routerem....
>
> A wifi miért kell lássa a privát/vpn szubnetet?
> -ezt nem értem, sorry nálunk nem kell, ha igen akkor vpn ahogyan
> írtad....
>
> Az openvpn tcp vagy udp portot kér, 1194 alapból, de bármi más is
> lehet, sokszor ajánlott is mást használni.
>
> A win10-hez a kliens az openvpn community oldalon a community
> downloadson belül érhető el, rendszergazdaként kell telepíteni.
> https://openvpn.net/community-downloads/
> <https://openvpn.net/community-downloads/>
>
> Androidra és szifonra is van kliens és persze linuxra is....
>
>
>
>
>
>
>
> 2021. 04. 13. 14:58 keltezéssel, Kiss Zsolt írta:
>
> Én ezzel tisztában voltam, ezért is írtam, hogy egy soho
> routerrel tudok „becselezni” a privátba. Úgy már tudok port
> forwardolni. Engem elvileg el kellene, hogy bírjon. Az egész
> sulit nem akarom ráterelni. Egy gyors próbát megér, aztán max
> eldobom az ötletet.
>
> Az eduroam wifi miatt eléggé nehéz kikerülni a kifü routerét.
> Akkor onnan is VPN-ezni kellene ha a publikus szegmens mögé
> építenék ki saját infrastruktúrát a priváttól függetlenül. Ez
> gyakorlatilag az egész hálózat átalakítását jelentené. Most
> nekem az elég ha én egyedül tudok VPN-en közlekedni.
>
> Open VPN-hez milyen portok kellenek?
>
> Meg akkor milyen kliens a célszerű W10 alá?
>
> Kipróbálom Sohoval, aztán majd módosítok ha nem jön be, ill. a
> tapasztalatok függvényében lehet majd átalakítani.
>
> Zsolt
>
> *From:*techinfo-bounces at lista.sulinet.hu
> <mailto:techinfo-bounces at lista.sulinet.hu>
> <techinfo-bounces at lista.sulinet.hu>
> <mailto:techinfo-bounces at lista.sulinet.hu> *On Behalf Of
> *Sándor Fehér
> *Sent:* Tuesday, April 13, 2021 2:39 PM
> *To:* techinfo at lista.sulinet.hu <mailto:techinfo at lista.sulinet.hu>
> *Subject:* Re: [Techinfo] Synology NAS-ra VPN szerver
>
> Összességében nem nem jól gondolod:
> Kérlek nézd ezt át:
> https://sulinet.niif.hu/dashboard2_0
> <https://sulinet.niif.hu/dashboard2_0>
>
> A lényeg:
>
>
>
> *Figyelem! A Cisco router mögött csak a Publikus szegmensen
> elhelyezett szerver/router érhető el az Internet irányából,
> amennyiben a megfelelő engedő szabályok rögzítve vannak.*
>
> *Egyéb (Privát, Wifi) szegmens erre nem alkalmas, port
> átirányításra nincs lehetőség!*
>
> *EZT ÉN NEM TUDTAM :)**
>
>
>
> *
>
>
> A fentiek miatt (is) NEM ajánlom senkinek a gyári megoldást
> használni, mert korszerűtlen és rugalmatlan.
> Javaslom, hogy szerezz be egy normális routert (mikrotik) és
> kösd a publikus szegmensre. Az egyszerű soho routert nem fogja
> bírni a teljes iskolátokat ellátni.
> Át kellene raknod ez esetben az egész sulitokat saját router
> mögé. (pl hap ac2 mikrotikkel vagy attól nagyobb router
> segítségével)
>
> Egyedüli járható út, hogy mégis megoldjad:
> pc (pfsense) két ethernet kártyával az egyik a publikus
> tartományba megy, a másik a privát szegmensre
> A wifi szegmenst akkor láthatja a vpn kliens(ek), ha a
> dashboardon összenyitod, de ez megint passz, hogy lehet e
> ilyet. >>> én semmi gyári kifüs megoldást nem használok,
> nálunk minden saját megoldás mikrotik routerrel
>
> A nas-t felejsd el sajnos a fentiek miatt nem lesz megoldható
> ezzel a hálózati kialakítással.
>
>
>
>
>
>
>
> 2021. 04. 13. 12:12 keltezéssel, Kiss Zsolt írta:
>
>
>
> Ok, akkor portforwardot megtudod oldani és a nast berakni a belső hálóra?
>
>
>
> Ha mezei TP-Link, ZyXEL (melyiket szeressem inkább) router úgy jó, hogy
>
> bekötöm a belső lábát a privát szegmensbe, a DHCP-t a privát adja, tehát ez
>
> a router csak átdobja a belső portra, akkor igen. Viszont akkor itt arra
>
> kell figyeljek, hogy a NAS átjáróját a kifü routerről át kell állítsam a
>
> soho router belső IP címére, különben nem talál vissza a csomag. A régi
>
> helyemen volt egy ilyen megoldásom, más miatt. Ha jól rémlik azért dobtam
>
> végül ki, mert lassú volt valamiért a net azon keresztül. De lehet csak a
>
> soho haldoklott, végül másként oldottam azt meg, ezért sem emlékszem már
>
> pontosan miért vetettem el.
>
>
>
> Itt még az vetődik fel, hogy akkor a wifi szegmensből elérik a NAS-t? A kifü
>
> nem a soho routerem átjáróján keresztül akarja küldeni a csomagokat, az
>
> tuti. Tehát átgondolandó amit tárolok rajta, akkor mi legyen az, honnan
>
> akarják elérni.
>
>
>
> Akkor az openvpn teljesen biztonságos megoldás lesz. (sha256/ aes256
>
> melett)
>
> A kms is működik akkor, ha a belső hálózatodon is működik most.
>
>
>
>
>
> Jól hangzik :)
>
>
>
>
>
> Tanároknak illetve az eszközökön service-ként futtatva az openvpn-t pl
>
> iterakció nélkül is tud futni a vpn és akkor minden automata. A tanárnak
>
> nem
>
> kell csinálni semmit, te pedig korábban vagy anydeskel beállítod.
>
>
>
> Milyen kliens kell ehhez? Beépítetten tudja a w10, vagy telepítenem kell
>
> openvpn kliens programot?
>
>
>
> Milyen portokat nyittassak a kifünél, mert azt ki kell nyitni a tűzfalon,
>
> majd akkor tovább dobnom belső lábra.
>
>
>
>
>
>
>
> Nálunk a pfsense segítségével oldottam meg ezt, mert ott nagyon egyszerű a
>
> megfelelő konfigokat exportálni a webgui-n és jó a teljesítmény is.
>
>
>
> Nálatok is a pfsense a privátra van kötve? Ott így első körben azért tűnik
>
> jobbnak, mert ha csak a vpn-t kezeli, akkor nincs az a gond, ami a NAS-nál
>
> az adatok wifis elérése. Már persze ha jól gondoltam át, és ez ténylegesen
>
> valós probléma. Viszont, mint írtam a NAS gyorsabb megvalósítás, aztán lehet
>
> ismerkedni majd később mással is :)
>
>
>
> Zsolt
>
>
>
> _______________________________________________
>
> Techinfo mailing list
>
> Techinfo at lista.sulinet.hu <mailto:Techinfo at lista.sulinet.hu>
>
> Fel- és leiratkozás:http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo <http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo>
>
> Illemtan:http://www.szag.hu/illemtan.html <http://www.szag.hu/illemtan.html>
>
> Ügyfélszolgálat FAQ:http://sulinet.niif.hu/ <http://sulinet.niif.hu/>
>
>
>
>
> _______________________________________________
>
> Techinfo mailing list
>
> Techinfo at lista.sulinet.hu <mailto:Techinfo at lista.sulinet.hu>
>
> Fel- és leiratkozás:http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo <http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo>
>
> Illemtan:http://www.szag.hu/illemtan.html <http://www.szag.hu/illemtan.html>
>
> Ügyfélszolgálat FAQ:http://sulinet.niif.hu/ <http://sulinet.niif.hu/>
>
>
>
> _______________________________________________
>
> Techinfo mailing list
>
> Techinfo at lista.sulinet.hu <mailto:Techinfo at lista.sulinet.hu>
>
> Fel- és leiratkozás:http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo <http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo>
>
> Illemtan:http://www.szag.hu/illemtan.html <http://www.szag.hu/illemtan.html>
>
> Ügyfélszolgálat FAQ:http://sulinet.niif.hu/ <http://sulinet.niif.hu/>
>
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://lista.sulinet.hu/pipermail/techinfo/attachments/20210413/de693a6e/attachment.html>
További információk a(z) Techinfo levelezőlistáról