Synology Italia - Forum

La mia curva di apprendimento riguardo ai servizi VPN va avanti a piccoli passi e necessita ora di un vs aiuto:

Ho configurato con successo il mio nuovo router Asus RT-AC68U, sono riuscito anche ad attivare con successo l'OpenVPN server al quale riesco ad accedere dall'esterno mediante vari dispositivi iOS.
Ho anche sottoscritto un account con ExpressVPN e sono riuscito a configurare con successo anche l'OpenVPN client.
Sin qui tutto funziona perfettamente se usati singolarmente, se però attivo il client non posso più accedere da remoto all'OpenVPN server, questo mi è chiaro, anche se molto superficialmente non sono un'esperto ma un curioso.
Da quanto ho letto in rete è un problema di routing, ossia debbo dare una policy per tirare fuori il mio router dal tunnel che il router stabilisce con il provider quando uso la modalità client per anonimato.
Sul router Asus ho installato il firmware Merlin che mi permette una configurazione avanzata e dare le policy del routing sul client Open VPN.

Ora la pagina di config avanzata dell'OpenVPN client mi permette di "Redirect Internet Traffic" con 3 opzioni: NO, All Traffic, Policy Rules
Se abilito le policy rules ho la possibilità di stabilire la Source IP, Destination IP e decidere se vanno via VPN o via WAN

Il mio router è in cascata al modem/router Technicolor TG1100 configurato in DMZ, il router ha come IP WAN 192.168.1.1 con il TG1100 192.168.1.254 che punta in DMZ ovviamente 192.168.1.1
Riguardo la LAN il router ha IP 192.168.0.1

Ora nella regola io penso di indirizzare Source IP 192.168.0.1 Destination IP 192.168.1.1 e come Interface la WAN, cosi penso di tirare fuori il router dal VPN client channel e quindi poter accedere da remoto al router OpenVPN server ed allo stesso tempo mantenere il client attivo.
Inoltre non capisco se messa questa regola tutti gli altri IP vanno sotto VPN o debbo configurare tutti gli IP e dire chi va sotto VPN e chi sotto WAN? Forse è cosi ma dovrei chiederlo a Merlin o vedere meglio il manuale.
Non lapidatemi per la mia ignoranza.

Ulteriore domanda, se non ho scritto sciocchezze sopra, se cosi funzionasse riesco ad accedere al NAS da remoto anche se il NAS va sotto VPN client? O dovrei definire anche quale porta dell'IP del NAS per definire quali servizi del NAS vanno sotto OpenVPN client e quali no?

Grazie in anticipo per il vostro aiuto.

Cosi come dicevo non va anzi perdo compleatamente l'IP della VPN.
Come volevasi dimostrare la mia conoscenza di routing è assai povera, pls help.

Continuando a parlare da solo.
Settando nelle regole:

Ipsource: 192.168.0.0/24 IP Destination 0.0.0.0 Interface VPN
Ipsource: 192.168.0.1 (Router) IP Destination 0.0.0.0 Interface WAN

Tutto va con OpenVPN Client e server attivi

Ora se aggiungo la regola per tirare fuori il mio NAS dalla VPN riesco ad accedere ai servizi del NAS anche da remoto, ora se volessi instradare alcuni servizi del NAS via VPN ed altri no allora dovrei dover aggiungere le porte all'istradamento ma pare che questo sulla GUI del Merlin FW non è previsto ma bisogna utilizzare degli script....e qui bisogna continuare a studiare

Bene, ora che hai fatto dei progressi sulle rotte ripassati le porte dinamiche.

Tu stai utilizzando il client vpn per l'anonimato ... ergo l'obiettivo e rimanere anonimi. Ad esempio scaricare i torrent via vpn ma risolvere gli indirizzi dei server in chiaro non serve a nulla. Una delle porte di destinazione che dovrebbe passare via vpn è la udp 53, quella del dns.
Come detto però avrai difficoltà a filtrare le porte dinamiche, proprio perche sono dinamiche. Quando tu accedi ad un sito web lo fai sulla sua porta 80, ma lui ti risponde da una porta casuale. Lo stesso vale per i torrent, le porte dichiarate nella DS sono quelle che generalmente instradi sul router, porte in ingresso, ma la DS poi risponde con porte casuali.

Il modo più semplice per ottenere quello che vuoi, visto che possiedi un 415+ e di usare entrambe le nic.
Puoi cosi configurare mailserver, webserver, accessi dsaudio/video/... sulla nic1 e la DS sulla nic2. L'ip della nic1 lo instradi nella wan mentre quello della 2 via vpn. Non avrai dubbi cosi se una porta dinamica in uscita del nas è una risposta del webserver oppure della DS(ovvero transmission).

Allo stesso modo se sul nas installi il dns server, che poi userai come server dns da tutta la lan (nas compreso che come dsn punta a se stesso), con le viste puoi poi decidere per quali client usare come forwarder il dns del tuo ISP e per quali ad esempio google (8.8.8.8). Avrai così due ulteriori rotte:
- sorgente nas destinazione dns-isp if wan
- sorgente nas destinazione 8.8.8.8 if vpn
diciamo che una connettività che non ha traffico dns (in chiaro) risulta sospetta. In più il dns farà da cache ed ulteriori risoluzioni uguali non genereranno traffico inutilmente, eventualmente bloccando la risoluzione dns dei server pubblicitari potrai abbattere molti dei banner nelle varie pagine, ...

dMajo ha scritto:Bene, ora che hai fatto dei progressi sulle rotte ripassati le porte dinamiche.

Tu stai utilizzando il client vpn per l'anonimato ... ergo l'obiettivo e rimanere anonimi. Ad esempio scaricare i torrent via vpn ma risolvere gli indirizzi dei server in chiaro non serve a nulla. Una delle porte di destinazione che dovrebbe passare via vpn è la udp 53, quella del dns.
Come detto però avrai difficoltà a filtrare le porte dinamiche, proprio perche sono dinamiche. Quando tu accedi ad un sito web lo fai sulla sua porta 80, ma lui ti risponde da una porta casuale. Lo stesso vale per i torrent, le porte dichiarate nella DS sono quelle che generalmente instradi sul router, porte in ingresso, ma la DS poi risponde con porte casuali.

Il modo più semplice per ottenere quello che vuoi, visto che possiedi un 415+ e di usare entrambe le nic.
Puoi cosi configurare mailserver, webserver, accessi dsaudio/video/... sulla nic1 e la DS sulla nic2. L'ip della nic1 lo instradi nella wan mentre quello della 2 via vpn. Non avrai dubbi cosi se una porta dinamica in uscita del nas è una risposta del webserver oppure della DS(ovvero transmission).

Allo stesso modo se sul nas installi il dns server, che poi userai come server dns da tutta la lan (nas compreso che come dsn punta a se stesso), con le viste puoi poi decidere per quali client usare come forwarder il dns del tuo ISP e per quali ad esempio google (8.8.8.8). Avrai così due ulteriori rotte:
- sorgente nas destinazione dns-isp if wan
- sorgente nas destinazione 8.8.8.8 if vpn
diciamo che una connettività che non ha traffico dns (in chiaro) risulta sospetta. In più il dns farà da cache ed ulteriori risoluzioni uguali non genereranno traffico inutilmente, eventualmente bloccando la risoluzione dns dei server pubblicitari potrai abbattere molti dei banner nelle varie pagine, ...

... lo debbo dire... è sempre un piacere leggere dMajo =D {popcorn}

Altro che piacere sono lezioni di alto livello quelle del Dr.Majo

Ora mi rileggo il tutto, vista la mia conoscenza piuttosto base, ho bisogno di rileggere attentamente, andare a documentarmi ed approfondire.

Comunque attualmente utilizzo questa procedura e riesco ad avere VPN client e Server attivi su router e accedo a tutto da remoto.
Per il browsing ho visto che il VPN client riduce sensibilmente la mia banda che essendo una FTTH da circa 95Mbit DL 45 Mbit UL risulta piuttosto penalizzata, debbo trovare una soluzione di compromesso.
Tanto per il browsing l'anonimato mi serve relativamente.

Semplicemente quando da esterno accedo via tablet/iphone mi collego in OpenVPN dopodichè i vari DS client, utilizzo solo per il momento DS CAM, DS Download, DS File o DS Video anche plex, do ai client l'IP del NAS e quindi riesco ad accedere a tutti i servizi del NAS senza alcun problema.

Chiaro non so se questa procedura crea delle falle alla protezione/sicurezza, e qui mi serve la consulenza del DR.

DMajo, vorrei continuare ad approfondire i mie studi su le reti, sono un ing.Chimico e quindi le mie conoscenze IT sono molto User level, vorrei un tuo consiglio per un paio di libri validi che mi possano aiutare nel mio percorso di approfondimento.
Ti ringrazio anticipatamente.

Dimenticavo per i libri non ho problemi con l'inglese.
Per i DNS attualmente sto utilizzando per tutti i dispositivi gli OpenDNS, ma vado a studiarmi la possibilità di utilizzare il DNS su NAS

Il modo più semplice per ottenere quello che vuoi, visto che possiedi un 415+ e di usare entrambe le nic.
Puoi cosi configurare mailserver, webserver, accessi dsaudio/video/... sulla nic1 e la DS sulla nic2. L'ip della nic1 lo instradi nella wan mentre quello della 2 via vpn. Non avrai dubbi cosi se una porta dinamica in uscita del nas è una risposta del webserver oppure della DS(ovvero transmission).

Però in questo modo perdo il LAG che sto attualmente utilizzando sul DS415+

Intanto installo e studio il DNS Server....qusto Synology comunque è una meraviglia

Riflettendo su la perdita del Lag a vantaggio di sfruttare le due NIC del DS415+
Considerando che posso sfruttare relativamente il LAG, il mio è un'ambiente home dove il massimo del flusso dati lo posso avere quando faccio streaming di un video HD e non avviene praticamente quasi mai in contemporanea da più client, ho un computer più qualche tablet che accedono in contemporanea, insomma credo che in caso di perdita del LAG...non se ne accorga nessuno all'atto pratico.
Uso il mio ambiente home per la famiglia/video sorveglianza e sono già più che sovradimensionato con il mio set-up, diciamo che è un buon banco di studio, quindi riportare il DSM a gestire due NIC mi dia più possibilità di studio.

DNS Server installato con successo e mi sembra un'altra ottima scoperta.
Ora se mi date qualche lume al mio quesito della perdita del LAG, "scoppio" il LAG e seguo il consiglio di dMajo per continuare con i miei esperimenti