Pagina 1 di 1

Mia prima VPN...dopo un anno....

Inviato: domenica 26 giugno 2016, 12:19
da mancio61
Dopo circa un anno di poco utilizzo ho provato a riconfigurare la VPN sul mio 414j.
Mi sono riletto i post del thread "Mia prima VPN" che avevo aperto, ed ho visto che avevo fatto riferimento ad una mini-guida che mi aveva aiutato nei vari passi...ma che non trovo più...

Faccio un breve status update:

1) Lancio il VPN Server , attivando il protocollo L2TP/IPsec, lasciando le impostazioni di default per quanto riguarda l'indirizzo dinamico 10.2.00, connessioni max = 5, autenticazione PAP, MTU = 1400, e lasciando unchecked DNS Manuale e Abilita modalita compatibile SHA2-256

2) Ho attivo l'account DNNS su mySynology, che da sito https://account.synology.com/it-it/overview vedo correttamente connesso con il suo bel IP Address 82.54.xxx.yyy. Da DSM->Pannello di Controllo ->Accessi Esterni vedo lo stesso account e testando la connessione è tutto OK.

3) Verificato che sul Router siano aperte le porte UDP 550, 1701 e 4500. OK

4) Ora vado in DSM->Rete->interfaccia di Rete e creo una connessione VPN di tipo L2TP/Ipsec...e non ricordo assolutamente cosa devo mettere come:
a) Indirizzo Server...l'IP address di xxxxx.mySynology.me oppure proprio la stringa xxxxx.mySynology.me...oppure per testare la connessione localmente l'IP address 192.168.1.x del NAS???
b) Nome Utente e pwd : il nome utente con cui ho registrato il DDNS (quindi lo stesso che uso per collegarmi al sito account.synology di cui sopra) con relativa pwd?
c) Opzioni avanzate: utilizzare il gtwy predefinito, "consenti la connessione di altri...", "il Server si trova dietro il NAT"... ???? qui di default è tutto unchecked....devo selezionare qualcosa?

Ho provato diverse combinazioni ma, una volta creata la connessione, se premo "Connetti" mi da errore, e mi dice di disattivare il Server VPN...

Poi mi manca ancora la configurazione sui dispositivi Client (sia IOs che Android) ma questa è un'altra storia...

HELP!!!

Re: Mia prima VPN...dopo un anno....

Inviato: domenica 26 giugno 2016, 15:22
da mancio61
Fatto progressi. In realtà... ho lato DSM ho configurato solo il VPN Server e basta, non ho aggiunto una connessione VPN in Rete->interfaccia di rete.
Poi sull'iPHone ho creato una VPN, spento il wi-fi, messo come server l'IP address del DDSN di xxxxx.synology.me , premuto "connetti" e mi sono ritrovato la connessione VPN attiva in DSM-> VPN Server -> Elenco connessioni. Sull'iPhone in alto ho un bel simboletto "VPN". Bene, ora se però provo ad aprire (sempre a wifi spenta) una qualsiasi app DS (video, photo...) usando ovviamente l'ipAddress LAN del NAS (192.1.x.yyy)...non si connette...
Mi sono dimenticato qualcosa?

grazie!
Andrea

Re: Mia prima VPN...dopo un anno....

Inviato: lunedì 27 giugno 2016, 16:25
da dMajo
Diciamo che il cel non è il miglior dispositivo per testare una vpn .... per mancanza di strumenti di diagnostica.

Se hai fatto una vpn l2tp/ipsec e sul vpn server del nas per tale protocollo hai la subnet 10.2.0.0 prova a connetterti sul 10.2.0.1.
Se usi il firewall sul nas verifica che non sia lui a bloccarti.

Re: Mia prima VPN...dopo un anno....

Inviato: martedì 28 giugno 2016, 10:28
da mancio61
Quello che non capisco è che, con wifi spento ovviamente, la connessione LPT2/IPsec sembra venir creata correttamente. Ho "VPN" sulla notification bar dell'iPhone e soprattutto la connessione visualizzata nel tab specifico di VPN Server in DSM. Il "tunnel" quindi pare aperto e connesso.

Alcuni punti ...e dubbi:

1) Le porte sono aperte in UDB sul router (Telecom Fibra per la precisione), e aperte sul Firewall del Syno (le ho settate nel firewall profile, c'e un'altro posto dove devo farlo? magari non sono state aperte bene sul firewall)....

2) Nel mio thread di un anno fa avevo fatto riferimento ad una miniguida sul sito Syno, ma che purtroppo non si trova più.....spiegava nel dettaglio tutti i passi da eseguire si per configurare il VPN Server, sia lato client (se non erro questa parte spiegava come configurare un cell android).

3) In DSM-Panello di controllo-Rete, nel tab connessioni (vado a memoria ma potrebbe chiamarsi diversamente), puoi aggiungere una connessione VPN, con un wizard che ti guida nella creazione... Qui NON ho fatto nulla, non mi ricordavo di averlo fatto l'anno scorso! E' questo il "pezzo mancante"? Se non lo è, a cosa serve?

Grazie!!!!!

Re: Mia prima VPN...dopo un anno....

Inviato: martedì 28 giugno 2016, 13:21
da dMajo
mancio61 ha scritto:Quello che non capisco è che, con wifi spento ovviamente, la connessione LPT2/IPsec sembra venir creata correttamente. Ho "VPN" sulla notification bar dell'iPhone e soprattutto la connessione visualizzata nel tab specifico di VPN Server in DSM. Il "tunnel" quindi pare aperto e connesso.
In wifi va perche non la usi. Il nas è sulla (es) 192.168.1.5, il cel prende un'indirizzo dhcp sempre sulla 192.168.1.x e ne prende un'altro in dhcp dal server vpn sulla 10.2.0.x. Quando cerchi di contattare il nas con indirizzo 192.168.1.5 i gateway non vengono usati essendo entrambi i nodi sulla stessa lan. Il traffico verso il nas è in chiaro e non usa il tunnel che tu vedi si stabilito, ma anche se configurato male, è ininfluente.

1) il fw del nas: molti (correttamente) tendono non solo ad aprire le porte ma anche a filtrare gli ip. Ad esempio per i servizi SMB (che non dovrebbero mai essere pubblicati in internet) o la porta 5000 è giusto mettere nella regola la subnet 192.168.1.0/24. Così anche se si dovesse sbagliare configurazione sul router comunque il nas rifiuterà nodi esterni alla propria lan. Nel fare ciò però bisogna tener conto, in caso di vpn, che i client non avranno un ip sulla 192.168.1 bensì sulla 10.2.0. Di conseguenza vanno aperti anche su quelle lan o con un più generico 10.0.0.0/8(255.0.0.0).

3)Questo è un client vpn ovvero la connessione del nas ad un'altro server vpn. Non ti serve

2)Non conosco la guida. Come detto prima il client riceve un'indirizzo dal pool di assegnazione dhcp del server vpn. Hai detto (es) 10.2.0.2/24(255.255.255.0) quindi senza l'aggiunta di altre rotte lo smartphone instraderà tutti i pacchetti diretti a un qualsiasi nodo della 10.2.0.0/24 attraverso il gtw presumibilmente 10.2.0.1 raggiungibile attraverso l'interfaccia 10.2.0.2 (la vpn). Tutti le altre destinazioni 1.2.3.4 o 192.168.1.0/24 saranno instradati attraverso la rotta di default via connessione 3g. Siccome 192.168.0.0/16 sono ip privati non verranno instradati avanti in internet ... quindi persi.
Aggiungi una rotta al client L2TP (192.168.1.0/24) in modo che sappia che anche questi pacchetti devono essere instradati attraverso il gtw 10.2.0.1 raggiungibile sull'interfaccia 10.2.0.2. Per quello integrato in android, nella configurazione la trovi sotto le impostazioni avanzate.... per iOS non so aiutarti.

Re: Mia prima VPN...dopo un anno....

Inviato: martedì 28 giugno 2016, 14:59
da mancio61
Bene..almeno qualche dubbio cominciamo a dissiparlo. Non ho capito allora però dove potrebbe essere l'errore di configurazione.

Lato Server: è tutto semplice, configuro e attivo il protocollo LPT2/IPsec con le opzioni di default. Metto autenticazione MS-CHAP V2 (su iOS non puoi mettere la PAP). L'unica cosa che mi viene in mente è che ho lasciato unchecked "Use Manual DNS". Se lo checko.. che devo mettere? Lo stesso IP che mi fornisce xxxx.mysynology.me e che ho messo come "server" sul client?
Anche "enable SHA2.." l'ho lasciato unchecked.

Lato Client:Devo per caso mettere l'IP statico allo smartphone? Ora ha il DHCP. Quindi metto come Server l'IP 82.54.xxx.yyy fornito da synology.me, setto username e pwd dell'utente DSM del quale voglio usare il profilo per collegarmi, e metto la pre-shared-key identica a quella messa sul Server. Altro non saprei cosa mettere (e non saprei DOVE metterlo...).

Che mi manca? Non ho capito come "aggiungere una rotta al Client"...