Problema accesso remoto DS414 (e problema VPN)

[Zanna83]

se pinghi il nas il traffico ICMP non andrà mai attraverso la vpn bensì diretto al nas in quanto si trovano sulla stessa sottorete dovresti provare a scommentare "redirect-gateway" nella configurazione del client vpn.
secondo se hai il firewall attivo sul nas non risponderà mai al ping: aggiungi una regola protocollo ICMP ip subnet 192.168.0.0/255.255.0.0 (così copre anche quella della vpn oppure fanne due in /24)

Ma tenendo conto che non ho attivato il firewall del DS414 e che di default c'è la regola "all permit", perchè se mi collego alla VPN e pingo l'IP identificato come gateway predefinito (192.168.2.5 quindi il NAS) non c'è risposta ?

L'indirizzo ottenuto per la vpn è tecnicamente corretto ma
192.168.2.4/30(252) (4 id rete, 5 gtw, 6 client e 7 broadcast)
significa che ci può esser solo un client vnp oppure che il secondo avrà ad esempio
192.168.2.8/30(252)
e cosi i vari client vpn saranno fra loro isolati.

Non mi è chiara quest'ultima parte (ignoranza mia ) :
- perchè (4 id rete, 5 gtw, 6 client e 7 broadcast) ?
- perchè dici che un eventuale 192.168.2.8 sarebbe isolato ?
Scusa ma quando andiamo nell dettaglio di queste cose mi perdo un po'

Grazie tante per le risposte!

[dMajo]

se pinghi il nas il traffico ICMP non andrà mai attraverso la vpn bensì diretto al nas in quanto si trovano sulla stessa sottorete dovresti provare a scommentare "redirect-gateway" nella configurazione del client vpn.
secondo se hai il firewall attivo sul nas non risponderà mai al ping: aggiungi una regola protocollo ICMP ip subnet 192.168.0.0/255.255.0.0 (così copre anche quella della vpn oppure fanne due in /24)

Ma tenendo conto che non ho attivato il firewall del DS414 e che di default c'è la regola "all permit", perchè se mi collego alla VPN e pingo l'IP identificato come gateway predefinito (192.168.2.5 quindi il NAS) non c'è risposta ?

Prova con un tracert per vedere che strada prende il pacchetto.

L'indirizzo ottenuto per la vpn è tecnicamente corretto ma
192.168.2.4/30(252) (4 id rete, 5 gtw, 6 client e 7 broadcast)
significa che ci può esser solo un client vnp oppure che il secondo avrà ad esempio
192.168.2.8/30(252)
e cosi i vari client vpn saranno fra loro isolati.

Non mi è chiara quest'ultima parte (ignoranza mia ) :
- perchè (4 id rete, 5 gtw, 6 client e 7 broadcast) ?
- perchè dici che un eventuale 192.168.2.8 sarebbe isolato ?
Scusa ma quando andiamo nell dettaglio di queste cose mi perdo un po'

Un eventuale secondo client potrebbe essere il 10 (8 id rete, 9 gtw, 10 client, 11 broadcast)
Vado a naso.
Perché a seconda di quanti client si prevedono avrebbe senso assegnare ad esempio 192.168.2.0/26(255.255.255.192): 0 id di rete, es 1 gtw, da 2 a 62 client, 63 broadcast. Il che significa che i client sarebbero sulla stessa sottorete, il loro ip sarebbe bridged anziche routed e si vedrebbero fra loro.
Per come hai indicato gli indirizzi tu invece i client comunicherebbero con il nas ma non fra loro in quanto non a conoscenza gli uni degli altri, il che non è sbagliato, va benissimo per gli utenti, ad un amministratore potrebbe invece esser utile l'altro schema. In questo caso invece per comunicare il client 10 dovrebbe avere la rotta 192.168.2.4/255.255.255.252 gtw 192.168.2.9 mentre il client 6 dovrebbe avere 192.168.2.8/255.255.255.252 gtw 192.168.2.5 ed a seconda di come le configura il server vpn sul nas forse ne servirebbe qualcuna anche li

[Zanna83]

Intanto grazie a tutti per quanto riguarda l'accesso web!! Sembrerebbe a posto ora!!

Per quanto riguarda la subnet mask, ora ho capito! In pratica si tratta di "compartimentare" le utenze! Nel mio caso andrebbe bene fare in modo che gli utenti remoti non si vedano tra di loro!

Vi aggiorno anche sui progressi in campo VPN... nel mentre grazie a tutti!

[Zanna83]

Rieccomi!

Confermo che l'accesso da remoto con https va che è una favola. E' bastato resettare il router, dimenticarsi EZ-Internet e nattare tutto manualmente.

Nattando manualmente anche la 1194 UDP mi sono accorto che la conessione OpenVPN si stabilisce senza problemi e sembra essere più "costante" senza riconnessioni.

A questo punto l'unico problema rimane la possibilità di accedere al NAS tramite VPN. la situazione è la seguente :

Rete Ufficio con Classe IP : 192.168.1.x
OpenVPN con Classe IP : 192.168.2.x
Rete di Casa (con NAS) con Classe IP : 192.168.1.x

Il file di configurazione OpenVPN è il seguente :

Codice: Seleziona tutto

dev tun
tls-client

remote [i]mioidentificativo[/i].synology.me 1194

# The "float" tells OpenVPN to accept authenticated packets from any address, 
# not only the address which was specified in the --remote option. 
# This is useful when you are connecting to a peer which holds a dynamic address 
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

proto udp
script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass

# NLA issues
route-metric 512
route 0.0.0.0 0.0.0.0

La connessione si stabilisce cosi :

rete.jpg (107.29 KiB) Visto 2477 volte

Grazie a tutti in anticipo.

[dMajo]

Prova.

Se il gateway sulla 192.168.2 è un alias del nas puoi provare ad accedere con 192.168.2.5:5000. Se invece i servizi del nas sono in ascolto solo sulla 192.168.1 allora non può funzionare in quanto i pacchetti (192.168.1.x:5000) verrebbero trasmessi sulla tua lan locale a casa (avendo la stessa sottorete).

Puoi provare a scommentare la riga "#redirect-gateway" togliendo il cancelletto. Se ancora non va (oppure oltre al nas vuoi accedere anche ad altri nodi della rete) dovrai cambiare la 192.168.1 da un lato. Se siete in più a dovervi collegare all'ufficio conviene cambiarla li (es. 192.168.200.0/24) perchè molti nell'installazione domestica avranno la 192.168.1.0/24