Problema accesso remoto DS414 (e problema VPN)

[Zanna83]

Buongiorno a tutti

Scrivo qui perchè non so più come girarmi :
Ho un DS414 dietro un router Belnkin F9J1105V1 e la situazione è la seguente :
- DDNS attivato su servizio synology.me;
- EZinternet configurato : porta 5001 (accesso web) e 1194 (openvpn) inviate al router e testate (risultato "normale");
- Connessioni HTTP reindirizzate su HTTPs (senza generazione del certificato)
- Nessuna operazione eseguita direttamente sul router (nessun NAT o simili configurato).

Nonostante quanto sopra non riesco, dall'ufficio, ad accedere via WEB al mio NAS di casa. La cosa strana è che occasionalmente la prima connessione funziona mentre le successive hanno il seguente esito :

Connessione in corso ---> Impossibile collegarsi a....

Stesso destino quando provo dal cellulare.

Per il problema OPENVPN ne parliamo eventualmente dopo

Qualcuno può aiutarmi ?
Grazie in anticipo!!!

[ponzo79]

Al nas hai impostato un ip statico all'interno della LAN? Se non l'hai fatto lo devi fare
Ma le porte 5000, 5001 e 1194 le hai aperte anche sul router e indirizzate all'ip del nas?
Lascia stare EZ, meglio che lo fai manualmente perché EZ (se riesce) ti apre un sacco di porte per niente

[dMajo]

HTTP reindirizzato su HTTPS non è necessario: per farlo funzionare dovresti apreire entrambe le porte (5000,5001) perche il redirect viene fatto sul nas quindi tu devi poter accedere alla 5000 affinche poi tu possa esser reindirizzato sulla 5001

E sufficiente che tu li abiliti entrambi (http e https, senza redirect) e sul router apra (come mi sembra di aver capito tu hai fatto) solo la 5001. Cosi facendo dall'esterno potrai accedere con https://IPWAN:5001 mentre dall'interno potrai comunque usare http://ip.locale.nas:5000

Come ti ha detto Ponzo lascia stare EZ, configura il router manualmente, studia un po' che è tempo ben investito. Il router/firewall nella tua rete è l'equivalente della porta di casa tua. Io gradirei sapere come funziona per poter valutare che sicurezza mi offre

[Zanna83]

Rispondo punto per punto :

Al nas hai impostato un ip statico all'interno della LAN? Se non l'hai fatto lo devi fare

192.168.1.80 per LAN1
192.168.1.81 per LAN2
Router in 192.168.1.1
Il router non mi consente di fare prenotazioni con l'indirizzo MAC però ho impostato i due IP sopra in "Rete" nel pannello di controllo di DSM. Sono due indirizzi fuori dal pool del DHCP percui non dovrei rischiare conflitti (l'assegnazione sembra funzionare).

Ma le porte 5000, 5001 e 1194 le hai aperte anche sul router e indirizzate all'ip del nas?
Lascia stare EZ, meglio che lo fai manualmente perché EZ (se riesce) ti apre un sacco di porte per niente

Come dicevo prima non ho Nattato nulla direttamente sul router... pensavo bastasse EZ Internet.
Quindi sarebbe da Nattare cosi :
Da : porta 5000 ANY IP A : 192.168.1.80:5000 TCP
Da : porta 5001 ANY IP A : 192.168.1.80:5001 TCP
Da : porta 1194 ANY IP A : 192.168.1.80:1194 UDP
Corretto ?

HTTP reindirizzato su HTTPS non è necessario: per farlo funzionare dovresti apreire entrambe le porte (5000,5001) perche il redirect viene fatto sul nas quindi tu devi poter accedere alla 5000 affinche poi tu possa esser reindirizzato sulla 5001

E sufficiente che tu li abiliti entrambi (http e https, senza redirect) e sul router apra (come mi sembra di aver capito tu hai fatto) solo la 5001. Cosi facendo dall'esterno potrai accedere con https://IPWAN:5001 mentre dall'interno potrai comunque usare http://ip.locale.nas:5000

Come ti ha detto Ponzo lascia stare EZ, configura il router manualmente, studia un po' che è tempo ben investito. Il router/firewall nella tua rete è l'equivalente della porta di casa tua. Io gradirei sapere come funziona per poter valutare che sicurezza mi offre

Come dicevo sopra ho fatto solo l'invio delle porte con EZ internet senza agire direttamente sul router.
Provo a togliere il reindirizzamento usando HTTPS solo da remoto!

Altra domanda : il mio router non ha nessuna sezione dedicata all'inserimento di eccezioni/regole del firewall ma ha solo una sezione dedicata al NAT. Dite che è sottointeso che nattando una porta ad un IP locale si crea l'eccezione nel firewall ?

Grazie a tutti intanto!!

[ponzo79]

192.168.1.80 per LAN1
192.168.1.81 per LAN2
Router in 192.168.1.1
Il router non mi consente di fare prenotazioni con l'indirizzo MAC però ho impostato i due IP sopra in "Rete" nel pannello di controllo di DSM. Sono due indirizzi fuori dal pool del DHCP percui non dovrei rischiare conflitti (l'assegnazione sembra funzionare).

perché hai configurato due LAN?
una toglila e lascia solo la lan1

il router dovrebbe consentirti di aprire le porte e indirizzarle all'indirizzo ip 192.168.1.80 non ti serve il MAC address

Quindi sarebbe da Nattare cosi :
Da : porta 5000 ANY IP A : 192.168.1.80:5000 TCP
Da : porta 5001 ANY IP A : 192.168.1.80:5001 TCP
Da : porta 1194 ANY IP A : 192.168.1.80:1194 UDP
Corretto ?

fai così :
Da : porta 5000 ANY IP A : 192.168.1.80:5000 TCP o porta 5001 ANY IP A : 192.168.1.80:5001 TCP se usi https
Da : porta 1194 ANY IP A : 192.168.1.80:1194 UDP

Quando poi avrai configurato correttamente OpenVPN potrai chiudere la 5000 o 5001

Come dicevo sopra ho fatto solo l'invio delle porte con EZ internet senza agire direttamente sul router.

come già detto devi farlo manualmente sul router

Provo a togliere il reindirizzamento usando HTTPS solo da remoto!

Ok, allora:
Da : porta 5001 ANY IP A : 192.168.1.80:5001 TCP
Da : porta 1194 ANY IP A : 192.168.1.80:1194 UDP

Altra domanda : il mio router non ha nessuna sezione dedicata all'inserimento di eccezioni/regole del firewall ma ha solo una sezione dedicata al NAT. Dite che è sottointeso che nattando una porta ad un IP locale si crea l'eccezione nel firewall ?

si dovrebbe essere sufficiente

[Zanna83]

Grazie ancora.

Immagino che EZ Internet agisca sul router con protocollo UPNP quindi, se io da "DSM - Pannello di Controllo - Impostazioni Router" elimino tutte le porte inviate al router, mi dovrei rimettere nella configurazione originale. O serve fare altro ? (Vorrei praticamente rimuovere tutte le impostazioni generate da EZ Internet).

Fatto questo imposterei direttamente nel router come segue :
Da : porta 5001 ANY IP A : 192.168.1.80:5001 TCP
Da : porta 1194 ANY IP A : 192.168.1.80:1194 UDP
Da : porta "quella per i torrent" ANY IP A : 192.168.1.80:"quella per i torrent" TCP/UDP
e basta... tanto tutti gli altri servizi non necessitano di interagire con l'esterno.

Dopodichè rimuovo l'indirizzamento su HTTPS e lo gestisco io di volta in volta indicando la porta nel browser.

Il tutto scollegando LAN2

Vi sembra corretto ?
Potrebbe esserci qualche altro servizio del router che ostruisce ?

Saluti a tutti!

[dMajo]

Si EZ configura il router attraverso UPnP. Su alcuni le configurazioni sono equivallenti a quelle manuali e visibili(le trovi nelle stesse schermate/posizioni) in altri la gui del router non le riporta, rimangono nascoste.

Se vuoi avere la certezza matematica resetti il router, disabiliti l'UPnP, e lo riconfiguri manualmente.
Attenzione che con l'UPnP abilitato non solo il nas può configurarlo con EZ ma come sul PC ad esempio lo fa anche uTorrent potrebbe farlo qualsiasi sw/malware/virus.

[Zanna83]

Grazie mile ancora, resetto il router, bandisco UPNP e inserisco tutte le configurazioni come sopra.

Per quanto riguarda la VPN...

- Ho configurato il tutto con VPN Server e OpenVPN GUI come client per windows.
- indirizzo interno di rete 192.168.1.X
- indirizzi dinamici vpn 192.168.2.X

Sono riuscito a far acettare la rete VPN come rete domestica a windows 7 con la seguente aggiunta nel file openvpn.ovpn :

# NLA issues
route-metric 512
route 0.0.0.0 0.0.0.0

Tuttavia, nonostante il collegamento avvenga non riesco ad accedere al NAS ne a qualunque altra risorsa della mia rete di casa. La connessione VPN si stabilisce con i seguenti parametri :
IP Client VPN : 192.168.2.6
Gateway predefinito : 192.168.2.5 (Non riesco a pingarlo!!!!)
Subnet : 255.255.255.252

Qualcuno ha idee ?

Grazie in anticipo

[ponzo79]

Per la VPN:
intanto io imposterei proprio un'altra classe di ip tipo che so....172.16.0.0

Poi non è che stai cercando di connetterti alla VPN dalla stessa LAN? perché non funzionerà mai così.....

# NLA issues
route-metric 512
route 0.0.0.0 0.0.0.0

Per il file .ovpn prendi spunto da quì:
guide-tips/creare-tunnel-vpn-con-openvp ... tml#p20201

Tuttavia, nonostante il collegamento avvenga non riesco ad accedere al NAS ne a qualunque altra risorsa della mia rete di casa. La connessione VPN si stabilisce con i seguenti parametri :
IP Client VPN : 192.168.2.6
Gateway predefinito : 192.168.2.5 (Non riesco a pingarlo!!!!)
Subnet : 255.255.255.252

Quando sei connesso alla VPN, devi utilizzare i soliti ip che hai all'interno della lan...
se per esempio vuoi raggiungere il router devi digitare 192.168.1.1, se invece vuoi raggiungere il nas 192.168.1.X....non utilizzi la classe di ip che ti assegna la VPN

[dMajo]

Premesso che il server vpn sul nas non l'ho mai utilizzato ... alla fine sempre di vpn si tratta.

Se attivi la vpn dalla tua lan ti ritrovi in queste condizioni
nas 192.168.1.x
pc 192.168.1.y e 192.168.2.x

se pinghi il nas il traffico ICMP non andrà mai attraverso la vpn bensì diretto al nas in quanto si trovano sulla stessa sottorete dovresti provare a scommentare "redirect-gateway" nella configurazione del client vpn. Sul pc la vpn viene vista sotto forma di scheda di rete (virtuale) ed il comando precedente cambia la metrica dei gateway e aggiunge una rotta perchè tutto il traffico passi da questa.
secondo se hai il firewall attivo sul nas non risponderà mai al ping: aggiungi una regola protocollo ICMP ip subnet 192.168.0.0/255.255.0.0 (così copre anche quella della vpn oppure fanne due in /24)

(@Ponzo non occorre cambiare classe, e solo un concetto, gli indirizzamenti 192.168.0.0/16, 172.16.0.0/12 e 10.0.0.0/8 sono perfettamente equivalenti e possono esser segmentati in qualsiasi modo es. la rete 192.168.100.252/30(255.255.255.252) e perfettamente regolare e valido.)

terzo il fatto che tu dalla vpn possa accedere solamente al nas oppure a tutti gli altri dispositivi della tua lan ma non solo dipende dalle impostazioni del server vpn che se non gestibili dalla gui dovranno esser fatte via telnet editando il file di configurazione.

L'indirizzo ottenuto per la vpn è tecnicamente corretto ma
192.168.2.4/30(252) (4 id rete, 5 gtw, 6 client e 7 broadcast)
significa che ci può esser solo un client vnp oppure che il secondo avrà ad esempio
192.168.2.8/30(252)
e cosi i vari client vpn saranno fra loro isolati.