Negozio Synology prezzi bassi

consiglio VPN server

consiglio VPN server

Messaggioda Swiso » lunedì 7 settembre 2015, 15:44

Buongiorno,
vorrei chiedervi un consiglio.
Un mio amico ha appena comperato un DS215j e sarebbe interessato a creare una connessione VPN da questo NAS verso l'esterno.
Come praticità,sicurezza, ecc, potendo scegliere, è meglio impostare il server VPN sul router oppure sul NAS ? (tramite l'apposita App del DSM 5.2)
Il mio amico utilizza prevalentemente apparecchi Apple ( MacBook Air, iPad, iPhone), di conseguenza quale protocollo sicuro consigliate di usare ( L2TP/IPsec, OpenVPN ? )

Vi ringrazio per ogni eventuale suggerimento.
Saluti
AA
http://www.synologyitalia.com/presentazioni-f59/regolamento-leggere-prima-di-postare-t5062.html

GTW: AVM Fritz!Box 7390 (FRITZ!OS 06.20) ISP:ticino.com VDSL (40M/4M) IP: Public

SWC: Netgear GS108v3
o Asus RT-AC66U (Asuswrt Merlin 378.55)
o Asus RT-AC87U (Asuswrt Merlin 378.55)
o Devolo dLan Powerline 1200+ (2.0.0.05-1)

NAS: DS412+ DSM5.2(5592u4) 1GB; SHR (4xWD4000FYYZ); LAN:1

CLI: Win 7-64bit, Win 10 pro, Android,iOS

ALTRO: iPad, Galaxy Note 3,Galaxy S3, Nexus 10, Panasonic-TX-P55VT50J,Panasonic-DMR-BST820

EXP: E4 NET5 PC:W7,M4,L0
Swiso
Utente
Utente
 
Messaggi: 8
Iscritto il: lunedì 7 settembre 2015, 15:04

Re: consiglio VPN server

Messaggioda Wolf » lunedì 7 settembre 2015, 16:14

Leggi qui:
vpn-e-proxy-di-anonimizzazione/ipvanish-e-server-vpn-contemporaneamente-t7259.html

Per la VPN è meglio sempre usare un gateway dedicato, devi avere sempre il controllo del traffico e dei client.
- GTW: pfSense 2.4 - SuperMicro A1SRi-2558 - 8GB RAM ECC - SSD Intel S3500 80GB (autocostruito) ISP: VDSL2 Tiscali (100/20) IP: Public
- AP: Netgear R7000 (Stock FW)
- SWC: Cisco SG350-10
- NAS: Synology DS1515+ DSM 6.1 (5 x WD50EFRX) 16GB RAM
- NAS: Synology DS213+ DSM 5.2 (2 x ST3000DM001)
-CLI: Laptop Alienware 17R2 W7 64bit
- Altro: HTPC: Intel NUC5i3RYH, PS4
Wolf
Utente
Utente
 
Messaggi: 226
Iscritto il: mercoledì 5 dicembre 2012, 13:45

Re: consiglio VPN server

Messaggioda Swiso » giovedì 17 settembre 2015, 19:34

Ciao Wolf,
grazie per la spiegazione.
Immaginavo che era molto meglio un gateway dedicato.

Ho deciso di fare anch'io la stessa cosa e vorrei chiedere qualche consiglio per quel che riguarda la mia situazione.
La rete è cosi formata:

Internet --> AVM FritzBox 7390 (wifi disinserito) (192.168.1.1)

Al 7390 sono collegati :
-1 stampante HP condivisa tramite porta USB
-due telefoni analogici (servizio telefonico tramite VoIP dal provider Internet)

7390 -->Netgear GS108 Prosafe Switch

Allo switch sono connessi :
-Asus RT-AC66U in modalità AP (192.168.1.20)
-Decoder SAT Humax iCord (192.168.1.30)
-NAS Synology DS412+ (192.168.1.29)
-PC1 (192.168.1.32)
-PC2 (192.168.1.37)
-1 stampante HP (192.168.1.40)
-1 powerline devolo dLan 1200+ che va a collegare a un modem due piani sotto :
--ASUS RT-AC87U in modalità AP (192.168.1.34)
--Decoder SAT Panasonic DMR-BST820 (192.168.1.27)
--SmartTV Panasonic-TX-P55VT50J (192.168.1.28)

La mia necessità sarebbe di creare una connessione VPN fra il NAS e i vari apparecchi portatili ( 1 iPad,1 tablet Android,1 portatile PC, 2 smartphones Android) tramite OpenVPN.
Leggendo nel forum ho visto alcuni (dMajo) suggerire i router draytek (Vigor 2860).
Mi sono informato presso Draytek e lor mi hanno riposto che NON supporta OpenVPN ma lo si puo impostare come server SSL-VPN, che mi dicono, sia piu o meno la stessa cosa.
Io nel frattempo ho gia creato tutte le chiavi e i certificati per server e i vari client.
Nel caso specifico di server SSL-VPN, che ne devo fare delle varie chiavi e certificati ?
Come vengono utilizzati ?

Non sarebbe male come apparecchio, tanto piu che lo potrei abbinare ad uno switch dedicato come il Draytek VigorSwitch G1241(che oltretutto supporta la modalita link aggregate IEEE 802.3ad, cosi da aumentare notevolmente il transfer rate del mio NAS.)

Ora il dubbio che mi viene è quale modello scegliere...

Potrei optare per il 2860Vac e togliere sia il FritzBox 7390 che l'Asus RT-AC66U...
Oppure la versione base senza wifi, il 2860, e utilizzare l'Asus RT-AC66U per il Wifi...
Questa versione sarebbe possibile inserirla fra il fritzbox e l'Asus ?

Cosa ne pensi ?
Eventuali consigli e/o suggerimenti ?

Ringrazio per le eventuali risposte.

EDIT : In questo sito suggeriscono come rendere "piu sicuro" il NAS synology quando viene impostato come server OpenVPN :
http://bpmsg.com/how-to-make-your-synol ... re-secure/

Che ne pensate di questa soluzione ? pro e contro ?
Grazie
http://www.synologyitalia.com/presentazioni-f59/regolamento-leggere-prima-di-postare-t5062.html

GTW: AVM Fritz!Box 7390 (FRITZ!OS 06.20) ISP:ticino.com VDSL (40M/4M) IP: Public

SWC: Netgear GS108v3
o Asus RT-AC66U (Asuswrt Merlin 378.55)
o Asus RT-AC87U (Asuswrt Merlin 378.55)
o Devolo dLan Powerline 1200+ (2.0.0.05-1)

NAS: DS412+ DSM5.2(5592u4) 1GB; SHR (4xWD4000FYYZ); LAN:1

CLI: Win 7-64bit, Win 10 pro, Android,iOS

ALTRO: iPad, Galaxy Note 3,Galaxy S3, Nexus 10, Panasonic-TX-P55VT50J,Panasonic-DMR-BST820

EXP: E4 NET5 PC:W7,M4,L0
Swiso
Utente
Utente
 
Messaggi: 8
Iscritto il: lunedì 7 settembre 2015, 15:04

Re: consiglio VPN server

Messaggioda dMajo » domenica 20 settembre 2015, 20:34

Per poter utilizzare il server vpn sul nas devi aprire la porta corrispondente al protocollo sia sul router che sul nas. Quindi il tunnel (con tutto il suo traffico all'interno) attraversa sia il firewall del router che quello del nas vanificandone le azioni. Cosa assolutamente da evitare per vpn di anonimizzazione.

Il router fritzbox che possiedi dovrebbe disporre di server vpn. Probabilmente fa anche da base dect.

Il Draytek non supporta openvpn ma ssl-vpn. Ora la openvpn non è altro che una variante della ssl-vpn. Nel senso che entrambe usano ssl (come quando navighi in https) con lo stesso tipo di certificato e crittografia.
Il draytek non supporta la registrazione di client voip ergo non puoi usarlo come gateway, nel senso che asterisk in esecuzione sul nas non potrebbe accedere alla linea telefonica analogica attraverso il router. Va invece come ata, nel senso che per i due telefoni analogici puoi registrare come provider sip asterisk in esecuzione sul nas. Quindi se prendi il Draitek considerando che possiedi fritzbox potresti lasciare la parte voip su quest'ultimo risparmiando così sul vigor.
Una chicca del vigor (non tutti i modelli ma i2860 si), fra le tante, è che può gestire centralmente diversi access point (AP900) consentendo il roaming dei client da una cella all'altra. E tutti gli AP vigor (800/900) sono alimentabili via PoE. Il roaming "indolore" non può però esser fatto con il wifi del router in quanto (salvo integrazioni future nelo firmware) non supporta la pre-autenticazione dei client al contrario degli AP900.
Il wifi integrato invece dei draytek (almeno di quelli che ho toccato con mano) generalmente non brilla per potenza, è di ottima qualità ma soffre la distanza quindi per case/appartamenti estesi/multipiano forse meglio optare per access point dedicati e risparmiare sul wifi del router. Inoltre il router potrà esser così usato per molti anni, mentre la tecnologia wifi è soggetta a continui miglioramenti ed un access point indipendente può così esser aggiornato (sostituito) con una spesa inferiore rispetto all'acquisto di un altro router con wifi integrato.

Ciò detto i router odierni sono composti da modem, router, switch ed access point. Credo qualsiasi router, o quasi, possa esser usato per una sola delle proprie componenti, ad esclusione forse della componente router che, per non usare il modem, deve disporre di un'altra porta wan dedicata o una dello switch da adibire a questo scopo. E credo che per i router da te posseduti questo non sia un problema.
Quindi puoi fare la configurazione che meglio credi.

Il 2860 è un quadruplo wan, una fissa sul modem vdsl2/adsl2 integrato (puoi usarlo sulla fttc telecom), la wan2 su porta ethernet in gigabit e le wan3 e 4 usufruibili con chiavette usb 3g/4g/lte. Supporta 6 subnet associabili liberamente alle 6 porte dello switch. Quindi lo puoi mettere prima, dopo e fra i tuoi router attuali.

Lo switch io invece non lo prenderei da un produttore che in catalogo ne ha così tanti (uno o forse due, ad indicare che sicuramente non sono il core business) ma andrei piuttosto su un hp serie 1810 (L2) o 1910 (L2 avanzato o L3 base se preferisci) e/o in alternati va (specie se necessiti di PoE/+) prenderei un netgear. Se il tuo GS108 è in realtà un GS108T(v2) di cui hai omesso qualche lettera del modello allora è uno switch gigabit gestito L2, alimentabile via PoE sulla porta 1 e già supporta il linkaggregation sia statico che dinamico.


PS:
Swiso ha scritto:Leggendo nel forum ho visto alcuni (dMajo) ...
Considera questa risposta del tutto eccezionale in deroga una tantum a quanto specificato alla prima riga della mia firma (che se letta avrebbe dovuto evitare il PM) solamente perchè hai elencato tutte le attrezzature nel post. Non vi saranno altre eccezioni.
Dal 01.01.2015 non rispondo più a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2830Vn+(3.6.8.6): Multiwan 2xADSL(20M/1M/mcr512K,8IP)+USB4G :o
  • SWC: DLink DGS1210-28P (PoE+)
    • 4x HP NJ2000G
    • 4x HP NJ220
    • 2x Netgear GS108Tv2
    • 2x VigorAP900
  • NAS: DS1815+: DSM6.1(15152u3),16GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.1(15152u3),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note3, A5; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6
Avatar utente
dMajo
Moderatore
Moderatore
 
Messaggi: 1634
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: consiglio VPN server

Messaggioda Swiso » lunedì 21 settembre 2015, 0:11

PS:

Swiso ha scritto:
Leggendo nel forum ho visto alcuni (dMajo) ...

Considera questa risposta del tutto eccezionale in deroga una tantum a quanto specificato alla prima riga della mia firma (che se letta avrebbe dovuto evitare il PM) solamente perchè hai elencato tutte le attrezzature nel post. Non vi saranno altre eccezioni.

:oops:
Mi scuso per quanto sopra...una disattenzione, che ho prontamente provveduto a modificare.

Per poter utilizzare il server vpn sul nas devi aprire la porta corrispondente al protocollo sia sul router che sul nas. Quindi il tunnel (con tutto il suo traffico all'interno) attraversa sia il firewall del router che quello del nas vanificandone le azioni. Cosa assolutamente da evitare per vpn di anonimizzazione.

Di conseguenza meglio un gateway impostato come server vpn e sia NAS che i vari apparecchi che si devono collegare al NAS impostati come client, giusto ?

Il router fritzbox che possiedi dovrebbe disporre di server vpn. Probabilmente fa anche da base dect.


Si,il fritzbox lo si puo disporre come server vpn ma solo con lo standard IPsec, e si, fa anche da base DECT.

Il Draytek non supporta openvpn ma ssl-vpn. Ora la openvpn non è altro che una variante della ssl-vpn. Nel senso che entrambe usano ssl (come quando navighi in https) con lo stesso tipo di certificato e crittografia.

Questo significa che sono compatibili ? Posso impostare il Vigor 2860 (base, senza Wifi) come server SSL VPN e come client OPENVPN il NAS piu i vari PC e smartphones ?

l draytek non supporta la registrazione di client voip ergo non puoi usarlo come gateway, nel senso che asterisk in esecuzione sul nas non potrebbe accedere alla linea telefonica analogica attraverso il router. Va invece come ata, nel senso che per i due telefoni analogici puoi registrare come provider sip asterisk in esecuzione sul nas. Quindi se prendi il Draitek considerando che possiedi fritzbox potresti lasciare la parte voip su quest'ultimo risparmiando così sul vigor.

Perfetto, anche perchè non prevedo l'uso di Asterisk

Una chicca del vigor (non tutti i modelli ma i2860 si), fra le tante, è che può gestire centralmente diversi access point (AP900) consentendo il roaming dei client da una cella all'altra. E tutti gli AP vigor (800/900) sono alimentabili via PoE. Il roaming "indolore" non può però esser fatto con il wifi del router in quanto (salvo integrazioni future nelo firmware) non supporta la pre-autenticazione dei client al contrario degli AP900.

Ecco..questa sarebbe una funzione molto comoda....e avrei una domanda al proposito...l'alimentazione via PoE immagino funzioni solo de il cavo ethernet è connesso direttamente al 2860, giusto ? ...se il cavo passa tramite le powerline dLan 1200, immagino perdo questa funzione, giusto ?
Ev, che tu conosca esistono Powerline che supportano l'alimentazione PoE ?

Il wifi integrato invece dei draytek (almeno di quelli che ho toccato con mano) generalmente non brilla per potenza, è di ottima qualità ma soffre la distanza quindi per case/appartamenti estesi/multipiano forse meglio optare per access point dedicati e risparmiare sul wifi del router. Inoltre il router potrà esser così usato per molti anni, mentre la tecnologia wifi è soggetta a continui miglioramenti ed un access point indipendente può così esser aggiornato (sostituito) con una spesa inferiore rispetto all'acquisto di un altro router con wifi integrato.

Capisco e sono perfettamente d'accordo.

Ciò detto i router odierni sono composti da modem, router, switch ed access point. Credo qualsiasi router, o quasi, possa esser usato per una sola delle proprie componenti, ad esclusione forse della componente router che, per non usare il modem, deve disporre di un'altra porta wan dedicata o una dello switch da adibire a questo scopo. E credo che per i router da te posseduti questo non sia un problema.
Quindi puoi fare la configurazione che meglio credi.

Il 2860 è un quadruplo wan, una fissa sul modem vdsl2/adsl2 integrato (puoi usarlo sulla fttc telecom), la wan2 su porta ethernet in gigabit e le wan3 e 4 usufruibili con chiavette usb 3g/4g/lte. Supporta 6 subnet associabili liberamente alle 6 porte dello switch. Quindi lo puoi mettere prima, dopo e fra i tuoi router attuali.

Ok, allora se ho capito giusto, il collegamente dovrebbe esser piu o meno cosi :
-uscita 7390 (una delle 4 porte LAN) --> WAN2 2860 , LAN1-6 2860 --> Switch --> Asus RT-AC66U e dallo Switch tutto il resto...giusto ?

Lo switch io invece non lo prenderei da un produttore che in catalogo ne ha così tanti (uno o forse due, ad indicare che sicuramente non sono il core business) ma andrei piuttosto su un hp serie 1810 (L2) o 1910 (L2 avanzato o L3 base se preferisci) e/o in alternati va (specie se necessiti di PoE/+) prenderei un netgear. Se il tuo GS108 è in realtà un GS108T(v2) di cui hai omesso qualche lettera del modello allora è uno switch gigabit gestito L2, alimentabile via PoE sulla porta 1 e già supporta il linkaggregation sia statico che dinamico.

Confermo che il Netgear che ho è il modello GS108v3...ma ti ringrazio per suggerirmi questi modelli...vedo di cambiarlo.

Ti ringrazio molto per le chiarissime spiegazioni e mi scuso di nuovo per non aver letto il regolamento fino in fondo.
Saluti
http://www.synologyitalia.com/presentazioni-f59/regolamento-leggere-prima-di-postare-t5062.html

GTW: AVM Fritz!Box 7390 (FRITZ!OS 06.20) ISP:ticino.com VDSL (40M/4M) IP: Public

SWC: Netgear GS108v3
o Asus RT-AC66U (Asuswrt Merlin 378.55)
o Asus RT-AC87U (Asuswrt Merlin 378.55)
o Devolo dLan Powerline 1200+ (2.0.0.05-1)

NAS: DS412+ DSM5.2(5592u4) 1GB; SHR (4xWD4000FYYZ); LAN:1

CLI: Win 7-64bit, Win 10 pro, Android,iOS

ALTRO: iPad, Galaxy Note 3,Galaxy S3, Nexus 10, Panasonic-TX-P55VT50J,Panasonic-DMR-BST820

EXP: E4 NET5 PC:W7,M4,L0
Swiso
Utente
Utente
 
Messaggi: 8
Iscritto il: lunedì 7 settembre 2015, 15:04

Re: consiglio VPN server

Messaggioda dMajo » lunedì 21 settembre 2015, 21:23

Swiso ha scritto:Di conseguenza meglio un gateway impostato come server vpn e sia NAS che i vari apparecchi che si devono collegare al NAS impostati come client, giusto ?

Il nas non si collega al server. Il server sul router ti permette dall'esterno l'accesso alla lan locale (+/-, a seconda che sia bridged o routed). Avrai accesso a tutti i nodi della lan se non diversamente specificato da rotte e/o regole firewall (del router e/o dei nodi nel caso lo possiedano)
Questo significa che sono compatibili ? Posso impostare il Vigor 2860 (base, senza Wifi) come server SSL VPN e come client OPENVPN il NAS piu i vari PC e smartphones ?

No, questo signidica che concettualmente sono equivalenti per non dire identici, ma ognuno ha il suo dialetto. Neanche due ssl-vpn di due produttori diversi non è detto che siano compatibili, molto spesso ognuno ha il proprio client. Spesso però si riesce anche ad usare soluzione diverse dal client fornito dal produttore, è da sperimentare. Draytek come altri per ssl-vpn fornisce un proprio client, disponibile anche per android. Oltre a ciò supporta i comuni standard pp2p, l2tp, l2tp con ipsec e ipsec.
[quote]Ecco..questa sarebbe una funzione molto comoda....e avrei una domanda al proposito...l'alimentazione via PoE immagino funzioni solo de il cavo ethernet è connesso direttamente al 2860, giusto ? ...se il cavo passa tramite le powerline dLan 1200, immagino perdo questa funzione, giusto ?
Ev, che tu conosca esistono Powerline che supportano l'alimentazione PoE ?
No, il dispositivo supporta di essere alimentato via PoE, ovvero attraverso lo stesso cavo ethernet (meglio in cat.6). L'alimentazione sul cavo può venir iniettata attraverso degli alimentatori particolari da collegare in serie, generalmente dal lato dello switch. L'obbiettivo è di avere una ipcam, accesspoint, telefono voip lontani e di non dover preoccuparsi d'altro che portare il cavo ethernet, dati ed alimentazione useranno il medesimi conduttori.
Poi esistono invece gli switch PoE/PoE+ che forniscono tale alimentazione attraverso le proprie porte rj45 senza richiedere alimentatori in serie per alimentare i dispositivi. Il draytek non fornisce alimentazione PoE. Se ti serve visto che vuoi cambiare switch prendine uno con supporto PoE(15W). Se devi alimentare telecamere da esterno professionali ti servirà il PoE+(30W) vista la presenza della resistenza (scaldiglia) anticondensa/appannamento nella custodia.
Attraverso i powerline non puoi far passare il PoE. Visto che però ne usi due, puoi verificare (per quello lontano, quindi vicino al dispositivo da alimentare) se ne esistono con uscita PoE. In questo caso un ipotetico AP900 potrebbe essere collegato al modulo powerline solamente con il cavo di rete traendo così alimentazione dal modulo powerline che a sua volta si alimenta dalla rete (240VAC).
Il vantaggio di usare il PoE dallo switch sta però nell'allimentare la ipcam da quest'ultimo. Se lo switch ha a monte un ups, anche la telecamera, traendo l'alimentazione dallo switch rimarrà accesa/protetta in caso di blackout/transitori elettrici.
Dal 01.01.2015 non rispondo più a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2830Vn+(3.6.8.6): Multiwan 2xADSL(20M/1M/mcr512K,8IP)+USB4G :o
  • SWC: DLink DGS1210-28P (PoE+)
    • 4x HP NJ2000G
    • 4x HP NJ220
    • 2x Netgear GS108Tv2
    • 2x VigorAP900
  • NAS: DS1815+: DSM6.1(15152u3),16GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.1(15152u3),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note3, A5; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6
Avatar utente
dMajo
Moderatore
Moderatore
 
Messaggi: 1634
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: consiglio VPN server

Messaggioda Swiso » martedì 22 settembre 2015, 19:12

Grazie per le spiegazioni !
Il nas non si collega al server. Il server sul router ti permette dall'esterno l'accesso alla lan locale (+/-, a seconda che sia bridged o routed). Avrai accesso a tutti i nodi della lan se non diversamente specificato da rotte e/o regole firewall (del router e/o dei nodi nel caso lo possiedano)

Ho capito, io avrei un tunnel VPN fra il client e il 2860, e da li accedo alla rete locale, ergo anche il NAS.
Per curiosita.. che senso ha e in quale caso si dovrebbe poter collegare il NAS come client VPN ad un server VPN ? La guida DSM spiega come farlo...
In fondo se abbiamo un server VPN dedicato, basta accedervi tramite lo stesso, no ?

No, questo signidica che concettualmente sono equivalenti per non dire identici, ma ognuno ha il suo dialetto. Neanche due ssl-vpn di due produttori diversi non è detto che siano compatibili, molto spesso ognuno ha il proprio client. Spesso però si riesce anche ad usare soluzione diverse dal client fornito dal produttore, è da sperimentare. Draytek come altri per ssl-vpn fornisce un proprio client, disponibile anche per android. Oltre a ciò supporta i comuni standard pp2p, l2tp, l2tp con ipsec e ipsec.

Ho capito.
Di conseguenza devo ricreare i vari certificati e chiavi, tramite la pagina "certificate management" dell'interfaccia gestione del 2860, giusto ?
Che tu sappia questo protocollo lo posso utilizzare anche tramite clients (apparecchi) che usano iOS o OS X ?
Supponendo che con gli apparecchi Apple non si possa usare lo stesso standard SSL-VPN, il server VPN sul 2860 lo posso impostare in modo da poter ricevere connessioni VPN da standard diversi, oppure il server lo si puo impostare solo con un tipo ?
Per esempio..con iPad mi connetto con lo standard L2TP/IPsec, con Galaxy Note 3 tramite SSL-VPN, ecc..

Riguardo gli Ap900, immagino che per me sarebbe molto piu facile alimentarli tramite alimentazione classica invece che PoE (o perlomeno quello che si troverebbe due piani sotto il 2860 ).
In un secondo tempo avrei intenzione di anche montare una telecamera IP, ma visto che si troverebbe 3 piani sotto la mansarda dove ho PC, gateway principale e swicth, lascerei perdere l'opzione PoE....non ho tubi liberi dove poter far passare una cavo ethernet...e nei paraggi non ci sono punti luce.
Voglio comunque approfondire il doscorso PoE in quanto lo trovo interessante.

Grazie.
http://www.synologyitalia.com/presentazioni-f59/regolamento-leggere-prima-di-postare-t5062.html

GTW: AVM Fritz!Box 7390 (FRITZ!OS 06.20) ISP:ticino.com VDSL (40M/4M) IP: Public

SWC: Netgear GS108v3
o Asus RT-AC66U (Asuswrt Merlin 378.55)
o Asus RT-AC87U (Asuswrt Merlin 378.55)
o Devolo dLan Powerline 1200+ (2.0.0.05-1)

NAS: DS412+ DSM5.2(5592u4) 1GB; SHR (4xWD4000FYYZ); LAN:1

CLI: Win 7-64bit, Win 10 pro, Android,iOS

ALTRO: iPad, Galaxy Note 3,Galaxy S3, Nexus 10, Panasonic-TX-P55VT50J,Panasonic-DMR-BST820

EXP: E4 NET5 PC:W7,M4,L0
Swiso
Utente
Utente
 
Messaggi: 8
Iscritto il: lunedì 7 settembre 2015, 15:04

Re: consiglio VPN server

Messaggioda Swiso » giovedì 24 settembre 2015, 3:12

Un ultima domanda.

La funzione del roaming dei client fra una cella e l'altra, negli Ap900, si basa sul presupposto che la SSID sia identica ?
Nel mio caso, attualmente, per distinguere i due AP, la SSID la distinguo per esempio in questo modo : retecasa_2.4 e retecasa-2.4, uso la barra per distinguere se la rete proviene dal AP in mansarda ( e in questo caso uso il "meno" - ) o dal AP in soggiorno ( in questo caso la "barra" in basso _).
Chiaramente questo comporta avere due SSID diverse.
Questo fa si che lo smartphone non passi automaticamenter da una rete all'altra, a dipendenza di quale abbia il segnale migliore.
http://www.synologyitalia.com/presentazioni-f59/regolamento-leggere-prima-di-postare-t5062.html

GTW: AVM Fritz!Box 7390 (FRITZ!OS 06.20) ISP:ticino.com VDSL (40M/4M) IP: Public

SWC: Netgear GS108v3
o Asus RT-AC66U (Asuswrt Merlin 378.55)
o Asus RT-AC87U (Asuswrt Merlin 378.55)
o Devolo dLan Powerline 1200+ (2.0.0.05-1)

NAS: DS412+ DSM5.2(5592u4) 1GB; SHR (4xWD4000FYYZ); LAN:1

CLI: Win 7-64bit, Win 10 pro, Android,iOS

ALTRO: iPad, Galaxy Note 3,Galaxy S3, Nexus 10, Panasonic-TX-P55VT50J,Panasonic-DMR-BST820

EXP: E4 NET5 PC:W7,M4,L0
Swiso
Utente
Utente
 
Messaggi: 8
Iscritto il: lunedì 7 settembre 2015, 15:04

Re: consiglio VPN server

Messaggioda dMajo » giovedì 24 settembre 2015, 12:48

Le ssid devono essere identiche, ma gli AP ne gestiscono sino a 4 associabili anche a vlan. Quindi puoi avere la retecasa e la reteospiti ad esempio.
Inoltre le psw devono essere identiche e per l'autenticazione viene usato un server radius (servizio esterno, potrebbe risiedere sul nas, ma in questo caso potresti usare anche quello del router). In questo modo il client si pre-autentifica sull'altro AP e nel momento del roaming fra le celle non deve adempiere a tali compiti conservando la connessione. Il wifi del router per ora non supporta la pre-autenticazione, quindi anche con ssid e psw identiche la connessione cade per il tempo necessario ad autenticarsi.
Qui il rischi è che il client potrebbe palleggiare fra due AP e dovendosi autenticare ogni volta avere delle interruzioni sui dati. La pre-autenticazione serve ad evitare questo, richiede però che vi sia un punto esterno che svolga tale compito. Per gli AP900 può esserlo il server radius del router come qualsiasi altro server radius in rete.
Dal 01.01.2015 non rispondo più a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2830Vn+(3.6.8.6): Multiwan 2xADSL(20M/1M/mcr512K,8IP)+USB4G :o
  • SWC: DLink DGS1210-28P (PoE+)
    • 4x HP NJ2000G
    • 4x HP NJ220
    • 2x Netgear GS108Tv2
    • 2x VigorAP900
  • NAS: DS1815+: DSM6.1(15152u3),16GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.1(15152u3),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note3, A5; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6
Avatar utente
dMajo
Moderatore
Moderatore
 
Messaggi: 1634
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: consiglio VPN server

Messaggioda Swiso » venerdì 9 ottobre 2015, 12:09

Ho ricevuto il Vigor 2860 base senza Wifi, ed è configurato in questo modo :
Frirzbox 192.168.1.1
Vigor 2860 : porta WAN2 192.168.1.2 , porte LAN 1-3 : subnet 1 : 192.168.8.x , Porte LAN 4-6 : subnet 2 : 192.168.2.x
Nella pagina LAN>General setup >DHCP server configuration, I valori dei due Gateway IP address sono : 192.168.8.1 e 192.168.2.1.
Questi valori (Gateway IP address) sono quelli che devo usare nella configurazione dei vari apparecchi che connetto alle relative porte, quando devo inserire il valore "default gateway " ?
http://www.synologyitalia.com/presentazioni-f59/regolamento-leggere-prima-di-postare-t5062.html

GTW: AVM Fritz!Box 7390 (FRITZ!OS 06.20) ISP:ticino.com VDSL (40M/4M) IP: Public

SWC: Netgear GS108v3
o Asus RT-AC66U (Asuswrt Merlin 378.55)
o Asus RT-AC87U (Asuswrt Merlin 378.55)
o Devolo dLan Powerline 1200+ (2.0.0.05-1)

NAS: DS412+ DSM5.2(5592u4) 1GB; SHR (4xWD4000FYYZ); LAN:1

CLI: Win 7-64bit, Win 10 pro, Android,iOS

ALTRO: iPad, Galaxy Note 3,Galaxy S3, Nexus 10, Panasonic-TX-P55VT50J,Panasonic-DMR-BST820

EXP: E4 NET5 PC:W7,M4,L0
Swiso
Utente
Utente
 
Messaggi: 8
Iscritto il: lunedì 7 settembre 2015, 15:04

Prossimo

Torna a VPN, QuickConnect e Accesso remoto in genere

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite