Negozio Synology prezzi bassi

IPVanish e server VPN contemporaneamente

IPVanish e server VPN contemporaneamente

Messaggioda ponzo79 » venerdì 4 settembre 2015, 22:16

Ciao a tutti
Ho configurato IPVanish sul mio synology con DSM 5.2.
Ho usato il protocollo OpenVPN e non è stato semplicissimo perché come sempre il syno fa i capricci con i certificati....
Ora però quando IPVanish è connessa (quindi sempre...) non riesco ad accedere al nas da remoto via VPN.
Ho provato sia con PPTP che con L2TP, ma niente....
Secondo voi è normale?
Se il nas è connesso a una VPN non è possibile che il server VPN continui a funzionare normalmente?
Avete consigli di come risolvere?

Ciao
  • GTW: Asus RT-AC68U ISP: ADSL TIM (7M/0.25M) IP:Public and Dynamic
  • SWC: Nergear GS108 - Netgear WNDRMACv2
  • NAS: 412+ DSM 6; 3xWDRed3TB RAID 5
  • CLI: OSX 10.12, Win 10, Linux Mint
  • ALTRO:
    • Raspberry Pi model b - Openelec 4.2.1
    • Raspberry Pi model b+ - Openelec 4.2.1
    • iPhone 5
    • iPad 2
    • Android TV
Avatar utente
ponzo79
Utente
Utente
 
Messaggi: 1099
Iscritto il: martedì 24 gennaio 2012, 10:25

IPVanish e server VPN contemporaneamente

Messaggioda Wolf » sabato 5 settembre 2015, 9:42

Non ho capito bene ma nella modalità client è normale. Ci sono di fatto 2 passaggi ulteriori.
1 - il tuo VPN provider deve permetterti di fare il port forwarding nel suo server
2 - fatto il punto 1, devi consentire il traffico dal tunnel VPN verso la tua rete locale.

Complesso farlo con il Synology....ammesso che tu possa fare il punto 1.

Nel caso poi tu voglia farlo funzionare contemporaneamente come VPN server....mi fermo....non saprei che dire.


Sent from my iPad using Tapatalk
- GTW: pfSense 2.4 - SuperMicro A1SRi-2558 - 8GB RAM ECC - SSD Intel S3500 80GB (autocostruito) ISP: VDSL2 Tiscali (100/20) IP: Public
- AP: Netgear R7000 (Stock FW)
- SWC: Cisco SG350-10
- NAS: Synology DS1515+ DSM 6.1 (5 x WD50EFRX) 16GB RAM
- NAS: Synology DS213+ DSM 5.2 (2 x ST3000DM001)
-CLI: Laptop Alienware 17R2 W7 64bit
- Altro: HTPC: Intel NUC5i3RYH, PS4
Wolf
Utente
Utente
 
Messaggi: 226
Iscritto il: mercoledì 5 dicembre 2012, 13:45

Re: IPVanish e server VPN contemporaneamente

Messaggioda ponzo79 » sabato 5 settembre 2015, 14:58

Wolf ha scritto:Non ho capito bene ma nella modalità client è normale. Ci sono di fatto 2 passaggi ulteriori.
1 - il tuo VPN provider deve permetterti di fare il port forwarding nel suo server


IPVanish non da la possibilità di di fare questo (da quello che ho capito l'ip è condiviso)
È per questo che volevo continuare ad utilizzare anche il VPN Server
Avendo 2 ingressi lan (ds412+) pensavo che potrei avere 2 interfacce di rete, ma non so se funziona e soprattutto non saprei poi come fare ad instradare il traffico correttamente
  • GTW: Asus RT-AC68U ISP: ADSL TIM (7M/0.25M) IP:Public and Dynamic
  • SWC: Nergear GS108 - Netgear WNDRMACv2
  • NAS: 412+ DSM 6; 3xWDRed3TB RAID 5
  • CLI: OSX 10.12, Win 10, Linux Mint
  • ALTRO:
    • Raspberry Pi model b - Openelec 4.2.1
    • Raspberry Pi model b+ - Openelec 4.2.1
    • iPhone 5
    • iPad 2
    • Android TV
Avatar utente
ponzo79
Utente
Utente
 
Messaggi: 1099
Iscritto il: martedì 24 gennaio 2012, 10:25

Re: IPVanish e server VPN contemporaneamente

Messaggioda Wolf » sabato 5 settembre 2015, 15:04

Io ho una configurazione simile ma uso un gateway/router ad-hoc su cui gira pfSense. Il mio provider VPN è AirVPN che permette il port forwarding sui loro server. Sullo stesso gateway gira anche un server VPN. La gestione del traffico, routing, nat e firewall lo fa pfSense.


Sent from my iPad using Tapatalk
- GTW: pfSense 2.4 - SuperMicro A1SRi-2558 - 8GB RAM ECC - SSD Intel S3500 80GB (autocostruito) ISP: VDSL2 Tiscali (100/20) IP: Public
- AP: Netgear R7000 (Stock FW)
- SWC: Cisco SG350-10
- NAS: Synology DS1515+ DSM 6.1 (5 x WD50EFRX) 16GB RAM
- NAS: Synology DS213+ DSM 5.2 (2 x ST3000DM001)
-CLI: Laptop Alienware 17R2 W7 64bit
- Altro: HTPC: Intel NUC5i3RYH, PS4
Wolf
Utente
Utente
 
Messaggi: 226
Iscritto il: mercoledì 5 dicembre 2012, 13:45

Re: IPVanish e server VPN contemporaneamente

Messaggioda ponzo79 » sabato 5 settembre 2015, 15:26

Mi sa che devo acquistare un router con un server vpn integrato...
  • GTW: Asus RT-AC68U ISP: ADSL TIM (7M/0.25M) IP:Public and Dynamic
  • SWC: Nergear GS108 - Netgear WNDRMACv2
  • NAS: 412+ DSM 6; 3xWDRed3TB RAID 5
  • CLI: OSX 10.12, Win 10, Linux Mint
  • ALTRO:
    • Raspberry Pi model b - Openelec 4.2.1
    • Raspberry Pi model b+ - Openelec 4.2.1
    • iPhone 5
    • iPad 2
    • Android TV
Avatar utente
ponzo79
Utente
Utente
 
Messaggi: 1099
Iscritto il: martedì 24 gennaio 2012, 10:25

Re: IPVanish e server VPN contemporaneamente

Messaggioda dMajo » sabato 5 settembre 2015, 21:10

ponzo79 ha scritto:Mi sa che devo acquistare un router con un server vpn integrato...

Questa sarebbe comunque cosa buona e saggia :)

Con PureVPN hai la possibilità di avere un ip dedicato (tutte le porte aperte praticamente in dmz). Questo però diminuisce i paesi che puoi usare (forssolo usa, se non ricordo male) e dall'altra parte riduce i benefici di anonimato dati dalla vpn.
Proprio il fatto che l'ip assegnato dinamicamente su un server random sia condiviso significa che è usato da centinaia di clienti del provider vpn e tracciandone il traffico è praticamente impossibile ricostruirne l'origine senza collaborazione del gestore. Non a caso molti provider hanno sede in giurisdizioni dove il logging non è obbligatorio per legge.

Io uso PIA su un router che gestisce 2 adsl. VPN server/client su router. Ho attive 2 vpn, una per adsl. PIA consente 5 utenze con un account. L'IP è shared, ma per ogni utenza hai una porta forwardata.
Con un piccolo script (sul nas) che agisce via telnet sul router (lato lan) riconfiguro periodicamente le vpn per cambiare nazione. La nazione è selezionabile con il 3° livello del dns, quindi basta cambiare un solo parametro del setup sul router. Se non specificata credo che anch'essa venga assegnata random, ma non tutti i server di tutti i paesi hanno le stesse caratteristiche (ad esempio il port-forwarding).
Un'altro script provvede poi a rilevare la porta forwardata e impostarla sulla DS, quindi riavviare il servizio. Il router instrada poi le varie tipologie di traffico dei vari dispositivi/servizi via vpn o in chiaro a seconda del caso.
Prima avevo 3 porte del nas in lag collegate allo switch mentre la 4 era connessa direttamente alla porta mirror del router per loggare il traffico in transito nelle wan. Poi ho modificato la configurazione mettendo in lag solamente le prime due e dedicando la 3 alla DS. Il probema era su come instradare il traffico in uscita dal nas attraverso le porte dinamiche, ovvero come ricondurre tali porte ad un determinato servizio. Sono riuscito a configurare diversi IP sulla stessa nic (o sul lag/bind creato) ma non sono ancora riuscito poi ad assegnarli ai vari servizi .... su win è più semplice che linux. La nic dedicata a DS ha temporaneamente risolto il problema
Attenzione a non dimenticare l'instradamento (generico) della risoluzione dns (sula 53) via vpn, altrimenti serve a poco averla (la vpn).

... oppure come Wolf ti autocostruisci una soluzione pfsense
Dal 01.01.2015 non rispondo più a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2830Vn+(3.6.8.6): Multiwan 2xADSL(20M/1M/mcr512K,8IP)+USB4G :o
  • SWC: DLink DGS1210-28P (PoE+)
    • 4x HP NJ2000G
    • 4x HP NJ220
    • 2x Netgear GS108Tv2
    • 2x VigorAP900
  • NAS: DS1815+: DSM6.1(15152u3),16GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.1(15152u3),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note3, A5; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6
Avatar utente
dMajo
Moderatore
Moderatore
 
Messaggi: 1569
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

IPVanish e server VPN contemporaneamente

Messaggioda ponzo79 » domenica 6 settembre 2015, 14:23

Ho scelto ipvanish proprio perchè mi sembra una di quelle vpn che con il sistema utilizzato da maggiori garanzie di anonimato....
La uso solo sul nas, non mi interessa averla sul resto dei dispositivi, quindi non voglio configurarla sul router.

La sto comunque provando, poi se non mi trovo la cambio, ma non mi piace l'idea che la vpn dia la possibilità di connessione da remoto, questo ne abbasserebbe notevolmente la sicurezza a mio avviso...

Ma che tu sappia c'è qualche vpn con un apposito client per synoogy o ne hai una da consigliarmi?

Inoltre mi piacerebbe capire pro e contro di connettersi ai server di una nazione piuttosto che un'altra
  • GTW: Asus RT-AC68U ISP: ADSL TIM (7M/0.25M) IP:Public and Dynamic
  • SWC: Nergear GS108 - Netgear WNDRMACv2
  • NAS: 412+ DSM 6; 3xWDRed3TB RAID 5
  • CLI: OSX 10.12, Win 10, Linux Mint
  • ALTRO:
    • Raspberry Pi model b - Openelec 4.2.1
    • Raspberry Pi model b+ - Openelec 4.2.1
    • iPhone 5
    • iPad 2
    • Android TV
Avatar utente
ponzo79
Utente
Utente
 
Messaggi: 1099
Iscritto il: martedì 24 gennaio 2012, 10:25

Re: IPVanish e server VPN contemporaneamente

Messaggioda dMajo » domenica 6 settembre 2015, 14:55

Non conosco nessuna vpn con client apposito (esempio pacchetto spk pronto) ne per synology ne per altri nas.

Alcune però richiedono l'utilizzo del proprio client per usarle e quindi non sono utilizzabili ne su nas ne su router. Per nas/router devi usare quelle che consentano l'accesso con client tradizionale l2tp/ipsec/openvpn ... di cui ovviamente disponi sul nas/router.

Il vantaggio di cambiare nazione:
- un esempio legale: tu hai un abbonamento es skygo/premiumplay ma quando sei all'estero non puoi guardarlo perche il broadcaster effettua la geolocalizzazione sugli ip. Userai quindi un server italiano come endpoint della vpn. Lo stesso dicasi per un abbonamento statunitense dedicato a cittadini americani: spesso puoi sottoscriverlo e pagarlo con CC ma poi non fruirne perche il tuo IP è italiano -> userai una vpn con server negli usa.
- un esempio illegale: sebbene tutte le vpn (dovrebbero) garantire l'anonimato lo stesso non può dirsi per i contenuti. Se la tua vpn è attestata su un server francese non potrai navigare/scaricare siti che in francia sono bannati. Basta che tu ti sposti su un server in un'altra nazione dove questi contenuti sono permessi, risolto.

Quindi la vpn da una parte garantisce l'anonimato e dall'altra il superamento delle censure.

Devi però fidarti ciecamente del fornitore quando la usi sul nas/pc. Come avrai potuto notare, per usarla sia sul nas che pc, l'unica cosa che devi aprire sul firewall del nas e del router sono le porte della vpn. Questo significa che è firewall-traversal ovvero che hai perso tutte le difese.
Sarebbe come io ti mettessi un tubo in pancia (attraverso la bocca) stando sul pianerottolo:
- non puoi chiudere la porta (il router) a causa del tubo
- ne puoi stringere i denti (firewall del nas) a causa del tubo
ergo ingoi tutto quello che passa nel tubo.
Al contrario attestando la vpn sul router questa in molti casi viene creata a livello della wan, ovvero il firewall del router rimane a valle e può condizionarne il traffico. In ogni caso anche se il firewall del router venisse "traversato" rimangono pienamente attivi quelli dei device della rete (sul nas, sul pc ...).
Ora se la vpn usa ip shared e non instrada porte il tuo pericolo proviene unicamente dal personale del gestore. Nel caso di utilizzo di ip dedicato, ad esempio con purevpn, farla sul nas equivale a mettere il nas in dmz con firewall router e nas disabilitati.

In generale però non c'è una regola, uno potrebbe anche avere un nas dedicato a certi servizi in dmz ... l'importante è che l'utente sappia cosa stia facendo in modo da poter valutare gli eventuali rischi correttamente.


Differenza proxy vs vpn:
- il proxy triangola il traffico (generalmente http ma si può fare su qualsiasi porta) attraverso il provider del servizio così di fatto nascondendo al punto finale (il sito navigato) l'originatario del traffico (l'utente). Il punto finale vedrà infatti l'IP del provider proxy. Tutto il traffico è pero in chiaro e l'IPS dell'utente è in grado di loggarlo e condizionarlo (ad esempio aggiustandone la banda)
- con la vpn c'è sempre la triangolazione ma a differenza del proxy il traffico dell'utente è crittografato nel tunnel sino al server del provider (che generalmente si trova in altra nazione) quindi al riparo da intercettazioni ed analisi del ISP dell'utente.
BISOGNA però fare un'analisi a 360° quando la si implementa: è inutile scaricare da pippo.net via vpn e risolvere però l'ip di pippo.net sui dns di alice o google con query in chiaro dalla wan. L'ISP non potrà vedere il traffico nella vpn ma in base alle risoluzioni dns viste sicuramente immaginerà cosa vi stia passando.
Dal 01.01.2015 non rispondo più a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2830Vn+(3.6.8.6): Multiwan 2xADSL(20M/1M/mcr512K,8IP)+USB4G :o
  • SWC: DLink DGS1210-28P (PoE+)
    • 4x HP NJ2000G
    • 4x HP NJ220
    • 2x Netgear GS108Tv2
    • 2x VigorAP900
  • NAS: DS1815+: DSM6.1(15152u3),16GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.1(15152u3),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note3, A5; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6
Avatar utente
dMajo
Moderatore
Moderatore
 
Messaggi: 1569
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

IPVanish e server VPN contemporaneamente

Messaggioda Wolf » domenica 6 settembre 2015, 21:47

Con un buon router puoi definire quali dispositivi usano VPN e quali no....addirittura puoi definire queste regole a livello di applicazione.
Morale.
Usare sempre un router che supporti VPN generiche, usare i comandi basici dei client VPN, tipo --pull-noroute, per definire autonomamente le regole di routing.
la regola aurea della sicurezza è quella di avere tutte le porte wan chiuse, si devono aprire solo a seguito di inizializzazione dovuto a traffico outbound.
Un buon provider VPN deve avere server (tanti) distribuiti, mai avere un unico IP, mai averlo in un'unica nazione.
La cosa può non essere semplice...io lo facevo prima con un router Netgear WNDR3700 con openWRT, laborioso il setup ma poi ti senti meglio ;), in rete trovi tante soluzioni.
Io sconsiglio vivamente di connettere un dispositivo direttamente ad una VPN ....a meno che non sia tu il proprietario del server VPN o fidarti del tuo provider.
Io mi fido del mio provider AirVPN ma monitoro tutto il traffico e decido io chi va sotto VPN e chi in chiaro.....
Devi sempre avere sottocontrollo traffico e utenti, sempre.



Sent from my iPad using Tapatalk
- GTW: pfSense 2.4 - SuperMicro A1SRi-2558 - 8GB RAM ECC - SSD Intel S3500 80GB (autocostruito) ISP: VDSL2 Tiscali (100/20) IP: Public
- AP: Netgear R7000 (Stock FW)
- SWC: Cisco SG350-10
- NAS: Synology DS1515+ DSM 6.1 (5 x WD50EFRX) 16GB RAM
- NAS: Synology DS213+ DSM 5.2 (2 x ST3000DM001)
-CLI: Laptop Alienware 17R2 W7 64bit
- Altro: HTPC: Intel NUC5i3RYH, PS4
Wolf
Utente
Utente
 
Messaggi: 226
Iscritto il: mercoledì 5 dicembre 2012, 13:45

Re: IPVanish e server VPN contemporaneamente

Messaggioda ponzo79 » domenica 6 settembre 2015, 23:06

dMajo ha scritto:.
BISOGNA però fare un'analisi a 360° quando la si implementa: è inutile scaricare da pippo.net via vpn e risolvere però l'ip di pippo.net sui dns di alice o google con query in chiaro dalla wan. L'ISP non potrà vedere il traffico nella vpn ma in base alle risoluzioni dns viste sicuramente immaginerà cosa vi stia passando.


Vuoi dire che se il nas è impostato con i dns del mio isp, quest'ultimo puó vedere a quali siti/server mi connetto anche se sto in VPN?

Per quanto attiene il discorso porte...sembrerà strano ma sta funzionando con tutte le porte del router chiuse....e per sicurezza ho settato ad hoc il firewall del nas....

Ho acquistato in asus rt-ac68u che ha server e client integrati...vediamo quando arriva...
  • GTW: Asus RT-AC68U ISP: ADSL TIM (7M/0.25M) IP:Public and Dynamic
  • SWC: Nergear GS108 - Netgear WNDRMACv2
  • NAS: 412+ DSM 6; 3xWDRed3TB RAID 5
  • CLI: OSX 10.12, Win 10, Linux Mint
  • ALTRO:
    • Raspberry Pi model b - Openelec 4.2.1
    • Raspberry Pi model b+ - Openelec 4.2.1
    • iPhone 5
    • iPad 2
    • Android TV
Avatar utente
ponzo79
Utente
Utente
 
Messaggi: 1099
Iscritto il: martedì 24 gennaio 2012, 10:25

Prossimo

Torna a VPN e PROXY di anonimizzazione

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite