Problema con Openvpn

[mummy70]

Ti ringrazio, al ritorno dal lavoro farò tutto da capo e te ne darò conferma.
Ho fatto delle prove sotto Wifi perche a casa non prende il 4g.
Saluti

[dMajo]

A mio avviso la configurazione del firewall del NAS è errata:

1) il server VPN va aperto a TUTTI e non solo alla 10.0.0.0/8. Alla porta 1194 generalmente tu accedi dall'esterno, quindi con ip pubblico del tuo gestore mobile. E' questo che vede il NAS in ingresso.

2) il server VPN a seconda del protocollo assegna indirizzi sulla 10.x.0.0/24 quindi TUTTE le altre regole, o perlomeno quelle che intendi sfruttare da remoto devono avere un doppione. Esempio:
-- File server windows 192.168.255.0/24 consenti
-- File server windows 10.x.0.0/24 (o un più generico 10.0.0.0/8) consenti

Ovviamente non riuscirai a connetterti in VPN dai paesi identificati geograficamente dalla regola RIFIUTA

accedere alla vpn attraverso l'indirizzo ip pubblico esterno mentre sei collegato alla lan domestica via wi-fi è una prova che non ha nessun senso perché non è quello lo scopo per cui stai configurando la vpn.

se per pubblico intendiamo l'indirizzo wan del router ha senso per testare il corretto funzionamento a patto che il router gestisca correttamente il loopback, che dovrebbe seguire tutte le regole di instradazione e firewall del router stesso, come se il traffico fosse originato esternamente.

per testare la correttezza delle configurazioni vpn lato client e server invece è sufficiente con il client puntare l'ip locale (lan) del nas e il client si vedrà comunque assegnato l'ip da server vpn. Sul client bisogna però impostare la vpn come gateway di default. Openvpn consente questa configurazione del client.

[mummy70]

Ringrazio Burghy, fullspeed e Dmajo per le vostre spiegazioni , è sempre un piacere leggervi, attualmente sono fuori per lavoro ma non appena possibile, seguendo le vostre indicazioni farò daccapo sia l'installazione di Openvpn ed il giusto e corretto settaggio del firewall.
Posso eventualmente postare delle immagini con le impostazioni per avere un vostro parere?
Saluti e grazie ancora.
Flavio

[fullspeed]

a patto che il router gestisca correttamente il loopback

esatto, il dubbio che ho espresso nel post a cui fai riferimento è proprio questo.

a priori è impossibile stabilire come ciascun fornitore di connettività abbia configurato il router fornito all'utente finale e le cose inoltre possono cambiare da router a router pur con lo stesso fornitore di connettività.

essendo una cosa impossibile da controllare con i router domestici, quel tipo di prova rischia solo di far perdere tempo.

[mummy70]

buonasera,ho seguito le vostre istruzioni ed effettivamente per adesso(ho fatto diversi tentativi)la VPN sotto rete 4g pare andare.E' normale che usando le applicazioni,Ds file e Dsfinder con l'ip interno(192.168.1.10) riesco a connettermi mentre da browser con lo stesso ip ( aggiungendo l'indicazione:5001) non riesco e collegarmi col Nas?
allego settaggi firewall, potreste darmi un vostro parere e magari qualche consiglio?
Grazie Flavio

[fullspeed]

domanda: ma se l'accesso dall'esterno avviene solo tramite vpn ... e quindi il router sulla porta wan natta/patta solo la porta del vpn server ... il firewall sul nas è davvero necessario configurarlo? secondo me non serve e - anzi - rischia di diventare solo una inutile complicazione.

[dMajo]

[a priori è impossibile stabilire come ciascun fornitore di connettività abbia configurato il router fornito all'utente finale e le cose inoltre possono cambiare da router a router pur con lo stesso fornitore di connettività.

Non c'entra nulla l'ISP. Il loopback deve essere gestito correttamente dal router. Esempio de vai a http://ip.wan.del.router:5001, dall lan interna, devi accedere al dsm se hai inoltrato le porte all'ip interno del nas. Il traffico neppure esce dalla wan. Ma il router deve capire e instradare e nattare il traffico interno come se provenisse dall'esterno. E come pingare il proprio IP lan del proprio pc dal pc stesso. Non esce traffico dalla NIC e questo si chiama loopback.

[fullspeed]

a priori è impossibile stabilire come ciascun fornitore di connettività abbia configurato il router fornito all'utente finale e le cose inoltre possono cambiare da router a router pur con lo stesso fornitore di connettività.

Non c'entra nulla l'ISP.

non mi leggi attentamente: io ho parlato di configurazione del router fornito all'utente finale. e l'ISP c'entra nella misura in cui è lui a fornire il router all'utente finale, magari con firmware "customizzato" e limitata possibilità di configurazione per l'utente stesso.