Scelta router e VPN per sicurezza synology

Moro70
Utente
Utente
Messaggi: 93
Iscritto il: martedì 6 maggio 2014, 21:58

Scelta router e VPN per sicurezza synology

Messaggio da Moro70 » venerdì 10 aprile 2015, 13:14

Salve, ad oggi ho il mio Synology configurato con Openvpn. Tutto cio' mi lascia tranquillo fino ad un certo punto perche' il router e' libero e quindi il tunnel e' perforabile dall'interno..una volta entrati nel mio router
Leggendo ho capito che openVpn sembra essere il protocollo piu' sicuro pero' solo i router modificati con Fw DD-WRT posso avere Openvpn.
Tralasciando che come modem/router principale ho quello di fw, ho collegato al mio synology un router della linksys.
La mia domanda e':
Cosa viene consigliato in ambito domestico per la VPN su un router?
Quale tipo di router consigliereste?
E' un mondo che ho sempre trascurato , ma ora avendo in rete un Nas vorrei cercare di preservarlo il piu' possibile.

Grazie


Alex
  • NAS: 214 DSM 6.0(7321) 512MB; R1 (1X WD GREEN 2TB); LAN:LAG(1)

Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1915
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: Scelta router e VPN per sicurezza synology

Messaggio da dMajo » mercoledì 15 aprile 2015, 17:43

Se hai fastweb con il suo hub obbligatorio puoi ad esempio:
- segliere un Vigor2860, collegandolo con la wan2 (gigabit) al router esistente. questo integra sulla wan1 un modem vdsl2/adsl2 che ti permetterebbe di usare due adsl (la seconda non fastweb direttamente sul draytek) oppure esser già predisposto per le nuove FTTC (Fiber To The street Cabinet) che comunque utilizzano la tecnologia vdsl2 nell'ultimo tratto in rame.
- oppure scegliere un router puro tipo Vigor2925 che dovrà sempre esser preceduto da un'altro router o modem semplice per interfacciarsi con la linea telefonica. Qui tutte le porte wan sono infatti in ethernet gigabit. Non ha modem interni.

In fondo a questo post trovi un po' di link anche ad altri modelli di apparecchi che garantiscono una buona sicurezza oltre che il supporto VPN.
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2862Vac(3.9.5): 2IPS FTTC(30M/3M)+FTTH(1G/100M)+USB4G :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(25556),32GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.2.4(25556),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
    • DS1815+, DS1513+
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6

Moro70
Utente
Utente
Messaggi: 93
Iscritto il: martedì 6 maggio 2014, 21:58

Re: Scelta router e VPN per sicurezza synology

Messaggio da Moro70 » mercoledì 15 aprile 2015, 22:15

Inizio nel ringraziarti per la risposta , ho un modem fastweb che nn posso sostituire, ma posso tranquillamente mettere a valle un router serio per essere sicuro.
Da quello che ho letto, i router consigliati nn hanno nelle loro caratteristiche il supporto ad Openvpn, protocollo , anche a detta tua, molto più' semplice da configurare e più' sicuro per l'uso del certificato.

Infine , ma non meno importante, il prezzo di questi apparecchi e' molto alto, immagino per la loro professionalita'. Credi che in ambito domestico ne valga la pena??

Grazie
  • NAS: 214 DSM 6.0(7321) 512MB; R1 (1X WD GREEN 2TB); LAN:LAG(1)

Avatar utente
burghy86
Moderatore
Moderatore
Messaggi: 10486
Iscritto il: martedì 11 settembre 2012, 18:59

Re: Scelta router e VPN per sicurezza synology

Messaggio da burghy86 » mercoledì 15 aprile 2015, 23:19

Puoi sempre trovare un buon router dove poter installare openvrt che ha un server open vpn

topotalkato
ATTENZIONE PRIMA DI POSTARE
Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio

siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
  • UPS: apc
  • GTW: netgear dgn2200 o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
  • SWC: hp gigabit 8 porte with poe
  • NAS: ds213, ds213j,ds210j,ds413j, ds215j, ds415+ dmv dal 5.2 alla 6. qnap ts212p ts22, all hd con wdred da 2/6tb
  • CLI: xpsp3, seven pro 64bit, win 8.1 64bit, mac, win 10
    [altro]
  • 3 smartphone android, un iphone5,lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3

Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1915
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: Scelta router e VPN per sicurezza synology

Messaggio da dMajo » giovedì 16 aprile 2015, 0:37

il draytek supporta la sslvpn ad esempio.
http://www.draytek.com/index.php?search ... ch&lang=en

openvpn è una sslvpn ovvero una vpn con crittografia ssl, la stessa usata per https, basata su certificato.
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2862Vac(3.9.5): 2IPS FTTC(30M/3M)+FTTH(1G/100M)+USB4G :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(25556),32GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.2.4(25556),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
    • DS1815+, DS1513+
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6

Moro70
Utente
Utente
Messaggi: 93
Iscritto il: martedì 6 maggio 2014, 21:58

Re: Scelta router e VPN per sicurezza synology

Messaggio da Moro70 » giovedì 16 aprile 2015, 7:22

Ah Ok, nn lo sapevo.
  • NAS: 214 DSM 6.0(7321) 512MB; R1 (1X WD GREEN 2TB); LAN:LAG(1)

Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1915
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: Scelta router e VPN per sicurezza synology

Messaggio da dMajo » giovedì 16 aprile 2015, 14:04

Moro70 ha scritto:Infine , ma non meno importante, il prezzo di questi apparecchi e' molto alto, immagino per la loro professionalità'. Credi che in ambito domestico ne valga la pena??
Scusa non avevo tempo di risponderti in modo più esaustivo nel post precedente.


Dipende da cosa l'utente valuta importante. La porta del tuo appartamento è per te importante che sia blindata, normale (legno/plastica) con il semplice chiavistello, o eventualmente senza serratura?
Il router in ambiente domestico, essendo un prodotto integrato (modem/router/firewall/switch), svolge la stessa funzione: è la porta della tua casa informatica.

Anche in ambito aziendale/enterprise i firewall vengono forniti "pari a quelli domestici" ovvero completamente chiusi in ingresso e completamente aperti in uscita. L'apertura delle porte redirette a apparecchi interni (port-forwarding) deve essere fatta comunque in ambo i casi, ma in azienda un amministratore accorto blocca immediatamente anche tutto il traffico in uscita per poi aprire/consentire solamente le porte ritenute necessarie es 80/443 altrimenti nessuno navigherebbe (a questo proposito rimarresti stupito da quanti siti la tua smarttv contatta inviando dati a tua insaputa). Nel fare ciò inevitabilmente ci sono delle eccezioni, sw particolari, siti o parti di essi che richiedono accessi su porte specifiche partendo sempre dalla 80 del web server per poi richiamare/redirigere altrove.
Ora, quando quasi tutto è bloccato e un dato programma/sito non funziona bisogna fare della diagnostica/verifiche. Avendo gli strumenti giusti tutto è più semplice. Ad esempio nei router SOHO (regalati) non puoi neanche fare il mirroring del traffico su una porta specifica, quindi come minimo devi dotarti di uno switch gestito che lo consenta da interporre fra l'apparecchiatura in analisi ed il router, sniffare il traffico ed interpretarlo. Dall'altra parte hai sw connesso al router che ti dice subito cosa sta passando e cosa è bloccato quale nodo interno stia originando il traffico e dove esso sia diretto in modo da poter valutare se è il caso di fare delle eccezioni per consentire tale traffico ...

Ai tempi odierni in ambiente domestico è sempre più frequente l'utilizzo di nas (con le loro applicazioni di download), smarttv che fanno streaming on demand (es. premium play, infinity ...) piuttosto che telefonia voip (magari lo stesso asterisk in esecuzione sul nas) ed è secondo me importante avere una struttura di rete che riesca a gestire/allocare/garantire la banda necessaria ai vari servizi secondo delle priorità (ed esempio una telefonata VoIP che va a singhiozzo perché la downloadstation sta utilizzando tutta la banda oppure il figlio è in streaming continuo da youtube)

Come gìà detto le vpn sono firewall traversal ovvero, nel caso della openvpn tu instradi una porta dal router al nas. Sia i firewall del router che quello del nas vedono passare il tubone ma non possono esaminare quali protocolli/porte/servizi vi transitino. Tutto finisce direttamente in pancia al nas e l'unica protezione rimangono le credenziali utente/psw. Se da un lato la classica vpn di accesso remoto dovrebbe esser costituita fra due "punti finali" (endpoints) noti, controllati dall'utente, ciò non è vero ad esempio per tutti quei servizi vpn di anonimato (ad esempio usati per scaricare via downloadstation), dove in pratica tu hai un ip pubblico diverso (anonimo) ma chiunque vi si connetta lo fa in pancia al nas (attraverso il tubone). E' importante poter configurare tale vpn sul router, in modo da poter mantenere il firewall attivi e poter condizionare il tipo di traffico che vi passa.

...

Capisco che per un utente ignaro di tutto ciò ed abituato ai vari tplink,dlink ... da 20/50 euro il prezzo possa sembrare esoso. Per me, che abitualmente nelle aziende utilizzo apparecchi distinti (il router che fa solo routing, il firewall che fisicamente è un'apparecchiatura assestante preposta esclusivamente a tale compito ...) di brand quali cisco, watchguard, sonicwall, hp .... dove, se non di migliaia di euro parliamo di diverse centinaia, prodotti integrati diciamo "SOHO professionali" dal costo di 200/300 euro non sembrano certamente "molto cari". Ovviamente ne apprezzo le maggiori caratteristiche rispetto a quelli da 25 euro.
Se invece il router dopo averlo comperato lo attacchi alla linea, lanci il wizard di auto configurazione ed abiliti l'upnp lasciando poi fare tutto ai software del nas/pc sono d'accordo con te: non ha senso spendere queste cifre.

In ogni caso, quando si parla di prodotti integrati, bisogna considerare che utilizzando router, firewall e switch distinti questi apparecchi avranno ognuno la sua cpu, con la propria dotazione di ram e firmware swiluppato per massimizzare le prestazioni e funzionalità di quel specifico apparecchio nell'adempimento della funzione preposta. Gli integrati hanno un'unica CPU che fa tutto, quelli più evoluti hanno eventualmente del hardware dedicato per le funzioni di crittografia che sollevano la cpu centrale da tale carico incrementando le prestazioni delle vpn.
Riepilogando quindi a mio parere:
- va sempre acquistato un buon router
- la presenza del modem integrato non è fondamentale. Nel tuo caso va infatti installato a valle del router esistente. Poi dove le linee sono tempestate da fulmini consiglio sempre l'acquisto di un router puro (investimento) da abbinare ad un modem puro o router con modem integrato da 20€ usato in bridge. Quest'ultimo è l'elemento sacrificale.
- alla pari il wifi non è indispensabile. Mentre un buon router (specialmente se senza modem) potrà esser usato per moltissimi anni (sino alla morte per vecchiaia), il wifi è in continua evoluzione ed avendolo separato è sufficiente sostituire l'access point per rinnovare la tecnologia. Con un Vigor2860/2925 (con o senza wifi integrato) puoi gestire centralmente (ssid, configurazione, ...) anche tutti gli eventuali access point abbinati (AP900) . L'utilizzo di diversi AP potrà meglio coprire aree complesse e con gli AP900 in grado di effettuare la preautenticazione il client wifi (potrebbe esser ad esempio lo smartphone con client voip) potra roamare da una cella all'altra senza interruzione di connessione.
- In caso poi di attività parallele client/server in ambienti multi utente è sempre meglio collegare i client (diversi pc, diverse tv/mediaplayer in streaming contemporaneo) ed i nas/server ad uno switch indipendente al quale andrà collegato anche il router. In caso di mancanza di porte sullo switch dispositivi che abbisognano solo di internet quali potrebbero essere centrali domotiche, antifurto... potranno esser collegate alle porte rimanenti del router. Le prestazioni in switching e throughput di uno switch dedicato sono generalmente sempre superiori a quello integrato nel router. Nell'acquisto di un eventuale switch è opportuno valutare se nella rete verranno utilizzati telefoni VoIP, IPCam, AccessPoint. Tali dispositivi possono esser alimentati attraverso il cavo di rete (PoE) ed è perciò meglio scegliere uno switch in grado di erogare tale alimentazione. Così l'UPS, oltre ad alimentare NAS, router e switch, attraverso il PoE sosterrà anche gli altri dispositivi dell'infrastruttura di rete. Saremmo sempre in grado di fare una telefonata via VoIP anche in caso di blackout.


L'utilizzo di apparecchiature più evolute richiede certamente un grado di preparazione maggiore per configurazioni specifiche che consentano di sfruttarne tutte le caratteristiche, nulla però che non si possa risolvere con un po' di tempo e buona volontà, magari googlando un po' qua e la o chiedendo su qualche forum.
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2862Vac(3.9.5): 2IPS FTTC(30M/3M)+FTTH(1G/100M)+USB4G :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(25556),32GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.2.4(25556),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
    • DS1815+, DS1513+
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6

Moro70
Utente
Utente
Messaggi: 93
Iscritto il: martedì 6 maggio 2014, 21:58

Re: Scelta router e VPN per sicurezza synology

Messaggio da Moro70 » giovedì 16 aprile 2015, 16:30

dMajo ha scritto:
Moro70 ha scritto:Infine , ma non meno importante, il prezzo di questi apparecchi e' molto alto, immagino per la loro professionalità'. Credi che in ambito domestico ne valga la pena??
Scusa non avevo tempo di risponderti in modo più esaustivo nel post precedente.
No problem ci mancherebbe!!!
Dipende da cosa l'utente valuta importante. La porta del tuo appartamento è per te importante che sia blindata, normale (legno/plastica) con il semplice chiavistello, o eventualmente senza serratura?
Il router in ambiente domestico, essendo un prodotto integrato (modem/router/firewall/switch), svolge la stessa funzione: è la porta della tua casa informatica.

Anche in ambito aziendale/enterprise i firewall vengono forniti "pari a quelli domestici" ovvero completamente chiusi in ingresso e completamente aperti in uscita. L'apertura delle porte redirette a apparecchi interni (port-forwarding) deve essere fatta comunque in ambo i casi, ma in azienda un amministratore accorto blocca immediatamente anche tutto il traffico in uscita per poi aprire/consentire solamente le porte ritenute necessarie es 80/443 altrimenti nessuno navigherebbe (a questo proposito rimarresti stupito da quanti siti la tua smarttv contatta inviando dati a tua insaputa). Nel fare ciò inevitabilmente ci sono delle eccezioni, sw particolari, siti o parti di essi che richiedono accessi su porte specifiche partendo sempre dalla 80 del web server per poi richiamare/redirigere altrove.
Ora, quando quasi tutto è bloccato e un dato programma/sito non funziona bisogna fare della diagnostica/verifiche. Avendo gli strumenti giusti tutto è più semplice. Ad esempio nei router SOHO (regalati) non puoi neanche fare il mirroring del traffico su una porta specifica, quindi come minimo devi dotarti di uno switch gestito che lo consenta da interporre fra l'apparecchiatura in analisi ed il router, sniffare il traffico ed interpretarlo. Dall'altra parte hai sw connesso al router che ti dice subito cosa sta passando e cosa è bloccato quale nodo interno stia originando il traffico e dove esso sia diretto in modo da poter valutare se è il caso di fare delle eccezioni per consentire tale traffico ...
immaginavo la tua risposta, ognuna reputa il grado necessario di sicurezza a secondo le proprie esigenze

Ai tempi odierni in ambiente domestico è sempre più frequente l'utilizzo di nas (con le loro applicazioni di download), smarttv che fanno streaming on demand (es. premium play, infinity ...) piuttosto che telefonia voip (magari lo stesso asterisk in esecuzione sul nas) ed è secondo me importante avere una struttura di rete che riesca a gestire/allocare/garantire la banda necessaria ai vari servizi secondo delle priorità (ed esempio una telefonata VoIP che va a singhiozzo perché la downloadstation sta utilizzando tutta la banda oppure il figlio è in streaming continuo da youtube)
..nn sarebbe il mio caso nn uso telefono dentro casa e sono solo io che di solito uso le varie centrali dentro casa... :D
Come gìà detto le vpn sono firewall traversal ovvero, nel caso della openvpn tu instradi una porta dal router al nas. Sia i firewall del router che quello del nas vedono passare il tubone ma non possono esaminare quali protocolli/porte/servizi vi transitino. Tutto finisce direttamente in pancia al nas e l'unica protezione rimangono le credenziali utente/psw. Se da un lato la classica vpn di accesso remoto dovrebbe esser costituita fra due "punti finali" (endpoints) noti, controllati dall'utente, ciò non è vero ad esempio per tutti quei servizi vpn di anonimato (ad esempio usati per scaricare via downloadstation), dove in pratica tu hai un ip pubblico diverso (anonimo) ma chiunque vi si connetta lo fa in pancia al nas (attraverso il tubone). E' importante poter configurare tale vpn sul router, in modo da poter mantenere il firewall attivi e poter condizionare il tipo di traffico che vi passa.
Ok , perfetto sei stato chiarissimo
...
Capisco che per un utente ignaro di tutto ciò ed abituato ai vari tplink,dlink ... da 20/50 euro il prezzo possa sembrare esoso. Per me, che abitualmente nelle aziende utilizzo apparecchi distinti (il router che fa solo routing, il firewall che fisicamente è un'apparecchiatura assestante preposta esclusivamente a tale compito ...) di brand quali cisco, watchguard, sonicwall, hp .... dove, se non di migliaia di euro parliamo di diverse centinaia, prodotti integrati diciamo "SOHO professionali" dal costo di 200/300 euro non sembrano certamente "molto cari". Ovviamente ne apprezzo le maggiori caratteristiche rispetto a quelli da 25 euro.
Se invece il router dopo averlo comperato lo attacchi alla linea, lanci il wizard di auto configurazione ed abiliti l'upnp lasciando poi fare tutto ai software del nas/pc sono d'accordo con te: non ha senso spendere queste cifre.
..nella mia ignoraqnza nn mettero' mai upnp attivo sul mio modem/router... :D
Scritto cio'capisco che sono macchine al limite del casalingo e che la qualita' e professionalita' si paga sempre....ma per adesso 300 euro non rientrano nel mio budget.
Il fatto di mettere in rete foto e filmati da un lato mi fa dire " ok al massimo se qualcuno entra e le guarda..me ne frego nn ho segreti o case privatissime..." , dall'altra pero' mi da fastidio che qualcuno entri nella mia casa ..anche se nn e' una casa da ricchi ma una cantina.....
Tutto qui, capisco che in questi casi nn esiste la via di mezzo...e quindi o una protezione totale o nulla....
In ogni caso, quando si parla di prodotti integrati, bisogna considerare che utilizzando router, firewall e switch distinti questi apparecchi avranno ognuno la sua cpu, con la propria dotazione di ram e firmware swiluppato per massimizzare le prestazioni e funzionalità di quel specifico apparecchio nell'adempimento della funzione preposta. Gli integrati hanno un'unica CPU che fa tutto, quelli più evoluti hanno eventualmente del hardware dedicato per le funzioni di crittografia che sollevano la cpu centrale da tale carico incrementando le prestazioni delle vpn.
Riepilogando quindi a mio parere:
- va sempre acquistato un buon router
OK
Ad oggi la mia configurazione e' questa...che nn mi piace tanto pero'...

Modem/router fastweb( wifi attivato)
[*]LAN ---------> router linksys in bridge ( no wifi) ------> pc/nas/
[*]Lan-----> switch semplice lan -------> mediaplayer.
La cosa che nn mi piace e che la VPN l'ho solo sul Synology, Ho la stessa classe di ip.....e se nn sbglio sarebbe il caso che mio router da bridge si ri-trasformasse in router puro , almeno isolo fastweb che e' troppo buggato.
- la presenza del modem integrato non è fondamentale. Nel tuo caso va infatti installato a valle del router esistente. Poi dove le linee sono tempestate da fulmini consiglio sempre l'acquisto di un router puro (investimento) da abbinare ad un modem puro o router con modem integrato da 20€ usato in bridge. Quest'ultimo è l'elemento sacrificale.
Non ti seguo, nel senso che avendo ora un modem/router Fastweb principale in cascata cosa dovrei mettere??
ps: ho messo sulla linea telefonica, visto che i fulmini mi ha nno fregato tante volte...degli scaricatori ..che non mi riparano al 100 % pero' almeno mi danno una mano...
- alla pari il wifi non è indispensabile. Mentre un buon router (specialmente se senza modem) potrà esser usato per moltissimi anni (sino alla morte per vecchiaia), il wifi è in continua evoluzione ed avendolo separato è sufficiente sostituire l'access point per rinnovare la tecnologia. Con un Vigor2860/2925 (con o senza wifi integrato) puoi gestire centralmente (ssid, configurazione, ...) anche tutti gli eventuali access point abbinati (AP900) . L'utilizzo di diversi AP potrà meglio coprire aree complesse e con gli AP900 in grado di effettuare la preautenticazione il client wifi (potrebbe esser ad esempio lo smartphone con client voip) potra roamare da una cella all'altra senza interruzione di connessione.
il wifi lo suo soltanto pe ri dispositivi mobili e abitando in campagna , nn ho problemi di sicurezza...infatti nn ho chiavi sul mio wifi..
- In caso poi di attività parallele client/server in ambienti multi utente è sempre meglio collegare i client (diversi pc, diverse tv/mediaplayer in streaming contemporaneo) ed i nas/server ad uno switch indipendente al quale andrà collegato anche il router. In caso di mancanza di porte sullo switch dispositivi che abbisognano solo di internet quali potrebbero essere centrali domotiche, antifurto... potranno esser collegate alle porte rimanenti del router. Le prestazioni in switching e throughput di uno switch dedicato sono generalmente sempre superiori a quello integrato nel router. Nell'acquisto di un eventuale switch è opportuno valutare se nella rete verranno utilizzati telefoni VoIP, IPCam, AccessPoint. Tali dispositivi possono esser alimentati attraverso il cavo di rete (PoE) ed è perciò meglio scegliere uno switch in grado di erogare tale alimentazione. Così l'UPS, oltre ad alimentare NAS, router e switch, attraverso il PoE sosterrà anche gli altri dispositivi dell'infrastruttura di rete. Saremmo sempre in grado di fare una telefonata via VoIP anche in caso di blackout.
OK
L'utilizzo di apparecchiature più evolute richiede certamente un grado di preparazione maggiore per configurazioni specifiche che consentano di sfruttarne tutte le caratteristiche, nulla però che non si possa risolvere con un po' di tempo e buona volontà, magari googlando un po' qua e la o chiedendo su qualche forum.
OK
  • NAS: 214 DSM 6.0(7321) 512MB; R1 (1X WD GREEN 2TB); LAN:LAG(1)

Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1915
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: Scelta router e VPN per sicurezza synology

Messaggio da dMajo » giovedì 16 aprile 2015, 18:20

Moro70 ha scritto:
dMajo ha scritto: Capisco che per un utente ignaro di tutto ciò ed abituato ai vari tplink,dlink ... da 20/50 euro il prezzo possa sembrare esoso. Per me, che abitualmente nelle aziende utilizzo apparecchi distinti (il router che fa solo routing, il firewall che fisicamente è un'apparecchiatura assestante preposta esclusivamente a tale compito ...) di brand quali cisco, watchguard, sonicwall, hp .... dove, se non di migliaia di euro parliamo di diverse centinaia, prodotti integrati diciamo "SOHO professionali" dal costo di 200/300 euro non sembrano certamente "molto cari". Ovviamente ne apprezzo le maggiori caratteristiche rispetto a quelli da 25 euro.
Se invece il router dopo averlo comperato lo attacchi alla linea, lanci il wizard di auto configurazione ed abiliti l'upnp lasciando poi fare tutto ai software del nas/pc sono d'accordo con te: non ha senso spendere queste cifre.
..nella mia ignoraqnza nn mettero' mai upnp attivo sul mio modem/router... :D
Scritto cio'capisco che sono macchine al limite del casalingo e che la qualita' e professionalita' si paga sempre....ma per adesso 300 euro non rientrano nel mio budget.
Il fatto di mettere in rete foto e filmati da un lato mi fa dire " ok al massimo se qualcuno entra e le guarda..me ne frego nn ho segreti o case privatissime..." , dall'altra pero' mi da fastidio che qualcuno entri nella mia casa ..anche se nn e' una casa da ricchi ma una cantina.....
Tutto qui, capisco che in questi casi nn esiste la via di mezzo...e quindi o una protezione totale o nulla....
Segreti, al di la di foto scabrose, potrebbero essere anche i dettagli della carta di credito che sul pc utilizzi per fare gli acquisti. Se qualcuno entrasse li e li pigliasse ti darebbe più fastidio.
Oppure se il nas venisse compromesso ed in background usato per scopi illeciti di cui poi tu dovresti rispondere ...
Per non parlare di tutte le app che la gente scarica dagli store sui dispositivi mobili, di cui non conosce autore ne programma, semplicemente sperimenta/prova (sperando che dentro non ci sia un trojan). I virus agiscono per vs. conto e con le vs. credenziali. Ad esempio navigare in internet col pc essendo loggati come amministratori e profondamente sbagliato. Tutto quello che raccogli non deve neanche chiederti il permesso per incasinarti la vita, agisce infatti con tutti i diritti amministrativi che gli hai concesso. L'80% del malware fa quello che fa principalmente grazie all'ignoranza degli utenti ma sempre e comunque con il loro permesso, anche se dato inconsapevolmente, ma comunque dato.
Mi è capitato di esser contattato dalla pol.postale nell'ambito di una truffa VoIP. Questa fu perpetrata riconfigurando la centrale telefonica di un azienda edile. Per metter mani e riconfigurare il centralino hanno però prima preso possesso del nas e da li agito sulla centrale telefonica. Il nas in questo caso era un qnap, ma la sostanza non cambia. 200K€ in un weekend. Ovviamente il gestore VoIP pretendeva di esser saldato per il traffico utilizzato.

- la presenza del modem integrato non è fondamentale. Nel tuo caso va infatti installato a valle del router esistente. Poi dove le linee sono tempestate da fulmini consiglio sempre l'acquisto di un router puro (investimento) da abbinare ad un modem puro o router con modem integrato da 20€ usato in bridge. Quest'ultimo è l'elemento sacrificale.
Non ti seguo, nel senso che avendo ora un modem/router Fastweb principale in cascata cosa dovrei mettere??
ps: ho messo sulla linea telefonica, visto che i fulmini mi ha nno fregato tante volte...degli scaricatori ..che non mi riparano al 100 % pero' almeno mi danno una mano...
nel senso che il router con modem integrato non ti serve se devi collegarlo a quello fastweb (wan del router aggiuntivo collegata alla lan di quello fastweb). Laddove tu avessi un altro fornitore, che non ti costringa ad usare il proprio router è avessi un ambiente ostile anziché collegare il draytek (col modem integrato) direttamente alla linea telefonica, consiglio l'acquisto di uno senza modem e usare un modem esterno (apparecchio indipendente) oppure un modem/router dlink/tplink da quattro soldi collegato alla adsl, configurato in bridge e in cascata collegarvi il draytek (l'acquisto pregiato). Così in caso di fulmini (via linea telefonica) a brucarsi è quello da 20€ e non quello da 200€

il wifi lo suo soltanto pe ri dispositivi mobili e abitando in campagna , nn ho problemi di sicurezza...infatti nn ho chiavi sul mio wifi..
sbagliato, senza chiavi significa che la trasmissione è in chiaro, non occorre entrare nel router, basta ascoltare il segnale radio che si propaga ovunque ver vedere transitare e memorizzare i dati (ad esempio le credenziali admin quando ti colleghi ad dsm:5000).
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2862Vac(3.9.5): 2IPS FTTC(30M/3M)+FTTH(1G/100M)+USB4G :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(25556),32GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.2.4(25556),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
    • DS1815+, DS1513+
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6

Moro70
Utente
Utente
Messaggi: 93
Iscritto il: martedì 6 maggio 2014, 21:58

Re: Scelta router e VPN per sicurezza synology

Messaggio da Moro70 » giovedì 16 aprile 2015, 18:33

Ok, per adesso grazie. Non avendo un budget cosi' grande, mi consigli rispetto alla mia condizione di riportare il router da bridge in modalita' router puro con classe ip differente rispetto a fastweb??
Poi in futuro cerchero di fare questo investimento


ps: i fulmini passano dappertutto sopratutto in campagna.
Anni un fulmine mi entro dal doppino collegato al modem/router...
Risultato??? tutto bruciato quello che era attaccato via lan al modem/router ed nelle relative cascate.... :?
  • NAS: 214 DSM 6.0(7321) 512MB; R1 (1X WD GREEN 2TB); LAN:LAG(1)

Rispondi

Torna a “VPN, QuickConnect e Accesso remoto in genere”