[GUIDA] NAS dietro VPN con accesso dall'esterno

Guide, Tips, Manuali.
xenical
Utente
Utente
Messaggi: 40
Iscritto il: lunedì 28 luglio 2014, 6:39

[GUIDA] NAS dietro VPN con accesso dall'esterno

Messaggio da xenical »

Sperando di fare cosa gradita e utile, ho realizzato questa piccola guida su come connettere il NAS ad una rete VPN (fornita da terze parti) rendendo comunque il NAS raggiungibile anche dall'esterno.

Ormai di aziende che forniscono a pagamento servizi VPN se ne trovano in abbondanza; ognuno è libero di scegliere quella che preferisce anche in relazione ai costi e ai servizi offerti. Purtroppo (per l'utilizzo oggetto della guida) la scelta si restringe drasticamente, in quanto la maggior parte dei servizi offrono uno "Share IP" dinamico, mentre per i nostri scopi serve un "IP Dedicato" (con un IPShared il NAS non sarebbe raggiungibile).

Io ho trovato come fornitore del servizio PureVPN (ma credo che ve ne possano essere anche altri) che come opzione (a pagamento supplementare al servizio base) offre un IP dedicato. Come pecca devo sottolineare che al momento fornisce solo una VPN PPTP e non OpenVPN (anche se dovrebbe essere in fase di attivazione...sulla mail di registrazione dice che è in fase beta).

STEP 1: Registrarsi al servizio e dopo aver effettuato il pagamento si riceverà una mail contenenti i dati per effettuare il login (oltre all'indirizzo IP che vi è stato assegnato).

STEP 2: Andare in --> Pannello di controllo (del NAS) --> Rete --> Interfaccia di rete --> Crea --> Crea profilo VPN e selezionare PPTP e inserire i dati come mostrato nell'immagine sottostante (Nome del profilo potete mettere quello che volete).

Immagine

STEP 3: Connettere la VPN e una volta connessi deve comparire nel campo "Indirizzo IP" l'indirizzo che vi è stato indicato nella mail del fornitore del servizio (se non compare e compare quello del vostro ISP dovrete rifare la procedura perchè c'è stato qualche errore).

Immagine

STEP 4: Ora creiamo un profilo DDNS facendo attenzione che nel campo "Indirizzo esterno" compaia l'IP dedicato (in caso contrario non riuscireste a connetervi al NAS).

Immagine

STEP 5: Sul router fare un port farwording della porta TCP 1723 verso il NAS
  • UPS:
  • GTW: Friz!Box 7950 ISP: VDSL Deutsch Telekom (130 M/40 M) IP: Public
  • SWC: TP-Link TL-SG108E
  • NAS: DS 218 Play (DSM 6.2.2-24922); R0(2xWDRed Pro 6TB) - DS 214 Play (6.2.2-24922); R1(2xWDRed 2TB) - DS 213j (6.2.2-24922); R1(2xWDRed 1TB)
  • CLI: PC Windows 10 Pro x64 - Laptop Lenovo Windows 10 x64 - Beelink M1 MiniPC
  • ALTRO:
  • iPad Pro, Galaxy S8
  • EXP: E4 - NET4 - PC:W8,M6,L4
burghy86
Moderatore
Moderatore
Messaggi: 11358
Iscritto il: martedì 11 settembre 2012, 18:59

Re: [GUIDA] NAS dietro VPN con accesso dall'esterno

Messaggio da burghy86 »

che vantaggio c'è a usare purevpn invece di installare il pacchetto vpn server sul nas e collegarsi in remoto direttamente al nas?
NUOVO CANALE DISCORD
PARTECIPATE NUMEROSI:

https://discord.gg/McP3d4m2pG



Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio

siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
  • UPS: apc
  • GTW: fritzbox o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
  • SWC: hp gigabit 8 porte with poe
  • NAS: ds213, ds213j, ds415+ 720+ dmv dal 6.2 alla 7. qnap ts212p ts22, all hd con wdred/ironwolf da 2/6tb
  • CLI: win 10, win11 e ubuntu
    [altro]
  • 3 smartphone android, lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3
xenical
Utente
Utente
Messaggi: 40
Iscritto il: lunedì 28 luglio 2014, 6:39

Re: [GUIDA] NAS dietro VPN con accesso dall'esterno

Messaggio da xenical »

Salvo non aver fatto io un errore madornale:

Installando il pacchetto VPN server, con un client esterno ti colleghi al nas e da li in VPN accedi alla rete locale (ma la connessione del nas a internet non è "protetta").

Nel modo indicato nella guida, il nas ha accesso a internet dietro vpn.
  • UPS:
  • GTW: Friz!Box 7950 ISP: VDSL Deutsch Telekom (130 M/40 M) IP: Public
  • SWC: TP-Link TL-SG108E
  • NAS: DS 218 Play (DSM 6.2.2-24922); R0(2xWDRed Pro 6TB) - DS 214 Play (6.2.2-24922); R1(2xWDRed 2TB) - DS 213j (6.2.2-24922); R1(2xWDRed 1TB)
  • CLI: PC Windows 10 Pro x64 - Laptop Lenovo Windows 10 x64 - Beelink M1 MiniPC
  • ALTRO:
  • iPad Pro, Galaxy S8
  • EXP: E4 - NET4 - PC:W8,M6,L4
Avatar utente
ponzo79
Utente
Utente
Messaggi: 1098
Iscritto il: martedì 24 gennaio 2012, 9:25

Re: [GUIDA] NAS dietro VPN con accesso dall'esterno

Messaggio da ponzo79 »

burghy86 ha scritto:che vantaggio c'è a usare purevpn invece di installare il pacchetto vpn server sul nas e collegarsi in remoto direttamente al nas?
Sostanzialmente serve a far accedere il nas ad internet in modo "anonimo/protetto"....la cosa però è alquanto pericolosa secondo il mio modesto parere, nel senso che se il fornitore del servizio non è proprio onesto, può aver accesso al nas un modo tutto sommato abbastanza semplice......
Inoltre molti fornitori di servizi simili controllano il tipo di traffico e il materiale che viene scaricato e impediscono di scaricare materiale protetto da copyright....
  • GTW: Asus RT-AC68U ISP: ADSL TIM (7M/0.25M) IP:Public and Dynamic
  • SWC: Nergear GS108 - Netgear WNDRMACv2
  • NAS: 412+ DSM 6; 3xWDRed3TB RAID 5
  • CLI: OSX 10.12, Win 10, Linux Mint
  • ALTRO:
    • Raspberry Pi model b - Openelec 4.2.1
    • Raspberry Pi model b+ - Openelec 4.2.1
    • iPhone 5
    • iPad 2
    • Android TV
xenical
Utente
Utente
Messaggi: 40
Iscritto il: lunedì 28 luglio 2014, 6:39

Re: [GUIDA] NAS dietro VPN con accesso dall'esterno

Messaggio da xenical »

ponzo79 ha scritto:
burghy86 ha scritto:che vantaggio c'è a usare purevpn invece di installare il pacchetto vpn server sul nas e collegarsi in remoto direttamente al nas?
Sostanzialmente serve a far accedere il nas ad internet in modo "anonimo/protetto"....la cosa però è alquanto pericolosa secondo il mio modesto parere, nel senso che se il fornitore del servizio non è proprio onesto, può aver accesso al nas un modo tutto sommato abbastanza semplice......
Inoltre molti fornitori di servizi simili controllano il tipo di traffico e il materiale che viene scaricato e impediscono di scaricare materiale protetto da copyright....
Da un certo punto di vista ti posso dare ragione, ma allora la stessa cosa potrebbe farla qualsiasi ISP
  • UPS:
  • GTW: Friz!Box 7950 ISP: VDSL Deutsch Telekom (130 M/40 M) IP: Public
  • SWC: TP-Link TL-SG108E
  • NAS: DS 218 Play (DSM 6.2.2-24922); R0(2xWDRed Pro 6TB) - DS 214 Play (6.2.2-24922); R1(2xWDRed 2TB) - DS 213j (6.2.2-24922); R1(2xWDRed 1TB)
  • CLI: PC Windows 10 Pro x64 - Laptop Lenovo Windows 10 x64 - Beelink M1 MiniPC
  • ALTRO:
  • iPad Pro, Galaxy S8
  • EXP: E4 - NET4 - PC:W8,M6,L4
burghy86
Moderatore
Moderatore
Messaggi: 11358
Iscritto il: martedì 11 settembre 2012, 18:59

Re: [GUIDA] NAS dietro VPN con accesso dall'esterno

Messaggio da burghy86 »

ok, capito.
NUOVO CANALE DISCORD
PARTECIPATE NUMEROSI:

https://discord.gg/McP3d4m2pG



Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio

siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
  • UPS: apc
  • GTW: fritzbox o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
  • SWC: hp gigabit 8 porte with poe
  • NAS: ds213, ds213j, ds415+ 720+ dmv dal 6.2 alla 7. qnap ts212p ts22, all hd con wdred/ironwolf da 2/6tb
  • CLI: win 10, win11 e ubuntu
    [altro]
  • 3 smartphone android, lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3
Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1962
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: [GUIDA] NAS dietro VPN con accesso dall'esterno

Messaggio da dMajo »

xenical ha scritto:Salvo non aver fatto io un errore madornale:
Installando il pacchetto VPN server, con un client esterno ti colleghi al nas e da li in VPN accedi alla rete locale (ma la connessione del nas a internet non è "protetta").
Nel modo indicato nella guida, il nas ha accesso a internet dietro vpn.
Hai capito male. Con un client esterno accedi al nas via VPN (traffico prottetto/crittografato) e raggiunto il nas puoi accedere alla erte alla quale il nas è collegato (quella casalinga per la maggior parte degli utenti di questo forum). Quindi la connessione del client esterno al nas/lan è prottetta. Ovviamente quando il nas naviga (o scarica i torrent) lo fa in chiaro.

ponzo79 ha scritto:
burghy86 ha scritto:che vantaggio c'è a usare purevpn invece di installare il pacchetto vpn server sul nas e collegarsi in remoto direttamente al nas?
Sostanzialmente serve a far accedere il nas ad internet in modo "anonimo/protetto"....la cosa però è alquanto pericolosa secondo il mio modesto parere, nel senso che se il fornitore del servizio non è proprio onesto, può aver accesso al nas un modo tutto sommato abbastanza semplice......
Inoltre molti fornitori di servizi simili controllano il tipo di traffico e il materiale che viene scaricato e impediscono di scaricare materiale protetto da copyright....
Burghi,
come dice giustamente Ponzo, questi servizi (generalmente a pagamento) servono a più ragioni prima fra tutte a protegger l'anonimato.
  • Ad esempio tu potresti avere un ip statico e così navigare con uno dinamico
  • Poniamo tu sia abbonato a mediaset premium ma per lavoro ti trovi negli states per un paio di mesi. Non potresti fruire di premium play in quanto fanno un controllo geografico degli ip e non consentono lo streaming verso ip non italiani. Con la vpn dagli states avresti un ip italiano. Lo stesso dicasi per streaming statunitensi verso l'italia
  • TPB as esempio in italia è bloccato ma se vi accedi attraverso un ip olandese tutto ok.
  • ...
Queste società (fornitrici di VPN) generalmente hanno server sparsi in tutto il mondo ed è l'utente che può scegliere a quale connettersi usufruendo così della possibilità di una marea di ip dinamici nei diversi continenti. Molte di quelle a pagamento hanno anche ottime prestazioni di banda.

Per quanto concerne le preoccupazioni di Ponzo riguardo l'onesta degli SP è vero quindi conviene scegliere servizi a pagamento dove il provider ha da rimetterci (la clientela) se ciò avvenisse. Ci sono poi i log che potrebbero esser comunque ottenuti dalle autorità competenti: molti di questi provider hanno sedi legali in giurisdizioni dove il logging non è obbligatorio, quindi non lo fanno, così da non poter dover esibire qualcosa che non esiste.
Fra le altre cose molti utenti credono che sia sufficiente l'utilizzo di un server proxy, non considerando che il contenuto delle pagine arriva si attraverso la triangolazione col proxy (non direttamente dal sito interrogato) ma la risoluzione dns del nome di questo sito è con molta probabilità stata fatta sul server del proprio ISP. E comunque anche i contenuti arrivati via triangolazione sono in chiaro, quindi loggati e registrati dal tuo ISP. Con una VPN il tunnel dal tuo router/pc arriva crittografato ad esempio sino in usa e da li la navigazione è in chiaro, quindi il tuo provider vede il tuo tunnel ma non quello che ci passa dentro.

Ci sono provider che offrono la possibilità di usare anche più device per singolo abbonamento (quello mio ne supporta 5) e con il router che ti ho mostrato l'altro giorno tu puoi attestare anche vpn multiple (una per connettività/wan) e usarle anche in load-balancing. Poi sarà il router a decidere che traffico e da che dispositivo interno instradare o in chiaro o via vpn. In questo modo questa copertura può esser estesa selettivamente su tutta la lan e trasparente ai devices. La VPN può esser sia nattata che instradata con tutti i vantaggi che da ciò ne derivano e ci si può così proteggere anche dai dubbi di Ponzo rispetto l'onesta degli SP (prima del nas c'è il fw del router, poi quello del nas, assieme alle credenziali naturalmente).

Naturalmente tutt'altra cosa sono le vpn lan-to-lan fra le diverse sedi di un'organizzazione e/o telelavoro.
xenical ha scritto:Da un certo punto di vista ti posso dare ragione, ma allora la stessa cosa potrebbe farla qualsiasi ISP
E' vero, infatti qualcuno è anche isp. In ogni modo un italiano non acquisterà tale servizio da un fornitore italiano, per ovvie ragioni ... e così via.
Spesso questi servizi sono usati anche da scrittori, opinionisti, intelettuali, che per le loro idee politiche verrebbero perseguiti ... senza dover per forza esser dei pirati informatici ...
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M) :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
    • RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
    • DS1513+(4GB); DS115j
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E5: NET9 PC:W9,M0,L6

www.alldataee.com
xenical
Utente
Utente
Messaggi: 40
Iscritto il: lunedì 28 luglio 2014, 6:39

Re: [GUIDA] NAS dietro VPN con accesso dall'esterno

Messaggio da xenical »

dMajo ha scritto:
xenical ha scritto:Salvo non aver fatto io un errore madornale:
Installando il pacchetto VPN server, con un client esterno ti colleghi al nas e da li in VPN accedi alla rete locale (ma la connessione del nas a internet non è "protetta").
Nel modo indicato nella guida, il nas ha accesso a internet dietro vpn.
Hai capito male. Con un client esterno accedi al nas via VPN (traffico prottetto/crittografato) e raggiunto il nas puoi accedere alla erte alla quale il nas è collegato (quella casalinga per la maggior parte degli utenti di questo forum). Quindi la connessione del client esterno al nas/lan è prottetta. Ovviamente quando il nas naviga (o scarica i torrent) lo fa in chiaro.
Si nel caso del server VPN integrato nel nas.
Ma con la configurazione indicata in guida, il nas accede ad internet con connessione protetta (quindi in teoria sicura) ..eventualmente sarà in chiaro la connessione da un client esterno all'indirizzo IP fornito dal gestore della VPN
  • UPS:
  • GTW: Friz!Box 7950 ISP: VDSL Deutsch Telekom (130 M/40 M) IP: Public
  • SWC: TP-Link TL-SG108E
  • NAS: DS 218 Play (DSM 6.2.2-24922); R0(2xWDRed Pro 6TB) - DS 214 Play (6.2.2-24922); R1(2xWDRed 2TB) - DS 213j (6.2.2-24922); R1(2xWDRed 1TB)
  • CLI: PC Windows 10 Pro x64 - Laptop Lenovo Windows 10 x64 - Beelink M1 MiniPC
  • ALTRO:
  • iPad Pro, Galaxy S8
  • EXP: E4 - NET4 - PC:W8,M6,L4
Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1962
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: [GUIDA] NAS dietro VPN con accesso dall'esterno

Messaggio da dMajo »

xenical ha scritto: Si nel caso del server VPN integrato nel nas.
Ma con la configurazione indicata in guida, il nas accede ad internet con connessione protetta (quindi in teoria sicura) ..eventualmente sarà in chiaro la connessione da un client esterno all'indirizzo IP fornito dal gestore della VPN
Sbagli di nuovo, la connessione di un tunnel è definita sicura quando quando questo è stabilito fra i due punti che scambiano l'informazione, quando tutto il percorso è crittografato ed incapsulato nel tunnel. Normalmente lo scopo di una vpn, per garantire sicurezza, è quello di tenere tutte le porte pubblicamente chiuse (ad eccezione di quella per farla funzionare) in quanto tutte le altre vengono usate (in sicurezza) attraverso la vpn.

Tu stai usando il client vpn per accedere ad un server vpn che ti mette su internet ne più ne meno di quello che fa il tuo router di casa, anzi introducendo anche del di carico sulla cpu dovuto al tunnel e latenza sulla navigazione (in quanto il percorso per raggiungere il destinatario è ora più lungo e complesso).
La tua soluzione potrebbe andar "tecnicamente" bene la dove tu la usassi per scaricare torrent ad esempio da siti vietati in italia quali thepiratebay o per mantenere l'anonimato, perché la parte di traffico fatta nel tunnel (esempio dal nas in germania/usa/...) elude i controlli (italiani). Siccome immagino di non aver sbagliato nel identificare i fini della VPN ti potrei dirti che la soluzione (lo strumento) è giusta, ma l'implementazione è errata (assolutamente insicura)
Dal punto di vista della sicurezza, per l'hacker che vorrebbe accedere ai dati del tuo nas, che l'ip sia quello ad esempio di alice (tuo router di casa) o del tuo provider vpn (ip tedesco/statunitense/...) non fa alcuna differenza, è sempre un ip pubblico, dietro al quale c'è il nas. Anzi il tuo ip pubblico di alice è più sicuro perchè il nas sta dietro ad un NAT e richiede il port-forwarding per consentire l'accesso dall'esterno. L'IP assegnatoti dal tuo provider vpn invece sarà un ip routed oppure nat1:1 con tutte le porte aperte verso il tunnel (nas).

A ciò bisogna aggiungere che molto probabilmente il firewall del syno agisce solo sulla scheda di rete (quindi richiede l'apertura delle porte necessarie al tunnel, anzi neanche in quanto traffico in uscita e quindi non gestito dal fw del nas) ed in assenza di uno a valle (sulla terminazione del tunnel nel nas, quindi a valle del client vpn, sui dati in chiaro) equivale a non averlo: in sostanza ti ritrovi con tutte le porte aperte verso il nas e senza firewall, nome utente e password sono la tua unica difesa ... è come avere il nas in DMZ ... anzi peggio, in DMZ e con il fw del nas assente.

Poi dal punto di vista meramente tecnico andrebbe ancora aggiunto che PPTP è oramai da tutto il mondo considerato insicuro in quanto è stato violato e bucato da tutte le parti. Come minimo un tunnel VPN dovrebbe partire da L2TP e ove possibile con IPSec.
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M) :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
    • RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
    • DS1513+(4GB); DS115j
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E5: NET9 PC:W9,M0,L6

www.alldataee.com
xenical
Utente
Utente
Messaggi: 40
Iscritto il: lunedì 28 luglio 2014, 6:39

Re: [GUIDA] NAS dietro VPN con accesso dall'esterno

Messaggio da xenical »

dMajo ha scritto:
Sbagli di nuovo, la connessione di un tunnel è definita sicura quando quando questo è stabilito fra i due punti che scambiano l'informazione, quando tutto il percorso è crittografato ed incapsulato nel tunnel. Normalmente lo scopo di una vpn, per garantire sicurezza, è quello di tenere tutte le porte pubblicamente chiuse (ad eccezione di quella per farla funzionare) in quanto tutte le altre vengono usate (in sicurezza) attraverso la vpn.

Tu stai usando il client vpn per accedere ad un server vpn che ti mette su internet ne più ne meno di quello che fa il tuo router di casa, anzi introducendo anche del di carico sulla cpu dovuto al tunnel e latenza sulla navigazione (in quanto il percorso per raggiungere il destinatario è ora più lungo e complesso).
La tua soluzione potrebbe andar "tecnicamente" bene la dove tu la usassi per scaricare torrent ad esempio da siti vietati in italia quali thepiratebay o per mantenere l'anonimato, perché la parte di traffico fatta nel tunnel (esempio dal nas in germania/usa/...) elude i controlli (italiani). Siccome immagino di non aver sbagliato nel identificare i fini della VPN ti potrei dirti che la soluzione (lo strumento) è giusta, ma l'implementazione è errata (assolutamente insicura)
Dal punto di vista della sicurezza, per l'hacker che vorrebbe accedere ai dati del tuo nas, che l'ip sia quello ad esempio di alice (tuo router di casa) o del tuo provider vpn (ip tedesco/statunitense/...) non fa alcuna differenza, è sempre un ip pubblico, dietro al quale c'è il nas. Anzi il tuo ip pubblico di alice è più sicuro perchè il nas sta dietro ad un NAT e richiede il port-forwarding per consentire l'accesso dall'esterno. L'IP assegnatoti dal tuo provider vpn invece sarà un ip routed oppure nat1:1 con tutte le porte aperte verso il tunnel (nas).

A ciò bisogna aggiungere che molto probabilmente il firewall del syno agisce solo sulla scheda di rete (quindi richiede l'apertura delle porte necessarie al tunnel, anzi neanche in quanto traffico in uscita e quindi non gestito dal fw del nas) ed in assenza di uno a valle (sulla terminazione del tunnel nel nas, quindi a valle del client vpn, sui dati in chiaro) equivale a non averlo: in sostanza ti ritrovi con tutte le porte aperte verso il nas e senza firewall, nome utente e password sono la tua unica difesa ... è come avere il nas in DMZ ... anzi peggio, in DMZ e con il fw del nas assente.

Poi dal punto di vista meramente tecnico andrebbe ancora aggiunto che PPTP è oramai da tutto il mondo considerato insicuro in quanto è stato violato e bucato da tutte le parti. Come minimo un tunnel VPN dovrebbe partire da L2TP e ove possibile con IPSec.
Innanzi tutto ti ringrazio per le spiegazioni tecniche. (della questione protocollo ne avevo anche accennato nella guida).

Però dopo la tua spiegazione mi sorge un dubbio: indipendentemente dal fatto che connessa alla vpn ci sia il nas o un pc, da quello che hai scritto (a meno di averci nuovamente capito nulla :D ), sarebbero tutti comunque a rischio ad usare una connessione vpn fornita da questi servizi (protocollo a parte) perchè questi servizi ti forniscono un client da installare sul pc per connettersi con i loro server (quindi c'è il tunnel dal client al loro server), ma quando il server da l'accesso ad internet si manifesterebbero i problemi di sicurezza di cui hai parlato. Forse, invece di un IP dedicato, un IP shared sarebbe un pò meglio?

Quindi riassumendo: per mantenere anonimato è una soluzione corretta che però ha problemi di sicurezza.
  • UPS:
  • GTW: Friz!Box 7950 ISP: VDSL Deutsch Telekom (130 M/40 M) IP: Public
  • SWC: TP-Link TL-SG108E
  • NAS: DS 218 Play (DSM 6.2.2-24922); R0(2xWDRed Pro 6TB) - DS 214 Play (6.2.2-24922); R1(2xWDRed 2TB) - DS 213j (6.2.2-24922); R1(2xWDRed 1TB)
  • CLI: PC Windows 10 Pro x64 - Laptop Lenovo Windows 10 x64 - Beelink M1 MiniPC
  • ALTRO:
  • iPad Pro, Galaxy S8
  • EXP: E4 - NET4 - PC:W8,M6,L4
Rispondi

Torna a “GUIDE & TIPS”