[GUIDA] NAS dietro VPN con accesso dall'esterno
[GUIDA] NAS dietro VPN con accesso dall'esterno
Sperando di fare cosa gradita e utile, ho realizzato questa piccola guida su come connettere il NAS ad una rete VPN (fornita da terze parti) rendendo comunque il NAS raggiungibile anche dall'esterno.
Ormai di aziende che forniscono a pagamento servizi VPN se ne trovano in abbondanza; ognuno è libero di scegliere quella che preferisce anche in relazione ai costi e ai servizi offerti. Purtroppo (per l'utilizzo oggetto della guida) la scelta si restringe drasticamente, in quanto la maggior parte dei servizi offrono uno "Share IP" dinamico, mentre per i nostri scopi serve un "IP Dedicato" (con un IPShared il NAS non sarebbe raggiungibile).
Io ho trovato come fornitore del servizio PureVPN (ma credo che ve ne possano essere anche altri) che come opzione (a pagamento supplementare al servizio base) offre un IP dedicato. Come pecca devo sottolineare che al momento fornisce solo una VPN PPTP e non OpenVPN (anche se dovrebbe essere in fase di attivazione...sulla mail di registrazione dice che è in fase beta).
STEP 1: Registrarsi al servizio e dopo aver effettuato il pagamento si riceverà una mail contenenti i dati per effettuare il login (oltre all'indirizzo IP che vi è stato assegnato).
STEP 2: Andare in --> Pannello di controllo (del NAS) --> Rete --> Interfaccia di rete --> Crea --> Crea profilo VPN e selezionare PPTP e inserire i dati come mostrato nell'immagine sottostante (Nome del profilo potete mettere quello che volete).
STEP 3: Connettere la VPN e una volta connessi deve comparire nel campo "Indirizzo IP" l'indirizzo che vi è stato indicato nella mail del fornitore del servizio (se non compare e compare quello del vostro ISP dovrete rifare la procedura perchè c'è stato qualche errore).
STEP 4: Ora creiamo un profilo DDNS facendo attenzione che nel campo "Indirizzo esterno" compaia l'IP dedicato (in caso contrario non riuscireste a connetervi al NAS).
STEP 5: Sul router fare un port farwording della porta TCP 1723 verso il NAS
Ormai di aziende che forniscono a pagamento servizi VPN se ne trovano in abbondanza; ognuno è libero di scegliere quella che preferisce anche in relazione ai costi e ai servizi offerti. Purtroppo (per l'utilizzo oggetto della guida) la scelta si restringe drasticamente, in quanto la maggior parte dei servizi offrono uno "Share IP" dinamico, mentre per i nostri scopi serve un "IP Dedicato" (con un IPShared il NAS non sarebbe raggiungibile).
Io ho trovato come fornitore del servizio PureVPN (ma credo che ve ne possano essere anche altri) che come opzione (a pagamento supplementare al servizio base) offre un IP dedicato. Come pecca devo sottolineare che al momento fornisce solo una VPN PPTP e non OpenVPN (anche se dovrebbe essere in fase di attivazione...sulla mail di registrazione dice che è in fase beta).
STEP 1: Registrarsi al servizio e dopo aver effettuato il pagamento si riceverà una mail contenenti i dati per effettuare il login (oltre all'indirizzo IP che vi è stato assegnato).
STEP 2: Andare in --> Pannello di controllo (del NAS) --> Rete --> Interfaccia di rete --> Crea --> Crea profilo VPN e selezionare PPTP e inserire i dati come mostrato nell'immagine sottostante (Nome del profilo potete mettere quello che volete).
STEP 3: Connettere la VPN e una volta connessi deve comparire nel campo "Indirizzo IP" l'indirizzo che vi è stato indicato nella mail del fornitore del servizio (se non compare e compare quello del vostro ISP dovrete rifare la procedura perchè c'è stato qualche errore).
STEP 4: Ora creiamo un profilo DDNS facendo attenzione che nel campo "Indirizzo esterno" compaia l'IP dedicato (in caso contrario non riuscireste a connetervi al NAS).
STEP 5: Sul router fare un port farwording della porta TCP 1723 verso il NAS
- UPS:
- GTW: Friz!Box 7950 ISP: VDSL Deutsch Telekom (130 M/40 M) IP: Public
- SWC: TP-Link TL-SG108E
- NAS: DS 218 Play (DSM 6.2.2-24922); R0(2xWDRed Pro 6TB) - DS 214 Play (6.2.2-24922); R1(2xWDRed 2TB) - DS 213j (6.2.2-24922); R1(2xWDRed 1TB)
- CLI: PC Windows 10 Pro x64 - Laptop Lenovo Windows 10 x64 - Beelink M1 MiniPC
- ALTRO:
- iPad Pro, Galaxy S8
- EXP: E4 - NET4 - PC:W8,M6,L4
Re: [GUIDA] NAS dietro VPN con accesso dall'esterno
che vantaggio c'è a usare purevpn invece di installare il pacchetto vpn server sul nas e collegarsi in remoto direttamente al nas?
NUOVO CANALE DISCORD
PARTECIPATE NUMEROSI:
https://discord.gg/McP3d4m2pG
Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio
siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
PARTECIPATE NUMEROSI:
https://discord.gg/McP3d4m2pG
Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio
siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
- UPS: apc
- GTW: fritzbox o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
- SWC: hp gigabit 8 porte with poe
- NAS: ds213, ds213j, ds415+ 720+ dmv dal 6.2 alla 7. qnap ts212p ts22, all hd con wdred/ironwolf da 2/6tb
- CLI: win 10, win11 e ubuntu
[altro] - 3 smartphone android, lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3
Re: [GUIDA] NAS dietro VPN con accesso dall'esterno
Salvo non aver fatto io un errore madornale:
Installando il pacchetto VPN server, con un client esterno ti colleghi al nas e da li in VPN accedi alla rete locale (ma la connessione del nas a internet non è "protetta").
Nel modo indicato nella guida, il nas ha accesso a internet dietro vpn.
Installando il pacchetto VPN server, con un client esterno ti colleghi al nas e da li in VPN accedi alla rete locale (ma la connessione del nas a internet non è "protetta").
Nel modo indicato nella guida, il nas ha accesso a internet dietro vpn.
- UPS:
- GTW: Friz!Box 7950 ISP: VDSL Deutsch Telekom (130 M/40 M) IP: Public
- SWC: TP-Link TL-SG108E
- NAS: DS 218 Play (DSM 6.2.2-24922); R0(2xWDRed Pro 6TB) - DS 214 Play (6.2.2-24922); R1(2xWDRed 2TB) - DS 213j (6.2.2-24922); R1(2xWDRed 1TB)
- CLI: PC Windows 10 Pro x64 - Laptop Lenovo Windows 10 x64 - Beelink M1 MiniPC
- ALTRO:
- iPad Pro, Galaxy S8
- EXP: E4 - NET4 - PC:W8,M6,L4
Re: [GUIDA] NAS dietro VPN con accesso dall'esterno
Sostanzialmente serve a far accedere il nas ad internet in modo "anonimo/protetto"....la cosa però è alquanto pericolosa secondo il mio modesto parere, nel senso che se il fornitore del servizio non è proprio onesto, può aver accesso al nas un modo tutto sommato abbastanza semplice......burghy86 ha scritto:che vantaggio c'è a usare purevpn invece di installare il pacchetto vpn server sul nas e collegarsi in remoto direttamente al nas?
Inoltre molti fornitori di servizi simili controllano il tipo di traffico e il materiale che viene scaricato e impediscono di scaricare materiale protetto da copyright....
- GTW: Asus RT-AC68U ISP: ADSL TIM (7M/0.25M) IP:Public and Dynamic
- SWC: Nergear GS108 - Netgear WNDRMACv2
- NAS: 412+ DSM 6; 3xWDRed3TB RAID 5
- CLI: OSX 10.12, Win 10, Linux Mint
- ALTRO:
- Raspberry Pi model b - Openelec 4.2.1
- Raspberry Pi model b+ - Openelec 4.2.1
- iPhone 5
- iPad 2
- Android TV
Re: [GUIDA] NAS dietro VPN con accesso dall'esterno
Da un certo punto di vista ti posso dare ragione, ma allora la stessa cosa potrebbe farla qualsiasi ISPponzo79 ha scritto:Sostanzialmente serve a far accedere il nas ad internet in modo "anonimo/protetto"....la cosa però è alquanto pericolosa secondo il mio modesto parere, nel senso che se il fornitore del servizio non è proprio onesto, può aver accesso al nas un modo tutto sommato abbastanza semplice......burghy86 ha scritto:che vantaggio c'è a usare purevpn invece di installare il pacchetto vpn server sul nas e collegarsi in remoto direttamente al nas?
Inoltre molti fornitori di servizi simili controllano il tipo di traffico e il materiale che viene scaricato e impediscono di scaricare materiale protetto da copyright....
- UPS:
- GTW: Friz!Box 7950 ISP: VDSL Deutsch Telekom (130 M/40 M) IP: Public
- SWC: TP-Link TL-SG108E
- NAS: DS 218 Play (DSM 6.2.2-24922); R0(2xWDRed Pro 6TB) - DS 214 Play (6.2.2-24922); R1(2xWDRed 2TB) - DS 213j (6.2.2-24922); R1(2xWDRed 1TB)
- CLI: PC Windows 10 Pro x64 - Laptop Lenovo Windows 10 x64 - Beelink M1 MiniPC
- ALTRO:
- iPad Pro, Galaxy S8
- EXP: E4 - NET4 - PC:W8,M6,L4
Re: [GUIDA] NAS dietro VPN con accesso dall'esterno
ok, capito.
NUOVO CANALE DISCORD
PARTECIPATE NUMEROSI:
https://discord.gg/McP3d4m2pG
Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio
siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
PARTECIPATE NUMEROSI:
https://discord.gg/McP3d4m2pG
Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio
siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
- UPS: apc
- GTW: fritzbox o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
- SWC: hp gigabit 8 porte with poe
- NAS: ds213, ds213j, ds415+ 720+ dmv dal 6.2 alla 7. qnap ts212p ts22, all hd con wdred/ironwolf da 2/6tb
- CLI: win 10, win11 e ubuntu
[altro] - 3 smartphone android, lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3
Re: [GUIDA] NAS dietro VPN con accesso dall'esterno
Hai capito male. Con un client esterno accedi al nas via VPN (traffico prottetto/crittografato) e raggiunto il nas puoi accedere alla erte alla quale il nas è collegato (quella casalinga per la maggior parte degli utenti di questo forum). Quindi la connessione del client esterno al nas/lan è prottetta. Ovviamente quando il nas naviga (o scarica i torrent) lo fa in chiaro.xenical ha scritto:Salvo non aver fatto io un errore madornale:
Installando il pacchetto VPN server, con un client esterno ti colleghi al nas e da li in VPN accedi alla rete locale (ma la connessione del nas a internet non è "protetta").
Nel modo indicato nella guida, il nas ha accesso a internet dietro vpn.
Burghi,ponzo79 ha scritto:Sostanzialmente serve a far accedere il nas ad internet in modo "anonimo/protetto"....la cosa però è alquanto pericolosa secondo il mio modesto parere, nel senso che se il fornitore del servizio non è proprio onesto, può aver accesso al nas un modo tutto sommato abbastanza semplice......burghy86 ha scritto:che vantaggio c'è a usare purevpn invece di installare il pacchetto vpn server sul nas e collegarsi in remoto direttamente al nas?
Inoltre molti fornitori di servizi simili controllano il tipo di traffico e il materiale che viene scaricato e impediscono di scaricare materiale protetto da copyright....
come dice giustamente Ponzo, questi servizi (generalmente a pagamento) servono a più ragioni prima fra tutte a protegger l'anonimato.
- Ad esempio tu potresti avere un ip statico e così navigare con uno dinamico
- Poniamo tu sia abbonato a mediaset premium ma per lavoro ti trovi negli states per un paio di mesi. Non potresti fruire di premium play in quanto fanno un controllo geografico degli ip e non consentono lo streaming verso ip non italiani. Con la vpn dagli states avresti un ip italiano. Lo stesso dicasi per streaming statunitensi verso l'italia
- TPB as esempio in italia è bloccato ma se vi accedi attraverso un ip olandese tutto ok.
- ...
Per quanto concerne le preoccupazioni di Ponzo riguardo l'onesta degli SP è vero quindi conviene scegliere servizi a pagamento dove il provider ha da rimetterci (la clientela) se ciò avvenisse. Ci sono poi i log che potrebbero esser comunque ottenuti dalle autorità competenti: molti di questi provider hanno sedi legali in giurisdizioni dove il logging non è obbligatorio, quindi non lo fanno, così da non poter dover esibire qualcosa che non esiste.
Fra le altre cose molti utenti credono che sia sufficiente l'utilizzo di un server proxy, non considerando che il contenuto delle pagine arriva si attraverso la triangolazione col proxy (non direttamente dal sito interrogato) ma la risoluzione dns del nome di questo sito è con molta probabilità stata fatta sul server del proprio ISP. E comunque anche i contenuti arrivati via triangolazione sono in chiaro, quindi loggati e registrati dal tuo ISP. Con una VPN il tunnel dal tuo router/pc arriva crittografato ad esempio sino in usa e da li la navigazione è in chiaro, quindi il tuo provider vede il tuo tunnel ma non quello che ci passa dentro.
Ci sono provider che offrono la possibilità di usare anche più device per singolo abbonamento (quello mio ne supporta 5) e con il router che ti ho mostrato l'altro giorno tu puoi attestare anche vpn multiple (una per connettività/wan) e usarle anche in load-balancing. Poi sarà il router a decidere che traffico e da che dispositivo interno instradare o in chiaro o via vpn. In questo modo questa copertura può esser estesa selettivamente su tutta la lan e trasparente ai devices. La VPN può esser sia nattata che instradata con tutti i vantaggi che da ciò ne derivano e ci si può così proteggere anche dai dubbi di Ponzo rispetto l'onesta degli SP (prima del nas c'è il fw del router, poi quello del nas, assieme alle credenziali naturalmente).
Naturalmente tutt'altra cosa sono le vpn lan-to-lan fra le diverse sedi di un'organizzazione e/o telelavoro.
E' vero, infatti qualcuno è anche isp. In ogni modo un italiano non acquisterà tale servizio da un fornitore italiano, per ovvie ragioni ... e così via.xenical ha scritto:Da un certo punto di vista ti posso dare ragione, ma allora la stessa cosa potrebbe farla qualsiasi ISP
Spesso questi servizi sono usati anche da scrittori, opinionisti, intelettuali, che per le loro idee politiche verrebbero perseguiti ... senza dover per forza esser dei pirati informatici ...
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html
www.alldataee.com
- UPS: APC SMT2200I+AP9631
- GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M)
- SWC: Netgear GS728TPv2(PoE+)
- 4x HP NJ2000G
- 2x Netgear GS108Tv2
- 2x VigorAP902
- NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4
- DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
- RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
- DS1513+(4GB); DS115j
- ALTRO: Denon AVR-4311
- UE55ES8000Q, UE32ES6800Q, UE22F5410AY
- Galaxy Note8, A5, TabS3; Nokia N8
- EXP: E5: NET9 PC:W9,M0,L6
www.alldataee.com
Re: [GUIDA] NAS dietro VPN con accesso dall'esterno
Si nel caso del server VPN integrato nel nas.dMajo ha scritto:Hai capito male. Con un client esterno accedi al nas via VPN (traffico prottetto/crittografato) e raggiunto il nas puoi accedere alla erte alla quale il nas è collegato (quella casalinga per la maggior parte degli utenti di questo forum). Quindi la connessione del client esterno al nas/lan è prottetta. Ovviamente quando il nas naviga (o scarica i torrent) lo fa in chiaro.xenical ha scritto:Salvo non aver fatto io un errore madornale:
Installando il pacchetto VPN server, con un client esterno ti colleghi al nas e da li in VPN accedi alla rete locale (ma la connessione del nas a internet non è "protetta").
Nel modo indicato nella guida, il nas ha accesso a internet dietro vpn.
Ma con la configurazione indicata in guida, il nas accede ad internet con connessione protetta (quindi in teoria sicura) ..eventualmente sarà in chiaro la connessione da un client esterno all'indirizzo IP fornito dal gestore della VPN
- UPS:
- GTW: Friz!Box 7950 ISP: VDSL Deutsch Telekom (130 M/40 M) IP: Public
- SWC: TP-Link TL-SG108E
- NAS: DS 218 Play (DSM 6.2.2-24922); R0(2xWDRed Pro 6TB) - DS 214 Play (6.2.2-24922); R1(2xWDRed 2TB) - DS 213j (6.2.2-24922); R1(2xWDRed 1TB)
- CLI: PC Windows 10 Pro x64 - Laptop Lenovo Windows 10 x64 - Beelink M1 MiniPC
- ALTRO:
- iPad Pro, Galaxy S8
- EXP: E4 - NET4 - PC:W8,M6,L4
Re: [GUIDA] NAS dietro VPN con accesso dall'esterno
Sbagli di nuovo, la connessione di un tunnel è definita sicura quando quando questo è stabilito fra i due punti che scambiano l'informazione, quando tutto il percorso è crittografato ed incapsulato nel tunnel. Normalmente lo scopo di una vpn, per garantire sicurezza, è quello di tenere tutte le porte pubblicamente chiuse (ad eccezione di quella per farla funzionare) in quanto tutte le altre vengono usate (in sicurezza) attraverso la vpn.xenical ha scritto: Si nel caso del server VPN integrato nel nas.
Ma con la configurazione indicata in guida, il nas accede ad internet con connessione protetta (quindi in teoria sicura) ..eventualmente sarà in chiaro la connessione da un client esterno all'indirizzo IP fornito dal gestore della VPN
Tu stai usando il client vpn per accedere ad un server vpn che ti mette su internet ne più ne meno di quello che fa il tuo router di casa, anzi introducendo anche del di carico sulla cpu dovuto al tunnel e latenza sulla navigazione (in quanto il percorso per raggiungere il destinatario è ora più lungo e complesso).
La tua soluzione potrebbe andar "tecnicamente" bene la dove tu la usassi per scaricare torrent ad esempio da siti vietati in italia quali thepiratebay o per mantenere l'anonimato, perché la parte di traffico fatta nel tunnel (esempio dal nas in germania/usa/...) elude i controlli (italiani). Siccome immagino di non aver sbagliato nel identificare i fini della VPN ti potrei dirti che la soluzione (lo strumento) è giusta, ma l'implementazione è errata (assolutamente insicura)
Dal punto di vista della sicurezza, per l'hacker che vorrebbe accedere ai dati del tuo nas, che l'ip sia quello ad esempio di alice (tuo router di casa) o del tuo provider vpn (ip tedesco/statunitense/...) non fa alcuna differenza, è sempre un ip pubblico, dietro al quale c'è il nas. Anzi il tuo ip pubblico di alice è più sicuro perchè il nas sta dietro ad un NAT e richiede il port-forwarding per consentire l'accesso dall'esterno. L'IP assegnatoti dal tuo provider vpn invece sarà un ip routed oppure nat1:1 con tutte le porte aperte verso il tunnel (nas).
A ciò bisogna aggiungere che molto probabilmente il firewall del syno agisce solo sulla scheda di rete (quindi richiede l'apertura delle porte necessarie al tunnel, anzi neanche in quanto traffico in uscita e quindi non gestito dal fw del nas) ed in assenza di uno a valle (sulla terminazione del tunnel nel nas, quindi a valle del client vpn, sui dati in chiaro) equivale a non averlo: in sostanza ti ritrovi con tutte le porte aperte verso il nas e senza firewall, nome utente e password sono la tua unica difesa ... è come avere il nas in DMZ ... anzi peggio, in DMZ e con il fw del nas assente.
Poi dal punto di vista meramente tecnico andrebbe ancora aggiunto che PPTP è oramai da tutto il mondo considerato insicuro in quanto è stato violato e bucato da tutte le parti. Come minimo un tunnel VPN dovrebbe partire da L2TP e ove possibile con IPSec.
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento https://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html
www.alldataee.com
- UPS: APC SMT2200I+AP9631
- GTW: Vigor2866Vac(4.4.2): 2StaticIP FTTH(1/.1G)+FTTC(30/3M)
- SWC: Netgear GS728TPv2(PoE+)
- 4x HP NJ2000G
- 2x Netgear GS108Tv2
- 2x VigorAP902
- NAS: DS1819+: DSM6.2.4(u7),32GB; C(2x845DCPro),R5(3xST6000VN001),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4
- DS1815+: DSM6.2.4(u7),16GB; R5(3xWD60EFRX),VB(2xWD60EFRX);LAN:LAG(1+2),3
- RS3617xs+: DSM6.2.4(u7),8GB; R6(8xWD40FFWX),HS(WD40FFWX);LAN:LAG(1+2+3),4,LAG(5+6)
- DS1513+(4GB); DS115j
- ALTRO: Denon AVR-4311
- UE55ES8000Q, UE32ES6800Q, UE22F5410AY
- Galaxy Note8, A5, TabS3; Nokia N8
- EXP: E5: NET9 PC:W9,M0,L6
www.alldataee.com
Re: [GUIDA] NAS dietro VPN con accesso dall'esterno
Innanzi tutto ti ringrazio per le spiegazioni tecniche. (della questione protocollo ne avevo anche accennato nella guida).dMajo ha scritto:
Sbagli di nuovo, la connessione di un tunnel è definita sicura quando quando questo è stabilito fra i due punti che scambiano l'informazione, quando tutto il percorso è crittografato ed incapsulato nel tunnel. Normalmente lo scopo di una vpn, per garantire sicurezza, è quello di tenere tutte le porte pubblicamente chiuse (ad eccezione di quella per farla funzionare) in quanto tutte le altre vengono usate (in sicurezza) attraverso la vpn.
Tu stai usando il client vpn per accedere ad un server vpn che ti mette su internet ne più ne meno di quello che fa il tuo router di casa, anzi introducendo anche del di carico sulla cpu dovuto al tunnel e latenza sulla navigazione (in quanto il percorso per raggiungere il destinatario è ora più lungo e complesso).
La tua soluzione potrebbe andar "tecnicamente" bene la dove tu la usassi per scaricare torrent ad esempio da siti vietati in italia quali thepiratebay o per mantenere l'anonimato, perché la parte di traffico fatta nel tunnel (esempio dal nas in germania/usa/...) elude i controlli (italiani). Siccome immagino di non aver sbagliato nel identificare i fini della VPN ti potrei dirti che la soluzione (lo strumento) è giusta, ma l'implementazione è errata (assolutamente insicura)
Dal punto di vista della sicurezza, per l'hacker che vorrebbe accedere ai dati del tuo nas, che l'ip sia quello ad esempio di alice (tuo router di casa) o del tuo provider vpn (ip tedesco/statunitense/...) non fa alcuna differenza, è sempre un ip pubblico, dietro al quale c'è il nas. Anzi il tuo ip pubblico di alice è più sicuro perchè il nas sta dietro ad un NAT e richiede il port-forwarding per consentire l'accesso dall'esterno. L'IP assegnatoti dal tuo provider vpn invece sarà un ip routed oppure nat1:1 con tutte le porte aperte verso il tunnel (nas).
A ciò bisogna aggiungere che molto probabilmente il firewall del syno agisce solo sulla scheda di rete (quindi richiede l'apertura delle porte necessarie al tunnel, anzi neanche in quanto traffico in uscita e quindi non gestito dal fw del nas) ed in assenza di uno a valle (sulla terminazione del tunnel nel nas, quindi a valle del client vpn, sui dati in chiaro) equivale a non averlo: in sostanza ti ritrovi con tutte le porte aperte verso il nas e senza firewall, nome utente e password sono la tua unica difesa ... è come avere il nas in DMZ ... anzi peggio, in DMZ e con il fw del nas assente.
Poi dal punto di vista meramente tecnico andrebbe ancora aggiunto che PPTP è oramai da tutto il mondo considerato insicuro in quanto è stato violato e bucato da tutte le parti. Come minimo un tunnel VPN dovrebbe partire da L2TP e ove possibile con IPSec.
Però dopo la tua spiegazione mi sorge un dubbio: indipendentemente dal fatto che connessa alla vpn ci sia il nas o un pc, da quello che hai scritto (a meno di averci nuovamente capito nulla ), sarebbero tutti comunque a rischio ad usare una connessione vpn fornita da questi servizi (protocollo a parte) perchè questi servizi ti forniscono un client da installare sul pc per connettersi con i loro server (quindi c'è il tunnel dal client al loro server), ma quando il server da l'accesso ad internet si manifesterebbero i problemi di sicurezza di cui hai parlato. Forse, invece di un IP dedicato, un IP shared sarebbe un pò meglio?
Quindi riassumendo: per mantenere anonimato è una soluzione corretta che però ha problemi di sicurezza.
- UPS:
- GTW: Friz!Box 7950 ISP: VDSL Deutsch Telekom (130 M/40 M) IP: Public
- SWC: TP-Link TL-SG108E
- NAS: DS 218 Play (DSM 6.2.2-24922); R0(2xWDRed Pro 6TB) - DS 214 Play (6.2.2-24922); R1(2xWDRed 2TB) - DS 213j (6.2.2-24922); R1(2xWDRed 1TB)
- CLI: PC Windows 10 Pro x64 - Laptop Lenovo Windows 10 x64 - Beelink M1 MiniPC
- ALTRO:
- iPad Pro, Galaxy S8
- EXP: E4 - NET4 - PC:W8,M6,L4