Open VPN su Server Synology Nas (rete Nas ok. connessione internet no.)

HW e servizi di rete: utilizzo abbinato al NAS (FW, DHCP, (D)DNS, NTP, RADIUS, LDAP, ACTIVE DIRECTORY, VPN CLIENT&SERVER, EZ&ROUTER/WiFi, UPS)
Avatar utente
Trinidad
Utente
Utente
Messaggi: 12
Iscritto il: giovedì 5 luglio 2018, 11:00
Località: Sardegna

Open VPN su Server Synology Nas (rete Nas ok. connessione internet no.)

Messaggio da Trinidad » mercoledì 8 aprile 2020, 11:19

Ciao a tutti,

La problematica che vi sto ponendo è un problema che ho verificato essere molto comune, per questo anticipo che sono giorni che ci sbatto la testa fra varie guide e discussioni sul forum ma ahimè non sono riuscito a risolvere nonostante abbia seguito pedissequamente tutte le istruzioni disponibili.

Vi espongo il caso:

1) VPN Server Synology NAS configurata con OpenVPN

Link di riferimento alla guida:
https://www.synology.com/it-it/knowledg ... /vpn_setup

2) Esportato file .zip e modificato il file di configurazione per il client openvpn.ovpn

Link di riferimento alla guida:
https://www.synology.com/it-it/knowledg ... _or_Mac#t3

Aperto il file esportato openvpn.ovpn e sostituito YOUR_SERVER_IP con l'indirizzo IP pubblico di Synology NAS (personalmente uso un ddns non avendo un IP statico)
Le richieste in ingresso verso la porta 1194 vengono instradate sul NAS grazie alla configurazione del port forwarding

Per inviare tutto il traffico su VPN, ho rimosso # da #redirect-gateway def1 (questo credo sia il campo incriminato, questa modifica dovrebbe assegnare il gateway della VPN immagino)

Purtroppo connettendo la VPN da una rete esterna, riesco correttamente a collegarmi alla rete interna e vedere tutte le cartelle dal NAS ma non riesco ad accedere a internet.

Ho notato che il DHCP è abilitato
L'indirizzo viene assegnato (in questo caso 10.8.0.6)
Subnet mask IPv4 255.255.255.252

Gateway predefinito IPv4 (non assegna nulla)
Server DHCP IPv4 10.8.0.5

Ho rimosso # da #redirect-gateway def1 come vi dicevo precedentemente ma non riesco comunque a reindirizzare gateway.

Avete dei suggerimenti? Non capisco proprio dove sia l'errore ma credo proprio che il colpevole sia il file openvpn.ovpn perché ho eseguito la procedura sul cellulare, installando OpenVpn e si connette alla rete del NAS ma non naviga su internet

Spero che sia una cosa di facile risoluzione perchè ormai sto perdendo le speranze
  • UPS: Tecnoware + Era Plus 900
  • GTW: Vodafone Station ahg2500 ISP: ADSL Provider Alice IP:Public
  • SWC: TP-Link (TL-SG108PE)
  • NAS: DS215+6.2-23739 Update 1; 1024 MB; 2.7 TB; LAN:LAG(1+2),3,4
  • CLI: Win7-64, Win10-64
  • ZyWall-USG-40
  • EXP: E4 - NET7 PC:W9,M6,L6

eberi
Utente
Utente
Messaggi: 58
Iscritto il: sabato 23 febbraio 2013, 21:07

Re: Open VPN su Server Synology Nas (rete Nas ok. connessione internet no.)

Messaggio da eberi » mercoledì 8 aprile 2020, 11:42

Questo è il mio e riesco a navigare

dev tun
tls-client

remote xxxxxxxxxxxx 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2


comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
Gateway: ASUS RT-AC68U ISP: NGI Eolo 100 100/10 Mb
Switch: NETGEAR Nighthawk S8000
Ups: APC Back-UPS BX 700VA
Nas: DS918+ 16 GB di RAM, DSM 6.2.2-24922 Update 2, HDD IronWolf da 6 Tb
Client: PS4, WIN 10 64bit, Iphone 7, Iphone XS Max, Ipad Air
Lettore Multimediale: Dune HD base 3D
TV: Sony Bravia KDL40W905A

Avatar utente
Trinidad
Utente
Utente
Messaggi: 12
Iscritto il: giovedì 5 luglio 2018, 11:00
Località: Sardegna

Re: Open VPN su Server Synology Nas (rete Nas ok. connessione internet no.)

Messaggio da Trinidad » mercoledì 8 aprile 2020, 12:27

Grazie mille Eberi per la risposta ;)

Ho verificato entrambi i file e l'unica differenza è che non hai rimosso # da #redirect-gateway def1

Ho provato a reinserire # da #redirect-gateway def1 come nella tua configurazione ma non cambia nulla, ho sempre lo stesso problema.

Che strano
  • UPS: Tecnoware + Era Plus 900
  • GTW: Vodafone Station ahg2500 ISP: ADSL Provider Alice IP:Public
  • SWC: TP-Link (TL-SG108PE)
  • NAS: DS215+6.2-23739 Update 1; 1024 MB; 2.7 TB; LAN:LAG(1+2),3,4
  • CLI: Win7-64, Win10-64
  • ZyWall-USG-40
  • EXP: E4 - NET7 PC:W9,M6,L6

Avatar utente
Trinidad
Utente
Utente
Messaggi: 12
Iscritto il: giovedì 5 luglio 2018, 11:00
Località: Sardegna

Re: Open VPN su Server Synology Nas (rete Nas ok. connessione internet no.)

Messaggio da Trinidad » mercoledì 8 aprile 2020, 16:38

Eberi, vorrei aggiornarti sulla situazione, potrebbe essere utile anche per altri che possono avere lo stesso problema.

- Ho cancellato il vecchio certificato

- Da VPN Server esportato una nuova configurazione

- Effettuato l'accesso dal portatile tramite hotspot del cellulare

- installato nuovamente Open VPN sul PC e modificato il file openvpn.ovpn

Non ho rimosso # da #redirect-gateway def1

Navigo correttamente e accedo alla rete del NAS

Credo che l'errore fosse dato dal fatto che la prima configurazione effettuata sul portatile venne fatta sulla stessa rete del NAS e questa situazione abbia creato qualche problema.

Direi che il problema è risolto ma ho una domanda.

Dopo l'avvenuta connessione, digitando ad esempio tracert www.google.it al prompt dei comandi,pensavo che il primo hop corrispondesse al server VPN installato sul NAS Synology remoto (generalmente, 10.8.0.1).

Mentre il secondo hop al router cui il NAS è collegato (quindi 192.168.1.1)e successivamente uscire in rete.

Collegandomi dall'hot spot del cellulare però vedo che con il tracert a www.google.it ottengo subito l'indirizzo IP assegnato dalla rete wi-fi del telefono e non il server VPN.

Sapresti dirmi se è corretto?

Grazie per tutto :)
  • UPS: Tecnoware + Era Plus 900
  • GTW: Vodafone Station ahg2500 ISP: ADSL Provider Alice IP:Public
  • SWC: TP-Link (TL-SG108PE)
  • NAS: DS215+6.2-23739 Update 1; 1024 MB; 2.7 TB; LAN:LAG(1+2),3,4
  • CLI: Win7-64, Win10-64
  • ZyWall-USG-40
  • EXP: E4 - NET7 PC:W9,M6,L6

Avatar utente
burghy86
Moderatore
Moderatore
Messaggi: 9894
Iscritto il: martedì 11 settembre 2012, 18:59

Re: Open VPN su Server Synology Nas (rete Nas ok. connessione internet no.)

Messaggio da burghy86 » mercoledì 8 aprile 2020, 17:05

Nella rete dove c'è il server vpn di solito si cerca di avere una rete non standard.
192.169.1.1 oppure 192.168.0.1 andrebbero evitate perché il 90% delle abitazioni danno quella rete.

Metti che so: 192.168.168.1
ATTENZIONE PRIMA DI POSTARE
Passare dalla sezione presentazioni e leggere il regolamento firma obbligatorio

siamo una community, aiutateci a sentirci parte di qualcosa e non un helpdesk
Non do aiuto in privato ma sul forum a tutti!!
Un grazie ci spinge a lavorare meglio
------------------------------------------------------------
  • UPS: apc
  • GTW: netgear dgn2200 o TP-LINK TD-W8970 ISP: [ADSL] intred(20000/1024/0) IP:[pubblico]
  • SWC: hp gigabit 8 porte with poe
  • NAS: ds213, ds213j,ds210j,ds413j, ds215j, ds415+ dmv dal 5.2 alla 6. qnap ts212p ts22, all hd con wdred da 2/6tb
  • CLI: xpsp3, seven pro 64bit, win 8.1 64bit, mac, win 10
    [altro]
  • 3 smartphone android, un iphone5,lettore bd with allshare samsung, vodafone tv, raspberry p2 e p3

eberi
Utente
Utente
Messaggi: 58
Iscritto il: sabato 23 febbraio 2013, 21:07

Re: Open VPN su Server Synology Nas (rete Nas ok. connessione internet no.)

Messaggio da eberi » giovedì 9 aprile 2020, 9:14

Trinidad ha scritto:
mercoledì 8 aprile 2020, 16:38
Eberi, vorrei aggiornarti sulla situazione, potrebbe essere utile anche per altri che possono avere lo stesso problema.

- Ho cancellato il vecchio certificato

- Da VPN Server esportato una nuova configurazione

- Effettuato l'accesso dal portatile tramite hotspot del cellulare

- installato nuovamente Open VPN sul PC e modificato il file openvpn.ovpn

Non ho rimosso # da #redirect-gateway def1

Navigo correttamente e accedo alla rete del NAS

Credo che l'errore fosse dato dal fatto che la prima configurazione effettuata sul portatile venne fatta sulla stessa rete del NAS e questa situazione abbia creato qualche problema.

Direi che il problema è risolto ma ho una domanda.

Dopo l'avvenuta connessione, digitando ad esempio tracert www.google.it al prompt dei comandi,pensavo che il primo hop corrispondesse al server VPN installato sul NAS Synology remoto (generalmente, 10.8.0.1).

Mentre il secondo hop al router cui il NAS è collegato (quindi 192.168.1.1)e successivamente uscire in rete.

Collegandomi dall'hot spot del cellulare però vedo che con il tracert a www.google.it ottengo subito l'indirizzo IP assegnato dalla rete wi-fi del telefono e non il server VPN.

Sapresti dirmi se è corretto?

Grazie per tutto :)
si è corretto fa lo split tunneling
Gateway: ASUS RT-AC68U ISP: NGI Eolo 100 100/10 Mb
Switch: NETGEAR Nighthawk S8000
Ups: APC Back-UPS BX 700VA
Nas: DS918+ 16 GB di RAM, DSM 6.2.2-24922 Update 2, HDD IronWolf da 6 Tb
Client: PS4, WIN 10 64bit, Iphone 7, Iphone XS Max, Ipad Air
Lettore Multimediale: Dune HD base 3D
TV: Sony Bravia KDL40W905A

Avatar utente
Trinidad
Utente
Utente
Messaggi: 12
Iscritto il: giovedì 5 luglio 2018, 11:00
Località: Sardegna

Re: Open VPN su Server Synology Nas (rete Nas ok. connessione internet no.)

Messaggio da Trinidad » giovedì 9 aprile 2020, 11:37

Grazie Mille a tutti per i consigli :D
  • UPS: Tecnoware + Era Plus 900
  • GTW: Vodafone Station ahg2500 ISP: ADSL Provider Alice IP:Public
  • SWC: TP-Link (TL-SG108PE)
  • NAS: DS215+6.2-23739 Update 1; 1024 MB; 2.7 TB; LAN:LAG(1+2),3,4
  • CLI: Win7-64, Win10-64
  • ZyWall-USG-40
  • EXP: E4 - NET7 PC:W9,M6,L6

Avatar utente
dMajo
Moderatore
Moderatore
Messaggi: 1805
Iscritto il: sabato 18 agosto 2012, 23:14
Località: FVG - Italia

Re: Open VPN su Server Synology Nas (rete Nas ok. connessione internet no.)

Messaggio da dMajo » giovedì 9 aprile 2020, 18:29

La configurazione dipende dall'obbiettivo che si vuole ottenere.

Generalmente la propria infrastruttura (rete casalinga(se hi la configura ha esperienza)/aziendale) dovrebbe essere il punto sicuro in quanto opportunamente protetta da buoni firewall opportunamente configurati.
Da un punto di vista della protezione, a seconda dei firewall utilizzati, spesso la vpn li bypassa creando un link diretto fra il client esterno e la rete interna. Lo split-tunnel in questo caso rappresenta un rischio maggiore in quanto crea un potenziale punto di passaggio fra l'internet esterno e la vpn nel client remoto, aprendo così una finestra sulla ns rete.

Altro motivo per cui spesso si utilizza una vpn (a pagamento, che con il nas può esser evitato) è per proteggersi quando ci si trova in giro negli hot-spot pubblici (aeroporti, alberghi, ...) anche qui lo split-tunneling vanifica la protezione in quanto il traffico non diretto alla ns. LAN (navigazione internet) passerà attraverso le strutture wi-fi dell'aeroporto/albergo. Senza lo split-tunnel invece tutto il traffico generato dal client viene diretto al server VPN: quello locale raggiungerà i nodi locali della rete, mentre quello 'di navigazione' attraverso il server vpn ed il suo router uscirà in internet secondo le regole e concessioni fatte dall'amministratore della rete locale. Questa è sicuramente l'opzione più sicura.
Dal 01.01.2015 non rispondo a quesiti tecnici dei non osservanti il regolamento http://www.synologyitalia.com/presentazioni/regolamento-leggere-prima-di-postare-t5062.html

  • UPS: APC SMT2200I+AP9631
  • GTW: Vigor2862Vac(3.9.3): 2IPS FTTC(30M/3M)+FTTH(1G/100M)+USB4G :o
  • SWC: Netgear GS728TPv2(PoE+)
    • 4x HP NJ2000G
    • 2x Netgear GS108Tv2
    • 2x VigorAP902
  • NAS: DS1819+: DSM6.2(23824u4),32GB; R1(2x845DCPro),R5(3xWD60EFRX),R0(2xWD60PURX),VB(WD60EFRX);LAN:LAG(1+2),3,4 :D
    • RS3617xs+: DSM6.2(23824u4),8GB; R5(8xWD40FFWX),HS(WD40FFWX); LAN:LAG(1+2+3),4,LAG(5+6)
    • RS2414RP+: DSM5.2(5967u1),4GB; R10(4xWD30EFRX),R5(3xWD30EFRX),HS(WD30EFRX); LAN:LAG(1+2+3),4
    • DS1815+, DS1513+
  • ALTRO: Denon AVR-4311
    • UE55ES8000Q, UE32ES6800Q, UE22F5410AY
    • Galaxy Note8, A5, TabS3; Nokia N8
  • EXP: E4: NET9 PC:W9,M0,L6

Avatar utente
Trinidad
Utente
Utente
Messaggi: 12
Iscritto il: giovedì 5 luglio 2018, 11:00
Località: Sardegna

Re: Open VPN su Server Synology Nas (rete Nas ok. connessione internet no.)

Messaggio da Trinidad » giovedì 9 aprile 2020, 20:12

Grazie mille dMajo,

Dopo aver letto il tuo messaggio e eliminato # da #redirect-gateway def1 ho verificato il risultato digitando tracert www.google.it al prompt dei comandi, ora il primo hop corrisponde al server VPN installato sul NAS Synology remoto.

In questo caso credo di avere il link diretto fra il client esterno e la rete interna, come desideravo :)

Grazie ancora a tutti, ogni commento è stato preziosissimo
  • UPS: Tecnoware + Era Plus 900
  • GTW: Vodafone Station ahg2500 ISP: ADSL Provider Alice IP:Public
  • SWC: TP-Link (TL-SG108PE)
  • NAS: DS215+6.2-23739 Update 1; 1024 MB; 2.7 TB; LAN:LAG(1+2),3,4
  • CLI: Win7-64, Win10-64
  • ZyWall-USG-40
  • EXP: E4 - NET7 PC:W9,M6,L6

Avatar utente
Trinidad
Utente
Utente
Messaggi: 12
Iscritto il: giovedì 5 luglio 2018, 11:00
Località: Sardegna

Re: Open VPN su Server Synology Nas (rete Nas ok. connessione internet no.)

Messaggio da Trinidad » venerdì 10 aprile 2020, 18:09

dMajo ha scritto:
giovedì 9 aprile 2020, 18:29
La configurazione dipende dall'obbiettivo che si vuole ottenere.

Generalmente la propria infrastruttura (rete casalinga(se hi la configura ha esperienza)/aziendale) dovrebbe essere il punto sicuro in quanto opportunamente protetta da buoni firewall opportunamente configurati.
Da un punto di vista della protezione, a seconda dei firewall utilizzati, spesso la vpn li bypassa creando un link diretto fra il client esterno e la rete interna. Lo split-tunnel in questo caso rappresenta un rischio maggiore in quanto crea un potenziale punto di passaggio fra l'internet esterno e la vpn nel client remoto, aprendo così una finestra sulla ns rete.

Altro motivo per cui spesso si utilizza una vpn (a pagamento, che con il nas può esser evitato) è per proteggersi quando ci si trova in giro negli hot-spot pubblici (aeroporti, alberghi, ...) anche qui lo split-tunneling vanifica la protezione in quanto il traffico non diretto alla ns. LAN (navigazione internet) passerà attraverso le strutture wi-fi dell'aeroporto/albergo. Senza lo split-tunnel invece tutto il traffico generato dal client viene diretto al server VPN: quello locale raggiungerà i nodi locali della rete, mentre quello 'di navigazione' attraverso il server vpn ed il suo router uscirà in internet secondo le regole e concessioni fatte dall'amministratore della rete locale. Questa è sicuramente l'opzione più sicura.
dMajo,

Ho letto alcuni tuoi post sul Forum riguardo l'utilizzo di connessioni VPN con split-tunneling e senza split-tunneling.

Mi pare di aver capito che lo split-tunneling disattivato sulla mia configurazione precedentemente descritta mi permette di reindirizzare la navigazione secondo le regole e concessioni fatte nella mia rete locale, quindi un tunnel sicuro.

Ora ti chiedo, se volessi utilizzare un ulteriore servizio VPN per poter vedere contenuti video non presenti in italia e mantenere l'anonimato questo sarebbe implementabile sul NAS in aggiunta alla configurazione presente?

Correggimi se sbaglio, ma in questa configurazione appena descritta, il NAS non sarebbe più il Server ma sarebbe il Client che di conseguenza si connetterebbe al Server del servizio VPN utilizzando la funzionalità dello split-tunneling

Secondo te, questa, sarebbe una configurazione ideale e fattibile oppure creerebbe dei problemi di accesso al NAS tramite la VPN precedentemente configurata?


Ps. ho letto questi post e mi è venuta questa curiosita :)

viewtopic.php?f=31&t=5040
  • UPS: Tecnoware + Era Plus 900
  • GTW: Vodafone Station ahg2500 ISP: ADSL Provider Alice IP:Public
  • SWC: TP-Link (TL-SG108PE)
  • NAS: DS215+6.2-23739 Update 1; 1024 MB; 2.7 TB; LAN:LAG(1+2),3,4
  • CLI: Win7-64, Win10-64
  • ZyWall-USG-40
  • EXP: E4 - NET7 PC:W9,M6,L6

Rispondi

Torna a “Networking - Servizi e apparecchi di rete (cablaggio e config)”