VPN su netgear DGN2200v3

[marcelloinofficina]

Buongiorno a tutti, ho già fatto ricerca sul forum di tutti gli argomenti relativi alle vpn ma avrei alcuni dubbi prima di iniziare ad impostarla che vorrei sottoporre ai più esperti.
Premetto che è un'operazione che non ho mai fatto e non sono molto pratico, ma credo di aver capito che un tunnel vpn tra il nas e i client da remoto sia la condizione più sicura ed affidabile. Confermate? Per le prime prove ho aperto la porta 5001 sul router e all'occorrenza effettuo l'accesso tramite browser. La vpn che vantaggi porterebbe rispetto a questa soluzione?

I miei client sarebbero iphone - ipad - notebook con win7

La prima scelta che dovrei affrontare è se impostare la vpn con vpn server sul nas oppure impostarla semplicemente da router? mi potreste spiegare le differenze e soprattutto quale è più semplice da settare per un novizio come me?

Il secondo dubbio è riguardante le impostazioni delle porte che ho ad oggi aperte sul router: per ora ho le porte BT 6881 e 16881, emule 4662 e 4672, e la 5001. quando imposterò la vpn queste le dovrò tenere aperte comunque o posso richiuderle?

Per il momento ringrazio tutti per l'aiuto che mi darete

[ponzo79]

credo di aver capito che un tunnel vpn tra il nas e i client da remoto sia la condizione più sicura ed affidabile. Confermate?

Si, è anche la più comoda una volta configurata correttamente la VPN, questo perché ti permette di accedere a tutti i tuoi dispositivi e servizi presenti nella tua LAN attraverso gli indirizzi ip che i dispositivi e servizi stessi hanno nella LAN...
Faccio un esempio...se in LAN ti connetti al nas con indirizzo 192.168.1.10:
- senza VPN dovrai aprire un'apposita porta per ogni servizio e per accedere da remoto dovrai digitare il tuo ip PUBBLICO (o indirizzo DDNS seguito dalla porta precedentemente aperta per quel servizio)
- con la VPN invece, una volta connessa la VPN, basterà inserire 192.168.1.10 nel browser per accedere all'interfaccia del DSM, oppure aprire downloadstation o filestation per accedere appunto alla downloadstation o filestation e ti connetterai semplicemente inserendo 192.168.1.10 e senza aprire alcuna porta (tranne quella della VPN se la configuri sul nas)....

La prima scelta che dovrei affrontare è se impostare la vpn con vpn server sul nas oppure impostarla semplicemente da router? mi potreste spiegare le differenze e soprattutto quale è più semplice da settare per un novizio come me?

Sicuramente sarebbe meglio sul router se ne hai la possibilità, questo perché ti permetterebbe di lasciare tutte le porte chiuse e inoltre perché funzionerebbe anche col nas spento...
Non so però sul DGN2200v3 che VPN puoi configurare...suppongo quasi sicuramente IPSec e forse PPTP...
Se lo fai sul nas invece potresti scegliere anche OpenVPN con la quale mi trovo molto bene, ma che con iOS ha qualche complicazione in più di PPTP nella configurazione ma è molto più sicura...

PS: le porte di emule e torrent le devi sempre lasciare aperte....anche con la VPN

[marcelloinofficina]

Grazie Ponzo79 per i consigli...
Dunque sul dgn2200 ho verificato attentamente ma c'è solo un wizard vpn di 4 punti:
il primo devo scegliere se il vpn è client to gateway o gateway to gateway. Immagino client to gateway.
il secondo è:


il terzo è:


Non c'è alcuna traccia di che tipologia di vpn sto facendo e inizio a pensare che la soluzione migliore a questo punto è quella di impostare la vpn attraverso il nas e non con il router in mio possesso.
Cosa mi consigliate?

grazie mille come al solito

[dMajo]

http://forum.synology.com/enu/viewtopic ... 73&t=77644

[ponzo79]

Grazie Ponzo79 per i consigli...
Dunque sul dgn2200 ho verificato attentamente ma c'è solo un wizard vpn di 4 punti:
il primo devo scegliere se il vpn è client to gateway o gateway to gateway. Immagino client to gateway.
il secondo è:


il terzo è:


Non c'è alcuna traccia di che tipologia di vpn sto facendo e inizio a pensare che la soluzione migliore a questo punto è quella di impostare la vpn attraverso il nas e non con il router in mio possesso.
Cosa mi consigliate?

grazie mille come al solito

No, nel caso tu voglia configurare il router per accedere via VPN, allora non devi impostare il client...ma il server...quindi visto che non hai la configurazione per il server prova con gateway

[marcelloinofficina]

Il mio inglese non è eccellente ma da quello che è riportato in questo interessante post segnalato da dMajo
http://forum.synology.com/enu/viewtopic ... 73&t=77644
pare che vpn server dei nostri synology abbia un bug non indifferente non dando la possibilità di modificare la password di root.
Ora siccome non ho le competenze per capire minimamente cosa significa ciò, ma la sicurezza dei dati che andrò a caricare sul nas è importante, inizio ad essere un po' confuso su qual'è la modalità migliore per accedere al nas da remoto.
Con il mio router non è possibile impostare una vpn l2pt o openvpn e ora sembra che il vpn server non sia sicuro. Leggo comunque che molti di voi consigliano la vpn come migliore soluzione per connettersi da remoto. Sono un po' in stallo sulla decisione da prendere...

Ieri nel frattempo ho verificato le porte che posso aprire sul dgn2200:
se decidessi per openvpn dovrei creare un nuovo servizio personalizzato sulla porta 1194 per poi aprirla indirizzandola all'ip del nas e fin qui tutto liscio. pro:super consigliata in vari post da ponzo79 contro:difficoltà almeno per me da configurarla su ipad e iphone
se decidessi per l2pt dovrei aprire 3 porte ma qui sul mio router iniziano a nascere i primi problemi: la 1701 me la fa aprire selezionando un servizio già preimpostato l2pt appunto, mentre la 4500 fa parte di un servizio preimpostato che non può essere aperto assieme alla 4500...insomma ho già difficoltà ad aprire le porte sul router.
Opterei quindi per la open vpn con la speranza di riuscire a settarla anche per ipad e iphone ma vorrei prima sapere cosa ne pensate a riguardo del nostro vpn server e di quale vpn aprire...
grazie mille come al solito, in queste settimane di settaggi mi state dando un aiuto e sostegno fondamentale!

[dMajo]

Molti consigliano la vpn perché dovrebbe esser più sicura non richiedendo l'apertura di nessuna porta tranne quelle necessarie alla vpn stessa. Ovviamente eccezione a questo sono le porte 80/443 nel caso tu usi il nas per pubblicare un sito internet e quelle necessarie alla download station nel caso tu la utilizzi. Per tutto il resto, risultando il client che si connette in vpn interno alla tua rete, non serve aprire nulla.
Io consiglio sempre il server vpn sul router.
Il rischio col syno è che se un potenziale hacker intuisse che il dispositivo server è un nas syno potrebbe autenticarsi con le credenziali oggetto del link ottenendo così l'accesso alla lan. Personalmente non uso il server vpn del syno, ne l'ho mai provato, ma se questo supporta l'uso dei certificati allora il baco non sarebbe più critico in quanto chi si collega dall'esterno oltre alle credenziali dovrebbe aver installato sulla propria macchina anche il certificato digitale.
Per installarlo, tale certificato dovrebbe esser trasferito mediante chiavetta usb o lan interna, garantendo così che il pc/nb/tablet ... oggetto dell'accesso remoto almeno una volta sia stato in mano all'amministratore del nas o collegato alla stessa rete per poterne consentire il trasferimento.

[ponzo79]

Il mio inglese non è eccellente ma da quello che è riportato in questo interessante post segnalato da dMajo
http://forum.synology.com/enu/viewtopic ... 73&t=77644
pare che vpn server dei nostri synology abbia un bug non indifferente non dando la possibilità di modificare la password di root.
Ora siccome non ho le competenze per capire minimamente cosa significa ciò, ma la sicurezza dei dati che andrò a caricare sul nas è importante, inizio ad essere un po' confuso su qual'è la modalità migliore per accedere al nas da remoto.
Con il mio router non è possibile impostare una vpn l2pt o openvpn e ora sembra che il vpn server non sia sicuro. Leggo comunque che molti di voi consigliano la vpn come migliore soluzione per connettersi da remoto. Sono un po' in stallo sulla decisione da prendere...

Ieri nel frattempo ho verificato le porte che posso aprire sul dgn2200:
se decidessi per openvpn dovrei creare un nuovo servizio personalizzato sulla porta 1194 per poi aprirla indirizzandola all'ip del nas e fin qui tutto liscio. pro:super consigliata in vari post da ponzo79 contro:difficoltà almeno per me da configurarla su ipad e iphone
se decidessi per l2pt dovrei aprire 3 porte ma qui sul mio router iniziano a nascere i primi problemi: la 1701 me la fa aprire selezionando un servizio già preimpostato l2pt appunto, mentre la 4500 fa parte di un servizio preimpostato che non può essere aperto assieme alla 4500...insomma ho già difficoltà ad aprire le porte sul router.
Opterei quindi per la open vpn con la speranza di riuscire a settarla anche per ipad e iphone ma vorrei prima sapere cosa ne pensate a riguardo del nostro vpn server e di quale vpn aprire...
grazie mille come al solito, in queste settimane di settaggi mi state dando un aiuto e sostegno fondamentale!

Da quello che ho letto (e mi corregga dMajo se ho sbagliato a tradurre) il bug funziona solo ed esclusivamente su OpenVPN e non su PPTP e IPSec...
Ma a mio modesto parere il bug è tuttavia innocuo se si utilizzano certificati autoprodotti con la procedura spiegata quì guide-tips/creare-tunnel-vpn-con-openvp ... t3057.html
Questo perché in OpenVPN la password è importante, ma senza i relativi certificati non serve a nulla....quindi l'eventuale hacker che tenta di introdursi nella VPN non ci riesce perché non è in possesso del certificato....
Inoltre oggi è uscito un nuovo aggiornamento di VPN server che spero risolva il problema....oltre al fatto che la soluzione di impostare manualmente root=0 funziona perfettamente.
Per configurare OpenVPN su iOS è un po' laborioso ma non è complicato, basta seguire la guida che ti ho postato sopra....sicuramente molto più semplice è l'utilizzo di L2PT o PPTP.
Per il discorso L2PT quale servizio hai sulla 4500? non puoi eventualmente cambiare la porta a quel servizio?

[dMajo]

(e mi corregga dMajo se ho sbagliato a tradurre)

Vero per OpenVPN e vero per root=0 [/usr/syno/etc/packages/VPNCenter/privilege]

[bubunet]

E' uscito l'aggiornamento del pacchetto openvpn che risolve il problema segnalato nel link da dMajo.
Ho fatto alcuni test, prima dell'aggiornamento era possibile entrare, dopo non permette l'accesso.