Collegare 2 syno via VPN

[HeavyManto]

provati tutti e 3 stesso risultato ho aperto le porte come indicato

http://www.synology.com/it-it/support/faq/299

ma mi dice sempre che ci sono problemi di rete, un log?

[burghy86]

perdonami.
tu hai un nas "a casa" collegato con il router che ha indirizzo 192.168.0.110 e ip pubblico hai: nas1.ddns.net (esempio
il nas lavoro ha: 192.168.0.100 e come ip pubblico ha: nas2.ddns.net

sul nas1 hai impostato il server vpn, hai aperto la porta sul router e facendo una prova da remoto con il pc funziona.

sul nas2 sei andato in gestione rete e hai creato il tunnel vpn mettendo come indirizzo nas1.ddns.net e utente e password abilitati sul nas1

giusto?

[HeavyManto]

si proprio così, in più come da te proposto, ho provato anche le antre 2 tipologie di VPN. Queste non ho modo di provarle in altro modo. Mentre, come ti dicevo, ho avviato il client VPN sempre da casa quindi nella stesse terra della nas2 e si è collegato subito, questo conferma che porte e servizio sul server sono ok, non capisco perchè la nas2 non ce la fà

[HeavyManto]

Con la VPN non ne sono venuto fuori, ma ho risolto con un tennel via firewall.

Ossia NAS mater copia su NAS backup. La prima ha tutte le porte chiuse a parte i servizi che servono cloud station https e pochissime altre. Per usare il backup di rete serve anche la porta 22 per cui il problema era aprirla sulla NAs backup in sicurezza. La soluzione è la seguente. Grazie al firewall del DSM ho messo una regola che chiude tutte le porte di default ma ho aggiunto un' eccezione, permetti tutto alla NAS master, avendo IP statico è facile. Ho fatto tutte le prove del caso funziona benissimo. Se tolgo la white list non entra nessuno, master compresa. Con la white list entra il master ma da altri pc tutto chiuso. Perfetto. Velocità di copia da brividi, ha sincronizzato centinaia di giga in poche ore. Grande syno!!!!!

[dMajo]

Con la VPN non ne sono venuto fuori, ma ho risolto con un tennel via firewall.

Ossia NAS mater copia su NAS backup. La prima ha tutte le porte chiuse a parte i servizi che servono cloud station https e pochissime altre. Per usare il backup di rete serve anche la porta 22 per cui il problema era aprirla sulla NAs backup in sicurezza. La soluzione è la seguente. Grazie al firewall del DSM ho messo una regola che chiude tutte le porte di default ma ho aggiunto un' eccezione, permetti tutto alla NAS master, avendo IP statico è facile. Ho fatto tutte le prove del caso funziona benissimo. Se tolgo la white list non entra nessuno, master compresa. Con la white list entra il master ma da altri pc tutto chiuso. Perfetto. Velocità di copia da brividi, ha sincronizzato centinaia di giga in poche ore. Grande syno!!!!!

Questo non è un tunnel via firewall ... ma comunque abbiamo capito.

Il modo giusto per aprire le porte fra nas1 e nas2 sul firewall del nas è:

Codice: Seleziona tutto

    Enabled  Ports            Protocol  SourceIP                    Action
--------------------------------------------------------------------------
1.  Yes      Network Backup   All       1.2.3.4                     Allow
2.  Yes      Network Backup   All       192.168.1.0/255.255.255.0   Allow

10. Yes      DSM 5000         All       192.168.1.0/255.255.255.0   Allow
11. Yes      DSM 5001         All       All                         Allow

99. Yes      -                ICMP      192.168.1.0/255.255.255.0   Allow
--------------------------------------------------------------------------
If no rules are mached: (X)Deny    ( )Allow

è fare ovviamente il port-forwarding delle stesse dal router verso il nas (eventualmente se possibile limitando a 1.2.3.4 anche li, che l'eccesso di prudenza non guasta mai)

Come puoi vedere le regole 1 e 2 inerenti lo stesso servizio attribuiscono il diritto di accesso all'ip esterno (al prima) che sara quello pubblico statico (wan) del router remoto e tutta la sottorete locale (la seconda)
Allo stesso modo le 10 e 11 rendono la porta 5000 disponibile solo per lan locale mentre la 5001 è aperta a tutti (ovviamente se poi sara anche rediretta sul router) per un potenziale accesso esterno.
L'ultima (99) fa si che il nas risponda ai ping solo dalla sottorete locale, utile per eventuali diagnostiche, ignorando tutto il resto visto che il firewall blocca tutto in assenza di regole.

Detto ciò per una vera sicurezza bisognerebbe fare una VPN (lan-lan) fra router (o firewall a valle degli stessi se sono apparecchiature indipendenti tipo watchguard, sonicwall ...) perche nell' esempio sopra riportato in realta il nas aprendo la 22 all'ip remoto 1.2.3.4 in realta non la apre solamente al nas remoto bensì a tutti i nodi (pc, smartxxx, switch, stampanti ...) della lan remota che usando il nat escono con lo stesso ip.
Avendo la VPN le regole 1,2 risulterebbero così:

Codice: Seleziona tutto

    Enabled  Ports            Protocol  SourceIP                    Action
--------------------------------------------------------------------------
1.  Yes      Network Backup   All       192.168.10.100              Allow
2.  Yes      Network Backup   All       192.168.1.0/255.255.255.0   Allow

garantendo che dalla lan remota (192.168.10.0/24) solamente il nas (100) abbia l'accesso.


Generalmente la cosa più semplice sarebbe quella di cambiare gli indirizzi della rete da un lato in quanto per poter instradare i pacchetti fra due lan esse non possono avere gli stessi indirizzi, ma le configurazioni dei tunnel (lan2lan) permettono quasi sempre di nattarli (1:1) un uno o ambo i sensi:

Codice: Seleziona tutto

    Sito locale A           <VPN>            Sito remoto B
==========================================================================
1)  192.168.1.0/24        lan locali         10.0.0.0/24
    192.168.1.0/24         routing>          192.168.1.0/24
    10.0.0.0/24            <routing          10.0.0.0/24
--------------------------------------------------------------------------
2)  192.168.1.0/24        lan locali         192.168.1.0/24
    192.168.1.0/24       routing+nat>        192.168.100.0/24
    192.168.20.0/24      <routing+nat        192.168.1.0/24
--------------------------------------------------------------------------

L'esempio 1 rappresenta il routing classico fra due lan connesse in VPN con indirizzi originali diversi.
Siccome però le due lan da connettere possono far parte di due organizzazioni multinazzionali, con strutture complesse e gìà interconesse con una miriade di altre realtà, dove potrebbe essere impossibile cambiare gli indirizzi di una delle due senza dover poi cambiare tutte le varie vpn, mpls, tabelle di routing (spesso su tratte internazionali/intercontinentali)... di tutte le apparecchiature dell'organizzazione, si usa il NAT1:1(di rete).
Ovvero nell' esempio 2 in nas locale (sito A) avrà indirizzo 192.168.1.100 mentre quello remoto (sito B) sarà 192.168.1.110, quindi entrambe le lan localmente sono delle 192.168.1.0/24 ma:
- la rete locale raggiungerà il proprio nas su 192.168.1.100 mentre accederà a quello sulla remota con 192.168.20.110
- mentre nel sito remoto B il nas (li locale) continuerà ad essere 192.168.1.110 mentre per accedere a quello remoto (del sito A dal sito B) si dovrà usare 192.168.100.100
Per la cronaca i Vigor2830/2860 le supportano

Spero di non esser stato troppo tecnico

[HeavyManto]

Wow, ti ringrazio per la tua spiegazione. In effetti mettere qualche regola in più sul firewall non fa di certo male e mi servivano proprio queste indicazioni.

Ora che tutto funziona ho un unica scocciatura. La sincronizzazione tra NAS 1 e NAS 2 non è schedulata ma è di tipo "su modifica". La cosa strana è che arrivano circa 400-500 mail al giorno di mancata sincronizzazione. Passando al sistema "a richiesta" vedo che nn ci sono file da sincronizzare. Sembra quasi che molte volte che prova a sincronizzare non ci riesci, per motivi non chiari, il log dice sono che non c'è riuscito. Poi ad un certo punto ci riesce e tutto bene. Secondo me è dovuto al fatto che non ci sono timeout forse è dato x scontato che sia in locale per cui ad un minimo ritardo nella risposta da un ko.

- Esiste un modo per sapere l'errore esatto?
- Si può impostare un timeout sulla sincronizzazione?

grazie

[dMajo]

Non saprei, non ho mai usato il network backup del syno. Verifica che le configurazioni siano giuste e tutte le porte necessarie aperte (sul sito ufficiale trovi l'elenco di tutte le porte usate da ciascuna app/servizio (ufficiali)). Eventualmente se hai gli ip statici su ambo i lati prova aprirle da ambo le parti.

Forse qualcun altro che usa il servizio saprà darti dritte più precise

[HeavyManto]

funziona tutto una volta che parte, ma quando fa la richiesta a volte riceve dei ko mandando una tollelata di email. Poi ad un certo punto si decide e fa la copia.

[dMajo]

Scusa, ma stai usando la sincronizzazione cartelle o il backup?
Per entrambi un nas (quello di "destinazione") dovra avere il servizio attivato, ma mentre la sincronizzazione dovrebbe essere bidirezionale e avere si le possibilità di girare su modifica o a richiesta, il backup una volta scelte le cartelle sorgente e quella di destinazione dovrebbe essere o manuale o schedulato.

Non conosco rsync (la base delle app) ma potrebbe darsi che in caso di sincronizzazione la definizione del master e della destinazione sia inerente solamente alla modalità client-server dell'app sui due lati, non necessariamente rappresenta l'iniziatore della comunicazione e quindi il lato sul quale devono essere aperte le porte (potrebbero essere richiesti entrambi). Mentre mi sembrerebbe ovvio che in caso di backup l'iniziatore (sia in caso di backup che restore) sia sempre il client.

[HeavyManto]

Uso il Backup è unidirezionale. Si può attivare manuale, schedulato o su modifica. Su modifica va e non va. Provo a schedularlo stretto e poi vedo se è meglio