Mia prima VPN...chiarimenti

[mancio61]

Bene, dopo circa un mesetto e passa di felice utilizzo del mio primo NAS, vorrei provare ad "aprirlo" all'esterno della mia LAN casalinga.

Premetto che non ho ancora forwardato alcuna porta sul mio router (Telecom Fibra), eccetto quelle necessarie per l'utilizzo di BT mediante Download Station (che peraltro funziona alla grandissima...). Non ho nemmeno mai creato un mio DDNS, le poche volte che ho acceduto da fuori al NAS mediante le DS App android ho usato QuickConnect (in pratica solo DS Download per monitorare ogni tanto lo stato dei downloads in corso....)

Ieri mi sono letto la miniguida sul sito Syno per poter mettere su una VPN in modo da potervi accedere dai client. Ho installato e lanciato VPN Server, configurato il protocollo L2TP/IPSec come da istruzioni e creata la sessione VPN sul mio cell Android. Facendo le prove in casa, il cell era connesso WiFi al Router. Ho connesso la VPN e dal pannello di controllo del VPN Server su DSM ho visto la mia bella connessione attiva.
Rilevo che alla creazione su DSM della connessione, mi è apparsa una dialog box che mi diceva che per "uscire" all'esterno, dovrei aprire le porte TCP qui, quo qua (non mi ricordo i numeri...) sul router.

Bene. Ora i passi dovrebbero essere:
1) Apertura delle porte indicate (devo andare a vedere quali sul sito Syno)...tutte e tre o basta una delle tre?
2) Devo per forza creare un DNNS? Se si OK, credo facendolo "puntare" all'IP privato del NAS 192.168.1.xx, giusto?
3) Configurando il protocollo L2TP/IPSec, ora come indirizzo del NAS ho messo quello privato 192.168.1.xx della mia LAN. Avendo creato il DNNS immagino vada messo quello. Come va indicato?
4) Creata la connessione correttamente, a questo punto dovrei riconfigurarla sui miei Client Android, indicando come Server Address MyDNNS:porta?? quale delle tre (se vanno messe tutte e tre)?
5) A questo punto, se sono in giro, non connesso ad una WiFi, e connetto la VPN, in pratica entro attraverso la stessa come in un tunnel protetto nel mio NAS. Ma le varie App DS, come vanno accedute? Non + con Quickconnect, ma devo usare MyDNNS ecc.? E automaticamente "parlano" col server via la connessione VPN?
6) Se invece sono in una zona Free Wi-FI, o momentaneamente da un amico che mi fa attaccare alla sua rete, funziona tutto come nel punto 5? Cioe, mi connetto Wi-FI alle rete del mio amico (o all'hotspot free), poi attivo la VPN...e sono a posto?
7) Con questo approccio non devo aprire nessuna altra porta (tipo 5000 o 5001) sul router vero? Accederei solo tramite questo canale protetto...

Spero di avere capito, ma non sono sicuro....le VPN (ma in generale le reti) per me sono un mistero glorioso....

[ponzo79]

1. Con L2TP si devi aprire tutte le porte indicate sia sul nas che sul router puntandole verso l'ip del nas (che deve essere statico)
2. Si, devi crearti un indirizzo DDNS oppure avere un ip pubblico statico (lo devi eventualmente chiesere al tuo provider)
3. Si, devi indicare l'indirizzo DDNS. Per fare una prova momentanea basta che guardi al momento qual'è il tuoi ip pubblico (tramite uno dei tanti siti che trovi online).
Per le porte penso che non serve che le indichi, sono di default, comunque prova
4. Si, ma secondo me non serve che indichi la porta
5. Una volta connessa la VPN è come se ti trovassi all'interno della tua LAN e potrai connetterti a tutti i dispositivi presenti nella tua LAN. Solo usa gli indirizzi ip e non i nomi host. Non devi cambiare alcuna impostaIone delle varie app, funziona tutto come quando sei conneso a casa, è proprio questo uno dei maggiori vantaggi
6. Una volta configurata correttamente la VPN, che tu sia connesso via wifi o altro non cambia niente, solo che alcune reti wireless potrebbero non permetterti connessioni VPN (per conflitto di classi di ip o per colpa dei firewall).
Dall'interno della tua LAN però non funzionerà ovviamente...
7. No devi solo aprire le porte per la VPN

[mancio61]

Anzitutto grazie per la pronta risposta.
C'e ancora però una cosa che non mi è chiara...

.....
5. Una volta connessa la VPN è come se ti trovassi all'interno della tua LAN e potrai connetterti a tutti i dispositivi presenti nella tua LAN. Solo usa gli indirizzi ip e non i nomi host. Non devi cambiare alcuna impostaIone delle varie app, funziona tutto come quando sei conneso a casa, è proprio questo uno dei maggiori vantaggi

OK, ma sulla stringa di connessione al NAS che ho nelle varie app (dove adesso metto il QuickConnect ID), che devo mettere? MyDNNS secco? o con porta? Questo non mi è chiaro.
Mi spiego :
a) sono in giro, connesso con traffico dati oppure su wifi che mi ospita. OK, mi connetto in VPN. Per accedere alle DS Apps entro nel router da fuori, passando per la VPN. Quindi per entrare, devo dargli il mio DNNS (assimilabile al mio indirizzo "pubblico").
b) sono a casa, sono collegato in wifi al router. Per accedere con le DS Apps non devo entrare nel router da fuori (ovvio, sono già dentro...), e allora sulla login della DS app che senso ha usare il mio DNNS? Non sarebbe come dire alla App di "uscire" e "rientrare" dalla stessa porta (forse è proprio quello che succede...).
Mi scuso per la probabile confusione ma, come detto nel post precedente, e pur lavorando nel mondo del software, le reti sono materia a me osticissima quanto un antico libro in sanscrito...

.....
2. Si, devi crearti un indirizzo DDNS oppure avere un ip pubblico statico (lo devi eventualmente chiesere al tuo provider)
......
7. No devi solo aprire le porte per la VPN

Non ho ip statico, quindi devo crearmi un DDNS.
Ok, provo a crearne uno (usando il pannello di controllo del DSM, ad esempio xxxx.Synology.me), lo creo, effettuo il test di connessione e mi ritorna "stato = Normale", assegnandomi inoltre un IP esterno del tipo 79.31.127.xxx
Ma non dovrei aprire sul router (e se avessi il firewall del NAS abilitato, cosa che per ora non ho) una porta (quale???) e redirigerla sull'IP interno del NAS?
E se si, quello che mi dici al punto 7 allora non è vero...??
Quindi quanto dici al punto 7 non è proprio vero...

[ponzo79]

Allora ti spiego meglio...la VPN è un'estensione della tua LAN. Quando sei connesso con la VPN hai già passato il router, quindi dialoghi con i vari dispositivi presenti nella tua lan semplicemente utilizzando gli ip privati uguale a quando sei a casa. Il DDNS è configurato nella VPN e basta
Non devi mai mettere il DDNS nella configurazione della connessione delle app...tantomeno se sei on casa!!

Penso che il 79.31.127.xxx sia il tuo attuale ip che ti ha assegnato il tuo provider

Vai tranquillo che al punto 7 è giusto...quando sei connesso con la vpn tutto il traffico passa dentro la vpn e quindi attraversa le porte della vpn. Poi ovviamente sul firewall del nas devi aprire le porte per i vari servizi che usi, ma sul router apri solo le porte per la vpn

[mancio61]

Ok...forse ci siamo...
Allora:

1) Creare host DNNS con Synology - > Fatto
2) Aprire porte UDP 500, 1701, 4500 sul Router, redirigendole tutte e tre sull'IP privato statico che identifica il NAS nella mia LAN - > Fatto
3) Creazione VPN, attivando Server VPN mediante protoccolo LPT2/IPSec (ho usato tutti i valori di default che mi ha proposto, fra i quali IP Dinamico 10.2.0.0, autenticazione PAP e non checkando DNS "Manuale"

Lato DSM credo sia tutto.

Lato Client:
Vado in "altre reti" , quindi VPN.. e quindi Edit VPN Profile-----....ma DOVE uso per la configurazione il DNNS creato al punto 1? Come Server Address???...altrimenti non mi spiego a che serva registrarne uno...

[burghy86]

esatto.. come server address..

[mancio61]

Funziona!!!!!!!!!!!!!!!!!

Allora, ho configurato sul cellulare la VPN, mettendo come Server Address il DNNS appena creato.
Spento il wi-fi del cellulare, per poter vedere se arrivavo lo stesso al router e da lì al NAS attraverso le 3 porte appena aperte sullo stesso.
Connessa la VPN dal cellullare....e verificato che su DSM apparisse la mia connessione... tutto OK.
Poi ho preso una a caso delle DS APP, ho messo al posto del QuickConnectID che usavo prima l'IP address privato 192.168.1.xx del NAS e..et voilà..mi ci attacco.
Quando sono in casa, quindi via WiFI dentro la mia LAN, non uso la VPN e la DS app accede direttamente al NAS sempre usando il suo IP privato..

Mi pare che sia tutto corretto!!
Ponzo, mi confermi????

Grazie veramente per aver aiutato una simile capra!!

[ponzo79]

Si esatto bene

[mancio61]

Provato oggi e pare funzionare bene...
In realtà ho fatto le prove questa mattina, collegandomi in wifi dall'ufficio (prima di iniziare a lavorare, of course....) e accedevo tranquillamente al NAS con le varie DS app.
Oggi dopo mangiato ho riprovato e non c'e stato verso...
Potrebbe essere che il NAS, non usato da nessuno per un po, sia andato in ibernazione (non so tecnicamente come si chiama questo stato, ma è quello che in genere ha al mattino, tutte le spie spente tranne la spia verde della LAN)? E se fosse vero questo, come fare?

grazie

[ponzo79]

Che syno hai?