Ti faccio un esempio:ponzo79 ha scritto:Vuoi dire che se il nas è impostato con i dns del mio isp, quest'ultimo puó vedere a quali siti/server mi connetto anche se sto in VPN?
Normalmente sul nas puoi settare come dns il router. Il router fara da proxy e ti fara usare i dns del IPS assegnati alla wan via dhcp. Sul nas hai attiva la vpn dove si suppone venga instradato tutto il traffico.
Bene, quello dns uscirà in chiaro in quanto essendo il dns 192.168.0.1 (il router) sulla stessa lan del nas (192.168.0.10) non c'è bisogno di alcun gateway, il traffico (la richiesta di risoluzione) verrà mandato direttamente al router che lo girerà ai dns dell'ISP. Chi sniffa/logga il traffico della tua wan lo vedrà passare in chiaro.
Nello specifico poi non so esattamente come si comporti il client vpn del nas e come il nas (linux) poi instradi il traffico ... non l'ho mai usato personalmente.
Non è affatto strano, il client vpn genera traffico in uscita e siccome l'impostazione di default dei firewall generalmente lascia uscire tutto il client riesce a creare il tunnel verso il server vpn. Nel caso tu tenessi il fw chiuso anche in uscita dovresti tuttalpiù aprire un paio di porte. Li ti renderesti conto che nonostante l'unica porta aperta riesci a fare tutto perche quella aperta serve a sostenere il tunnel, poi dentro ci passa tutto senza che tu possa controllarlo.Per quanto attiene il discorso porte...sembrerà strano ma sta funzionando con tutte le porte del router chiuse....e per sicurezza ho settato ad hoc il firewall del nas....
Questo non è un problema quando controlli entrambi gli endpoint (es vpn fra due uffici tuoi) ma nel caso delle vpn di anonimato uno degli endpoint in prima battuta è il tuo provider con la sua struttura informatica ed il suo personale. E poi tutta internet.
Oltre ad avere un client vpn (il server ti serverà eventualmente per connetterti da remoto) con diversi protocolli supportati (l2TP, openVPN, ipsec, ...) deve poi avere anche regole sufficientemente parametrizzatili (indirizzo sorgente, indirizzo destinazione, porta sorgente, porta destinazione, protocollo, ...) che ti permettano di instradare a piacimento le varie tipologie di traffico. Non so quanto asus, notoriamente dedicata al mondo "game" sia sensibile a queste questioni.Ho acquistato in asus rt-ac68u che ha server e client integrati...vediamo quando arriva...
Io ho trovato un buon compromesso con i Draytek 2830 ADSL2+/2860 VDSL2/ADSL2+/2760Delight VDSL2/ADSL2+ che sono anche la mia prima scelta per i branch-office e telelavoratori. Nell'enterprise uso invece watchguard XTM5 in cluster. Sono ottimi anche i Sonicwall.
Per uso domestico (avanzato) potresti eventualmente considerare un Watchguard XTM3 oppure un pfSense SG2440/SG4860 perche anche costruendotelo come a fatto Wolf non risparmieresti poi molto (considerando la Supermicro che saranno 350/450€+RamECC+SSD+alimentatore+case+ lo sbattimento di assemblare il tutto e l'installazione del sw opensource con ciò che comporta).
I watchguard/sonicwall/pfsense sono firewall(router) puri (solo ethernet, richiedono modem esterni)