MacOS Sierra e VPN

[Paolo_71]

Risolto un tubo... ero a Milano con la linea Fastweb sono riuscito ad entrare il mio NAS dall'altra parte dell'Italia... rientrando a dove abito... non riesco ad entrare al NAS in VPN... sembra un problema dei provider che non funzionano con il protocollo L2TP... mentre con il protocollo PPTP con pc windows funziona ma sempre con PC Windows con il protocollo L2TP... non funge...

Chiedo ad altri utenti Windows di fare prove su questo caso... sia in casa che fuori casa... bisogna capire se è un problema del pacchetto VPN Server della Synology o dirottamento delle linee dei Provider con il DNS... e eventualmente aprire un ticket support.

Però entrare in DSM tutto funge... molto strano

Ciao e grazie

[burghy86]

Può essere che usi quella porta il modem di fw. Prova a impostare sul nas una porta non standard

Inviato dal mio SM-G930F utilizzando Tapatalk

[Paolo_71]

Ciao, può essere, il modem è impostato con le porte UDP 1701, 500, 4500...
Che porte devo impostare al NAS? Non ho capito bene...

Grazie


Inviato dal mio iPhone utilizzando Tapatalk

[Paolo_71]

Informo che ho aperto il ticket suppor della Synology.

[Paolo_71]

Ciao a tutti, sembra che il problema sia dei provider, Fastweb in questione... ora provo contattare il mio provider...
A presto


Inviato dal mio iPad utilizzando Tapatalk

[Paolo_71]

Aggiorno, ho sentito il provider, il quale mi ha detto che ho IP pubblico, ma dinamico, secondo loro risolvono trasformandolo in IP statico... sono in corso di lavorazione attualmente, devo aspettare entro 24 ore per finire. Speriamo bene

A presto


Inviato dal mio iPad utilizzando Tapatalk

[Paolo_71]

Niente anche se è statico non funge, sono andato a un altro forum che parla del provider e ho fatto una lunga chiacchierata e mi hanno consigliato il pacchetto WebDAV... perché non mi avete consigliato?
Con quello riesco a entrare in remoto. Che differenza c'è tra un WebDAV e VPN? Prestazioni e velocità di trasferimento? Pro e contro? O ci sono alternative? Grazie


Inviato dal mio iPad utilizzando Tapatalk

[dMajo]

Che differenza c'è tra un WebDAV e VPN? Prestazioni e velocità di trasferimento? Pro e contro?

"OpenVPN" (o più correttamente "SSL-VPN") , "IPsec" e "L2TP con IPsec" possono tutti essere basati su certificato. La OpenVPN come tecnologia/protocollo usa SSL ovvero lo stesso di quando navighi in https, con l'unica differenza che il browser, per crittografare il tunnel scarica il certificato dal webserver mentre il server-vpn richiede che copia identica del proprio certificato sia in possesso del client-vpn.
Il certificato deve quindi essere fisicamente trasportato dal server al client via mail, chiavetta usb, collegamento in rete .... insomma si presume che il client abbia il controllo fisico (diretto o per interposta persona leggi amministratore) del serve per poter ottenere il certificato. Il semplice furto (sbirciata di tastiera) delle credenziali non è sufficiente.
OpenVPN essendo una SSL-VPN si basa su SSL e richiede quindi una sola porta tcp o udp per funzionare, inoltre la maggior parte delle soluzioni pur usando di default la 1194 hanno il backup/fallback sulla 443, che difficilmente troverai bloccata ovunque essendo quella del https.

Generalmente un server-vpn è una macchina dedicata, o un servizio su una apparecchiatura "edge/border", di confine, della rete come router, firewall o PC con connessione WAN e LAN. Un client VPN può generalmente accedere a tutta o parte (a seconda delle regole impostate) della LAN. Le credenziali per l'accesso (se non unificate) sono quelle del server-vpn. Poi si dovra possedere un set di credenziali per ogni macchina della lan della cui si vogliono fruire le risorse.
Con le credenziali del server VPN ed il certificato o chiave di crittografia del tunnel si controlla/identifica con precisione l'utente remoto che sta accedendo alla LAN e che dovrà poi possedere anche le credenziali del nodo (macchina/nas/server) della LAN al quale accede.
Il WebDAV è un servizio di autenticazione e condivisione, che gira su una macchina, per consentirvi l'accesso, basato su http/s. Generalmente usato per condividere risorse di filesystem (file) attraverso portali web. Questo significa che la macchina (le porte necessarie) devono essere pubblicate in internet e che l'unica difesa sarà inevitabilmente il solo set di credenziali (utente/psw) essendo i client remoti spesso dotati di ip dinamici (chiavette usb, smartphone, ...) gestiti dai fornitori di comunicazione mobile e quindi non filtrabili. Diciamo che può esser visto un po' come un server ftp basato su portale web con integrato il versioning in modo che un gruppo possa collaborare nella stesura/gestione di risorse (documenti) condivisi.

Le risorse WebDAV possono esser fruite attraverso un tunnel VPN, il contrario no. Diciamo che VPN offre il trasporto mentre WebDAV produce il contenuto.
Se non richiesto specificatamente da qualche sw che si sta utilizzando, si può ottenere +/- la stessa cosa, abilitando ad esempio la 7001 (https) per la filestation dal portale applicazioni del nas. L'accesso sarà condizionato unicamente dalle credenziali utente e si avrà accesso alla sola filestation (e cartelle a cui l'utente identificato ha accesso) senza così dover pubblicare il DSM per intero (porte 5000/5001 chiuse sul router). Nello stesso modo DSfile/DSVideo/DSaudio possono accedere al NAS, attraverso l'abilitazione delle rispettive station su porta dedicata senza dover rischiare il DSM che può così eventualmente rimaner accessibile solo via VPN.

Per quanto riguarda la sicurezza, che spesso gli utenti percepiscono in modo confuso, bisogna distinguere fra tunnel ed endpoints (punti terminali: nas/router e smartphone/notebook ad esempio). Questi sono infatti generalmente controllati dallo stesso utente/organizzazione e la loro sicurezza demandata a credenziali utente accompagnate da chiavi di crittografia più o meno complesse (quali certificati, smart-card, dati biometrici, ....).
La sicurezza degli endpoints (posso tagliarti il dito è possedere la tua impronta digitale) potrà sempre esser compromessa, se non ben custodita, ma è generalmente una cosa di cui posso accorgermi. Se mi rubano un portatile sostituisco il certificato su tutti i dispositivi client e server vpn dell'organizzazione.
Quello di cui non mi rendo conto è un attacco del "man-in-the-middle", lungo la tratta del tunnel. Questi potrebbe essere un dipendente dei vari gestori delle comunicazioni le cui apparecchiature vengono attraversate dal tunnel lungo il percorso fra i due endpoints; un hacker nella camera affianco in albergo (o aeroporto/hot-spot) agganciato allo stesso mio wifi, organi di polizia che ottenuto il mandato intercettano il mio traffico. E qui che, una volta determinato chi potrebbe essere l'"uomo nel mezzo" e la sensibilità delle mie informazioni va valutata la sicurezza della VPN e stimata la casistica/possibilità d'intrusione prendendo opportuni accorgimenti. E qui che si misura la sicurezza della VPN, ovvero la sua violabilità pur non essendo in possesso delle autenticazioni necessarie. Ad esempio è conclamato che da questo punto di vista la PPTP sia stata bucata, ma ciò non significa che non posso usarla per un collegamento remoto, che in modo inequivocabile identificherà l'utente, proteggerà la mia risorsa interna non dovendola rendere pubblica (servizi/porte aperte sul router). Significa solamente che chi veramente sa il fatto suo e ne ha la possibilità fisica (ha accesso ad apparecchiature/reti di telecomunicazione) potrà eventualmente decriptare le informazioni che passano nel tunnel. In assenza d'altro sempre meglio una VPN PPTP che la pubblicazione di SMB o DSM (5000/5001) protette dalle sole credenziali utente che chiunque nel mondo può tentare di indovinare/violare specialmente vista la fantasia e metodo degli utenti nel sceglierle (es data di nascita, nome del figlio,... che trovo sul vs profilo FB)

[Paolo_71]

Grazie mille..... esausta la spiegazione della differenza e in termini di velocità del trasferimento dati se non le hai comunicato vuol dire che è uguale alla VPN?


Inviato dal mio iPad utilizzando Tapatalk

[dMajo]

Il WebDAV è un servizio e dipende dalla risorse HW (CPU) della macchina su cui gira (il NAS ad esempio). Se fruito attraverso https anzichè http vi è la penalità aggiuntiva della crittografia del tunnel ssl data da https, che richiede ulteriori risorse di calcolo CPU.
La VPN dipende anche dalle risorse di calcolo della CPU, ma a differenza del precedente questo compito può esser demandato ad un buon router. I router seri che supportano connettività VPN multiple hanno spesso HW dedicato alla crittografia che non grava così sulla CPU centrale.

Se il WebDAV viene fruito via VPN hai un doppio tunnel uno dentro l'altro. La VPN incapsula generalmente la totalità del traffico della macchina (esempio server su NAS/PC) o rete (server VPN sul router): tutti i protocolli/servizi, tutte le porte. Il WebDAV(su https), ne più ne meno del tuo browser, quando navighi su siti https, incapsula solo il traffico di tale servizio. Se usi il WebDAV su http, tutto il traffico fra client e server è in chiaro, chiunque possa leggere (sniffare/catturare) il traffico della sessione vedrà passare eventuali credenziali (usr/psw) o altri dati sensibili in chiaro (non codificati).

Difficile stabilire le prestazioni (velocità) dei due perché un utente accorto li avrebbe su due apparecchiature diverse con prestazioni fra loro non paragonabili. Se tu usassi la OpenVPN sul NAS o WebDAV(https) sullo stesso NAS dovrebbero equivalersi, visto che trattasi sempre di tunnel SSL per entrambi, crittografato dalla stessa CPU. Alla prima andrebbe sommato "il tempo" per servire i dati del servizio SMB, al secondo quello del servizio WebDAV.
Inoltre se per router/firewall professionali il "throughput" VPN è indicato nelle specifiche Syno non dichiara tali dati per il loro server/client VPN, neanche per i NAS di punta.