waiting63 ha scritto:Spulciando su internet, stando ai post che ho letto, parrebbe che la cosa non sia possibile...
Il binding di un programma ad uno specifico indirizzo IP (è l'ovvia possibilità di poter configurare più indirizzi IP sulla stessa NIC) è una cosa che ho chiesto diverse a synology ... e non solo io.
Loro hanno hanno introdotto "una nuova funzionalità con la 5.0 o 5.1 se ben ricordo (pannello controllo/informazioni sistema/servizi/"consenti attraverso firewall) che permette di impostare i vari servizi (il firewall) per ogni NIC separatamente .... peccato che ancora oggi il FW (le regole che imposti) valgono solo per il traffico in ingresso, mentre quello in uscita rimane inesorabilmente tutto aperto.
Ma a questo (come ai vari IP o VLAN multiple si può porre rimedio via telnet/ssh.
Non so come tutto questo si coniughi con il server/client VPN che non uso (sul NAS).
Però per chi gestisce i servizi VPN esternamente , sul gateway, e ha un NAS con doppia nic può risolvere anche via DSM.
Il traffico che necessariamente va fatto uscire in chiaro (magari co ip statico) è quello dei servizi che pubblichiamo (webserver, mailserver, ftp, ....). Con il resto si fa quel che si può.
Il trucco è porre le due NIC su lan diverse (es. 192.168.1.0/24 e 172.16.1.0/24) e impostare una come gtw predefinito del nas (es la 172).
Sul router (che deve supportare lan locali multiple, es
Vigor2860(
2760D) o
Vigor2925; vedere
Load-Balance/Route Policy/General Setup/[Advance Mode]Index1) instradare il traffico della 172 nella VPN ad eccezione delle porte della posta. Inoltre instradare le porte sei servizi (80,443,25,...) per il traffico in ingresso verso la NIC "secondaria" (es. 192) e per sicurezza bloccarlo nella VPN. Il NAT del router gestirà sempre le sessioni congruamente ed il NAS risponderà sempre sulla NIC interrogata.
In questo caso quand la DS originerà del traffico, anche da porte dinamiche, lo fara sempre dalla NIC primaria che avrà l'IP inoltrato nella VPN, mentre quando si risponderà ad accessi esterni a webserver e mailserver il NAS risponderà dalla NIC che ha ricevuto la richiesta (quella secondaria)
Se si usa il sever DNS con le viste si possono specificare server d'inoltro diversi a seconda del nodo interno che ha originato la query. Si può cosi definire per il nas i server del fornitore VPN oppure quelli di google, mentre ad esempio per la smarttv quelli del proprio provider di connettività. Sul router 2 regole, quella prioritaria instraderà il traffico verso 8.8.8.8/8.8.4.4 e/o dns della vpn nella vpn. La regola meno prioritaria instraderà tutto il traffico udp/tcp nella wan in chiaro. Così la tv chiederà al nas che inoltrerà in chiaro, mentre le richieste interne dei servizi del nas stesso verranno inoltrati in vpn. Questo solo per la prima richiesta in quanto poi, sino alla scadenza del record, i dati verranno cachati nel server DNS del nas e risolti internamente per tutta la LAN.
Sul FW del nas verranno nello stesso modo aperte le porte solo sulle rispettive NIC.
Se oltre alla DS ci sono problemi di restrizioni visive (streaming) si sceglierà un provider VPN che offra connettività multiple contemporanee (es PIA 5) e potremmo configurare 2 o 3 VPN su destinazioni (paesi) diversi e poi gestire quale traffico instradare in quale VPN eventualmente in base all'IP di destinazione (alcuni router/firewall es 2860 e/o watchguard) supportano il PBR=PolicyBasedRouting anche con nomi dominio FQDN). Una volta configurato il profilo VPN è relativamente semplice cambiargli il paese di destinazione anche remotamente, via telnet/ssh/snmp, ad esempio con uno script in esecuzione schedulata sul NAS.
Se si usano i FQDN fare attenzione a quale DNS usa il router/firewall per risolvere le query: conviene appoggiarsi su un DSN locale (il router/firewall chiede al DNS locale che a sua farà ricorsione su server DNS esterni attraverso le regole di instradamento del traffico della porta 53. Onde evitare fughe è opportuno abilitare la porta 53 al solo server DNS locale ed eventualmente al PC "dell'amministratore". Ci sono programmi che se ne infischiano delle impostazioni della NIC e si risolvono le query per conto loro su server DNS preimpostati.
PS: ricordo che un buon router (la vs "porta blindata della casa informatica") è un investimento per molti anni, anche un decennio considerando l'evoluzione della connettività italiana, specialmente se acquistato privo di WiFi. Quest'ultimo potrà esser installato con un access-point da quattro soldi che potrà esser così sostituito più frequentemente con l'evolversi della tecnologia, senza così invalidare l'investimento sul router.
