Senti, forse sono un po stanco io, ma non ho capito i tuoi indirizzamenti.
Riepilogo:
192.168.10.0/24 LAN
-192.168.10.254 router
-192.168.10.2 nas
client openvpn
192.168.0.0/24 LAN (remota)
- 192.168.0.254 router (remoto)
- 192.168.0.4 pc client (remoto)
- 10.8.0.6 lease ottenuto via vpn dal nas (senza gw?? che vuol dire)
Quindi ora tu dal client remoto, via openvpn, pinghi il nas e tutti i nodi adiacenti (presenti nella lan locale al nas)
Dal nas (via telnet) dovresti riuscire a vedere il pc remoto via tunnel (ping, tracert) all'ip assegnato 10.x.x.x. In altre parole, il server dovrebbe esse in grado di pingare il client, in quanto direttamente connessi. Verifica che i firewall non blocchino le risposte ai ping.
Da un'altro pc locale al nas dovrebbe esser difficile pingare il pc remoto, come in assenza di rotte, senza qualche accorgimento particolare, in una normale vpn routed (non bridged) dovrebbe esser vero anche il contrario, da pc remoto pingare il locale.
Qui sicuramente una rotta statica sul router (locale al nas), se non aiuta, danni non fa. Dal punto di vista teorico è corretta:
Cosi, quando il pc locale (avendo def.gw il router) pinga il pc remoto (10.8.x.x) invia il pacchetto con destinazione esterna alla propria lan, anziche direttamente al destinatario, al router per esser ulteriornente instradato. Il router grazie alla rotta sa che deve consegnarlo al nas il quale lo instraderà ulteriormente secondo le proprie rotte note.
Ho messo 10.0.0.0/8 per coprire tutti e 3 i range di default del server vpn del nas. Pel la sola openvpn puoi usare 10.8.0.0/24.
La mask che indichi tu per l'indirizzo del lease (255.255.255.252) è una /30, che definisce una subnet di soli 4 nodi (.4, .5, .6, .7) di cui il primo è l'indirizzo di sottorete e l'ultimo quello di broadcast. Se 6 è assegnato al pc remoto mi aspetto che il 5 lo usi il nas, quindi pingandolo dal pc remoto dovrebbe esser il nas a rispondere.
A conferma di ciò mi aspetto che nel pc remoto il client openvpn crei una rotta 192.168.10.0/24(255.255.255.0) con gw 10.8.0.5 sull'interfaccia 10.8.0.6.
Quindi per pingare dalla 192.168.10.0/24 unicamente i client remoti la rotta statica sul router (10.254) dovrebbe esser sufficiente, a patto che poi ci siano quelle corrette nel nas (create dal server vpn)
Per pingare invece nodi adiacenti il pc remoto (sulla 192.168.0.0/24) da un qualsiasi nodo della 192.168.10.0/24 il discorso si complica un po'. Il pc remoto deve diventare il gateway per la 192.168.10.0/24 nella sua lan.
Quindi diciamo una rotta statica sul router del pc remoto oppure temporanea sul nodo li adiacente da pingare che indica l'ip locale del pc remoto (192.168.0.4) quale gateway per la 192.168.10.0/24.
Sul PC remoto, nella connessione vpn o l'adattatore virtuale TAP dovresti, nella scheda condivisione delle proprietà, abilitare gli altri client della rete ad usare quella connessione. Ciò configura il routing fra la scheda virtuale TAP ed ad esempio quella di rete della LAN.
Perché tutto ciò funzioni però il tunnel vpn sul nas non deve esser nattato.
Non conosco i dettagli di come syno abbia configurato il server perché salvo aiutare qualche utente del forum per l'accesso remoto di base personalmente non lo uso. E' buona norma configurare ogni servizio sull'apparecchiatura a ciò preposta. Nel caso delle vpn parliamo di routers e/o firewall hardware (es. watchguard, sonicwall, ...). Tali apparecchiature hanno spesso hw dedicato a tale funzione, scaricando la cpu principale dai compiti di crittografia, e le prestazioni delle vpn sono notevolmente superiori.
Se hai sovente di questi problemi perché
- dal lavoro devi dar assistenza a clienti mobili, uffici decentrati ...
- da casa devi dar assistenza, intervenendo remotamente, presso la tua azienda, gruppo di aziende o singoli perché ad esempio sei un consulente
ti consiglio di dotarti di apparecchiature idonee. Acquista un router che possa fare da server vpn (pptp/l2tp/sslvpn) per connessioni client2lan(teleworker) e anche client/server per vpn lan2lan (generalmente ipsec) per la creazione di vpn statiche fra lan geograficamente distribuite. Valuta anche l'uso di un ip statico. E buona norma averlo su almeno un lato della connessione.
Alcune apparecchiature d'esempio tanto per capire di che parliamo:
Routers (con e senza modem xDSL integrato)
- Cisco:
Serie 890/880/870
- Draytek:
Vigor2860,
Vigor2830,
Vigor2925(router puro, no xDSL)
- TPLink (router puri, no xDSL):
TL-ER6120,
TL-ER6020,
TL-ER604W
Firewalls HW da inserire fra router e switch della LAN
- Watchguard:
XTM33/33-W,
XTM26/26-W
- SonicWall:
UTM TZ 215,
UTM TZ 205
