Vnp e ddns

[HaTe_87]

ciao a tutti ho un ds210j
ho installatto il pacchetto VNP e configurato PPTP
ho configurato anche il servizio ddns di synology ed in locale tutto funziona
ma ad esempio se mi cerco di collegare dal lavoro mi rifiuta la connessione dicendo che il server PPTP non risponde
come client ho un iphone
come indirizzo del server ho dato l'ip del DS come nome utente il mio nome utente con cui accedo alla DS e relativa password..
c'è qualcosa che non va nella configurazione del DDNS?

[x9drive9in]

Personalmente ho configurato la VPN IPSec e piuttosto che aprire le porte ho impostato il mio nas in DMZ dal router (se lo supporta anche il tuo configuralo così e fai a meno di aprire le porte nel router per la VPN), con DDNS No-IP funziona tutto benissimo da un tablet Android.
Innanzitutto che tipo di VPN hai usato? PPTP, OpenVPN o IPSec? Hai aperto le porte richieste?

[dMajo]

Personalmente ho configurato la VPN IPSec e piuttosto che aprire le porte ho impostato il mio nas in DMZ dal router (se lo supporta anche il tuo configuralo così e fai a meno di aprire le porte nel router per la VPN)

Scusa se sono un po brusco, ma hai fatto la più grande ca**ata che potevi con il DMZ: anziché aprire una porta (quella a far passare la vpn) le hai aperte tutte (questo è il DMZ ... un bridge diretto fra la wan e l'ip interno).
Sarei stato più morbido se non l'avessi anche consigliata ad altri

ciao a tutti ho un ds210j
ho installatto il pacchetto VNP e configurato PPTP

Per VPN ovviamente ti riferisci al server. Il PPTP necessita dell'apertura (e instradamento - PortForwarding) della porta 1723 sul router verso l'ip locale del nas. Se sul nas usi il FW devi aprirla anche li a tutti gli ip.
Fra le VPN però il PPTP è il meno sicuro usa piuttosto L2TP/Ipsec (gia presente nativamente nei dispositivi android, non so iOS) oppure la OpenVPN.

Inoltre se hai la possibilità di configurarla sul Router sarebbe da preferire.

[x9drive9in]

Scusa se sono un po brusco, ma hai fatto la più grande ca**ata che potevi con il DMZ: anziché aprire una porta (quella a far passare la vpn) le hai aperte tutte (questo è il DMZ ... un bridge diretto fra la wan e l'ip interno).
Sarei stato più morbido se non l'avessi anche consigliata ad altri

Ma no figurati! Mi sono documentato un po' prima di usarla e mi ero fatto l'idea che fosse più sicura la DMZ (che mi metteva il NAS in un'altra zona separato dalla rete) rispetto ad un normale portforwarding (lasciando quindi "porte aperte")!
Se le cose stanno così mi correggo pure con l'utente e lo invito ad usare un normale port forwarding

[HaTe_87]

ho configurato sotto accessi esterni NO-IP
ho configurato il server vpn ( ho provato sia PPTP che IPSEC )
ho aperto le porte sul router un Linksys wag320n ho anche abilitato il Passthrough VPN
quando vado a configurare la VNP non mi accetta la connessione, come se non sentisse il la risoluzione del mio DDNS

[dMajo]

Scusa se sono un po brusco, ma hai fatto la più grande ca**ata che potevi con il DMZ: anziché aprire una porta (quella a far passare la vpn) le hai aperte tutte (questo è il DMZ ... un bridge diretto fra la wan e l'ip interno).
Sarei stato più morbido se non l'avessi anche consigliata ad altri

Ma no figurati! Mi sono documentato un po' prima di usarla e mi ero fatto l'idea che fosse più sicura la DMZ (che mi metteva il NAS in un'altra zona separato dalla rete) rispetto ad un normale portforwarding (lasciando quindi "porte aperte")!
Se le cose stanno così mi correggo pure con l'utente e lo invito ad usare un normale port forwarding

Il port forwarding redirige una porta (in questo caso verso il nas) per esigenza, mantenendone la restante parte protetta del firewall (fra wan e lan). Con la messa in DMZ del nas lo si espone completamente in quanto direttamente connesso alla WAN. Il firewall proteggerà i nodi sulla LAN dal NAS. Ma siccome il NAS è il nostro file server verrebbero cosi esposti tutti i nostri dati, e sarebbero molte di più le porte da aprire fra DMZ e LAN per poterlo usare.
Normalmente in DMZ ci potresti mettere un web server su macchina dedicata, aprendo ad esempio solamente le porte 80/443 verso la lan (necessarie agli utenti lan per poter navigare i siti ivi contenuti). In questo modo se la macchina venisse infettata o un hacker ne prendesse il controllo non avrebbe accesso diretto a tutta la lan.

A seconda dei router, potresti trovane di quelli con doppio firewall (uno fra wan e dmz (WAN<FW>DMZ) unito ad on secondo WAN+DMZ<FW>LAN) che consentirebbe di esporre solo parzialmente le macchine in DMZ. Generalmente non disponibile sui comuni SOHO low cost.

[HaTe_87]

allora dopo un po di prove ci sono riuscito .
io scrivo la mia procedura cosi ai posteri magari servirà , spero
- ho configurato il DDNS sotto la voce accessi esterni
- ho installato il pacchetto VNP server e ho usato PPTP
- ho aperto la porta 1723 su router ( 1723 per PPTP usa quella ) dedicandola al ip locale del Nas
- poi ho installato il pacchetto DNS server, poi ho creato una zona master dando come dominio il mio dominio DDNS e come DNS principale l'ip del nas.
ora.
so che non è una cosa fine perché mi trovo con " 2 DNS " ( router e nas ) ma funziona alla grande e anche su iphone in 3g si collega subito.

[dMajo]

allora dopo un po di prove ci sono riuscito .
io scrivo la mia procedura cosi ai posteri magari servirà , spero
- ho configurato il DDNS sotto la voce accessi esterni
- ho installato il pacchetto VNP server e ho usato PPTP
- ho aperto la porta 1723 su router ( 1723 per PPTP usa quella ) dedicandola al ip locale del Nas
- poi ho installato il pacchetto DNS server, poi ho creato una zona master dando come dominio il mio dominio DDNS e come DNS principale l'ip del nas.
ora.
so che non è una cosa fine perché mi trovo con " 2 DNS " ( router e nas ) ma funziona alla grande e anche su iphone in 3g si collega subito.

Quanto ti colleghi da remoto via vpn generalmente puoi scegliere se assegnare al client, oltre l'ip, anche i dns usati dal server vpn. Questo non è necessario se tu indirizzi le macchine con il loro indirizzo ip. Serve quando in lan maggiori vengono usati server dns interni per risolvere i nomi locali dei partecipanti alla rete (computer, switch, stampanti, servers ...) e/servizi interni.

Quindi senza dns tu devi configurare sul tuo client remoto nel nome del server quello usato nel DDNS e quando connesso, per accedere al nas (o altri dispositivi) digitare il loro ip locale e non il loro nome.

Ad ogni modo avere un server DNS locale non guasta e puoi fargli fare molte altre cose come ad esempio accedere al router, switch, stampante di rete o altri pc casalinghi usando il loro nome FQDN piuttosto che ricordare tutti gli ip. Puoi bloccare le pubblicità nelle pagine internet, assegnare server DNS (del tuo ISP, google, openDNS ...) diversi ai diversi componenti della tua rete in modo centralizzato senza smanettare su ogni impostazione di rete...

Per usarlo correttamente dovresti:
- abilitarne la ricorsione limitandola solamente agli IP privati
- eventualmente impostare quale ip d'inoltro quello del router per usare i DNS forniti dal tuo ISP
- sul nas nelle impostazioni di rete indicare il proprio IP quale server DNS unico
- sul server DHCP (presumibilmente nel tuo router) impostare in distribuzione per i client come 1°DNS l'ip del nas e come 2° DNS quello del router
- impostare 1°DNS=NAS e 2°DNS=router manualmente su tutti i dispositivi con ip statico.

cosi tutta la tua rete utilizzerebbe il nas quale server DNS principale e in caso di guasto/spegnimento continuerebbe a funzionare con i DNS forniti attraverso il proxy del tuo router dal tuo ISP. Ovviamente perdendo tutte le funzionalità aggiuntive date dal serverDNS sul NAS.

[HaTe_87]

Quanto ti colleghi da remoto via vpn generalmente puoi scegliere se assegnare al client, oltre l'ip, anche i dns usati dal server vpn. Questo non è necessario se tu indirizzi le macchine con il loro indirizzo ip. Serve quando in lan maggiori vengono usati server dns interni per risolvere i nomi locali dei partecipanti alla rete (computer, switch, stampanti, servers ...) e/servizi interni.

Quindi senza dns tu devi configurare sul tuo client remoto nel nome del server quello usato nel DDNS e quando connesso, per accedere al nas (o altri dispositivi) digitare il loro ip locale e non il loro nome.

Ad ogni modo avere un server DNS locale non guasta e puoi fargli fare molte altre cose come ad esempio accedere al router, switch, stampante di rete o altri pc casalinghi usando il loro nome FQDN piuttosto che ricordare tutti gli ip. Puoi bloccare le pubblicità nelle pagine internet, assegnare server DNS (del tuo ISP, google, openDNS ...) diversi ai diversi componenti della tua rete in modo centralizzato senza smanettare su ogni impostazione di rete...

Per usarlo correttamente dovresti:
- abilitarne la ricorsione limitandola solamente agli IP privati
- eventualmente impostare quale ip d'inoltro quello del router per usare i DNS forniti dal tuo ISP
- sul nas nelle impostazioni di rete indicare il proprio IP quale server DNS unico
- sul server DHCP (presumibilmente nel tuo router) impostare in distribuzione per i client come 1°DNS l'ip del nas e come 2° DNS quello del router
- impostare 1°DNS=NAS e 2°DNS=router manualmente su tutti i dispositivi con ip statico.

cosi tutta la tua rete utilizzerebbe il nas quale server DNS principale e in caso di guasto/spegnimento continuerebbe a funzionare con i DNS forniti attraverso il proxy del tuo router dal tuo ISP. Ovviamente perdendo tutte le funzionalità aggiuntive date dal serverDNS sul NAS.

ti do pienamente ragione ma senza forzare il DNS con la regola master, sembrava quasi che non fosse in grado di indirizzare il mio nome host ( ddns ) al ip locale del nas.
cosa molto strana perché se pingavo il nome del ddns mi ritornava il mio ip pubblico, quindi il servizio era ok, ma sembrava quasi non riuscire a risolvere l'indirizzamento verso il nas.

[x9drive9in]

Scusa se sono un po brusco, ma hai fatto la più grande ca**ata che potevi con il DMZ: anziché aprire una porta (quella a far passare la vpn) le hai aperte tutte (questo è il DMZ ... un bridge diretto fra la wan e l'ip interno).
Sarei stato più morbido se non l'avessi anche consigliata ad altri

Ma no figurati! Mi sono documentato un po' prima di usarla e mi ero fatto l'idea che fosse più sicura la DMZ (che mi metteva il NAS in un'altra zona separato dalla rete) rispetto ad un normale portforwarding (lasciando quindi "porte aperte")!
Se le cose stanno così mi correggo pure con l'utente e lo invito ad usare un normale port forwarding

Il port forwarding redirige una porta (in questo caso verso il nas) per esigenza, mantenendone la restante parte protetta del firewall (fra wan e lan). Con la messa in DMZ del nas lo si espone completamente in quanto direttamente connesso alla WAN. Il firewall proteggerà i nodi sulla LAN dal NAS. Ma siccome il NAS è il nostro file server verrebbero cosi esposti tutti i nostri dati, e sarebbero molte di più le porte da aprire fra DMZ e LAN per poterlo usare.
Normalmente in DMZ ci potresti mettere un web server su macchina dedicata, aprendo ad esempio solamente le porte 80/443 verso la lan (necessarie agli utenti lan per poter navigare i siti ivi contenuti). In questo modo se la macchina venisse infettata o un hacker ne prendesse il controllo non avrebbe accesso diretto a tutta la lan.

A seconda dei router, potresti trovane di quelli con doppio firewall (uno fra wan e dmz (WAN<FW>DMZ) unito ad on secondo WAN+DMZ<FW>LAN) che consentirebbe di esporre solo parzialmente le macchine in DMZ. Generalmente non disponibile sui comuni SOHO low cost.

Spiegazione esaustiva, ti ringrazio

Inviato dal mio GT-I9105P