Creazione VPN su NAS

[marcomessi]

Buongiorno a tutti. Innanzitutto perdonatemi alcuni termini inesatti, ma non sono molto pratico di sistemi di rete. Nel mio studio ho una piccola rete composta da tre PC con windows 10 e un NAS QNAP  collegati tra essi mediante un o switch zyxel gs1100 ed il tutto connesso ad internet tramite il router fibra Infostrada. Sul nas ho creato una connessione con OpenVPN e come si evince dall'immagine allegata sembra che sia tutto funzionante. Il mio problema adesso è come faccio ad accedere mediante un altro PC collegato in wifi alla rete di casa alle risorse della rete dello studio ? Ovviamente sul PC remoto ho installato Openvpn che risulta regolarmete connesso. 

 

[Andrea Annoni]

Devi avere un IP pubblico in ufficio dove hai server VPN (QNAP) e sul firewall devi aprire la porta 1194 UDP (OpenVPN) verso il QNAP.

Non è una soluzione "bellissima" ma ci sta.

 

Il PC di casa deve puntare il pubblico dell'ufficio

Modificato: 28 aprile 2020 da Andrea Annoni

[marcomessi]

Andrea innanzitutto grazie per la pronta risposta. La porta 1194 l'ho aperta sul router dello studio. Devo fare la stessa cosa pure sul PC di casa ?

 

Ipotizziamo che l'indirizzo IP sia 151.60.200.18.

 

Se connetto lo smartphone alla rete wifi dello studio e mi connetto a 151.60.200.18 mi porta alla pagina di accesso del router ( classico indirizzo locale 192.168.1.1 ).

 

Se connetto lo smartphone alla rete cellulare non mi fa accedere........ e qua monta lo sconforto!!!!!

[Andrea Annoni]

Sicuro di avere aperto le porte?

Sicuro che l’IP sia pubblico? 
 

Che errore ti da la VPN?

[marcomessi]

6 minuti fa, Andrea Annoni ha scritto:

 

- La porta sul router è aperta ( la sicurezza deriva dal fatto che prima di aprirla il software open vpn mi dava errore di connessione)

 

- Che l'indirizzo IP sia pubblico mi stanno venendo i dubbi. Tenuto conto che è un servizio offerto dal NAS al quale mi connetto in remoto ho dato per scontato che fosse un IP pubblico. Tra l'altro ho configurato sul nas l'utilizzo di OpenVPN )

 

- Semplicemente l'errore che ricevo quando tento di connettermi dal browser è "impossibile raggiungere il sito"

 

Allego la pagina di configurazione del NAS e lo screenshot che ho fatto sul telefono, sembra tutto a posto. 

 

 

[marcomessi]

Funziona!!!!!!!! col telefonino riesco a connettermi con mediante l'indirizzo IP pubblico al router dell studio!

[Andrea Annoni]

Quindi è un problema di autenticazione sul PC

[leleviola]

Comunque con i NAS Qnap hai la possibiltà di collegarsi da esterno al NAS anche tarmite i servizi Qnap che mettono a disposizione una connessione con server Qnap tramite la predisposizione di un DNS e con connessione protetta SSL, ovviamente quest'ultima prevede una certificazione SSL protetta con crittografia a pagamento e la predisposizione e l'apertura delle porte del router viene fatta direattamente tramite un'App del NAS a seconda dei servizi che hai abilitato

[Andrea Annoni]

Anche in questo caso l'autenticazione la fa QNAP......ed è per quello che non è bellissimo.

Qnap come gli altri concorrenti soffrono sapesso di bug che possono rendere vulnerabile il sistema (il deep è pieno)

Una VPN dovrebbe essere gestita a livello di firewall o da apparati specifici.

 

 

 

[marcomessi]

Allora, ho questi risultati : con il telefono collegandomi all'indirizzo 151.60.200.18 ( esempio )  oppure al 192.168.1.1 sia con il wifi di casa che con la connessione dati riesco ad accedere al router studio ( che sulla lan ha come ip 192.168.1.1 ). 

 

Se tutto funziona come dovrebbe indicando sul telefono l'IP di un altro PC ad esempio 192.168.1.10 dovrei avere accesso ad una cartella o altra risorsa ( stampante ) condivisa in rete. Corretto ?

 

Tutte le prove ovviamente sono fatte con il Open VPN GUI attivo.

 

Il PC invece non vuol sapere di connettersi, ( sia con wifi che con rete cellulare condivisa ) ho provato a disabilitare il firewall, ma risulta sempre Impossibile raggiungere il sito

 

 

 

[marcomessi]

1 ora fa, leleviola ha scritto:

Comunque con i NAS Qnap hai la possibiltà di collegarsi da esterno al NAS anche tarmite i servizi Qnap che mettono a disposizione una connessione con server Qnap tramite la predisposizione di un DNS e con connessione protetta SSL, ovviamente quest'ultima prevede una certificazione SSL protetta con crittografia a pagamento e la predisposizione e l'apertura delle porte del router viene fatta direattamente tramite un'App del NAS a seconda dei servizi che hai abilitato

Si infatti già accedo sia da telefono con apposita app che da remoto mediante browser al contenuto del NAS. Il punto è che ho necessità di raggiungere altre risorse che non posso mettere su NAS.

 

[Andrea Annoni]

2 minuti fa, marcomessi ha scritto:

Se tutto funziona come dovrebbe indicando sul telefono l'IP di un altro PC ad esempio 192.168.1.10 dovrei avere accesso ad una cartella o altra risorsa ( stampante ) condivisa in rete. Corretto ?

No.....il QNAP non è il router. Va creata una rotta (non ricordo a memoria se è possibile ma credo di si). .......quella VPN nasce per accedere ai suoi servizi.

 

3 minuti fa, marcomessi ha scritto:

Il PC invece non vuol sapere di connettersi, ( sia con wifi che con rete cellulare condivisa ) ho provato a disabilitare il firewall, ma risulta sempre Impossibile raggiungere il sito

 

è un problema di autenticazione. Che cosa usi come client sul PC?

[marcomessi]

1 ora fa, Andrea Annoni ha scritto:

No.....il QNAP non è il router. Va creata una rotta (non ricordo a memoria se è possibile ma credo di si). .......quella VPN nasce per accedere ai suoi servizi.

 

 

Si, vedo. Era proprio quello che avrei voluto fare. Forse mi sono buttato sulla strada sbagliata per ottenere il risultato.

 

[fradifog]

Scusa,ma sul pc hai copiato il certificato e il  file txt con le opportune modifiche?

Il file txt  modificato con ip pubblico o il dominio va messo nella cartella della gui di open vpn insieme al certificato.Tra l'altro spero ip sia statico,altrimenti funziona per un po'

Modificato: 28 aprile 2020 da fradifog

[Andrea Annoni]

1 ora fa, marcomessi ha scritto:

Si, vedo. Era proprio quello che avrei voluto fare. Forse mi sono buttato sulla strada sbagliata per ottenere il risultato.

Se vuoi un consiglio prendi un Mikrotik base (anche quello da 15€ per le tue esigenze vanno bene)  e gli fai fare da router e VPN server (le gestisce tutte) e fai tutto quello che vuoi.......anche il caffè (quasi)

[serbello]

17 ore fa, Andrea Annoni ha scritto:

Se vuoi un consiglio prendi un Mikrotik base (anche quello da 15€ per le tue esigenze vanno bene)  e gli fai fare da router e VPN server (le gestisce tutte) e fai tutto quello che vuoi.......anche il caffè (quasi)

 

È proprio quello che ho fatto io. Ho abilitato il server openvpn sul mikrotik e installato l'app OpenVPN client sul mio smartphone android. Tutto funziona come volevo. Riesco ad accedere alle risorse di rete e alla dashboard di OpenMediaVault, su cui sono installati alcuni docker come pihole e syncthing a cui si può accedere ugualmente tramite openvpn da remoto.

L'unica cosa che non sono riuscito ad impostare è la navigazione ad internet del cellulare mentre in collegamento alla mia rete LAN da remoto con OpenVPN. Vorrei in pratica sfruttare la connessione criptata e sicura del servizio OpenVPN oltre che per poter accedere da remoto alla mia LAN anche per navigare sicuri quando ad esempio mi tocca collegarmi, con il mio smatphone o notebook, ad una rete WIFI fuori casa ad esempio.

Cosa dovrei fare?

Grazie

Modificato: 29 aprile 2020 da serbello

[Andrea Annoni]

20 minuti fa, serbello ha scritto:

Vorrei in pratica sfruttare la connessione criptata e sicura del servizio OpenVPN oltre che per poter accedere da remoto alla mia LAN anche per navigare sicur

Questa è un affermazione curiosa.

Cosas intendi per "sicura"? Cosa cambia tra navigare con lo smartphone e con la connessione di casa?

 

Ad ogni modo occorre vedere la configurazione; capire come hai impostato il profile e le rotte

[serbello]

1 ora fa, Andrea Annoni ha scritto:

Questa è un affermazione curiosa.

Cosas intendi per "sicura"? Cosa cambia tra navigare con lo smartphone e con la connessione di casa?

 

Quando mi trovo ad esempio a dovermi necessariamente collegare a un wifi, sia esso di un ristorante, bar o casa altrui, invece di usare un servizio VPN di terze parti installato sullo stesso cellualre (ce ne sono tanti free e a pagamento nel playstore), vorrei utilizzare il mio stesso collegamento VPN per uscire in internet con una navigazione criptata. Il gateway quindi sarebbe la connessione stessa di casa dove risiede la mia LAN. So che ci sarebbe così qualche passaggio in più oltre al rallentamento della linea però può essere un'alternativa in caso di bisogno. L'ho già fatto quando ho settato OpenVPN in pfsense (se ricordo bene bisogna spuntare un opzione di redirect gateway per reindirizzare il traffico dal client esterno attraverso la VPN in pfsense), non ho fatto test sulla reale efficace e se il traffico venisse realmente criptato, ma non ho motivi per dubitarne.

 

1 ora fa, Andrea Annoni ha scritto:

Ad ogni modo occorre vedere la configurazione; capire come hai impostato il profile e le rotte

 

Ok, cosa in particolare?

 

Garzie

[Andrea Annoni]

2 minuti fa, serbello ha scritto:

oltre al rallentamento della linea

E perchè mai dovrebbe rallentare? Se la connessione non ha colli di bottiglia si inseriscono solo due hop in più che dal punto di vista della navigazione e trascurabile, cosi come la gestione criptatura.

 

 

3 minuti fa, serbello ha scritto:

Ok, cosa in particolare?

Posta la configurazione della RB con pastebin.

[serbello]

1 ora fa, Andrea Annoni ha scritto:

Posta la configurazione della RB con pastebin.

 

https://pastebin.com/fwq86KbW

 

Alcuni setup e regole sono disabilitate. Faccio tante prove per studio e per sperimentare.

 

Grazie

[Andrea Annoni]

Guardata velocemente da tel. La parte VPN è sicuramente corretta. La parte delle firewall rule sinceramente mi perdo........ dovrei caricarmela per capirla meglio; ci sono regole che non mi tornano come ad esempio ler default di accept IN e OUT..... prova a disabilitare tutte le regole e vedi se cosi navighi. Oppure quando sei connesso controlla quale regola di drop aumenta i pacchetti per capire quale interviene

[serbello]

12 ore fa, Andrea Annoni ha scritto:

Guardata velocemente da tel. La parte VPN è sicuramente corretta. La parte delle firewall rule sinceramente mi perdo........ dovrei caricarmela per capirla meglio; ci sono regole che non mi tornano come ad esempio ler default di accept IN e OUT..... prova a disabilitare tutte le regole e vedi se cosi navighi. Oppure quando sei connesso controlla quale regola di drop aumenta i pacchetti per capire quale interviene

 

TROVATA!!

 

La "merdina" che non faceva navigare il cell in internet quando collegato via OpenVPN alla mia rete casalinga era questa:

 

add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN

 

Ma perché poi? Mi permetteva di fare tutto il resto come accedere alle risorse condivise di OMV (che uso anche come NAS), alla sua dashboard e a quella dei suoi docker, perfino al router stesso con app winbox, e non di navigare in internet. Perché proprio una regola della chain input, mi sarei aspettato più una forward o qualche regola NAT. Questa non l'ho proprio capita.

Potresti darmi delucidazioni in merito?

Grazie ancora!