Re: [Techinfo] Synology NAS-ra VPN szerver
Holnap majd szétnézek mit tud a cucc. Az biztos, hogy stabil, mert HP szerver vas. Szerintem hardveres raidnek is fel van konfigolva. A windowsok nem igen szokták felismerni a raid vezérlőt, így közlik nincs bennük vinyó. Itt nincs ilyen driver vadászósdi és kézzel betölteni? Mire számítsak? Gyakorlásnak jó lesz ez, aztán majd ha belejövök… J Zsolt From: techinfo-boun...@lista.sulinet.hu On Behalf Of Sándor Fehér Sent: Tuesday, April 13, 2021 5:06 PM To: techinfo@lista.sulinet.hu Subject: Re: [Techinfo] Synology NAS-ra VPN szerver Ha rám hallgatsz nem kell szólnod a kifünek! :), nem is javaslom amúgy >Ha a pfsense-t felteszem egy gépre, akkor azzal viszont ugyanezt a felállást >ha jól értem meg lehet valósítani igen >Tehát LAN1 lába publikus, LAN2 lába privát? igen és működik is fog rendesen gyorsan >Mennyi idő egy ilyen nekem 1 óra hossza kb , mert már csináltam ilyet párszor és most is ez van suliba az efopos laptopokhoz >Milyen vas volna célszerű hozzá? 2010-es gyártmányú gépen 2gb memóriával működött. (celeron g sorozatú cpu) >> majdnem mindegy milyen a gép, a sebességet befolyásolja a cpu sebessége. Kicsit vissza kell venni a titkosítást észszerű kereten belül, ha régi a gép. (sha1/aes128 pl tökéletes és biztonságos is) Nekünk most proxmoxon fut virtualizálva már 1 éve, mert kaptunk új szervert. 1 dologról nem esett szó, de fontos: A pfsense freebsd alapú és a realtek egyes gigabit kártyáival meggyűlik a baja. Ha lehet intel hálózati kártyát szerezz bele, vagy realtek 8139-et. !!!A 8169 egyes verzió instabilak/lassúak. !!! A 8139 viszont csak 100mbit/s, de ide több mint tökéletes, ahhoz elég erős cpu kell, hogy több mint 100mbit/s sebességet produkáljon. Ne ess kétségbe, ha véletlenül 8169 kártyák vannak (alaplapon is), mert nem mindegyik chip rosszalkodik. Ki kell próbálni és megfogod látni, ha nem lesz jó. No akkor innen-onnan rtl8139 kártyát majd szerzel bele. Lehet nekem is van vagy 5 darab szerteszét. https://www.pfsense.org/download/ Majd ezt töltsd le és írd ki lemezre, a telepítés nagyon egyszerű, ne tarts tőle. (ufs filerendszert válassz majd! ) Ha van ssd, az kellene bele, de csak a 0/24 üzem miatt, egyébként mindegy hdd is jó ha más nincs. 16GB hely kell neki. Ami még fontos, hogy ha lehet keress bele egy jobb tápot, ez is a 0/24 miatt... Bár írtad szerver gép, ha tényleg az akkor okés 2021. 04. 13. 16:49 keltezéssel, Kiss Zsolt írta: Aha. Így már értem. Akkor max a kifü felé érhet meg egy kérdést, támogatnának-e egy ilyen route tábla „hegesztést” Egy próbát megér, kérdésért nem vágnak csak pofon J Ha a pfsense-t felteszem egy gépre, akkor azzal viszont ugyanezt a felállást ha jól értem meg lehet valósítani? Tehát LAN1 lába publikus, LAN2 lába privát? Gyakorlatilag azt csinálná mint most a soho, csak működne is? Mennyi idő egy ilyen összedobni? Milyen vas volna célszerű hozzá? Van egy régebbi szerverem, amin csak egy sima win10 fut, nem is tudom mire használták. Szerintem két hálókártya is akad benne, még bugázni sem kell. Szerintem nincs baja sem, csak kaptak újabbat, azért cserélték le. De majd meg kell nézni persze jobban. Zsolt From: techinfo-boun...@lista.sulinet.hu <mailto:techinfo-boun...@lista.sulinet.hu> <mailto:techinfo-boun...@lista.sulinet.hu> On Behalf Of Sándor Fehér Sent: Tuesday, April 13, 2021 4:33 PM To: techinfo@lista.sulinet.hu <mailto:techinfo@lista.sulinet.hu> Subject: Re: [Techinfo] Synology NAS-ra VPN szerver Értem ez a 2. eset. Akkor gondolj bele ebbe: a synology csak tun típusú vpn szervert tud emlékeim szerint. A tun layer 3 szerint működik, tehát ezt routolt vpn-nek hívjuk A vpn kliensed felkeresi a lan-os valamelyik belső gépet. A belső gép a vpn kliensnek nem fog tudni választ küldeni, mert az alapértelmezett átjáróra fog válaszolni, ami pedig a kifüs cisco eszköz. A kifüs cisco router a route táblájába nem lesz benne a vpn tartomány, így ő is kivágja a csomagot a def gw-re a kifü gw-jére és ott eldobódik példa: otthoni lan >>>>>>> soho router publikuson >>>>>>>>>synology 192.168.1.0/24 195.199.23x.x/29 192.168.2.0/24 vpn kliens tun ip: 10.0.0.1 --> syno tun ip 10.0.0.2 A vpn egy tunnelt hoz létre a két eszköz között, ami ezektől az ip címektől független lesz. pl 10.0.0.0/24 A vpn kliensed ebben az esetben a 192.168.1.1 stb ip címeken "látszódik" a suliba, mivel layer 3 alapú a vpn. A belső hálód nincs tisztában a 192.168.1.0/24 hálózatról, mert azt csak a vpn szerver ismeri. Sajnos nem a vpn szervered az alapértelmezett átjáró, mert ha az lenne nincs probléma. Az hogy ezt áthidald a kifü cisco-ba kellene route táblát frissíteni/hozzáírni, hogy a 192.168.1.0/24 hálózatot a synology ip címén keresse. Ehhez kellene a kifü, de elzárkóznak ettől szerinte
Re: [Techinfo] Synology NAS-ra VPN szerver
Ha rám hallgatsz nem kell szólnod a kifünek! :), nem is javaslom amúgy >Ha a pfsense-t felteszem egy gépre, akkor azzal viszont ugyanezt a felállást ha jól értem meg lehet valósítani igen >Tehát LAN1 lába publikus, LAN2 lába privát? igen és működik is fog rendesen gyorsan >Mennyi idő egy ilyen nekem 1 óra hossza kb , mert már csináltam ilyet párszor és most is ez van suliba az efopos laptopokhoz >Milyen vas volna célszerű hozzá? 2010-es gyártmányú gépen 2gb memóriával működött. (celeron g sorozatú cpu) >> majdnem mindegy milyen a gép, a sebességet befolyásolja a cpu sebessége. Kicsit vissza kell venni a titkosítást észszerű kereten belül, ha régi a gép. (sha1/aes128 pl tökéletes és biztonságos is) Nekünk most proxmoxon fut virtualizálva már 1 éve, mert kaptunk új szervert. 1 dologról nem esett szó, de fontos: A pfsense freebsd alapú és a realtek egyes gigabit kártyáival meggyűlik a baja. Ha lehet intel hálózati kártyát szerezz bele, vagy realtek 8139-et. !!!A 8169 egyes verzió instabilak/lassúak. !!! A 8139 viszont csak 100mbit/s, de ide több mint tökéletes, ahhoz elég erős cpu kell, hogy több mint 100mbit/s sebességet produkáljon. Ne ess kétségbe, ha véletlenül 8169 kártyák vannak (alaplapon is), mert nem mindegyik chip rosszalkodik. Ki kell próbálni és megfogod látni, ha nem lesz jó. No akkor innen-onnan rtl8139 kártyát majd szerzel bele. Lehet nekem is van vagy 5 darab szerteszét. https://www.pfsense.org/download/ Majd ezt töltsd le és írd ki lemezre, a telepítés nagyon egyszerű, ne tarts tőle. (ufs filerendszert válassz majd! ) Ha van ssd, az kellene bele, de csak a 0/24 üzem miatt, egyébként mindegy hdd is jó ha más nincs. 16GB hely kell neki. Ami még fontos, hogy ha lehet keress bele egy jobb tápot, ez is a 0/24 miatt... Bár írtad szerver gép, ha tényleg az akkor okés 2021. 04. 13. 16:49 keltezéssel, Kiss Zsolt írta: Aha. Így már értem. Akkor max a kifü felé érhet meg egy kérdést, támogatnának-e egy ilyen route tábla „hegesztést” Egy próbát megér, kérdésért nem vágnak csak pofon J Ha a pfsense-t felteszem egy gépre, akkor azzal viszont ugyanezt a felállást ha jól értem meg lehet valósítani? Tehát LAN1 lába publikus, LAN2 lába privát? Gyakorlatilag azt csinálná mint most a soho, csak működne is? Mennyi idő egy ilyen összedobni? Milyen vas volna célszerű hozzá? Van egy régebbi szerverem, amin csak egy sima win10 fut, nem is tudom mire használták. Szerintem két hálókártya is akad benne, még bugázni sem kell. Szerintem nincs baja sem, csak kaptak újabbat, azért cserélték le. De majd meg kell nézni persze jobban. Zsolt *From:*techinfo-boun...@lista.sulinet.hu *On Behalf Of *Sándor Fehér *Sent:* Tuesday, April 13, 2021 4:33 PM *To:* techinfo@lista.sulinet.hu *Subject:* Re: [Techinfo] Synology NAS-ra VPN szerver Értem ez a 2. eset. Akkor gondolj bele ebbe: a synology csak tun típusú vpn szervert tud emlékeim szerint. A tun layer 3 szerint működik, tehát ezt routolt vpn-nek hívjuk A vpn kliensed felkeresi a lan-os valamelyik belső gépet. A belső gép a vpn kliensnek nem fog tudni választ küldeni, mert az alapértelmezett átjáróra fog válaszolni, ami pedig a kifüs cisco eszköz. A kifüs cisco router a route táblájába nem lesz benne a vpn tartomány, így ő is kivágja a csomagot a def gw-re a kifü gw-jére és ott eldobódik példa: otthoni lan >>>>>>> soho router publikuson >>>>>>>>>synology 192.168.1.0/24 195.199.23x.x/29 192.168.2.0/24 vpn kliens tun ip: 10.0.0.1 --> syno tun ip 10.0.0.2 A vpn egy tunnelt hoz létre a két eszköz között, ami ezektől az ip címektől független lesz. pl 10.0.0.0/24 A vpn kliensed ebben az esetben a 192.168.1.1 stb ip címeken "látszódik" a suliba, mivel layer 3 alapú a vpn. A belső hálód nincs tisztában a 192.168.1.0/24 hálózatról, mert azt csak a vpn szerver ismeri. Sajnos nem a vpn szervered az alapértelmezett átjáró, mert ha az lenne nincs probléma. Az hogy ezt áthidald a kifü cisco-ba kellene route táblát frissíteni/hozzáírni, hogy a 192.168.1.0/24 hálózatot a synology ip címén keresse. Ehhez kellene a kifü, de elzárkóznak ettől szerintem. Ha ez nincs, akkor a belső gépek azt csinálják amit fenn írtam. Csak 2. rétegbeli vpn-el lehet ezt megoldani ún transport módú vagyis "tap" típusú openvpn megoldással. !!!A pfsense tudja ezt, a synology nem. !!! Ennek a működése annyi, hogy a vpn kliensed a belső hálózatról a mostani !!!kifüs!!! cisco routertől fog ip címet kapni és a cisco úgy fogja őt látni, mintha a switchbe dugtad volna azt a gépet, ami neked sulin kívül van. A wifi sub is megy a kmsel együtt, ha most is jó. Ehhez kell egy pc két ethernet kártyával. Mással időhúzás próbálkozni és kudarc lesz a vége ebben a környezetben.. Ha hajlasz ennek a megoldására keress nyugodtan. Üdv! 2021. 04. 13. 16:11 keltezéssel, Kiss Zsolt írta: Nem rajzolok inkább leírom,
Re: [Techinfo] Synology NAS-ra VPN szerver
Aha. Így már értem. Akkor max a kifü felé érhet meg egy kérdést, támogatnának-e egy ilyen route tábla „hegesztést” Egy próbát megér, kérdésért nem vágnak csak pofon J Ha a pfsense-t felteszem egy gépre, akkor azzal viszont ugyanezt a felállást ha jól értem meg lehet valósítani? Tehát LAN1 lába publikus, LAN2 lába privát? Gyakorlatilag azt csinálná mint most a soho, csak működne is? Mennyi idő egy ilyen összedobni? Milyen vas volna célszerű hozzá? Van egy régebbi szerverem, amin csak egy sima win10 fut, nem is tudom mire használták. Szerintem két hálókártya is akad benne, még bugázni sem kell. Szerintem nincs baja sem, csak kaptak újabbat, azért cserélték le. De majd meg kell nézni persze jobban. Zsolt From: techinfo-boun...@lista.sulinet.hu On Behalf Of Sándor Fehér Sent: Tuesday, April 13, 2021 4:33 PM To: techinfo@lista.sulinet.hu Subject: Re: [Techinfo] Synology NAS-ra VPN szerver Értem ez a 2. eset. Akkor gondolj bele ebbe: a synology csak tun típusú vpn szervert tud emlékeim szerint. A tun layer 3 szerint működik, tehát ezt routolt vpn-nek hívjuk A vpn kliensed felkeresi a lan-os valamelyik belső gépet. A belső gép a vpn kliensnek nem fog tudni választ küldeni, mert az alapértelmezett átjáróra fog válaszolni, ami pedig a kifüs cisco eszköz. A kifüs cisco router a route táblájába nem lesz benne a vpn tartomány, így ő is kivágja a csomagot a def gw-re a kifü gw-jére és ott eldobódik példa: otthoni lan >>>>>>> soho router publikuson >>>>>>>>>synology 192.168.1.0/24 195.199.23x.x/29 192.168.2.0/24 vpn kliens tun ip: 10.0.0.1 --> syno tun ip 10.0.0.2 A vpn egy tunnelt hoz létre a két eszköz között, ami ezektől az ip címektől független lesz. pl 10.0.0.0/24 A vpn kliensed ebben az esetben a 192.168.1.1 stb ip címeken "látszódik" a suliba, mivel layer 3 alapú a vpn. A belső hálód nincs tisztában a 192.168.1.0/24 hálózatról, mert azt csak a vpn szerver ismeri. Sajnos nem a vpn szervered az alapértelmezett átjáró, mert ha az lenne nincs probléma. Az hogy ezt áthidald a kifü cisco-ba kellene route táblát frissíteni/hozzáírni, hogy a 192.168.1.0/24 hálózatot a synology ip címén keresse. Ehhez kellene a kifü, de elzárkóznak ettől szerintem. Ha ez nincs, akkor a belső gépek azt csinálják amit fenn írtam. Csak 2. rétegbeli vpn-el lehet ezt megoldani ún transport módú vagyis "tap" típusú openvpn megoldással. !!!A pfsense tudja ezt, a synology nem. !!! Ennek a működése annyi, hogy a vpn kliensed a belső hálózatról a mostani !!!kifüs!!! cisco routertől fog ip címet kapni és a cisco úgy fogja őt látni, mintha a switchbe dugtad volna azt a gépet, ami neked sulin kívül van. A wifi sub is megy a kmsel együtt, ha most is jó. Ehhez kell egy pc két ethernet kártyával. Mással időhúzás próbálkozni és kudarc lesz a vége ebben a környezetben.. Ha hajlasz ennek a megoldására keress nyugodtan. Üdv! 2021. 04. 13. 16:11 keltezéssel, Kiss Zsolt írta: Nem rajzolok inkább leírom, szerintem érthető lesz. Fogok egy soho routert. WAN portját bedugom a kifü publikus portjába, beállítom a routerben a publikus IP-t. A soho tartományát ugyanarra állítom, mint a privát szegmensem tartománya, és a DHCP-t kikapcsolom. Fogok egy UTP kábelt és a LAN1 portot rádugom a kifü privát tartományára. Így bármelyik privátos gépre tudok port forwardot csinálni. Ami speciel a NAS lesz. Annyi benne még a csavar, hogy az a gép, amire port forwardot állítok be, neki az átjárója IP-je a soho router belső IP-je kell legyen, tehát ő nem a kifün közlekedik közvetlenül hanem a sohon. Ez régen simán működött, de az rémlik lassú volt, de az router hiba volt. Pl az eduroamnak azért kell látnia a privátot, mert abban van a hálózati nyomtató. Ha az adatokat teljesen felhőbe teszem, így nem lesz mondjuk fileszerver, akkor is a nyomtató miatt kelleni fog az átjárás. De ez most működik is, minden mindennel össze van nyitva. Akkor az open VPN-nek elég 1 port, semmi sok portos bonyolultság. Bekonfigolom a NAS-on, amit ott beállítok portot kinyitok és meglátjuk működik-e J W10 alapból fel sem ismeri, vagy felismeri, csak egészségesebb klienssel használni? Mert ha felismeri, a teszt erejéig akár mehetne azzal is. Ha jól csatlakozik, akkor a szerver része OK, lehet klienssel is bíbelődni… Zsolt From: techinfo-boun...@lista.sulinet.hu <mailto:techinfo-boun...@lista.sulinet.hu> <mailto:techinfo-boun...@lista.sulinet.hu> On Behalf Of Sándor Fehér Sent: Tuesday, April 13, 2021 3:49 PM To: techinfo@lista.sulinet.hu <mailto:techinfo@lista.sulinet.hu> Subject: Re: [Techinfo] Synology NAS-ra VPN szerver >hogy egy soho routerrel tudok „becselezni” a privátba Kérlek ha tudod rajzold le nekem, hogy hogyan gondolod. Nem lesz jó két dolog miatt sem. 1: hiába teszed
Re: [Techinfo] Synology NAS-ra VPN szerver
Értem ez a 2. eset. Akkor gondolj bele ebbe: a synology csak tun típusú vpn szervert tud emlékeim szerint. A tun layer 3 szerint működik, tehát ezt routolt vpn-nek hívjuk A vpn kliensed felkeresi a lan-os valamelyik belső gépet. A belső gép a vpn kliensnek nem fog tudni választ küldeni, mert az alapértelmezett átjáróra fog válaszolni, ami pedig a kifüs cisco eszköz. A kifüs cisco router a route táblájába nem lesz benne a vpn tartomány, így ő is kivágja a csomagot a def gw-re a kifü gw-jére és ott eldobódik példa: otthoni lan >>>>>>> soho router publikuson >>>>>>>>>synology 192.168.1.0/24 195.199.23x.x/29 192.168.2.0/24 vpn kliens tun ip: 10.0.0.1 --> syno tun ip 10.0.0.2 A vpn egy tunnelt hoz létre a két eszköz között, ami ezektől az ip címektől független lesz. pl 10.0.0.0/24 A vpn kliensed ebben az esetben a 192.168.1.1 stb ip címeken "látszódik" a suliba, mivel layer 3 alapú a vpn. A belső hálód nincs tisztában a 192.168.1.0/24 hálózatról, mert azt csak a vpn szerver ismeri. Sajnos nem a vpn szervered az alapértelmezett átjáró, mert ha az lenne nincs probléma. Az hogy ezt áthidald a kifü cisco-ba kellene route táblát frissíteni/hozzáírni, hogy a 192.168.1.0/24 hálózatot a synology ip címén keresse. Ehhez kellene a kifü, de elzárkóznak ettől szerintem. Ha ez nincs, akkor a belső gépek azt csinálják amit fenn írtam. Csak 2. rétegbeli vpn-el lehet ezt megoldani ún transport módú vagyis "tap" típusú openvpn megoldással. !!!A pfsense tudja ezt, a synology nem. !!! Ennek a működése annyi, hogy a vpn kliensed a belső hálózatról a mostani !!!kifüs!!! cisco routertől fog ip címet kapni és a cisco úgy fogja őt látni, mintha a switchbe dugtad volna azt a gépet, ami neked sulin kívül van. A wifi sub is megy a kmsel együtt, ha most is jó. Ehhez kell egy pc két ethernet kártyával. Mással időhúzás próbálkozni és kudarc lesz a vége ebben a környezetben.. Ha hajlasz ennek a megoldására keress nyugodtan. Üdv! 2021. 04. 13. 16:11 keltezéssel, Kiss Zsolt írta: Nem rajzolok inkább leírom, szerintem érthető lesz. Fogok egy soho routert. WAN portját bedugom a kifü publikus portjába, beállítom a routerben a publikus IP-t. A soho tartományát ugyanarra állítom, mint a privát szegmensem tartománya, és a DHCP-t kikapcsolom. Fogok egy UTP kábelt és a LAN1 portot rádugom a kifü privát tartományára. Így bármelyik privátos gépre tudok port forwardot csinálni. Ami speciel a NAS lesz. Annyi benne még a csavar, hogy az a gép, amire port forwardot állítok be, neki az átjárója IP-je a soho router belső IP-je kell legyen, tehát ő nem a kifün közlekedik közvetlenül hanem a sohon. Ez régen simán működött, de az rémlik lassú volt, de az router hiba volt. Pl az eduroamnak azért kell látnia a privátot, mert abban van a hálózati nyomtató. Ha az adatokat teljesen felhőbe teszem, így nem lesz mondjuk fileszerver, akkor is a nyomtató miatt kelleni fog az átjárás. De ez most működik is, minden mindennel össze van nyitva. Akkor az open VPN-nek elég 1 port, semmi sok portos bonyolultság. Bekonfigolom a NAS-on, amit ott beállítok portot kinyitok és meglátjuk működik-e J W10 alapból fel sem ismeri, vagy felismeri, csak egészségesebb klienssel használni? Mert ha felismeri, a teszt erejéig akár mehetne azzal is. Ha jól csatlakozik, akkor a szerver része OK, lehet klienssel is bíbelődni… Zsolt *From:*techinfo-boun...@lista.sulinet.hu *On Behalf Of *Sándor Fehér *Sent:* Tuesday, April 13, 2021 3:49 PM *To:* techinfo@lista.sulinet.hu *Subject:* Re: [Techinfo] Synology NAS-ra VPN szerver >hogy egy soho routerrel tudok „becselezni” a privátba Kérlek ha tudod rajzold le nekem, hogy hogyan gondolod. Nem lesz jó két dolog miatt sem. 1: hiába teszed be a wan interfészét a privátba oda nem tudsz portot forwardolni, mert nem lehetséges plusz felesleges lenne. 2: ha úgy kötöd be, hogy a wan a publikusra megy, a lan pedig a privátba belefutsz egy problémába::: a benti lanos gépek alapértelmezett átjárója nem a soho router most, ezért a hálózati gépek egyike sem fogja elérni a vpn mögötti subnetet, mert hogy ez menjen a cisco-ba kellene belenyúlni és módosítani a route táblát. Nem hinném, hogy a kifü ezt megteszi neked, amúgy működhet, de ne így csináld szerintem. Pont emiatt is van saját routerem A wifi miért kell lássa a privát/vpn szubnetet? -ezt nem értem, sorry nálunk nem kell, ha igen akkor vpn ahogyan írtad Az openvpn tcp vagy udp portot kér, 1194 alapból, de bármi más is lehet, sokszor ajánlott is mást használni. A win10-hez a kliens az openvpn community oldalon a community downloadson belül érhető el, rendszergazdaként kell telepíteni. https://openvpn.net/community-downloads/ <https://openvpn.net/community-downloads/> Androidra és szifonra is van kliens és persze linuxra is 2021. 04. 13. 14:58 ke
Re: [Techinfo] Synology NAS-ra VPN szerver
Nem rajzolok inkább leírom, szerintem érthető lesz. Fogok egy soho routert. WAN portját bedugom a kifü publikus portjába, beállítom a routerben a publikus IP-t. A soho tartományát ugyanarra állítom, mint a privát szegmensem tartománya, és a DHCP-t kikapcsolom. Fogok egy UTP kábelt és a LAN1 portot rádugom a kifü privát tartományára. Így bármelyik privátos gépre tudok port forwardot csinálni. Ami speciel a NAS lesz. Annyi benne még a csavar, hogy az a gép, amire port forwardot állítok be, neki az átjárója IP-je a soho router belső IP-je kell legyen, tehát ő nem a kifün közlekedik közvetlenül hanem a sohon. Ez régen simán működött, de az rémlik lassú volt, de az router hiba volt. Pl az eduroamnak azért kell látnia a privátot, mert abban van a hálózati nyomtató. Ha az adatokat teljesen felhőbe teszem, így nem lesz mondjuk fileszerver, akkor is a nyomtató miatt kelleni fog az átjárás. De ez most működik is, minden mindennel össze van nyitva. Akkor az open VPN-nek elég 1 port, semmi sok portos bonyolultság. Bekonfigolom a NAS-on, amit ott beállítok portot kinyitok és meglátjuk működik-e J W10 alapból fel sem ismeri, vagy felismeri, csak egészségesebb klienssel használni? Mert ha felismeri, a teszt erejéig akár mehetne azzal is. Ha jól csatlakozik, akkor a szerver része OK, lehet klienssel is bíbelődni… Zsolt From: techinfo-boun...@lista.sulinet.hu On Behalf Of Sándor Fehér Sent: Tuesday, April 13, 2021 3:49 PM To: techinfo@lista.sulinet.hu Subject: Re: [Techinfo] Synology NAS-ra VPN szerver >hogy egy soho routerrel tudok „becselezni” a privátba Kérlek ha tudod rajzold le nekem, hogy hogyan gondolod. Nem lesz jó két dolog miatt sem. 1: hiába teszed be a wan interfészét a privátba oda nem tudsz portot forwardolni, mert nem lehetséges plusz felesleges lenne. 2: ha úgy kötöd be, hogy a wan a publikusra megy, a lan pedig a privátba belefutsz egy problémába::: a benti lanos gépek alapértelmezett átjárója nem a soho router most, ezért a hálózati gépek egyike sem fogja elérni a vpn mögötti subnetet, mert hogy ez menjen a cisco-ba kellene belenyúlni és módosítani a route táblát. Nem hinném, hogy a kifü ezt megteszi neked, amúgy működhet, de ne így csináld szerintem. Pont emiatt is van saját routerem A wifi miért kell lássa a privát/vpn szubnetet? -ezt nem értem, sorry nálunk nem kell, ha igen akkor vpn ahogyan írtad Az openvpn tcp vagy udp portot kér, 1194 alapból, de bármi más is lehet, sokszor ajánlott is mást használni. A win10-hez a kliens az openvpn community oldalon a community downloadson belül érhető el, rendszergazdaként kell telepíteni. https://openvpn.net/community-downloads/ Androidra és szifonra is van kliens és persze linuxra is 2021. 04. 13. 14:58 keltezéssel, Kiss Zsolt írta: Én ezzel tisztában voltam, ezért is írtam, hogy egy soho routerrel tudok „becselezni” a privátba. Úgy már tudok port forwardolni. Engem elvileg el kellene, hogy bírjon. Az egész sulit nem akarom ráterelni. Egy gyors próbát megér, aztán max eldobom az ötletet. Az eduroam wifi miatt eléggé nehéz kikerülni a kifü routerét. Akkor onnan is VPN-ezni kellene ha a publikus szegmens mögé építenék ki saját infrastruktúrát a priváttól függetlenül. Ez gyakorlatilag az egész hálózat átalakítását jelentené. Most nekem az elég ha én egyedül tudok VPN-en közlekedni. Open VPN-hez milyen portok kellenek? Meg akkor milyen kliens a célszerű W10 alá? Kipróbálom Sohoval, aztán majd módosítok ha nem jön be, ill. a tapasztalatok függvényében lehet majd átalakítani. Zsolt From: techinfo-boun...@lista.sulinet.hu <mailto:techinfo-boun...@lista.sulinet.hu> <mailto:techinfo-boun...@lista.sulinet.hu> On Behalf Of Sándor Fehér Sent: Tuesday, April 13, 2021 2:39 PM To: techinfo@lista.sulinet.hu <mailto:techinfo@lista.sulinet.hu> Subject: Re: [Techinfo] Synology NAS-ra VPN szerver Összességében nem nem jól gondolod: Kérlek nézd ezt át: https://sulinet.niif.hu/dashboard2_0 A lényeg: Figyelem! A Cisco router mögött csak a Publikus szegmensen elhelyezett szerver/router érhető el az Internet irányából, amennyiben a megfelelő engedő szabályok rögzítve vannak. Egyéb (Privát, Wifi) szegmens erre nem alkalmas, port átirányításra nincs lehetőség! EZT ÉN NEM TUDTAM :) A fentiek miatt (is) NEM ajánlom senkinek a gyári megoldást használni, mert korszerűtlen és rugalmatlan. Javaslom, hogy szerezz be egy normális routert (mikrotik) és kösd a publikus szegmensre. Az egyszerű soho routert nem fogja bírni a teljes iskolátokat ellátni. Át kellene raknod ez esetben az egész sulitokat saját router mögé. (pl hap ac2 mikrotikkel vagy attól nagyobb router segítségével) Egyedüli járható út, hogy mégis megoldjad: pc (pfsense) két ethernet kártyával az egyik a publikus tartományba megy, a másik a privát szegmensre A wifi szegmenst akkor láthatja a vpn kliens(ek), ha a dashboardon összenyitod, de ez megin
Re: [Techinfo] Synology NAS-ra VPN szerver
>hogy egy soho routerrel tudok „becselezni” a privátba Kérlek ha tudod rajzold le nekem, hogy hogyan gondolod. Nem lesz jó két dolog miatt sem. 1: hiába teszed be a wan interfészét a privátba oda nem tudsz portot forwardolni, mert nem lehetséges plusz felesleges lenne. 2: ha úgy kötöd be, hogy a wan a publikusra megy, a lan pedig a privátba belefutsz egy problémába::: a benti lanos gépek alapértelmezett átjárója nem a soho router most, ezért a hálózati gépek egyike sem fogja elérni a vpn mögötti subnetet, mert hogy ez menjen a cisco-ba kellene belenyúlni és módosítani a route táblát. Nem hinném, hogy a kifü ezt megteszi neked, amúgy működhet, de ne így csináld szerintem. Pont emiatt is van saját routerem A wifi miért kell lássa a privát/vpn szubnetet? -ezt nem értem, sorry nálunk nem kell, ha igen akkor vpn ahogyan írtad Az openvpn tcp vagy udp portot kér, 1194 alapból, de bármi más is lehet, sokszor ajánlott is mást használni. A win10-hez a kliens az openvpn community oldalon a community downloadson belül érhető el, rendszergazdaként kell telepíteni. https://openvpn.net/community-downloads/ Androidra és szifonra is van kliens és persze linuxra is 2021. 04. 13. 14:58 keltezéssel, Kiss Zsolt írta: Én ezzel tisztában voltam, ezért is írtam, hogy egy soho routerrel tudok „becselezni” a privátba. Úgy már tudok port forwardolni. Engem elvileg el kellene, hogy bírjon. Az egész sulit nem akarom ráterelni. Egy gyors próbát megér, aztán max eldobom az ötletet. Az eduroam wifi miatt eléggé nehéz kikerülni a kifü routerét. Akkor onnan is VPN-ezni kellene ha a publikus szegmens mögé építenék ki saját infrastruktúrát a priváttól függetlenül. Ez gyakorlatilag az egész hálózat átalakítását jelentené. Most nekem az elég ha én egyedül tudok VPN-en közlekedni. Open VPN-hez milyen portok kellenek? Meg akkor milyen kliens a célszerű W10 alá? Kipróbálom Sohoval, aztán majd módosítok ha nem jön be, ill. a tapasztalatok függvényében lehet majd átalakítani. Zsolt *From:*techinfo-boun...@lista.sulinet.hu *On Behalf Of *Sándor Fehér *Sent:* Tuesday, April 13, 2021 2:39 PM *To:* techinfo@lista.sulinet.hu *Subject:* Re: [Techinfo] Synology NAS-ra VPN szerver Összességében nem nem jól gondolod: Kérlek nézd ezt át: https://sulinet.niif.hu/dashboard2_0 <https://sulinet.niif.hu/dashboard2_0> A lényeg: *Figyelem! A Cisco router mögött csak a Publikus szegmensen elhelyezett szerver/router érhető el az Internet irányából, amennyiben a megfelelő engedő szabályok rögzítve vannak.* *Egyéb (Privát, Wifi) szegmens erre nem alkalmas, port átirányításra nincs lehetőség!* *EZT ÉN NEM TUDTAM :)** * A fentiek miatt (is) NEM ajánlom senkinek a gyári megoldást használni, mert korszerűtlen és rugalmatlan. Javaslom, hogy szerezz be egy normális routert (mikrotik) és kösd a publikus szegmensre. Az egyszerű soho routert nem fogja bírni a teljes iskolátokat ellátni. Át kellene raknod ez esetben az egész sulitokat saját router mögé. (pl hap ac2 mikrotikkel vagy attól nagyobb router segítségével) Egyedüli járható út, hogy mégis megoldjad: pc (pfsense) két ethernet kártyával az egyik a publikus tartományba megy, a másik a privát szegmensre A wifi szegmenst akkor láthatja a vpn kliens(ek), ha a dashboardon összenyitod, de ez megint passz, hogy lehet e ilyet. >>> én semmi gyári kifüs megoldást nem használok, nálunk minden saját megoldás mikrotik routerrel A nas-t felejsd el sajnos a fentiek miatt nem lesz megoldható ezzel a hálózati kialakítással. 2021. 04. 13. 12:12 keltezéssel, Kiss Zsolt írta: Ok, akkor portforwardot megtudod oldani és a nast berakni a belső hálóra? Ha mezei TP-Link, ZyXEL (melyiket szeressem inkább) router úgy jó, hogy bekötöm a belső lábát a privát szegmensbe, a DHCP-t a privát adja, tehát ez a router csak átdobja a belső portra, akkor igen. Viszont akkor itt arra kell figyeljek, hogy a NAS átjáróját a kifü routerről át kell állítsam a soho router belső IP címére, különben nem talál vissza a csomag. A régi helyemen volt egy ilyen megoldásom, más miatt. Ha jól rémlik azért dobtam végül ki, mert lassú volt valamiért a net azon keresztül. De lehet csak a soho haldoklott, végül másként oldottam azt meg, ezért sem emlékszem már pontosan miért vetettem el. Itt még az vetődik fel, hogy akkor a wifi szegmensből elérik a NAS-t? A kifü nem a soho routerem átjáróján keresztül akarja küldeni a csomagokat, az tuti. Tehát átgondolandó amit tárolok rajta, akkor mi legyen az, honnan akarják elérni. Akkor az openvpn teljesen biztonságos megoldás lesz. (sha256/ aes256 melett) A kms is működik akkor, ha a belső hálózatodon is működik most. Jól hangzik :) Tanároknak illetve az eszközökön service-ként futtatva az openvpn-t pl iterakció nélkül is tud futni a vpn és akkor minden automata. A tanárnak nem kell c
Re: [Techinfo] Synology NAS-ra VPN szerver
Én ezzel tisztában voltam, ezért is írtam, hogy egy soho routerrel tudok "becselezni" a privátba. Úgy már tudok port forwardolni. Engem elvileg el kellene, hogy bírjon. Az egész sulit nem akarom ráterelni. Egy gyors próbát megér, aztán max eldobom az ötletet. Az eduroam wifi miatt eléggé nehéz kikerülni a kifü routerét. Akkor onnan is VPN-ezni kellene ha a publikus szegmens mögé építenék ki saját infrastruktúrát a priváttól függetlenül. Ez gyakorlatilag az egész hálózat átalakítását jelentené. Most nekem az elég ha én egyedül tudok VPN-en közlekedni. Open VPN-hez milyen portok kellenek? Meg akkor milyen kliens a célszerű W10 alá? Kipróbálom Sohoval, aztán majd módosítok ha nem jön be, ill. a tapasztalatok függvényében lehet majd átalakítani. Zsolt From: techinfo-boun...@lista.sulinet.hu On Behalf Of Sándor Fehér Sent: Tuesday, April 13, 2021 2:39 PM To: techinfo@lista.sulinet.hu Subject: Re: [Techinfo] Synology NAS-ra VPN szerver Összességében nem nem jól gondolod: Kérlek nézd ezt át: https://sulinet.niif.hu/dashboard2_0 A lényeg: Figyelem! A Cisco router mögött csak a Publikus szegmensen elhelyezett szerver/router érhető el az Internet irányából, amennyiben a megfelelő engedő szabályok rögzítve vannak. Egyéb (Privát, Wifi) szegmens erre nem alkalmas, port átirányításra nincs lehetőség! EZT ÉN NEM TUDTAM :) A fentiek miatt (is) NEM ajánlom senkinek a gyári megoldást használni, mert korszerűtlen és rugalmatlan. Javaslom, hogy szerezz be egy normális routert (mikrotik) és kösd a publikus szegmensre. Az egyszerű soho routert nem fogja bírni a teljes iskolátokat ellátni. Át kellene raknod ez esetben az egész sulitokat saját router mögé. (pl hap ac2 mikrotikkel vagy attól nagyobb router segítségével) Egyedüli járható út, hogy mégis megoldjad: pc (pfsense) két ethernet kártyával az egyik a publikus tartományba megy, a másik a privát szegmensre A wifi szegmenst akkor láthatja a vpn kliens(ek), ha a dashboardon összenyitod, de ez megint passz, hogy lehet e ilyet. >>> én semmi gyári kifüs megoldást nem használok, nálunk minden saját megoldás mikrotik routerrel A nas-t felejsd el sajnos a fentiek miatt nem lesz megoldható ezzel a hálózati kialakítással. 2021. 04. 13. 12:12 keltezéssel, Kiss Zsolt írta: Ok, akkor portforwardot megtudod oldani és a nast berakni a belső hálóra? Ha mezei TP-Link, ZyXEL (melyiket szeressem inkább) router úgy jó, hogy bekötöm a belső lábát a privát szegmensbe, a DHCP-t a privát adja, tehát ez a router csak átdobja a belső portra, akkor igen. Viszont akkor itt arra kell figyeljek, hogy a NAS átjáróját a kifü routerről át kell állítsam a soho router belső IP címére, különben nem talál vissza a csomag. A régi helyemen volt egy ilyen megoldásom, más miatt. Ha jól rémlik azért dobtam végül ki, mert lassú volt valamiért a net azon keresztül. De lehet csak a soho haldoklott, végül másként oldottam azt meg, ezért sem emlékszem már pontosan miért vetettem el. Itt még az vetődik fel, hogy akkor a wifi szegmensből elérik a NAS-t? A kifü nem a soho routerem átjáróján keresztül akarja küldeni a csomagokat, az tuti. Tehát átgondolandó amit tárolok rajta, akkor mi legyen az, honnan akarják elérni. Akkor az openvpn teljesen biztonságos megoldás lesz. (sha256/ aes256 melett) A kms is működik akkor, ha a belső hálózatodon is működik most. Jól hangzik :) Tanároknak illetve az eszközökön service-ként futtatva az openvpn-t pl iterakció nélkül is tud futni a vpn és akkor minden automata. A tanárnak nem kell csinálni semmit, te pedig korábban vagy anydeskel beállítod. Milyen kliens kell ehhez? Beépítetten tudja a w10, vagy telepítenem kell openvpn kliens programot? Milyen portokat nyittassak a kifünél, mert azt ki kell nyitni a tűzfalon, majd akkor tovább dobnom belső lábra. Nálunk a pfsense segítségével oldottam meg ezt, mert ott nagyon egyszerű a megfelelő konfigokat exportálni a webgui-n és jó a teljesítmény is. Nálatok is a pfsense a privátra van kötve? Ott így első körben azért tűnik jobbnak, mert ha csak a vpn-t kezeli, akkor nincs az a gond, ami a NAS-nál az adatok wifis elérése. Már persze ha jól gondoltam át, és ez ténylegesen valós probléma. Viszont, mint írtam a NAS gyorsabb megvalósítás, aztán lehet ismerkedni majd később mással is :) Zsolt ___ Techinfo mailing list Techinfo@lista.sulinet.hu <mailto:Techinfo@lista.sulinet.hu> Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] Synology NAS-ra VPN szerver
Összességében nem nem jól gondolod: Kérlek nézd ezt át: https://sulinet.niif.hu/dashboard2_0 A lényeg: *Figyelem! A Cisco router mögött csak a Publikus szegmensen elhelyezett szerver/router érhető el az Internet irányából, amennyiben a megfelelő engedő szabályok rögzítve vannak.* *Egyéb (Privát, Wifi) szegmens erre nem alkalmas, port átirányításra nincs lehetőség!* *EZT ÉN NEM TUDTAM :) * A fentiek miatt (is) NEM ajánlom senkinek a gyári megoldást használni, mert korszerűtlen és rugalmatlan. Javaslom, hogy szerezz be egy normális routert (mikrotik) és kösd a publikus szegmensre. Az egyszerű soho routert nem fogja bírni a teljes iskolátokat ellátni. Át kellene raknod ez esetben az egész sulitokat saját router mögé. (pl hap ac2 mikrotikkel vagy attól nagyobb router segítségével) Egyedüli járható út, hogy mégis megoldjad: pc (pfsense) két ethernet kártyával az egyik a publikus tartományba megy, a másik a privát szegmensre A wifi szegmenst akkor láthatja a vpn kliens(ek), ha a dashboardon összenyitod, de ez megint passz, hogy lehet e ilyet. >>> én semmi gyári kifüs megoldást nem használok, nálunk minden saját megoldás mikrotik routerrel A nas-t felejsd el sajnos a fentiek miatt nem lesz megoldható ezzel a hálózati kialakítással. 2021. 04. 13. 12:12 keltezéssel, Kiss Zsolt írta: Ok, akkor portforwardot megtudod oldani és a nast berakni a belső hálóra? Ha mezei TP-Link, ZyXEL (melyiket szeressem inkább) router úgy jó, hogy bekötöm a belső lábát a privát szegmensbe, a DHCP-t a privát adja, tehát ez a router csak átdobja a belső portra, akkor igen. Viszont akkor itt arra kell figyeljek, hogy a NAS átjáróját a kifü routerről át kell állítsam a soho router belső IP címére, különben nem talál vissza a csomag. A régi helyemen volt egy ilyen megoldásom, más miatt. Ha jól rémlik azért dobtam végül ki, mert lassú volt valamiért a net azon keresztül. De lehet csak a soho haldoklott, végül másként oldottam azt meg, ezért sem emlékszem már pontosan miért vetettem el. Itt még az vetődik fel, hogy akkor a wifi szegmensből elérik a NAS-t? A kifü nem a soho routerem átjáróján keresztül akarja küldeni a csomagokat, az tuti. Tehát átgondolandó amit tárolok rajta, akkor mi legyen az, honnan akarják elérni. Akkor az openvpn teljesen biztonságos megoldás lesz. (sha256/ aes256 melett) A kms is működik akkor, ha a belső hálózatodon is működik most. Jól hangzik :) Tanároknak illetve az eszközökön service-ként futtatva az openvpn-t pl iterakció nélkül is tud futni a vpn és akkor minden automata. A tanárnak nem kell csinálni semmit, te pedig korábban vagy anydeskel beállítod. Milyen kliens kell ehhez? Beépítetten tudja a w10, vagy telepítenem kell openvpn kliens programot? Milyen portokat nyittassak a kifünél, mert azt ki kell nyitni a tűzfalon, majd akkor tovább dobnom belső lábra. Nálunk a pfsense segítségével oldottam meg ezt, mert ott nagyon egyszerű a megfelelő konfigokat exportálni a webgui-n és jó a teljesítmény is. Nálatok is a pfsense a privátra van kötve? Ott így első körben azért tűnik jobbnak, mert ha csak a vpn-t kezeli, akkor nincs az a gond, ami a NAS-nál az adatok wifis elérése. Már persze ha jól gondoltam át, és ez ténylegesen valós probléma. Viszont, mint írtam a NAS gyorsabb megvalósítás, aztán lehet ismerkedni majd később mással is :) Zsolt ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] Synology NAS-ra VPN szerver
> > Ok, akkor portforwardot megtudod oldani és a nast berakni a belső hálóra? > Ha mezei TP-Link, ZyXEL (melyiket szeressem inkább) router úgy jó, hogy bekötöm a belső lábát a privát szegmensbe, a DHCP-t a privát adja, tehát ez a router csak átdobja a belső portra, akkor igen. Viszont akkor itt arra kell figyeljek, hogy a NAS átjáróját a kifü routerről át kell állítsam a soho router belső IP címére, különben nem talál vissza a csomag. A régi helyemen volt egy ilyen megoldásom, más miatt. Ha jól rémlik azért dobtam végül ki, mert lassú volt valamiért a net azon keresztül. De lehet csak a soho haldoklott, végül másként oldottam azt meg, ezért sem emlékszem már pontosan miért vetettem el. Itt még az vetődik fel, hogy akkor a wifi szegmensből elérik a NAS-t? A kifü nem a soho routerem átjáróján keresztül akarja küldeni a csomagokat, az tuti. Tehát átgondolandó amit tárolok rajta, akkor mi legyen az, honnan akarják elérni. > Akkor az openvpn teljesen biztonságos megoldás lesz. (sha256/ aes256 > melett) > A kms is működik akkor, ha a belső hálózatodon is működik most. > Jól hangzik :) > Tanároknak illetve az eszközökön service-ként futtatva az openvpn-t pl > iterakció nélkül is tud futni a vpn és akkor minden automata. A tanárnak nem > kell csinálni semmit, te pedig korábban vagy anydeskel beállítod. Milyen kliens kell ehhez? Beépítetten tudja a w10, vagy telepítenem kell openvpn kliens programot? Milyen portokat nyittassak a kifünél, mert azt ki kell nyitni a tűzfalon, majd akkor tovább dobnom belső lábra. > Nálunk a pfsense segítségével oldottam meg ezt, mert ott nagyon egyszerű a > megfelelő konfigokat exportálni a webgui-n és jó a teljesítmény is. Nálatok is a pfsense a privátra van kötve? Ott így első körben azért tűnik jobbnak, mert ha csak a vpn-t kezeli, akkor nincs az a gond, ami a NAS-nál az adatok wifis elérése. Már persze ha jól gondoltam át, és ez ténylegesen valós probléma. Viszont, mint írtam a NAS gyorsabb megvalósítás, aztán lehet ismerkedni majd később mással is :) Zsolt ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] Synology NAS-ra VPN szerver
Ok, akkor portforwardot megtudod oldani és a nast berakni a belső hálóra? Akkor az openvpn teljesen biztonságos megoldás lesz. (sha256/ aes256 melett) A kms is működik akkor, ha a belső hálózatodon is működik most. Tanároknak illetve az eszközökön service-ként futtatva az openvpn-t pl iterakció nélkül is tud futni a vpn és akkor minden automata. A tanárnak nem kell csinálni semmit, te pedig korábban vagy anydeskel beállítod. Nálunk a pfsense segítségével oldottam meg ezt, mert ott nagyon egyszerű a megfelelő konfigokat exportálni a webgui-n és jó a teljesítmény is. 2021. 04. 13. 11:30 keltezéssel, Kiss Zsolt írta: Értem. Amennyiben egyszerre csak 1-2 user használja a vpn-t egyszerre úgy nem lesz probléma vele teljesítmény szinten. Azonban a tanárok ne ezen keresztül oldják meg a távmunkát, mert ez a vas nem fogja azt bírni. A távmunkát nem szeretném beengedni, felhőbe akarom terelni a népet. A Tanároknak max kms aktiválás, de az sem nagyon erőltetve, mert jöjjön be, aktiváljon itt, ez volna a fő szabály. Szóval, ha a célod, hogy csak te elérd a belső hálózatot, akkor openvpn segítségével megtudod ezt oldani. Olyan 10-20mbit/s maximum sebességre képes a nas és max 1-2 user kiszolgálására stabilan. Pontosan, ez a fő cél. Itthonról biztonságosan elérjem a belső hálózati eszközeimet. A technikai részletek pedig: Ahhoz, hogy a belső hálót lásd, sajnos két hálózati eszköz kellene, ha a publikus szegmensre rakod a nas, így ez KIESETT. Össze vannak nyitva a szegmenseim, van átjárás, itt inkább az a kérdés, ha az openvpn-t felteszem, az milyen IP tartományból fog nekem IP-t osztani. Ha belső hálóra rakod a nas-t, akkor pedig portforward kell a nas ip címére és vpn portra. Így a natolást a router végzi, nem a nas!! A sulinet routerrel szerintem ez kivitelezhetetlen. Javaslom a portforwardos megoldást és lan-ra tedd a nas/vpn szervert. Ha beteszek egy soho routert a publikus IP-re, akkor annak a belső lábát csatlakoztassam a privát szegmensemre és port forwarddal toljam oda a VPN-t? A pfsense esetén megtudod oldani két hálókártyával is, mert a pc-be simán rakhatsz még csatolót az alaplapin kívül. Így nem kell portforward, mivel az egyik kártya a publikus szegmensen van, a másik pedig a lan-on. >>> pfsense ezt lekezeli, a nason viszont nem lehetséges megoldani, mert kevés az 1 ethernet csatoló. Első körben egyszerűbbnek gondolnám a NAS-ra kialakítani, majd ha lesz idő, lehet akkor volna érdemes ismerkedni pl. a pfsense-el :) OpenVpn-hez mit kell kinyissak a routerben? Zsolt ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] Synology NAS-ra VPN szerver
> > Értem. > Amennyiben egyszerre csak 1-2 user használja a vpn-t egyszerre úgy nem > lesz probléma vele teljesítmény szinten. > Azonban a tanárok ne ezen keresztül oldják meg a távmunkát, mert ez a vas > nem fogja azt bírni. A távmunkát nem szeretném beengedni, felhőbe akarom terelni a népet. A Tanároknak max kms aktiválás, de az sem nagyon erőltetve, mert jöjjön be, aktiváljon itt, ez volna a fő szabály. > > Szóval, ha a célod, hogy csak te elérd a belső hálózatot, akkor openvpn > segítségével megtudod ezt oldani. > Olyan 10-20mbit/s maximum sebességre képes a nas és max 1-2 user > kiszolgálására stabilan. Pontosan, ez a fő cél. Itthonról biztonságosan elérjem a belső hálózati eszközeimet. > > A technikai részletek pedig: > Ahhoz, hogy a belső hálót lásd, sajnos két hálózati eszköz kellene, ha a > publikus szegmensre rakod a nas, így ez KIESETT. Össze vannak nyitva a szegmenseim, van átjárás, itt inkább az a kérdés, ha az openvpn-t felteszem, az milyen IP tartományból fog nekem IP-t osztani. > Ha belső hálóra rakod a nas-t, akkor pedig portforward kell a nas ip címére és > vpn portra. > Így a natolást a router végzi, nem a nas!! A sulinet routerrel szerintem ez kivitelezhetetlen. > > Javaslom a portforwardos megoldást és lan-ra tedd a nas/vpn szervert. > Ha beteszek egy soho routert a publikus IP-re, akkor annak a belső lábát csatlakoztassam a privát szegmensemre és port forwarddal toljam oda a VPN-t? > A pfsense esetén megtudod oldani két hálókártyával is, mert a pc-be simán > rakhatsz még csatolót az alaplapin kívül. > Így nem kell portforward, mivel az egyik kártya a publikus szegmensen van, a > másik pedig a lan-on. >>> pfsense ezt lekezeli, a nason viszont nem > lehetséges megoldani, mert kevés az 1 ethernet csatoló. Első körben egyszerűbbnek gondolnám a NAS-ra kialakítani, majd ha lesz idő, lehet akkor volna érdemes ismerkedni pl. a pfsense-el :) OpenVpn-hez mit kell kinyissak a routerben? Zsolt ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] Synology NAS-ra VPN szerver
Értem. Amennyiben egyszerre csak 1-2 user használja a vpn-t egyszerre úgy nem lesz probléma vele teljesítmény szinten. Azonban a tanárok ne ezen keresztül oldják meg a távmunkát, mert ez a vas nem fogja azt bírni. Szóval, ha a célod, hogy csak te elérd a belső hálózatot, akkor openvpn segítségével megtudod ezt oldani. Olyan 10-20mbit/s maximum sebességre képes a nas és max 1-2 user kiszolgálására stabilan. Ha a célod az, hogy több user/sebességet tudjon a rendszer, akkor vegyél elő egy asztali gépet és pfsense disztróval megtudod oldani. Gui felületet mindent támogat és viszonylag nem nagy meló. A technikai részletek pedig: Ahhoz, hogy a belső hálót lásd, sajnos két hálózati eszköz kellene, ha a publikus szegmensre rakod a nas, így ez KIESETT. Ha belső hálóra rakod a nas-t, akkor pedig portforward kell a nas ip címére és vpn portra. Így a natolást a router végzi, nem a nas!! Javaslom a portforwardos megoldást és lan-ra tedd a nas/vpn szervert. A pfsense esetén megtudod oldani két hálókártyával is, mert a pc-be simán rakhatsz még csatolót az alaplapin kívül. Így nem kell portforward, mivel az egyik kártya a publikus szegmensen van, a másik pedig a lan-on. >>> pfsense ezt lekezeli, a nason viszont nem lehetséges megoldani, mert kevés az 1 ethernet csatoló. Remélem érted nagyjából! :) Milyen routeretek van? (esetleg a sulinetes megoldást használjátok és nincs saját?) 2021. 04. 13. 10:38 keltezéssel, Kiss Zsolt írta: Első körben milyen hardvered van? Synology DS212j Zsolt ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] Synology NAS-ra VPN szerver
>Első körben milyen hardvered van? Synology DS212j Zsolt ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] Synology NAS-ra VPN szerver
Első körben milyen hardvered van? 2021. 04. 12. 23:33 keltezéssel, Kiss Zsolt írta: Sziasztok! Arra gondoltam, hogy a szerver szegmensemben ki kellene engednem a Synology NAS-omat, és arra kellene feltennem egy VPN szervert, mivel alapból benne van ez a lehetőség, így nem kellene külön gépet telepítenem hozzá. A kliensek Windows 10-ek lennének. Ezzel biztonságosan el lehetne érni a belső hálómat, de ami KMS-ért visít, az is megoldható lenne. A Synology VPN lehetőségei közül melyiket ajánlanátok? Biztonságos legyen, de könnyű legyen egy mezei tanárnak is konfigurálni (igaz lehet ezt nekem kell megtenni 1x, aztán majd csak csatlakozik). A VPN szerver honnan fog IP címet adni? a szerver szegmensben nincs IP cím tömeg, NAT-ol is a VPN? Saját routeremben itthon konfigoltam még, de ott nem volt ilyen gond, a router megoldott mindent. Igaz az csak a legegyszerűbb VPN, PPTP ha jól emlékszem. Van ahol már nem is támogatják. Szóval ezt nem igazán nevezném VPN jártasságnak. Zsolt ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
[Techinfo] Synology NAS-ra VPN szerver
Sziasztok! Arra gondoltam, hogy a szerver szegmensemben ki kellene engednem a Synology NAS-omat, és arra kellene feltennem egy VPN szervert, mivel alapból benne van ez a lehetőség, így nem kellene külön gépet telepítenem hozzá. A kliensek Windows 10-ek lennének. Ezzel biztonságosan el lehetne érni a belső hálómat, de ami KMS-ért visít, az is megoldható lenne. A Synology VPN lehetőségei közül melyiket ajánlanátok? Biztonságos legyen, de könnyű legyen egy mezei tanárnak is konfigurálni (igaz lehet ezt nekem kell megtenni 1x, aztán majd csak csatlakozik). A VPN szerver honnan fog IP címet adni? a szerver szegmensben nincs IP cím tömeg, NAT-ol is a VPN? Saját routeremben itthon konfigoltam még, de ott nem volt ilyen gond, a router megoldott mindent. Igaz az csak a legegyszerűbb VPN, PPTP ha jól emlékszem. Van ahol már nem is támogatják. Szóval ezt nem igazán nevezném VPN jártasságnak. Zsolt ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/