Én ezzel tisztában voltam, ezért is írtam, hogy egy soho routerrel tudok "becselezni" a privátba. Úgy már tudok port forwardolni. Engem elvileg el kellene, hogy bírjon. Az egész sulit nem akarom ráterelni. Egy gyors próbát megér, aztán max eldobom az ötletet.
Az eduroam wifi miatt eléggé nehéz kikerülni a kifü routerét. Akkor onnan is VPN-ezni kellene ha a publikus szegmens mögé építenék ki saját infrastruktúrát a priváttól függetlenül. Ez gyakorlatilag az egész hálózat átalakítását jelentené. Most nekem az elég ha én egyedül tudok VPN-en közlekedni. Open VPN-hez milyen portok kellenek? Meg akkor milyen kliens a célszerű W10 alá? Kipróbálom Sohoval, aztán majd módosítok ha nem jön be, ill. a tapasztalatok függvényében lehet majd átalakítani. Zsolt From: techinfo-boun...@lista.sulinet.hu <techinfo-boun...@lista.sulinet.hu> On Behalf Of Sándor Fehér Sent: Tuesday, April 13, 2021 2:39 PM To: techinfo@lista.sulinet.hu Subject: Re: [Techinfo] Synology NAS-ra VPN szerver Összességében nem nem jól gondolod: Kérlek nézd ezt át: https://sulinet.niif.hu/dashboard2_0 A lényeg: Figyelem! A Cisco router mögött csak a Publikus szegmensen elhelyezett szerver/router érhető el az Internet irányából, amennyiben a megfelelő engedő szabályok rögzítve vannak. Egyéb (Privát, Wifi) szegmens erre nem alkalmas, port átirányításra nincs lehetőség! EZT ÉN NEM TUDTAM :) A fentiek miatt (is) NEM ajánlom senkinek a gyári megoldást használni, mert korszerűtlen és rugalmatlan. Javaslom, hogy szerezz be egy normális routert (mikrotik) és kösd a publikus szegmensre. Az egyszerű soho routert nem fogja bírni a teljes iskolátokat ellátni. Át kellene raknod ez esetben az egész sulitokat saját router mögé. (pl hap ac2 mikrotikkel vagy attól nagyobb router segítségével) Egyedüli járható út, hogy mégis megoldjad: pc (pfsense) két ethernet kártyával az egyik a publikus tartományba megy, a másik a privát szegmensre A wifi szegmenst akkor láthatja a vpn kliens(ek), ha a dashboardon összenyitod, de ez megint passz, hogy lehet e ilyet. >>> én semmi gyári kifüs megoldást nem használok, nálunk minden saját megoldás mikrotik routerrel A nas-t felejsd el sajnos a fentiek miatt nem lesz megoldható ezzel a hálózati kialakítással. 2021. 04. 13. 12:12 keltezéssel, Kiss Zsolt írta: Ok, akkor portforwardot megtudod oldani és a nast berakni a belső hálóra? Ha mezei TP-Link, ZyXEL (melyiket szeressem inkább) router úgy jó, hogy bekötöm a belső lábát a privát szegmensbe, a DHCP-t a privát adja, tehát ez a router csak átdobja a belső portra, akkor igen. Viszont akkor itt arra kell figyeljek, hogy a NAS átjáróját a kifü routerről át kell állítsam a soho router belső IP címére, különben nem talál vissza a csomag. A régi helyemen volt egy ilyen megoldásom, más miatt. Ha jól rémlik azért dobtam végül ki, mert lassú volt valamiért a net azon keresztül. De lehet csak a soho haldoklott, végül másként oldottam azt meg, ezért sem emlékszem már pontosan miért vetettem el. Itt még az vetődik fel, hogy akkor a wifi szegmensből elérik a NAS-t? A kifü nem a soho routerem átjáróján keresztül akarja küldeni a csomagokat, az tuti. Tehát átgondolandó amit tárolok rajta, akkor mi legyen az, honnan akarják elérni. Akkor az openvpn teljesen biztonságos megoldás lesz. (sha256/ aes256 melett) A kms is működik akkor, ha a belső hálózatodon is működik most. Jól hangzik :) Tanároknak illetve az eszközökön service-ként futtatva az openvpn-t pl iterakció nélkül is tud futni a vpn és akkor minden automata. A tanárnak nem kell csinálni semmit, te pedig korábban vagy anydeskel beállítod. Milyen kliens kell ehhez? Beépítetten tudja a w10, vagy telepítenem kell openvpn kliens programot? Milyen portokat nyittassak a kifünél, mert azt ki kell nyitni a tűzfalon, majd akkor tovább dobnom belső lábra. Nálunk a pfsense segítségével oldottam meg ezt, mert ott nagyon egyszerű a megfelelő konfigokat exportálni a webgui-n és jó a teljesítmény is. Nálatok is a pfsense a privátra van kötve? Ott így első körben azért tűnik jobbnak, mert ha csak a vpn-t kezeli, akkor nincs az a gond, ami a NAS-nál az adatok wifis elérése. Már persze ha jól gondoltam át, és ez ténylegesen valós probléma. Viszont, mint írtam a NAS gyorsabb megvalósítás, aztán lehet ismerkedni majd később mással is :) Zsolt _______________________________________________ Techinfo mailing list Techinfo@lista.sulinet.hu <mailto:Techinfo@lista.sulinet.hu> Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
_______________________________________________ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
