Aha. Így már értem. Akkor max a kifü felé érhet meg egy kérdést,
támogatnának-e egy ilyen route tábla „hegesztést” Egy próbát megér,
kérdésért nem vágnak csak pofon J
Ha a pfsense-t felteszem egy gépre, akkor azzal viszont ugyanezt a
felállást ha jól értem meg lehet valósítani? Tehát LAN1 lába publikus,
LAN2 lába privát? Gyakorlatilag azt csinálná mint most a soho, csak
működne is? Mennyi idő egy ilyen összedobni? Milyen vas volna célszerű
hozzá? Van egy régebbi szerverem, amin csak egy sima win10 fut, nem is
tudom mire használták. Szerintem két hálókártya is akad benne, még
bugázni sem kell. Szerintem nincs baja sem, csak kaptak újabbat, azért
cserélték le. De majd meg kell nézni persze jobban.
Zsolt
*From:*[email protected]
<[email protected]> *On Behalf Of *Sándor Fehér
*Sent:* Tuesday, April 13, 2021 4:33 PM
*To:* [email protected]
*Subject:* Re: [Techinfo] Synology NAS-ra VPN szerver
Értem ez a 2. eset.
Akkor gondolj bele ebbe:
a synology csak tun típusú vpn szervert tud emlékeim szerint.
A tun layer 3 szerint működik, tehát ezt routolt vpn-nek hívjuk
A vpn kliensed felkeresi a lan-os valamelyik belső gépet.
A belső gép a vpn kliensnek nem fog tudni választ küldeni, mert az
alapértelmezett átjáróra fog válaszolni, ami pedig a kifüs cisco eszköz.
A kifüs cisco router a route táblájába nem lesz benne a vpn tartomány,
így ő is kivágja a csomagot a def gw-re a kifü gw-jére és ott
eldobódik....
példa:
otthoni lan >>>>>>> soho router publikuson >>>>>>>>>synology
192.168.1.0/24 195.199.23x.x/29 192.168.2.0/24
vpn kliens tun ip: 10.0.0.1
------------------------------------------> syno tun ip 10.0.0.2
A vpn egy tunnelt hoz létre a két eszköz között, ami ezektől az ip
címektől független lesz. pl 10.0.0.0/24
A vpn kliensed ebben az esetben a 192.168.1.1 stb ip címeken
"látszódik" a suliba, mivel layer 3 alapú a vpn.
A belső hálód nincs tisztában a 192.168.1.0/24 hálózatról, mert azt
csak a vpn szerver ismeri. Sajnos nem a vpn szervered az
alapértelmezett átjáró, mert ha az lenne nincs probléma.
Az hogy ezt áthidald a kifü cisco-ba kellene route táblát
frissíteni/hozzáírni, hogy a 192.168.1.0/24 hálózatot a synology ip
címén keresse. Ehhez kellene a kifü, de elzárkóznak ettől szerintem.
Ha ez nincs, akkor a belső gépek azt csinálják amit fenn írtam.
Csak 2. rétegbeli vpn-el lehet ezt megoldani ún transport módú vagyis
"tap" típusú openvpn megoldással.
!!!A pfsense tudja ezt, a synology nem. !!!
Ennek a működése annyi, hogy a vpn kliensed a belső hálózatról a
mostani !!!kifüs!!! cisco routertől fog ip címet kapni és a cisco úgy
fogja őt látni, mintha a switchbe dugtad volna azt a gépet, ami neked
sulin kívül van. A wifi sub is megy a kmsel együtt, ha most is jó.
Ehhez kell egy pc két ethernet kártyával.
Mással időhúzás próbálkozni és kudarc lesz a vége ebben a környezetben..
Ha hajlasz ennek a megoldására keress nyugodtan.
Üdv!
2021. 04. 13. 16:11 keltezéssel, Kiss Zsolt írta:
Nem rajzolok inkább leírom, szerintem érthető lesz.
Fogok egy soho routert. WAN portját bedugom a kifü publikus
portjába, beállítom a routerben a publikus IP-t.
A soho tartományát ugyanarra állítom, mint a privát szegmensem
tartománya, és a DHCP-t kikapcsolom.
Fogok egy UTP kábelt és a LAN1 portot rádugom a kifü privát
tartományára.
Így bármelyik privátos gépre tudok port forwardot csinálni. Ami
speciel a NAS lesz. Annyi benne még a csavar, hogy az a gép, amire
port forwardot állítok be, neki az átjárója IP-je a soho router
belső IP-je kell legyen, tehát ő nem a kifün közlekedik
közvetlenül hanem a sohon. Ez régen simán működött, de az rémlik
lassú volt, de az router hiba volt.
Pl az eduroamnak azért kell látnia a privátot, mert abban van a
hálózati nyomtató. Ha az adatokat teljesen felhőbe teszem, így nem
lesz mondjuk fileszerver, akkor is a nyomtató miatt kelleni fog az
átjárás. De ez most működik is, minden mindennel össze van nyitva.
Akkor az open VPN-nek elég 1 port, semmi sok portos bonyolultság.
Bekonfigolom a NAS-on, amit ott beállítok portot kinyitok és
meglátjuk működik-e J
W10 alapból fel sem ismeri, vagy felismeri, csak egészségesebb
klienssel használni? Mert ha felismeri, a teszt erejéig akár
mehetne azzal is. Ha jól csatlakozik, akkor a szerver része OK,
lehet klienssel is bíbelődni…
Zsolt
*From:*[email protected]
<mailto:[email protected]>
<[email protected]>
<mailto:[email protected]> *On Behalf Of *Sándor Fehér
*Sent:* Tuesday, April 13, 2021 3:49 PM
*To:* [email protected] <mailto:[email protected]>
*Subject:* Re: [Techinfo] Synology NAS-ra VPN szerver
>hogy egy soho routerrel tudok „becselezni” a privátba
Kérlek ha tudod rajzold le nekem, hogy hogyan gondolod. Nem lesz
jó két dolog miatt sem.
1: hiába teszed be a wan interfészét a privátba oda nem tudsz
portot forwardolni, mert nem lehetséges plusz felesleges lenne.
2: ha úgy kötöd be, hogy a wan a publikusra megy, a lan pedig a
privátba belefutsz egy problémába::: a benti lanos gépek
alapértelmezett átjárója nem a soho router most, ezért a hálózati
gépek egyike sem fogja elérni a vpn mögötti subnetet, mert hogy ez
menjen a cisco-ba kellene belenyúlni és módosítani a route táblát.
Nem hinném, hogy a kifü ezt megteszi neked, amúgy működhet, de ne
így csináld szerintem. Pont emiatt is van saját routerem....
A wifi miért kell lássa a privát/vpn szubnetet?
-ezt nem értem, sorry nálunk nem kell, ha igen akkor vpn ahogyan
írtad....
Az openvpn tcp vagy udp portot kér, 1194 alapból, de bármi más is
lehet, sokszor ajánlott is mást használni.
A win10-hez a kliens az openvpn community oldalon a community
downloadson belül érhető el, rendszergazdaként kell telepíteni.
https://openvpn.net/community-downloads/
<https://openvpn.net/community-downloads/>
Androidra és szifonra is van kliens és persze linuxra is....
2021. 04. 13. 14:58 keltezéssel, Kiss Zsolt írta:
Én ezzel tisztában voltam, ezért is írtam, hogy egy soho
routerrel tudok „becselezni” a privátba. Úgy már tudok port
forwardolni. Engem elvileg el kellene, hogy bírjon. Az egész
sulit nem akarom ráterelni. Egy gyors próbát megér, aztán max
eldobom az ötletet.
Az eduroam wifi miatt eléggé nehéz kikerülni a kifü routerét.
Akkor onnan is VPN-ezni kellene ha a publikus szegmens mögé
építenék ki saját infrastruktúrát a priváttól függetlenül. Ez
gyakorlatilag az egész hálózat átalakítását jelentené. Most
nekem az elég ha én egyedül tudok VPN-en közlekedni.
Open VPN-hez milyen portok kellenek?
Meg akkor milyen kliens a célszerű W10 alá?
Kipróbálom Sohoval, aztán majd módosítok ha nem jön be, ill. a
tapasztalatok függvényében lehet majd átalakítani.
Zsolt
*From:*[email protected]
<mailto:[email protected]>
<[email protected]>
<mailto:[email protected]> *On Behalf Of
*Sándor Fehér
*Sent:* Tuesday, April 13, 2021 2:39 PM
*To:* [email protected] <mailto:[email protected]>
*Subject:* Re: [Techinfo] Synology NAS-ra VPN szerver
Összességében nem nem jól gondolod:
Kérlek nézd ezt át:
https://sulinet.niif.hu/dashboard2_0
<https://sulinet.niif.hu/dashboard2_0>
A lényeg:
*Figyelem! A Cisco router mögött csak a Publikus szegmensen
elhelyezett szerver/router érhető el az Internet irányából,
amennyiben a megfelelő engedő szabályok rögzítve vannak.*
*Egyéb (Privát, Wifi) szegmens erre nem alkalmas, port
átirányításra nincs lehetőség!*
*EZT ÉN NEM TUDTAM :)**
*
A fentiek miatt (is) NEM ajánlom senkinek a gyári megoldást
használni, mert korszerűtlen és rugalmatlan.
Javaslom, hogy szerezz be egy normális routert (mikrotik) és
kösd a publikus szegmensre. Az egyszerű soho routert nem fogja
bírni a teljes iskolátokat ellátni.
Át kellene raknod ez esetben az egész sulitokat saját router
mögé. (pl hap ac2 mikrotikkel vagy attól nagyobb router
segítségével)
Egyedüli járható út, hogy mégis megoldjad:
pc (pfsense) két ethernet kártyával az egyik a publikus
tartományba megy, a másik a privát szegmensre
A wifi szegmenst akkor láthatja a vpn kliens(ek), ha a
dashboardon összenyitod, de ez megint passz, hogy lehet e
ilyet. >>> én semmi gyári kifüs megoldást nem használok,
nálunk minden saját megoldás mikrotik routerrel
A nas-t felejsd el sajnos a fentiek miatt nem lesz megoldható
ezzel a hálózati kialakítással.
2021. 04. 13. 12:12 keltezéssel, Kiss Zsolt írta:
Ok, akkor portforwardot megtudod oldani és a nast berakni a
belső hálóra?
Ha mezei TP-Link, ZyXEL (melyiket szeressem inkább) router úgy jó,
hogy
bekötöm a belső lábát a privát szegmensbe, a DHCP-t a privát adja,
tehát ez
a router csak átdobja a belső portra, akkor igen. Viszont akkor itt
arra
kell figyeljek, hogy a NAS átjáróját a kifü routerről át kell
állítsam a
soho router belső IP címére, különben nem talál vissza a csomag. A
régi
helyemen volt egy ilyen megoldásom, más miatt. Ha jól rémlik azért
dobtam
végül ki, mert lassú volt valamiért a net azon keresztül. De lehet
csak a
soho haldoklott, végül másként oldottam azt meg, ezért sem
emlékszem már
pontosan miért vetettem el.
Itt még az vetődik fel, hogy akkor a wifi szegmensből elérik a
NAS-t? A kifü
nem a soho routerem átjáróján keresztül akarja küldeni a
csomagokat, az
tuti. Tehát átgondolandó amit tárolok rajta, akkor mi legyen az,
honnan
akarják elérni.
Akkor az openvpn teljesen biztonságos megoldás lesz. (sha256/
aes256
melett)
A kms is működik akkor, ha a belső hálózatodon is működik most.
Jól hangzik :)
Tanároknak illetve az eszközökön service-ként futtatva az
openvpn-t pl
iterakció nélkül is tud futni a vpn és akkor minden automata. A
tanárnak
nem
kell csinálni semmit, te pedig korábban vagy anydeskel
beállítod.
Milyen kliens kell ehhez? Beépítetten tudja a w10, vagy telepítenem
kell
openvpn kliens programot?
Milyen portokat nyittassak a kifünél, mert azt ki kell nyitni a
tűzfalon,
majd akkor tovább dobnom belső lábra.
Nálunk a pfsense segítségével oldottam meg ezt, mert ott nagyon
egyszerű a
megfelelő konfigokat exportálni a webgui-n és jó a teljesítmény
is.
Nálatok is a pfsense a privátra van kötve? Ott így első körben
azért tűnik
jobbnak, mert ha csak a vpn-t kezeli, akkor nincs az a gond, ami a
NAS-nál
az adatok wifis elérése. Már persze ha jól gondoltam át, és ez
ténylegesen
valós probléma. Viszont, mint írtam a NAS gyorsabb megvalósítás,
aztán lehet
ismerkedni majd később mással is :)
Zsolt
_______________________________________________
Techinfo mailing list
[email protected] <mailto:[email protected]>
Fel- és
leiratkozás:http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
<http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo>
Illemtan:http://www.szag.hu/illemtan.html
<http://www.szag.hu/illemtan.html>
Ügyfélszolgálat FAQ:http://sulinet.niif.hu/
<http://sulinet.niif.hu/>
_______________________________________________
Techinfo mailing list
[email protected] <mailto:[email protected]>
Fel- és leiratkozás:http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
<http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo>
Illemtan:http://www.szag.hu/illemtan.html
<http://www.szag.hu/illemtan.html>
Ügyfélszolgálat FAQ:http://sulinet.niif.hu/ <http://sulinet.niif.hu/>
_______________________________________________
Techinfo mailing list
[email protected] <mailto:[email protected]>
Fel- és leiratkozás:http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
<http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo>
Illemtan:http://www.szag.hu/illemtan.html
<http://www.szag.hu/illemtan.html>
Ügyfélszolgálat FAQ:http://sulinet.niif.hu/ <http://sulinet.niif.hu/>
_______________________________________________
Techinfo mailing list
[email protected]
Fel- és leiratkozás: http://lista.sulinet.hu/cgi-bin/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
