2020. május 26., kedd

Gyorskeresés

OpenVPN + Synology beállítás alapok

Írta: | Kulcsszavak: synology vpn openvpn

[ ÚJ BEJEGYZÉS ]

Felmerült éppen a Synology topicban, szóval itt egy rövid összefoglaló a beállításokról:

Miért OpenVPN: röviden mert a többit bár egyszerűbb a kliens oldalon beállítani, de biztonságosnak nem tekinthetőek már.

Hogyan:

Gyári Synology súgó:
szerver
kliens

Ha valami nem tiszta, akkor esetleg ez segít:

Először a NAS-on telepíteni kell a VPN szervert, ezt a csomagkezelőben lehet megtenni. (Utilities fülön)

Utána konfigurálni kell a VPN szervert a NAS-on:

Első lépés: Milyen IP-t kapjanak a VPN-en csatlakozó kliensek. Mindenképpen külön alhálón lesznek, nem lehet azonos azzal, amin a NAS van. De ez nem baj. El lehet fogadni, amit felajánl.
Második lépés: port és protocol beállítása. Lehetőleg ne az alap porton hagyjuk, valami random szám legyen magasabb tartományból (pl 10000 és 20000 között) A lényeg, hogy a routeren a port forward beállításoknál ezt a portot kell majd kinyitni a NAS felé.
Harmadik lépés: tömörítés engedélyezése (első pipa), mehet.
A belső hálózat elérésének engedélyezése. Ez kell, ha a sima windowsos megosztásait szeretnénk látni a NASnak. Ekkor minden más is látszódni fog a belső hálózatunkból.
Nem kell, ha csak titkosított kapcsolaton keresztül szeretnénk használni a gyári Synology alkalmazásokat.
Negyedik lépés: A konfiguráció exportálása. Ezt kell majd odaadni a kliens programoknak a csatlakozáshoz. (később bővebben kifejtem)
Ötödik lépés: Engedélyezni kell a VPN használatát azoknak a felhasználóknak, akik használhatják majd. (Privilige fül szintén ezen a képernyőn)

Kliens programok beállítása:
Kell. Nem lehet megkerülni, se windowsra se androidra, se mac-re nincs gyári megoldás. A linux alapú rendszerek kivételével mondhatjuk, hogy szerencsére... egyel kevesebb biztonsági rés.

PC: telepíteni kell a kliens progi aktuális változatát innen: katt
Windowson figyelni kell majd rá, hogy admin jog kell a proginak, különben bár úgy tűnik hogy tud csatlakozni, de működni nem fog.
Android: le kell tölteni a play store-ból

Beállítás: a 4. pontban exportált beállításokat elérhetővé kell tenni a kliensnek, és már csatlakozhatunk is.
Windowsban abba a könyvtárba kell bemásolni, ahova telepítettük a programot.

Fontos: ezeket a beállítás fájlokat nem küldhetjük el mailben, nem plakátolhatjuk ki a ház falára stb. Személyesen kell odaadni azoknak, akik használhatják a rendszerünk. Benne van a NAS tanusítványa (ca.crt), ennek az elérhetővé tételénél nem nagyon lehet nagyobb felhasználói hibát elkövetni.

De előtte még egy kicsit szerkeszteni kell rajta.
Azokat a sorokat amiket szerkeszteni kell / kellhet, felkiáltójelekkel kezdtem:

dev tun
tls-client

!!! remote címem.synology.me portom

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

# azaz a redirect-gateway elől kell kivenni a "#" jelet,
# ha a kliensek összes forgalmát át akarjuk kényszeríteni a VPN-en

!!! #redirect-gateway

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

comp-lzo

reneg-sec 0

auth-user-pass

Androdidnál annyival bonyolultabb, hogy a ca.crt tartalmát (vagy ahogy elneveztük) ebbe a konfig fájlba be kell írni a következőképpen:

ca ca.crt

<ca>
itt meg a ca.crt komplett tartalma van. Úgy kezdődik, hogy BEGIN CERTIFICATE, és úgy van vége, hogy END CERTIFICATE
Már alapból így exportál a VPN server.

</ca>

Miért jó ez neked:
Mert titkosítva lesz minden forgalom, ami a kliens és a szerver között zajlik. Miközben csak 1 portot nyitottunk ki a NAS felé.
Védve lehetsz egy tetszőleges nem biztonságosnak tekintett hálózaton is. Pl nyílt wifi-k.
Elrejtheted a forgalmi statisztikád a mobilnet szolgáltatód elől. (szűrje a forgalmad ha bírja ;] )

Miért nem a routereden állítod be? Egyrészt kevés tudja az OpenVPN-t is. Másrészt a NAS általában lényegesen erősebb a routernél, így kevésbé fogja zavarni az extra terhelés.

Hozzászólások

(#1) ncc1701


ncc1701
(addikt)

A dolog szépséghibája az, h pár év után frissítés az ilyen dobozokhoz nem fog érkezni, utána kérdéses, h plö a benne levő ovpn szerver hibás-e?

(#2) Sethdobaloah válasza ncc1701 (#1) üzenetére


Sethdobaloah
(senior tag)

A pár év az igaz, de jelenlegi tudásunk szerint 3-5 évig biztosan ad támogatást a Synology. Ennyi idő alatt egyébként is kukázol sok informatikai eszközt.

Aki meg jobban ért hozzá, eleve a saját debian szerverére telepíti. Amit 15 éve használ, még p3 alapú... szóval érted. Más felhasználó közönség. Ezt egyszerű használni cserébe eldobható.

De nem promótálni akartam, csak leírni a "hogyant" azoknak, akiknek eleve már van Synology NAS a birtokukban.

...csak én vagyok helikopter?

(#3) joysefke válasza Sethdobaloah (#2) üzenetére


joysefke
(veterán)

Számomra tök aktuális a téma, azzal a különbséggel, hogy nem a saját
"gadget" kategóriás so/ho routeremre (Synology-m nincs) igyekszem openVPN-t takni, hanem
ingyenes Amazon Web Service-re. AWS friss usereknek 12 hónapig ingyen van (egy Linux és egy Windows free tear VM) az pedig szépen tudja futtatni az openVPN-t is...

(#4) joysefke válasza joysefke (#3) üzenetére


joysefke
(veterán)

meg is csináltam :) 13Mbps/5Mbps lett a VPN sebessége...

(#5) Stanlee


Stanlee
(senior tag)
LOGOUT blog

Kossz a leirasert, igaz most mar nincs Synology-m, de akinek van es gondolkodik VPN-ben, annak jol jon egy ilyen leiras.

filtered-news.net

(#6) Sethdobaloah válasza joysefke (#4) üzenetére


Sethdobaloah
(senior tag)

gratta :)

...csak én vagyok helikopter?

(#7) VIC20 válasza Sethdobaloah (#6) üzenetére


VIC20
(őstag)

Köszi a cikket!

Sajnos nagyon kezdő vagyok a témában, ezért elnézést kérek, ha hülyeséget kérdezek:

Ezzel a módszerrel maga a NAS lesz elérhető az internet felől olyan gépekkel, amelyekre föltelepítettem + beállítottam az openvpn klienst?

Nálam a következő a helyzet:

1. Munkahely:
router: NetGear WNDR3800 openWRT-vel (Vargalex-féle)
Synology NAS
És a helyi háló, a legfontosabb gépe egy Windows SBS 2011-es.

2. Otthon
router TP-Link openWrt-vel
Synology NAS
helyi háló

Úgy gondoltam, hogy a NAS külső elérésén kívül ezt a két helyi hálózatot kellene összekapcsolni. Erre az általad leírt módszer jó, vagy valami másra lenne szükség?

[ Szerkesztve ]

(#8) Richi78


Richi78
(csendes tag)

Sziasztok!

Nekem az lenne a kérdésem, hogy szeretnék felcsatlakozni OpenVpn -nel a Nasra úgy hogy láthassam annak a tartalmát a gépemen, mint felcsatlakoztatott hálózati meghajtó. Valaki tudna segíteni, hogy ezt hogyan tudom megoldani?

Előre is köszönöm a segítséget.

További hozzászólások megtekintése...
Copyright © 2000-2020 PROHARDVER Informatikai Kft.