Synology e OpenVPN

[10ruicosta10]

Ciao a tutti, spero di aver scelto la sezione giusta per postare questa mia problematica.

Sto diventando "matto" per configurare una vpn.

Provo a spiegare la situazione e cosa ho fatto: la mia rete è composta dalla Vodafone Station a cui è collegato il router Synology AC2600 su cui ho cercato di impostare la VPN tramite il pacchetto VPN PLUS.
In cascata al router sono collegati tutti gli altri apparecchi di casa tramite cavo lan oppure tramite wifi proveniente dallo stesso router e da un access point a valle della casa (per questione di ricezione).

Sul router ho configurato una VPN "OpenVPN", salvato ed esportato la relativa configurazione ed importata su un portile e su un cellulare android.
Sulla Vodafone Station ho abilitato il port forwarding della porta 1194 dalla Station al router.

Se provo a collegarmi da cellulare o da portatile, mi viene chiesto di inserire nome utente e password; una volta inserite ed effettuate tutte le operazioni necessarie mi viene restituito il messaggio di avvenuta connessione; dal router ho la conferma che una "macchina esterna" è collegata tramite VPN.

I miei indirizzi interni sono del tipo 10.10.10.x; mentre la VPN è del tipo 10.8.0.x.

Ora viene la parte "dolente": come faccio a vedere le risorse interne alla rete tipo il mio nas o il mio raspberry? Se provo a fare una ricerca di rete non vedo nulla, se provo ad inserire l'ip del tipo 10.10.10.52 non riesco a collegarmi...

Sicuramente sbaglio qualcosa in termini di configurazione o di logica di gestione... sapete aiutarmi?
Grazie in anticipo!

[Dark.Wolf]

Ciao
Puoi incollare il file di config del server e le rotte presenti sul router?

Ovviamente rimuovi IP e chiavi.

Inoltre il router con su openvpn è in cascata alla VS? Perché altrimenti dovresti aggiungere la rotta statica verso la subnet di openvpn.

Inviato dal mio LG-M700 utilizzando Tapatalk

[10ruicosta10]

Innanzitutto... grazie.

Il router è in cascata alla Vodafone Station, dalla Vodafone Station ho fatto il forward della porta 1194 verso il router.

Il file config dovrebbe essere questo:

Codice:

dev tun
tls-client

remote XXXXXXX.ddns.net

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2


reneg-sec 0

auth SHA512

cipher AES-256-CBC

auth-user-pass


key-direction 1

comp-lzo
explicit-exit-notify
<ca>

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>

<tls-auth>

#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----

-----END OpenVPN Static key V1-----
</tls-auth>

Spero di aver tulto tutto

Allego i file della tabella routing (spero sia quella) e quella del firewall

https://ibb.co/dLfF2nY
https://ibb.co/8D9brNc

[Dark.Wolf]

Figurati

Lato rotte è tutto in ordine, il firewall ha allow da 10.8.0.0/24 -> any, non dovresti avere problemi.

Se da telefono connesso in vpn fai ping verso. 10.8.0.2 hai risposta?
Se hai risposta allora l'indagato è il cfg del server ovpn.

[luis91]

Domanda forse banale, nel NAS e' configurato il default gateway?
Non conosco i synology ma nei Qnap e' possibile specificare le reti che possono accedere alla web interface, prova a verificare se devi aggiungere la subnet VPN alle reti abilitate all'accesso

[10ruicosta10]

Quote:

Originariamente inviato da Dark.Wolf

Figurati

Lato rotte è tutto in ordine, il firewall ha allow da 10.8.0.0/24 -> any, non dovresti avere problemi.

Se da telefono connesso in vpn fai ping verso. 10.8.0.2 hai risposta?
Se hai risposta allora l'indagato è il cfg del server ovpn.

Provato adesso da telefono (che risulta collegato con OpenVPN) e 100% di pacchetti persi.

@Luis91
Il server OpenVPN è configurato sul router della Synology, posseggo poi anche un Nas sempre dalla Synology

[Dark.Wolf]

A questo punto dovresti creare regole esplicite sul firewall:

Allow da tun* sia per INPUT che FORWARD
Non so che possibilità ti da la gui del router.

Nel mio caso (OpenWRT) mi sono trovato di fronte allo stesso problema e finchè non definivo anche la regola generale il traffico restava bloccato.

(la mia interfaccia tun* è nominata VPN)



Nella FAQ ne parlano.

[10ruicosta10]

Sapere cosa creare...

Il mio router ha queste schermata per creare una regola sul firewall:

https://ibb.co/J7Ck2wn
https://ibb.co/KK5nGV9

[10ruicosta10]

Sperando di non sbagliare nello scrivere ancora...

Nessuno sa darmi qualche info in più?

[stopsign]

Fammi capire meglio:

-il tuo router "interno" nasconde dietro di sé una rete 10.10.10.0/24
- la VPN ruota tra di loro la 10.8.0.0/24
- il tuo modem-router di casa ha una rete x.y.z.k
- la porta del router "interno" è correttamente esposta sull'IP pubblico del modem-router esterno tramite port forwarding
- vuoi far vedere i dispositivi della rete 10.10.10.0/24 a chi è connesso in VPN da fuori

Giusto? Se è così allora il server VPN deve fare altre due cose: avere abilitata l'opzione

Codice:

client-to-client

ed esporre la rete 10.10.10.0/24 alla rete della VPN con

Codice:

route 10.10.10.0 255.255.255.0

.
Dovrebbero bastare queste opzioni ma per esser sicuri dopo aver tirato su la VPN sul dispositivo connesso da INTERNET (un qualunque portatile con tethering del cellulare va bene) facci vedere le rotte (route print su windows o ip route su linux). Stessa cosa sul router "interno".

[10ruicosta10]

Quote:

Originariamente inviato da stopsign

Fammi capire meglio:

-il tuo router "interno" nasconde dietro di sé una rete 10.10.10.0/24
- la VPN ruota tra di loro la 10.8.0.0/24
- il tuo modem-router di casa ha una rete x.y.z.k
- la porta del router "interno" è correttamente esposta sull'IP pubblico del modem-router esterno tramite port forwarding
- vuoi far vedere i dispositivi della rete 10.10.10.0/24 a chi è connesso in VPN da fuori

Giusto? Se è così allora il server VPN deve fare altre due cose: avere abilitata l'opzione

Codice:

client-to-client

ed esporre la rete 10.10.10.0/24 alla rete della VPN con

Codice:

route 10.10.10.0 255.255.255.0

.
Dovrebbero bastare queste opzioni ma per esser sicuri dopo aver tirato su la VPN sul dispositivo connesso da INTERNET (un qualunque portatile con tethering del cellulare va bene) facci vedere le rotte (route print su windows o ip route su linux). Stessa cosa sul router "interno".

1) Esatto (router Synology RT2600AC)
2) Esatto
3) Esatto (Vodafone Station)
4) Confermo
5) Confermo

Nel router ho l'opzione "Allow clients to access servers LAN" spuntata.

Per le rotte domani provo sul portatile, ma non saprei come farlo sul router "interno".

[10ruicosta10]

Servono altre informazioni oppure non ho speranze di utilizzare la VPN?

[luis91]

Le rotte del portatile quando e' connesso in VPN quali sono?

[10ruicosta10]

Quote:

Originariamente inviato da luis91

Le rotte del portatile quando e' connesso in VPN quali sono?

Ultimamente avevo provato solo con il telefono...
Appena possibile provo anche con il portatile!