openvpn QNAP con doppio router?

[sforzy]

ciao a tutto il forum da un nuovo iscritto....spero di aver beccato la sezione giusta per un quesito un po' complicato.
ho appena acquistato un TS-231+ che devo collegare nella linea in fibra ottica che ho a casa per poi accedervi con il cellulare (per accesso a documenti di lavoro, backup vari ma soprattutto per sincronizzare agenda android con agenda thunderbird senza arricchire google & C.!! )
posto che nel NAS metterò parecchie cose personali di lavoro, e posto che avrò un IP pubblico fisso (quindi non troppo sicuro) vorrei proteggere il nas da possibili attacchi e quindi avevo pensato di strutturare la rete così:
1) router dell'ISP con wifi (a cui collegherò i PC e tablet di amici, nipoti, sorelle e chiunque può portare virus!!! )
2) al router ISP collegherei un vecchio router netgear (lo collego all'ISP tramite porta WAN dandogli un IP fisso)
3) al router netgear collego il NAS su cui attivo un server openvpn; chiaramente devo aprire le porte della vpn sia sul netgear (associandole al NAS) che sul router ISP (associandole all'IP fisso della WAN netgear)

a questo punto pensavo di attivare la connessione vpn sia sul cellulare android sia sul pc portatile in maniera tale che quando non sono a casa (parecchio!!) posso accedere al NAS via VPN e usarlo come se fossi connesso alla LAN di casa, senza quindi dover installare app e programmi che si appoggiano a servizi esterni (quindi sia i ddns che i servizi di qnap stessa).
secondo Voi è fattibile la cosa o il doppio router può creare problemi?
e una rete così strutturata è più sicura rispetto al collegamento del NAS direttamente sul router dell'ISP?

chiaramente ho altre 1000 altre domande da fare ( ) però le tiro fuori quando c'è la ragionevole certezza che tutto possa funzionare.

intanto grazie a tutti per l'attenzione
ciaoz

PS
il qnap mi arriva nel fine settimana per cui le prove le posso eventualmente fare nel weekend

[mr_hyde]

Ho una situazione simile alla tua doppio router e NAS collegato sul secondo router; in realtà il mio server open VPN è in esecuzione sul secondo router questo perché era già così prima dell'acquisto del Nas e per pigrizia non ho mai cambiato.
Nel mio caso il mio server openvpn è impostato solo per permettere il collegamento punto a punto ma sul router è in esecuzione anche un server proxy quindi mi collego in VPN al router e poi tramite proxy ho accesso alla mia rete interna quella che corrisponde appunto al secondo router questo sempre perché anche il proxy era già impostato così prima dell'acquisto del QNAP è sempre per pigrizia non ho mai cambiato niente ma credo che far fare al NAS da gateway via VPN, saltando il proxy, sia possibilissimo.

Il mio unico problema è stato far girare openvpn sulla porta TCP 443 xchê è l'unica non filtrata dal proxy aziendale dove lavoro, non so da dove tu voglia accedere ma ricorda che anche tu potresti incappare in problemi simili.


Ciao,
Mr Hyde

[sforzy]

ottimo mr hyde...grazie per la risposta....già mi sento meglio!!!
quello che non avevo preventivato è il server proxy........non pensavo fosse necessario....pensavo che una volta collegato in vpn dall'esterno avrei visto il nas come se fossi collegato alla lan di casa (quella del 2° router netgear nel mio caso). che ne pensi...dovrò avviare anche io un proxy?
comunque appena mi arriva il QNAP faccio qualche prova e ti faccio sapere.
per la connessione, invece, non ho grandi pretese....la userò solo io quando sono fuori casa dal cellulare e dal notebook per accedere ai file di lavoro e per sincronizzare le agende del cellulare e di thunderbird.
In relazione a ciò immagino che dovrò solo aprire la porta di connessione della VPN (penso che non avrò necessità di aprire altre porte in quanto mi serve solo il tunnel VPN, poi le connessioni con il NAS avverranno all'interno della LAN).
invece la possibilità di creare la VPN usando il router anzichè il NAS non è niente male....l'avevo preventivata per risparmiare corrente sulla base del principio che il router sta comunque sempre acceso mentre il NAS può andare in stand by, cosa che non avverrebbe nel caso in cui al NAS arrivassero continue richieste di accesso VPN (ad es. se mi dimentico di scollegare la VPN del notebook!)
ho dovuto però desistere in quanto sia il router netgear vecchio che userò per la 2° LAN, sia un altro router netgear più nuovo (con wifi) NON hanno la sezione VPN, sezione che invece mi ritrovo in un 3° netgear che ho ma che però è modem adsl2+router (ora lo sto usando come bridge di rete, quindi con la porta adsl disconnessa e collegato tramite una delle porte 4 LAN al router fibra dell'ISP. al netgear ho disattivato il DHCP e sostanzialmente lo uso per estendere il wifi in casa).
da quello che posso capire dai 3 netgear che ho (ditemi se sbaglio) per avere la VPN gestita dal router, lo stesso deve anche fare da modem, giusto? (per cui casomai dovrei usare il modem dell'ISP per creare una VPN, cosa che comunque non andrebbe bene per come ho ideato la LAN)
ho provato pure a cercare un firmware dd-wrt per il vecchio netgear, ma a quanto pare non è compatibile.
alla fine mi sa che opterò per la VPN gestita dal NAS

a presto

[mr_hyde]

ottimo mr hyde...grazie per la risposta....già mi sento meglio!!!
quello che non avevo preventivato è il server proxy........non pensavo fosse necessario....pensavo che una volta collegato in vpn dall'esterno avrei visto il nas come se fossi collegato alla lan di casa (quella del 2° router netgear nel mio caso). che ne pensi...dovrò avviare anche io un proxy?

No, se imposti la VPN _NON_ per il semplice collegamento punto-a-punto (come invece la ho io: in pratica posso collegarmi solo al dispositivo dove gira OPENVPN che per me è appunto il router).
Io non l'ho mai fatto ma se non ricordo male puoi tranquillamente configurare la OPENVPN del NAS per fare al NAS da "gateway" verso la tua intera rete di casa.

comunque appena mi arriva il QNAP faccio qualche prova e ti faccio sapere.
per la connessione, invece, non ho grandi pretese....la userò solo io quando sono fuori casa dal cellulare e dal notebook per accedere ai file di lavoro e per sincronizzare le agende del cellulare e di thunderbird.
In relazione a ciò immagino che dovrò solo aprire la porta di connessione della VPN (penso che non avrò necessità di aprire altre porte in quanto mi serve solo il tunnel VPN, poi le connessioni con il NAS avverranno all'interno della LAN).

Per quello che so io è esatto (o almeno io ho fatto così)

invece la possibilità di creare la VPN usando il router anzichè il NAS non è niente male....l'avevo preventivata per risparmiare corrente sulla base del principio che il router sta comunque sempre acceso mentre il NAS può andare in stand by, cosa che non avverrebbe nel caso in cui al NAS arrivassero continue richieste di accesso VPN (ad es. se mi dimentico di scollegare la VPN del notebook!)
ho dovuto però desistere in quanto sia il router netgear vecchio che userò per la 2° LAN, sia un altro router netgear più nuovo (con wifi) NON hanno la sezione VPN, sezione che invece mi ritrovo in un 3° netgear che ho ma che però è modem adsl2+router (ora lo sto usando come bridge di rete, quindi con la porta adsl disconnessa e collegato tramite una delle porte 4 LAN al router fibra dell'ISP. al netgear ho disattivato il DHCP e sostanzialmente lo uso per estendere il wifi in casa).
da quello che posso capire dai 3 netgear che ho (ditemi se sbaglio) per avere la VPN gestita dal router, lo stesso deve anche fare da modem, giusto? (per cui casomai dovrei usare il modem dell'ISP per creare una VPN, cosa che comunque non andrebbe bene per come ho ideato la LAN)
ho provato pure a cercare un firmware dd-wrt per il vecchio netgear, ma a quanto pare non è compatibile.
alla fine mi sa che opterò per la VPN gestita dal NAS

a presto

Il router su cui gira OPENVPN è solo router (no modem) perché io comunque ho Fastweb con fibra FTTH (quindi mi entra in casa un cavo in fibra ottica che poi finisce in un dispositivo di Fastweb che "trasforma" da fibra ottica a ethernet) ed è un router su cui gira DD-WRT e OPTWARE.
Per quanto riguarda il DD-WRT se hai un router basato su chipset Broadcomm probabilmente puoi installarlo senza problemi, tuttavia IMHO io eviterei di compilcarmi la vita tra flash di firmware alternativo e configurazioni varie e userei direttamente il solo QNAP (salvo che tu non voglia metterti a smanettare solo per amor dello smanettamento che, sia chiaro, è comque una pratica con cui si impara qualcosa e per alcuni è pure divertente).

Ciao,
Mr Hyde

[sforzy]

ottimo...risposte chiarissime!!!

Per quanto riguarda il DD-WRT se hai un router basato su chipset Broadcomm probabilmente puoi installarlo senza problemi, tuttavia IMHO io eviterei di compilcarmi la vita tra flash di firmware alternativo e configurazioni varie e userei direttamente il solo QNAP (salvo che tu non voglia metterti a smanettare solo per amor dello smanettamento che, sia chiaro, è comque una pratica con cui si impara qualcosa e per alcuni è pure divertente).

....beh....non telo dico nemmeno.....è quasi sicuro che smanetterò!!!
ho appena visto però che il mio router (netgear RP 614 v3) non ha il broadcomm, ma il Micrel ???) ==> https://wikidevi.com/wiki/Netgear_RP614v3
chissà se si potrà fare?


intanto grazie di nuovo per tutto....appena ho il Qnap posto le prove effettuate così magari serve a qualcun'altro del forum.

[sforzy]

Bentrovati a tutti
allora..mi è arrivato il NAS, ho attivato fibra con IP pubblico e con la rete con doppio router.....TUTTO FUNZIONAAAAAA!!!
la vpn va alla grande aprendo solo una porta udp (sia nel modem ISp che nel router interno), e la sono riuscito a configurare bene, il nas lo vedo, accedo dall'esterno etc etc

ora però ho un problema irrisolvibile con la condivisione delle cartelle che mi sta facendo sbroccare, penso per un problema di autorizzazioni.
provo a scriverlo qua .........speriamo che è la sezione giusta !

in pratica ho creato una cartella sul nas dove ho messo tutto i file privati; poi ho creato un 2° utente (oltre a quello ADMIN) per usarlo con il cellulare (mi serviva per la VPN)
poi ho dato i permessi alla cartella privata con R/W all'admin e solo Read al 2° utente.
A questo punto è scoppiato il panico (per la sicurezza!!) in quanto io ho necessità di mappare tale cartella sul notebook per farci i backup in remoto, per cui sono andato su risorse del computer > rete e ho trovato il NAS, l'ho aperto (ci sono tutte le cartelle condivise) e ho provato a entrare in quella privata.
A questo punto mi sono reso conto che il NAS lascia entrare chiunque dentro la rete , fregandosene delle password dei 2 utenti. A forza di sbroccare ho capito che succede in quanto nelle autorizzazione (del NAS) della cartella risulta flaggato anche l'utente EVERYONE (limortacci sua!!!) che non posso escludere in quanto se nego l'accesso alla cartella a everyone, automaticamente anche agli altri 2 utenti (admin e il 2°) viene negato l'accesso (mi pare anche logico se a ognuno => everyone è negato!).
infatti se nego a everyone l'accesso e poi su win provo a entrare nella cartella, mi chiede utente e PW che chiaramente non mi accetta, dandomi esattamente il problema che è illustrato qua http://nolabnoparty.com/autenticazione- ... stemi-nas/
la soluzione postata non ha funzionato, come anche questa altra guida più completa in italiano...

1- Pannello di controllo - Strumenti di amministrazione - Criteri di sicurezza locali
Criteri locali - Opzioni di sicurezza
2- In Sicurezza di rete: livello di autenticazione di LAN Manager,Mettere: Invia LM e NTLM, usa sicurezza sessione NTLMv2 se negoziata
3- In Sicurezza di rete: sicurezza sessione minima per clienti basati su NTLM SSP (incluso l'RPC sicuro)
Togliere la spunta a Richiedi crittografia a 128 bit.
4- La voce di cui al punto 3, potrebbe essere presente 2 volte. In tal caso togliere la crittografia a 128 bit da entrambe le parti.
Se il nas non fa accedere con user: user Passeord: password
Accedere così: user: \\NOMEdelNAS\user oppure \\IPdelNAS\user Password: password

ritengo che sia anche giusto che il nas mi blocca in quanto everyone (nessuno) è autorizzato ad accedervi, per cui come cavolo posso fare per vedere su win la cartella bloccandola però con le credenziali del nas?

Spero di aver spiegato in modo comprensibile il problema che ho!
saluti a tutti

[sforzy]

allora...ecco un paio di aggiornamenti utili e un problema non risolto

1) per levare 'sto cavolo di everyone dalle cartelle mie private, sono prima andato in impostazione privilegi => gruppi utenti, e poi nelle opzioni di diritto di accesso del gruppo everyone ho levato la spunta a tutto così everyone non è più ammesso quando accedo da windows

2) poi sono andato nelle opzioni delle cartelle condivise a settare l'accesso R/W o R ai 2 utenti che ho impostato; per ogni cartella in basso ci sta menù a tendina dove ho settato la visibilità (o meno ) delle cartelle agli ospiti (==> ho negato accesso a tutte tranne ad una che mi serve per per rendere visibile a un lettore WDTV live la cartella dove metterò i film)

a questo punto l'accesso da pc in lan alle cartelle condivise:
- funzionava bene su XP (accesso con utente e PW solo per le cartelle dove era previsto, mentre per la cartella dei film XP non mi chiede niente ed entra diretto)
- NON funzionava su WIN7 x64, dandomi il problema che ho indicato nel post precedente.

considerato che tale problema deriverebbe da una differente implementazione in win7 del protocollo SMB, sono andato nel NAS nei servizi di rete => WIN/MAC/NFS => opzioni avanzate servizi rete windows ==> e qua dentro ho modificato il menù a tendina in fondo mettendo "versione SMB più recente ==> 3.0" al posto della 2.1 che ci stava.

Beh....moh non ci si crede....win7 accede correttamente con richiesta di utente e PW, mentre win XP non entra più in nessuna cartella!!!

posto che mi interessa più che funzioni win7 e quindi potrei anche lasciare tutto così fregandomene (al max comunque posso sempre usare FTP da win xp se ho una emergenza), secondo voi ci sta un metodo per farlo funzionare anche in XP usando SMB 3.0?
ciao a tutti