» Poradna » Počítačové sítě

Synology NAS router OpenVPN

 |   |  Microsoft Windows 7 Chrome 74.0.3729.169

Zdravím, obracím se na vás zkušené: nedávno jsem si pořídil NAS od Synology, kde jsem dle návodu z netu stáhl a nastavil Open-VPN, abych se k datům dostal i z jiného města. Ve firewallu Synology jsem přidal port 1194 UDP dle instrukcí. Open-VPN v balíčku od Synology vypadá že běží taky OK. V routeru jsem řekl DHCP ať hází vždy stejnou IP pro NAS. V DMZ jsem nastavil tuto IP a přes port-forwarding jsem nastavil pro tuto IP port 1194. (Nevím jestli toto je vše nutné, ale šel jsem opět dle návodu) Instalaci Open-VPN jsem provedl i na PC a exportoval konfiguraci z NASU do složky, kam se nainstaloval Open-VPN, taktéž podle návodu + jsem změnil IP v konfig souboru. Chtěl jsem nasimulovat přes mobilní hotspot (abych to nemusel jezdit vyzkoušet do jiného města) zda toto VPN funguje...a ať se snažím jak chci, prostě přes tu apku Open-VPN se to nepřipojí ani za nic...Pořád je ikona v oznamovací oblasti se zámkem ale s žlutým monitorem místo zeleného. Jediný error při výpisu statusu to píše 'WARNING: No server certificate verification method has been enabled'. Vpnko se vždy připojí, ale musím být připojený přes místní Ethernet nebo WiFi, přes jinou než domácí síť nikdy...Dělám něco špatně?

Odpovědi na otázku

 |   |  Microsoft Windows 10 Firefox 67.0

open VPN na Synology funguje bez problémů...1. máš veřejnou statickou nebo aspoň jen veřejnou IP? Přes quickconnect VPN nespojíš.. 2. na routeru nastavit port forward portu UDP nebo TCP 1194 na IP Synology (podle nastavení openVPN serveru) a tuhle IP na Synology nastavit manualně aby se nikdy neměnila - mimo dhcp rozsah přidělovaný routerem.3. v aplikaci VPN na Synology zaškrtnout "Povolit klientům přístup k síti LAN"4. do složky Program files\OpenVPN\config zkopírovat .ovpn soubor vyexportovaný ze synology.... a pokud tohle všechno splníš tak to bude fungovat..Jo a na firewallu v Synology se nenastavuje NIC.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Chrome 74.0.3729.169

1) ano mám veřejnou IP , předpokládám také statickou (přes qucikconnect to ani nechci...)2) nastaveno takto na routeru v sekci forwarding: Seznam virtuálních serverůID Popis Stav IP adresa Protokol Externí port Interní port 1 vpnko Zapnout XXX.XXX.X.X VŠE 1194-1194 1194-1194+v NASU> ovládací panely>síť>síťové rozhraní>LAN (přepnul jsem na Použít DHCP=NE, IP souhlasí s routerem - ten ji pořád přiděluje stejně) 3) udělal jsem4) ano vím Bohužel, stále nefunguje...:(

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 67.0

a forwardujes UDP port ? v zakladu je myslim na OpenVPN pouzitej UDP, ale da se to zmenit i na TCP pokud by s tim byly problemy v urcitejch sitich. Vyzkousej oboje (prepina se to v nastaveni VPN na Synology a nasledne musis i upravit port forward na routeru..)

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Edge 17.17134

Píšete, že v místní síti to funguje - máte v config souboru ovpn zadanou veřejnou IP adresu routeru?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Chrome 74.0.3729.169

To byla ta chyba měl jsem tam lokální IP z DHCP

Souhlasím  |  Nesouhlasím  |  Odpovědět
 | Microsoft Windows 10 Chrome 75.0.3770.27

Pro přístup stačí forwardovaný port. DMZ na routeru pro synology vypni, to opravdu nepotřebuješ. Vystavuješ tak komplet celý NAS do internetu!

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Chrome 74.0.3729.169

Díky, vypnuto!

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android AppleMAC-Safari 5.0

Certifikát funguje zároveň jako konfigurak pro spojení. Otevřete jej v jakémkoli textovém editoru a na prvním řádku za remote: vidíte IP na kterou se ovpn klient připojuji. Pokud tam je lokální adresa NASu, tak ji změňte za veřejnou IP routeru.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 | Microsoft Windows 10 Chrome 75.0.3770.27

Asi si pleteš OpenVPN soubor, který může rovnou obsahovat vložený certifikát/certifikáty v Base64 kódování s vlastním certifikátem.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android AppleMAC-Safari 5.0

Jo, to si asi pletu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Chrome 74.0.3729.169

Máš v routeru v nastavení "VPN passthrough", pokud ano, máš průchod povolený? (Nevím, co máš za router, např. u TP-linků bývá povolení průchodu VPN v sekci Security.)

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Linux Firefox 60.0

Tohle se týká jiných typů VPN, jako je třeba PPTP nebo L2TP a IPSec… na OpenVPN toto není nutné.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 67.0

pokud by daný router uměl dělat openvpn tak by se to někde vypnout muselo. To ale tedy není tenhle případ..

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Chrome 74.0.3729.169

Ano, vše co šlo, bylo defaultně povoleno: Nastavení předávání VPNPředávání PPTP : ZapnoutPředávání L2TP : ZapnoutPředávání IPSEC : Zapnout

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Firefox 67.0

A co takto vylucovacia metoda, inymi slovami - pouzitie zdraveho rozumu ?1. povol pripojenie k webovemu konfig. rozhraniu routra aj z WAN (z vonku) a vyskusaj, ci z vonku (z internetu - z niekadial hocikadial) funguje najprv pripojenie ku konfiguracnemu WebGUI routra alebo vyskusaj aspon "ping" na tvoju verejnu IP resp. na tvoj router2. ak funguje OpenVPN z tvojho domu tak musi fungovat aj z internetu, pretoze ty predpokaldam pouzivas k pripojeniu klienta, prave IP adresu verejnu (WAN tvojho routra), takze nemusis vobec "jazdit von", aby si otestoval funkcnost pripojenia k WAN IP3. standardne su vsetky porty smerom z vonka (z internetu) na WAN rozhranie routra zakazane a iba tie, ktore povolis, prejdu do tvojej siete... takze vidim to na chybu uzavretych portov, ktore pouziva OpenVPN server... samozrejme opacne cize smerom do internetu su vsetky porty otvorene (nieje dovod ich zatvarat) a vytvara sa na nich NAT spojenie, naopak to samozrejme nemoze fungovat, pokial neotvoris (nedovolis) pristup nejakemu portu... cize ked pises, ze vsetko funguje v ramci LAN sieti ale uz nie ak sa chces pripojit na WAN rozhranie tvojho routra, tak chyba musi byt jedien v povoleni portov... ak je OpenVPN server priamo v routri, postaci "otvorit port", ale ak OpenVPN server umiestneny za routrom v tvojom NAS, tak musis pouzit "smerovanie portov"... takze... otvor porty, ktore pouzivas (v tvojej konfiguracii OpenVPN najdes porty)4. neviem ako dobre vies EN jazyk, ale chyba ktoru si zmienil, znamena nieco taketo: nebolo povolene ziadne overovanie certifikatov na servery (OpenVPN / SSL si to vyzaduje)

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 74.0.3729.169

No ja bych mel trosku jinou otazku. mam OpenVPN server na svem PC v siti, vse funguje naramne, na nej se prihlasim pres tel, PC a jine, jenze se mi nepodarilo rozbehat na Synology OpenVPN klienta. Mam server, ktery overuji pomci cetifikatu budto rovnou p12, nebo ca, *.crt *.key. Jenze se mi nepdarilo naimportovat cert do NASu. tam jen CA a uziv jmeno a heslo. Nerozchodil nekdo Clienta na tomto NASu?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Firefox 67.0

skus si na OpenVPN serveri vygenerovat .ovpn konfiguracny subor https://openvpn.net/community-resources/how-to/ a s nim si nastavis klientov lahko... ale davaj pozor aby nedostal do ruk nepovolanym osobam - napr. nejaky sused ktory ma pristup do tvojej LAN siete cez WiFi pripojenie, lebo potom sa dostane aj do VPN a uvidi v nej vsetko, co v nej mas nazdielanenevyznam sa dobre do OpenVPN ale myslim ze tam musi byt aj nejaka kompatibilita v ramci verzii OpenVPN, pretoze nie kazda verzia napriklad zvlada vsetky typy sifrovania dat (256bit)... tiez odporuvam spustit server na masinke, ktora je nonstop spustena, cize na tom NAS... ved predsa ten NAS musi mat 1Gbps pripojku do LAN, takze s rychlostou by nemal byt problem v ramci LAN siete

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android AppleMAC-Safari 5.0

Trisku upresnim situaci. Openvpn seever mi bezi na ubuntu serveru ve vnitrni siti,ktery slouzi jako nas, webserver, kametovy system, torrent, sat share pomoci oscam, tvheadend frontend... dalsi sluzby. Ostatni klienti se k nemu připojuji v pohode. Ten synology je pro kamarada, ktery nema verejnou ip ja bych teda chtel mit na nej pristup. Jelikoz mu delam i kamerovy system chcu aby mel na to pristup také. Uz jsrm ale nasel, jak se pripojit. Musi se pres ssh nakopirovat do toho nasu pres scp certifikaty a konfigurak prepsat. Jo jinak ja mam sit doobre odladenou. Router mtik, s vlany. Wifi pro navstevu ve vlane jen pro net a jeste na celem rozsahu queue na omezeni a fw zakazano kukat do jinych siti. Kamerovy sys na taky jine vlane, ktera komunikuje jen se zoneminderem (free system na kamery) ktera ma taky omezeni. Kamery jsou z ebay a porad se chteji konektovat na polske servery a cincke. Koukal jsem na torch v mtiku a tam to jde vse videt. No a pak je hlavni vlana kde nema twmer nikdo pristup. Vsechna ap mam taky s vlanama at uz se jedna o tplinky s openwrt, preple na 5port switch s wifi a tak. Az mi to jednou klekne, tak znova nastavovat je porod. Jeste ze mam zalohovane nastaveni vsech zarizeni. I to ubuntu ma vlany aby mohlo vsude.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Chrome 74.0.3729.169

VŠEM DĚKUJI ZA POMOC, KONEČNĚ FUNKČNÍ ;)

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 67.0

a čím to bylo ?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Chrome 74.0.3729.169

udělal jsem nějaké začátečnické chyby, které jsem spravil podle rad zde a také: 1) přepl jsem v administraci routeru na úplně hlavní stránce z Dynamické IP na Statickou IP a vyplnil dle instrukcí providera2) bohužel jsem nevěděl, že providera ''koupila'' nějaká větší společnost a ta zavřela všechny porty ... kvůli bezpečnosti...a že když někdo něco chce otevřít, má si tam zavolat...

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 67.0

"kvůli bezpečnosti...a že když někdo něco chce otevřít, má si tam zavolat... "to je dost neobvyklý v případě že máš veřejnou statickou IP adresu... Asi je provider profík Jinak příště si otestuj jestli máš dobře nastavenej port forward na nějakym WWW rozhraní - třeba na www toho Synology (port 5000).. a pokud ti z venku bude tohle fungovat můžeš přikročit k složitějším věcem jako vpn.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 74.0.3729.169

Taky si rikam, protoze ISP nic nehrozi, protoze vezkera komunikace jde na klienta. Mozna SPAMy a tak, ale s tim by si mel ISP poradit. Blokovat porty pri verejne je hloupost.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Firefox 67.0

Urcite sa jedna o verejnu IP adresu ? Pretoze ak mas verejnu IP, tu ti sice prideluje ISP ale na zaklade zmluvnej dohody, vzdy taku IP, ktore ma tvoj provider povolene (rezervovane pre seba). Ak hovorime o verejnej IP, tak tato IP by nemala byt za ziadnym firewallom ani za ziadnym sietovym prvkom, jednoducho to ma byt verejna IP. Urcite je to IP adresa a nie dynamicky pridelovany DNS nazov ? Pretoze cez nazvy DNS sa obycajne riesi to, co pises ty. Pripojujes sa k Dynamickemu DNS a tento ta dalej smeruje cez nejaky firewall napriklad, ktorym to pokracuje u tvojeho routra a nasledne v konkretnom PC podla toho jak si si zase nastavil svoj router.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Chrome 74.0.3729.169

Problém byl v tom, že provider vždy tvrdil, že máme veřejné IP...já jsem se tehdy o to dále nezajímal, neměl jsem důvod....ale jak jsem dnes zjistil, nebyla to tak úplně pravda...porty měl zablokované (tohle dříve ale neměl na 100%) a IP měl ''jen jako'' veřejnou...dnes s tím něco udělal a funguje to...VPN už je OK, a udělal co jsem chtěl...takže...

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Firefox 67.0

sorry, zle som klikol vlakno (stromovu strukturu), moj prispevok mal patrit k udajnej "chybe na strane providera ktory blokuje vsetky porty"

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 74.0.3729.169

Prosim te, kdyz otevres ten opvn soubor co vidis na radku "remote" ? :) Nemas tam nahodou lokalni adresu? :)

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Chrome 74.0.3729.169

ANO byla chyba

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 7 Chrome 74.0.3729.169

Jen bych se ještě zeptal - v administraci vpnka v NASu jsem musel povolit "Povolit klientům přístup k síti LAN" ... jinak se to nikdy nechtělo připojit... = je to normální? není to riziko?

Souhlasím  |  Nesouhlasím  |  Odpovědět

Související témata: VPN


Určitě si přečtěte

Google dosáhl revolučního milníku v kvantové nadvládě. IBM ale nesouhlasí

Google dosáhl revolučního milníku v kvantové nadvládě. IBM ale nesouhlasí

** Google představil nový kvantový čip s 53 qubity ** Oznámil, že díky němu lidstvo poprvé dosáhlo kvantové nadvlády ** IBM toto tvrzení zlehčuje

Karel Javůrek | 15

10 novinek Androidu 10, které vás budou bavit

10 novinek Androidu 10, které vás budou bavit

Jan Láska, Vladislav Kluska | 28

Biblická potopa Česka: Jak bychom dopadli, kdyby nás zatopil oceán

Biblická potopa Česka: Jak bychom dopadli, kdyby nás zatopil oceán

** Představte si biblickou potopu ** Nejprve zaniknou Děčín a Břeclav, pak i Brno a Praha ** Hlavním městem se stane Jihlava a zbytky Čechů přežijí na Kvildě

Jakub Čížek | 93

Zorin OS 15: Vyzkoušejte další hezký a nenáročný linux pro mamku a taťku

Zorin OS 15: Vyzkoušejte další hezký a nenáročný linux pro mamku a taťku

** Ačkoliv je grafických linuxů plný internet, stále vládnou Windows ** Jeden z nich se jmenuje Zorin OS a nedávno se dočkal aktualizace ** Dělají jej dva kluci z Irska a je fakt hezký

Jakub Čížek | 116


Aktuální číslo časopisu Computer

Megatest: 20 powerbank s USB-C

Test: mobily do 3 500 Kč

Radíme s výběrem routeru

Tipy na nejlepší vánoční dárky