Перейти к содержанию
Форум русской поддержки продукции Synology

Рекомендованные сообщения

Добрый день!

Прошу помощи с настройкой OpenVPN на Synology.

Есть два DS - один на работе, другой дома. Рабочий DS710+ используется в качестве централизованного хранилища документов для пользователей, подключенных по локальной сети. Количество пользователей - не более 10. В настоящий момент доступ извне закрыт. IP белый.

В связи с COVID-2019 появилась потребность часть сотрудников перевести на удаленку.

Рассматривал различные варианты (FTP, WebDav), в итоге остановился на OpenVPN - предполагается для каждого сотрудника на удаленке создание отдельной учетной записи с соответствующими правами.

Эксперименты ставил на домашнем NASe - убил два дня, прежде чем OpenVPN заработал - не удавалось пробросить порты (мастер EZ-Internet от Synology находил маршрутизатор, проходил тест на совместимость, настраивал переадресацию портов (через Web-интерфейс роутера можно было увидеть новые правила), а доступа из вне так и не было, пока все не удалил и вручную не указал).

Сегодня пробовал то же самое сделать на работе - при подключении клиента появляются ошибки.

Собственно говоря, прошу поправить меня, если я не прав с перечнем и последовательностью операций:

1. На DS устанавливается VPN Server

2. В настройках VPN Server в меню "Права доступа" оставляется доступ к OpenVPN только для тех пользователей, которым разрешен доступ извне.

3. В VPN Server включается OpenVPN, настраивается, после чего экспортируется конфигурация в отдельный файл.

4. Архив с конфигурацией распаковываем куда-нибудь, где правим файл VPNConfig.ovpn:

- меняем значение YOUR_SERVER_IP на внешний IP роутера

- убираем # перед "redirect-gateway def1"

Сохраняем.

5. Устанавливается OpenVPN GUI на компьютер пользователя.

6. Копируется VPNConfig.ovpn и ca.crt в папку типа "C:\Program Files\OpenVPN\config"

7. Запускается OpenVPN от имени администратора (Windows 7).

Дополнительно прошу подсказать, какие именно настройки дополнительно необходимо выполнить на DS с целью обеспечения большей безопасности.

Ссылка на сообщение
Поделиться на другие сайты

Я бы настоятельно не рекомендовал использовать OVPN-сервер на базе DSM, в особенности для Вашей модели. Я тоже в своё время отказался от использования FTP или WebDav (не понимаю почему его так любят), но помимо, мягко говоря, крайней усечённости функционала OVPN в DSM, столкнулся с тем что даже на DS218+, с минимальным шифрованием, сервер OVPN отжирал до 70% процессора: при скоростях то ли 50Мбит/с, то ли 100Мбит/с. А уж на DS218+ - процессор на несколько порядков мощнее.

В Вашем случае это может стать серьёзной проблемой, если юзеры начнут гонять объёмные данные.

Я пытался сделать сервер на Микротике и для некоторых задач это сработало, но там он реализован криво, что увеличивает нагрузку и режет скорость: а мне нужно было минимум стабильные 100Мбит. В итоге остановился на pfsense, который установил на старенький двух-ядерный десктоп. С февраля работает. Дело Ваше, тем более что Вы уже столько провозились, но как по мне - pfsense это идеальный вариант. Хотя бы потому, что можно слить конфиг и развернуть затем одним нажатием на другой железке. И управление пользователями там намного удобнее, с плагинами.

Я пробовал несколько вариантов - с парольным доступом или исключительно по сертификатам. Но всегда с сервером типа TUN. И даже на виртуальной машине, в т.ч. на DSM, на мощной железке. Всё работает как часы. Была проблема подключить к такому серверу NAS, но в итоге тоже победил: для Synology пришлось подобрать тип шифрования, копаясь в логах pfsense.

Ссылка на сообщение
Поделиться на другие сайты

Да пожалуйста. :)

Для организации OVPN сервера достаточно одного сетевого интерфейса. Я сделал так, подключив его к гигабитной сети.

Здесь я писал по поводу маршрутизации подключений, может пригодится.

Ссылка на сообщение
Поделиться на другие сайты
Да пожалуйста. :)

Для организации OVPN сервера достаточно одного сетевого интерфейса. Я сделал так, подключив его к гигабитной сети.

Здесь я писал по поводу маршрутизации подключений, может пригодится.

Я воспользовался Вашим советом и вчера собрал отдельный системник под данные нужды, с горем пополам установил на него pfsense (не удавалось в автоматическом режиме отформатировать диск, а в ручном требовал какую-то точку монтирования. С линуксом особо не дружу, но в итоге вроде осилил). При установке был создан только один интерфейс - WAN, LANа нет.

Посмотрев на Ваш пост, ссылку на который Вы давали, я так понял, что Вы больше недели убили на то, чтобы все настроить.

Вопрос - может мне поможете с настройкой (готов оплатить Ваши услуги)? Просто я также убью кучу времени и не факт, что получится.

Задача простая (на мой взгляд): есть локальная сетка 192.168.0.Х, роутер 192.168.0.1, отдельный комп 192.168.0.88 с установленным pfsense (доступ есть как локально, так и через WEB-интерфейс).

В системнике с pfsense стоит одна сетевая карта, которая будет использоваться как WAN так и LAN.

Необходимо организовать безопасное подключение извне по OpenVPN к NAS-серверу Synology с IP 192.168.0.200.

 

Ссылка на сообщение
Поделиться на другие сайты

pfsense основана на FreeBSD, не на Linux. В первичном интерфейсе минимум настроек, он нужен только чтобы назначить IP интерфейсам. Как только Вы увидели pfsense в локалке через веб-интерфейс - всё, дальше всё делается из вебки.

Что касается настройки - я убил кучу времени только потому, что никогда до этого в глаза не видел pfsense. :) И мне хотелось функционала, потому я очень много тогда перебирал вариантов и проводил тесты, пока не убедился что ни Микротик, ни DSM это не переплюнут, для моих задач.

Для подключения из вне необходимо пробросить на роутере порт 1194 или любой другой, который выберите при настройке.

Внешний IP должен быть "белым" и статическим.

В конечном итоге нужно создать сервер OVPN и сгенерировать сертификаты, в т.ч. для пользователей.

Если Вы добились того, чтобы pfsense был виден в локалке, то его теперь можно легко настроить через веб-интерфейс. Потому, или делайте то что написано в том моём посте (если нужен обратный NAT, в соответствии с Вашими настройками сети) или дайте доступ в личку. Быстро сделать не обещаю, надо будет повспоминать.

Можно доступ на вспомогательный ПК в сетке: Тимвивер, Аэроадмин и т.п.

Ссылка на сообщение
Поделиться на другие сайты
столкнулся с тем что даже на DS218+, с минимальным шифрованием, сервер OVPN отжирал до 70% процессора: при скоростях то ли 50Мбит/с, то ли 100Мбит/с.

Используемый по умолчанию метод шифрования при передаче очень прожорливый до вычислительных ресурсов. Я перешёл при использовании OpenVPN на AES-256-CBC. Нагрузка на НАС упала и отзывчивость существенно повысилась. Правда в этом случае в клиентском конфиге должна присутствовать строка

cipher AES-256-CBC

Ссылка на сообщение
Поделиться на другие сайты

Беда пришла откуда не ждали: у меня теперь более 30 коннектов. А у Synology почему-то это кол-во зарезано. Почему нельзя было сделать настройки более гибкими - непонятно.

И я вчера настроил ещё один сервер на беспарольной авторизации, по сертификату онли: коннект/реконнект происходит на порядок шустрее. Сервер не на Synology. И не уговаривайте.

Но за информацию спасибо. :)

Ссылка на сообщение
Поделиться на другие сайты
  • 1 месяц спустя...

Я новичок в Synology, но на основе всего выше прочитанного у меня возник вопрос:

по каким причинам/исходя из чего нельзя установить pfSense непосредственно на Synology используя виртуальную машину?

 

Непродолжительный поиск в интернете показал, что пользователи используют pfSense непосредственно на Synology NAS.

 

P.S.: интересуюсь этим, так как присматриваюсь к DS920+ и в свете того, что устройство дорогое, то хотелось бы чтоб оно компенсировало затраченные на него средства.

Ссылка на сообщение
Поделиться на другие сайты
Я новичок в Synology, но на основе всего выше прочитанного у меня возник вопрос:

по каким причинам/исходя из чего нельзя установить pfSense непосредственно на Synology используя виртуальную машину?

 

Непродолжительный поиск в интернете показал, что пользователи используют pfSense непосредственно на Synology NAS.

 

P.S.: интересуюсь этим, так как присматриваюсь к DS920+ и в свете того, что устройство дорогое, то хотелось бы чтоб оно компенсировало затраченные на него средства.

Я не сказал что OVPN на Synology это недопустимо в принципе, речь шла о использовании штатных средств Synology OVPN Server. Если у Вас позволяет железка и её назначение - pfsense там самое место. На тестовом NAS я размещал pfsense в виртуалке, в качестве сервера OVPN, всё прекрасно работало.

Ну, и есть пара моментов, когда на самом Synology я бы не рекомендовал делать сервер OVPN: высокая нагрузка туннелями, помимо его основного назначения и перспектива физического переезда самого NAS.

 

Ну и напоследок: Synology не любит, когда на него вешают всё подряд и может ответить на это неожиданно, не очень приятным глюком. Поэтому когда на него завязывают всю структуру - без понимания механизмов и осознания рисков, а потом это всё в один момент отваливается, на этом форуме появляются длинные и печальные посты.

Ссылка на сообщение
Поделиться на другие сайты
Я не сказал что OVPN на Synology это недопустимо в принципе, речь шла о использовании штатных средств Synology OVPN Server. Если у Вас позволяет железка и её назначение - pfsense там самое место. На тестовом NAS я размещал pfsense в виртуалке, в качестве сервера OVPN, всё прекрасно работало.

Ну, и есть пара моментов, когда на самом Synology я бы не рекомендовал делать сервер OVPN: высокая нагрузка туннелями, помимо его основного назначения и перспектива физического переезда самого NAS.

 

Ну и напоследок: Synology не любит, когда на него вешают всё подряд и может ответить на это неожиданно, не очень приятным глюком. Поэтому когда на него завязывают всю структуру - без понимания механизмов и осознания рисков, а потом это всё в один момент отваливается, на этом форуме появляются длинные и печальные посты.

1. После отключения docker и lxqt пробема неожиданного зависания NAS исчезла. Все работает стабильно сейчас неделями, и месяц до расширния памяти и установки двух пакетов.

Увы, я не знаю в каком из двух пакетов источник зависания. Но не в железе. И это отбивает охуту ставить виртуальную машину, даже Ubuntu хотел пробывать.

2. Относительно ovpn сервера. Имею в роутере со скоростью 25 Mbps. Даже старый DS115 работал быстрее. Но облом в авторизации. Похоже клиент Synology авторизуется по паролю.

А в нормальном ovpn сервере есть поддержка TSL/Password авторизации. Я не слишком разбираюсь в деталях, но в Synology с защитой ovpn не слишком хорошо.

У меня есть правило: ssh сервер, ovpn доступен из всего интенета и обязательны ключи. В Synology sftp сервер доступ по паролю по региону, ключей нет, чтобы их не терять. ssh сервер с тем же доступом по паролю выключен.

Ссылка на сообщение
Поделиться на другие сайты
1. После отключения docker и lxqt пробема неожиданного зависания NAS исчезла. Все работает стабильно сейчас неделями, и месяц до расширния памяти и установки двух пакетов.

Увы, я не знаю в каком из двух пакетов источник зависания. Но не в железе. И это отбивает охуту ставить виртуальную машину, даже Ubuntu хотел пробывать.

2. Относительно ovpn сервера. Имею в роутере со скоростью 25 Mbps. Даже старый DS115 работал быстрее. Но облом в авторизации. Похоже клиент Synology авторизуется по паролю.

А в нормальном ovpn сервере есть поддержка TSL/Password авторизации. Я не слишком разбираюсь в деталях, но в Synology с защитой ovpn не слишком хорошо.

У меня есть правило: ssh сервер, ovpn доступен из всего интенета и обязательны ключи. В Synology sftp сервер доступ по паролю по региону, ключей нет, чтобы их не терять. ssh сервер с тем же доступом по паролю выключен.

1. Спасибо. Я в общем-то и так решил не ставить докер, но активного использования виртуальной машины пока не планирую, так что затестить не могу. Буду знать что тестировать перед покупкой более мощной железки.

2. Роутер+OVPN - это или очень дорого, или медленно. У меня сейчас работают два Synology c OVPN по сертификатам на pfsense, без паролей. Мне показалось что с сертификатами удобнее и коннект быстрее, потому заморочился.

Да, у Synology сильно усечён функционал в этом смысле. Но у меня в таком вот виде, в качестве клиента, он коннектится "на ура". С конфигом пришлось повозиться: он не весь стандартный синтаксис принимает и толком посмотреть негде это, приходилось отлавливать по логам в pfsense.

Ссылка на сообщение
Поделиться на другие сайты
1. Спасибо. Я в общем-то и так решил не ставить докер, но активного использования виртуальной машины пока не планирую, так что затестить не могу. Буду знать что тестировать перед покупкой более мощной железки.

2. Роутер+OVPN - это или очень дорого, или медленно. У меня сейчас работают два Synology c OVPN по сертификатам на pfsense, без паролей. Мне показалось что с сертификатами удобнее и коннект быстрее, потому заморочился.

Да, у Synology сильно усечён функционал в этом смысле. Но у меня в таком вот виде, в качестве клиента, он коннектится "на ура". С конфигом пришлось повозиться: он не весь стандартный синтаксис принимает и толком посмотреть негде это, приходилось отлавливать по логам в pfsense.

1. Нет, надо пробовать сначала без виртуальных маших, чтобы убедиться в стабильности. А потом попробовать с виртуальностью --- у меня проблема всплыла через неделю. А docker или его пакет lqxt уже терпения не хватило проверять. Откомпилированные пакеты зависимы от конкретной модели. У меня как раз получилось, что фирменной памяти при покупке DS220 не оказалось. И на стандартных 2GB RAM я долго погонял NAS без виртуализации. Даже далеко съездить в отпуск удалось с работающиим автономно NAS. А потом, как увидел зависший DS220, слегка обаладел. Вдали от дома я такое себе представитьне мог. Старый DS115 вообще никогда не зависал, между перезагрузками молотил месяцами. Я уезжал от него за 400 км на месяц, и всегда мог зайти в NAS.

2. В роутере медленно. Но все настраивается. Помимо авторизации клиента ключами я могу для tun (мне он удобен) подключения зафиксировать адрес клиента и ходить не только в lan сервера, но и в обратную сторону в ПК на стороне ovpn-клиента. Для скорости и персылки файлов есть sftp. При нормальных настройках ovpn сервера в NAS он бы подошел лучше роутера. В роутере работоспособность ovpn зависит от прошивки.

Ссылка на сообщение
Поделиться на другие сайты
1. Нет, надо пробовать сначала без виртуальных маших, чтобы убедиться в стабильности. А потом попробовать с виртуальностью --- у меня проблема всплыла через неделю. А docker или его пакет lqxt уже терпения не хватило проверять. Откомпилированные пакеты зависимы от конкретной модели. У меня как раз получилось, что фирменной памяти при покупке DS220 не оказалось. И на стандартных 2GB RAM я долго погонял NAS без виртуализации. Даже далеко съездить в отпуск удалось с работающиим автономно NAS. А потом, как увидел зависший DS220, слегка обаладел. Вдали от дома я такое себе представитьне мог. Старый DS115 вообще никогда не зависал, между перезагрузками молотил месяцами. Я уезжал от него за 400 км на месяц, и всегда мог зайти в NAS.

2. В роутере медленно. Но все настраивается. Помимо авторизации клиента ключами я могу для tun (мне он удобен) подключения зафиксировать адрес клиента и ходить не только в lan сервера, но и в обратную сторону в ПК на стороне ovpn-клиента. Для скорости и персылки файлов есть sftp. При нормальных настройках ovpn сервера в NAS он бы подошел лучше роутера. В роутере работоспособность ovpn зависит от прошивки.

2. pfsense это всё умеет. У меня вообще к OVPN давняя любовь, потому что он мне кажется универсальнее: я его даже на своём старом смартфоне, на Андроиде, поднимал, без особых танцев. Ну и на Windows не проблема настроить. А поскольку сотрудники часто таскают компьютеры с места на место - не вызывает проблем зайти на комп, где бы он не находился. От идеи использовать sftp отказался намеренно.

Ссылка на сообщение
Поделиться на другие сайты
2. pfsense это всё умеет. У меня вообще к OVPN давняя любовь, потому что он мне кажется универсальнее: я его даже на своём старом смартфоне, на Андроиде, поднимал, без особых танцев. Ну и на Windows не проблема настроить. А поскольку сотрудники часто таскают компьютеры с места на место - не вызывает проблем зайти на комп, где бы он не находился. От идеи использовать sftp отказался намеренно.

Естестсвенно в планшете я использую ovpn клиент доступ к RDP. И больше ничего не нужно.

Но работаю как минимум с ноутбуком с ovpn есть sftp.

Тогда пожалуйста напишите немного деталей по pfsense и его установке в Synology.

Ссылка на сообщение
Поделиться на другие сайты
1. После отключения docker и lxqt пробема неожиданного зависания NAS исчезла.

 

проблем с докером нет, а вот контейнер LxQt глючен до безобразия, причем скорее всего он просто не адаптирован по synology. Лучше нормальную вируталку легкой бубунты поставить, жрет столько же работает лучше.

Ссылка на сообщение
Поделиться на другие сайты
Естестсвенно в планшете я использую ovpn клиент доступ к RDP. И больше ничего не нужно.

Но работаю как минимум с ноутбуком с ovpn есть sftp.

Тогда пожалуйста напишите немного деталей по pfsense и его установке в Synology.

pfsense ставится стандартно в Virtual Mashine. У меня работающий pfsense на 15-20 клиентов (на отдельном старом ПК, не на виртуалке) кушает чуть более 1 ГБ ОЗУ и пару гигабайт на жёстком диске. Это можно подкрутить, но я не заморачивался. Возможно он кушает столько, просто потому что свободной памяти полно.

Качаете официальный образ, подсовываете в Virtual Mashine и вуаля. IP только - она должна будет от Вашего роутера получать и на нём статику надо будет для pfsense прописать, чтоб он не скакал с адреса на адрес, внутри локалки. Ну, и пробросить наружу порт OVPN, какой выберите.

Сама pfsense настраивается стандартно, под свои нужды.

Ссылка на сообщение
Поделиться на другие сайты
проблем с докером нет, а вот контейнер LxQt глючен до безобразия, причем скорее всего он просто не адаптирован по synology. Лучше нормальную вируталку легкой бубунты поставить, жрет столько же работает лучше.

Попробовал. К самой виртуальной машине претензий нет. А к ubuntu есть.

Просто ubuntu-16.04 медленная с неудобной графикой, а вот lubuntu-16.04 поживее, но ее подвисания вызывают проблему выгрузки виртуальной машины (qemu-guest-agent не добавлял) и приводят к длительной задержке перезагрузки DS. Виртуальные машины вешь не очень стабильно работающая.

Как я понял, основная ОС может приходить в ступор от незавершенного процесса в виртуальной машине. В собственной среде ОС может прервать любой процесс в любое время.

Ссылка на сообщение
Поделиться на другие сайты
Попробовал. К самой виртуальной машине претензий нет. А к ubuntu есть.

Просто ubuntu-16.04 медленная с неудобной графикой, а вот lubuntu-16.04 поживее, но ее подвисания вызывают проблему выгрузки виртуальной машины (qemu-guest-agent не добавлял) и приводят к длительной задержке перезагрузки DS. Виртуальные машины вешь не очень стабильно работающая.

Как я понял, основная ОС может приходить в ступор от незавершенного процесса в виртуальной машине. В собственной среде ОС может прервать любой процесс в любое время.

 

я вроде выше писал как раз про легкую бубуну, нет? и лбунты и кбунты и т.п.

 

Ради эксперимента оставил пакет LXQT на пару дней. сегодня все зависло. памяти съедено 9 Гигов из 10.

Ссылка на сообщение
Поделиться на другие сайты
я вроде выше писал как раз про легкую бубуну, нет? и лбунты и кбунты и т.п.

 

Ради эксперимента оставил пакет LXQT на пару дней. сегодня все зависло. памяти съедено 9 Гигов из 10.

Ubuntu оказалась стабильнее Lubuntu, но в первой работать тяжело. Обе требуют добавить демона, чтобы выключать себя из Synology.

Ссылка на сообщение
Поделиться на другие сайты
  • 3 недели спустя...
  • 1 месяц спустя...
del

Поимел проблему с Synology на ровном месте.

Сделал калибровку батарей ИБП, на котором запитано все оборудование.

После достижения низкого напряжения при разрядке ИБП стал их заряжать.

При повышении времени автономной работы от 0 до 5 мин ИБП выдал событие low battery.

Оба Synology (старый используется для backup) хорошо это поняли и сообщили:

"The UPS connected to DiskStation has reached low battery. All services are shut down. The services will be restarted once the UPS is recovered."

Далее ИБП подзарядился, событие о низком заряде батарей исчезло, а Synolgy остались недоступны.

Только ping работает. Ни ssh, ни ftp недоступны. В общем оба Synology восприняли заряд до low battery как команду на выключение.

Оба Synology удалось привести в чувства без выключения перезагрузкой коммутатора.

Бывают ситуации, когда ovpn сервер лучше иметь прямо в роутере, который специально готовить к выключению не надо и включен, когда работает ИБП.

Штатный алгоритм обработки разряда батарей Synolog: после 10' автономной работы ИБП готовность к отключению. При возобновлении сети Synology запускают диски, возобновляют службы. Если батареи разряжаются, ИБП выключится. ТОгда при возобновлении сети включится ИБП и запустятся Synology.

Ссылка на сообщение
Поделиться на другие сайты
...

Бывают ситуации, когда ovpn сервер лучше иметь прямо в роутере, который специально готовить к выключению не надо и включен, когда работает ИБП.

...

Не всегда роутер годится для таких задач. Но я считаю правильной мысль, что сервер OVPN, поддерживающий виртуальную сеть на предприятии, должен быть на отельной независимой железке.

В моём случае даже pfsense на старом компе менее прихотлив. Пережил несколько отключений электроэнергии. И я не боюсь что он помрёт, потому что легко и быстро восстановлю этот же сервер на любом утюге, из бекапа.

А вот за микротик у меня "жим-жим". Подумываю перенести хоть DHCP на тот же pfsense: так уйма устройств привязаны по мак-адресам. Хотя бекап оттуда тоже делаю, но читал что бекапы микротиков не 100% универсальны.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в этой теме...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Загрузка...
×
×
  • Создать...