Synology DiskStation DS115j, VPN
Dotaz, pokud se nepletu tak by VPN měla fungovat i bez veřejné IP adresy je to tak?
Snažím se rozchodti na NASku VPN server ale pořád mi to nějak nejde. Otevřel jsem porty v modemu a NASku.
Pripojení z mobilu ale stále nefunguje.
Pokud se nepletu tak IP adresa servru by měla být IP adresa naše domů je tak? Pak modem by to měl automaticky přeposílat do NAS, říkám to správně?
Mám obdobný problém.
Na NASu (DS112j) mám rozchozený VPN server.
Mám jej ve vnitřní síti, na routeru (TL-WR1043ND) mám port forwarding portu 1723 (VPN PPP).
Toto jede.
Pokud ale chci na vnější adresu dát třeba port 45454 (jakýkoliv jiný, než je 1723) a forwarduji jej dovnitř, klient VPN zahlásí "port otevřen" a k navázání připojení nedojde. V budoucnu nechci již PPP používat, ale zatím chci minimálně použít vnější port jiný.
Tak a to samé jsem zkoušel na DS415 s použitím PPP i L2TP protokolu. Router v tomto případě byl DrayTek Vigor ve firmě, s vlastní VPN.
Opět jsem potřeboval posunout externí porty jinam a neuspěl jsem.
Pro ty, kdo budou namítat, proč to nenechat na to původním - v práci používám jednu VPNku a potřebuji další do jiného segmentu,.. takže to řeším tím NASem.
Díky za pomoc.
P.S.: Protože jsem se už setkal se systémy, které potřebují porty nad a pod potřebnými, tak mám mapovány i tyto - nepomáhá.
Mohu se zeptat na pár dotazů?
Máte veřejnou IP?
Byl bylo by možno pro mě udělat screen jak máte nastaven ten port (1723) v routru ?
Nedaří se mi zatím rozjet ani PPTP.
Ano, mám veřejnou IP.
Jinak bych nemohl VPNku sestavit :)
Screenshot asi nevložím, ale je to jednoduché.
Udělal jsem si takové cvíko.
VPN NEJEDE v této konfiguraci:
porty VPN nejsou NATovány.
Klientem přistupuji na x.x.x.x (vnější adresu mého routeru).
VPN NEJEDE v této konfiguraci:
port vnější 45451 forwarduji na vnitřní 1723/vnitřní IP adresa NASu.
Klientem přistupuji na x.x.x.x:45451 (vnější adresu mého routeru s portem NATovaného VPN).
VPN JEDE v této konfiguraci:
port vnější 1723 forwarduji na vnitřní 1723/vnitřní IP adresa NASu (tedy NAT 1:1)
Klientem přistupuji na x.x.x.x (vnější adresu mého routeru).
Jak to tak vypadá, tak u IPSec je problém s NATem určitě a u PPTP bude tím pádem také.
To je ale na další studium. Koho co napadne, dejte vědět.
Jinak pro ty, kdo by chtěly zkoušet VPNky, tak musím upozornit, že pokud se zkoušíte dostat zevnitř na vnější adresu svého vlastního routeru pomocí VPN, tak pohoříte.
Dělám to tak, že to testuji buď mobilem přes datové spojení, nebo si mobil hodím jako hotspot a použiji notebook. Tak se dostanu ven do internetu a přistupuji korektně na vnější adresu routeru.
... kdyby jste se na tom někdo zaseknul :)
eM.
S dovolením si ještě rýpnu do
"Ano, mám veřejnou IP.
Jinak bych nemohl VPNku sestavit :)"
My jsme doma nikdy veřejnou IP neměli a i přez to se mi kdysi podařilo rozjet VPN server vytvořený ve Win7. VPN jsem založil na domácím PC a posléze sem se na něj dokázal připojit z noťasu v jiné síti (úplně jiné lokaci).
VPN by mělo fungovat i na neveřejné IP ne? Pokud se nepletu tak na tomto fungují přece i aplikace jako třeba Hamachi.
Rýpnutí beru, však se dobereme diskusí k nějakým řešením... i konstatování faktu, že "TO NEJDE", pomůže každému dalšímu :)
Pokud se to povedlo z cizí sítě, mohlo jít o kombinaci routingu, port forwardingu, nat-travelsal či VPN proxy.
V posledním případě je to externí subjekt, ke kterému se připojí požadované PC a další a společně vytvoří VPN síť.
Obdobně opravdu funguje Hamachi či Teamviewer, ale je potřeba říci, že spojení musí být z takovéto sítě sestavováno vždy zevnitř ven někam, kde se další klient dokáže dostat a "potkat se tam".
Já ale řeším věc, kdy mi něco pasivně sedí za mým routerem a čeká na iniciaci z vnější sítě (proto je třeba ten NAT).
Nechci nikam nic aktivně cpát a v případě výše uvedených sw jsou finance za licence pro komerční sféru neoddiskutovatelným faktem.
VPNproxy společnosti také vybírají penízky za konektivitu (za účty).
eM.
Přesně tak to ale fungovalo mě tehdá. Doma pasivně seděl VPN server vytvořený ve Win7 originálním Win7 nástrojem a čekal až se k němu někdo připojí.
http://www.howtogeek.com/135996/how-to-create-a-vp n-server-on-your-windows-computer-without-installi ng-any-software/
Pokud umí ten router opravdu standardně forwardovat porty, pak by to jít mělo.
Další možností je nastavit ten port přímo v nastavení Synology. je třeba změnit port přímo v konfiguraci VPN, protože přes uživatelské rozhraní to nejde. Doporučuji stáhnout a nainstalovat Config File editor:
syno
Pak si jednoduše vybereš, který konfigurační soubor chceš editovat a změníš číslo portu. Pak jen restart služby
Aha, dobrej tip.
Nejspíš vyzkouším.
ALE, jak jsem psal v předchozím příspěvku, už Windows (ale i telefon) mne "fakuje" ještě před navázáním spojení... respektive okamžitě po odklepnutí požadavku na připojení.
Takže, z toho mi vychází, že i kdybych změnil port na Synology, nastavím fungující model NATu 1:1 (viz můj předchozí příspěvek), stejně se nepřipojím, protože mne zařízne hned klient bez toho, že by "vytočil" požadavek na připojení.
eM.
Jo a tady jsem našel nějakou informaci:
Cituji:
"V poslední době IETF nakonec vypracovalo řešení, které se nazývá NAT Traversal(NAT-T) a je normované v RFC 3947 a 3948. Pokud budete používat IPSec nebo L2TP přes IPSec přes NAT body, ujistěte se, že váš VPN klient a VPN brána podporuje NAT-T"
Zdroj zde:
http://www.attel.cz/cz/podpora/faq/produkty-drayte k/nat/496-nat-ipsec
eM.