Jump to content
XPEnology Community

Объединение сетей Synology vpn server


Recommended Posts

Добрый день!

Хочу подключить к домашней сети роутер на даче и иметь доступ из дома к устройствам на даче. 

Что имеем:

Дома кабельный интернет с белым ip

Роутер  xiaomi mi3g c прошивкой padavan, проброшены порты до syno

Xpnology с установленным пакетом vpn server с настроенным openvpn, 

 

На даче

4g интернет с серым ip

Роутер  xiaomi mi3g c прошивкой padavan.

 

Сейчас соединение устанавливается, но нет доступа межлу сетями (из дома не вижу устройств на даче и на даче не вижу устройств дома). 

 

Помогите пожалуйста с настройкой 

 

 

 

Link to comment
Share on other sites

Добрый день! Хочу подключить к домашней сети роутер на даче и иметь доступ из дома к устройствам на даче. 

Что имеем:

Дома кабельный интернет с белым ip

Роутер  xiaomi mi3g c прошивкой padavan, проброшены порты до syno

Xpnology с установленным пакетом vpn server с настроенным openvpn, 

 

На даче

4g интернет с серым ip

Роутер  xiaomi mi3g c прошивкой padavan.

 

Сейчас соединение устанавливается, но нет доступа межлу сетями (из дома не вижу устройств на даче и на даче не вижу устройств дома). 

 

Помогите пожалуйста с настройкой 

 

 

 

 

А на самом роутере нельзя впн сервер настроить?

Объясню, откуда вопрос:

Чтобы устройства на даче виделись, для дачной подсети шлюз/интерфейс должен указывать на впн интерфейс/адрес. В одном устройстве это можно сделать, изменив таблицу маршрутиризации. Если это разные устройства, то править придётся на клиенте. А я вот, например, не очень представляю, как то можно сделать на каком-нибудь айпаде.

 Хотя, конечно, можно в рауторе указать на НАС, но как-то это всё криво.

 

Отправлено с моего iPhone используя Tapatalk Pro

 

Link to comment
Share on other sites

Я так и хотел сделать, взял 2 одинаковых роутера. 

Но на домашнем роутере процесс генерации ключей для openvpn не проходил нормально, по этому и начал сино мучать. 

 

Попробую опять с роутерами. 

Link to comment
Share on other sites

Я так и хотел сделать, взял 2 одинаковых роутера. 
Но на домашнем роутере процесс генерации ключей для openvpn не проходил нормально, по этому и начал сино мучать. 
 
Попробую опять с роутерами. 

Тогда так:
На Синоним сделать адрес ВПН статическим.
На роутере прописать маршрут для подсети дачи на этот адрес Сино.


Отправлено с моего iPhone используя Tapatalk Pro
Link to comment
Share on other sites

On 6/1/2019 at 9:15 AM, 3km said:

Я так и хотел сделать, взял 2 одинаковых роутера. 

Но на домашнем роутере процесс генерации ключей для openvpn не проходил нормально, по этому и начал сино мучать. 

 

Попробую опять с роутерами. 

задача непростая и на мой взгляд выбор роутеров неверный. Я бы посоветовал Mikrotik.

Какие устройства будут на даче и их количество? Камеры скорее всего...

Нужно обязательно помнить, что любой VPN протокол на нестабильном канале (а 3Г/4г очень нестабильный) режет скорость на 50-90%.

Если на даче не камеры, то зачем иметь доступ к устройствам?

Нужно развернутое описание задачи. Скорее всего сделать доступ на прошивке от падавана получится.

Ключи для OpenVPN можно сгенерировать и на компьютере. Просто потом подсунуть их роутеру.

Link to comment
Share on other sites

  • 1 month later...

Добрый день.

Настройки ВПН надо понимать:

1)можно сделать чтоб ВПН брал адресса из уже имеющегося пула адресов DHCP

2)можно настроить ВПН со своим пулом(или конкретный адрес), но тогда обязательно надо дописать таблицу маршрутизации с двух сторон

 

По второму варианту организована сеть на Микротиках, никаких проблем.

 

На ДСМ поставить VPN Server, но тогда для авторизации ВПН необходимо сделать проброс портов до сервера, и править таблицу маршутизации.

 

Link to comment
Share on other sites

  • 4 months later...

Подниму тему еще раз.

Связь с дачей нужна для передачи информации с датчиков температуры/движения итд, трафик небольшой.

 

И еще, как получить доступ к домашней сети с iphone через vpn на syno?

 

 

0_1576f5_a8e837c2_-4-XXXL

 

 

Link to comment
Share on other sites

Подниму тему еще раз.

Связь с дачей нужна для передачи информации с датчиков температуры/движения итд, трафик небольшой.

 

И еще, как получить доступ к домашней сети с iphone через vpn на syno?

 

 

0_1576f5_a8e837c2_-4-XXXL

 

 

 

В домашней сети только один компьютер My PC?

 

И ещё принципиальный вопрос:

Нужна надежность, или просто побаловаться?

 

 

Отправлено с моего iPhone используя Tapatalk Pro

Link to comment
Share on other sites

В домашней сети (где стоит Syno) примерно 30 устройств.

 

Картину привёл для примера , вместо MyPC будет iPhone.

 

 

С vpn сервером На syno проблем нет, я к нему подцепляюсь, но не вижу устройства в сети. (Всё как на картинке и ссылке в предыдущем посте)

Link to comment
Share on other sites

В домашней сети (где стоит Syno) примерно 30 устройств.
 
Картину привёл для примера , вместо MyPC будет iPhone.
 
 
С vpn сервером На syno проблем нет, я к нему подцепляюсь, но не вижу устройства в сети. (Всё как на картинке и ссылке в предыдущем посте)

Интерес впн должен быть частью локальной сети.
Либо надо настраивать роутинг и правила фаервола (если он есть).
Видать, придётся на своём впн заводить))


Отправлено с моего iPhone используя Tapatalk Pro
Link to comment
Share on other sites

я нашел на форуме Syno, но как это сделать не знаю

меня бы устроил вариант "I I. Простой варинт VPN", но как это сделать?

Общая информация
1.	Главным источником знаний является статья "Настраиваем VPN"
2.	VPN-сервер DS211+ может обслужить только 3 или 5 VPN-клиентов
3.	VPN-сервер DS211+ при любых настройках выделяет себе адрес с "0" в конце: 192.168.1.0 – НЕ ВСЕГДА !
4.	После установления VPN канала поиск доступных компьютеров в Локальной сети осуществляется с помощью Поиска в Проводнике
5.	Выход к интерфейсам управления VPN- и DHCP-серверов осуществляется с помощью IExplorer
6.	Запись диапазона адресов 192.168.1.0-255 полностью идентична записи:
192.168.0.0/24 или
192.168.0.0 с маской 255.255.255.0
7.	Скорость скачивания файлов при VPN (PPTP) составляет ~ 50 кбит/с (Awanty -> SkyLink)
8.	Удаленный VPN-клиент видит Локальнных DHCP-клиентов только по IP адресам, т.е. путь \\192.168.0.101 будет работать, а \\Server - нет.
Способы решения данной проблемы:
1. Если Локальная сеть имеет доменную структуру, достаточно указать DNS-сервером для VPN подключения DNS-сервер контроллера домена. Воспользуйтесь опцией ms-dns в /etc/ppp/pptpd-options сервера и данные настройки будут получены клиентом автоматически
2. Если DNS-сервер в локальной сети отсутствует, то можно создать и использовать WINS-сервер, информацию о нем также можно автоматически передавать клиентам при помощи опции ms-wins
3. Если удаленных клиентов немного, можно использовать на клиентских ПК файлы hosts (C:\Windows\System32\drivers\etc\hosts), куда следует добавить строки вида:
192.168.0.101 Server
По одной для каждого ПК в локальной сети к ресурсам которого требуется доступ.
9.	При подключении обычного VPN соединения основной шлюз будет указан для VPN сети, то есть интернет на клиентской машине пропадет или будет использоваться через подключение в удаленной сети. Понятно, что это как минимум неудобно, а в ряде случаев способно привести к двойной оплате трафика (один раз в удаленной сети, второй раз в сети провайдера). Для исключения этого момента в свойствах VPN соединения на закладке "Сеть" в свойствах протокола "TCP/IPv4" нажимаем кнопку "Дополнительно" и в открывшемся окне снимаем галочку "Использовать основной шлюз в удаленной сети"
10.	Сети DHCP-сервера DS211+ , VPN-сервера DS211+ (OpenVPN) и VPN-сервера DS211+ (PPTP) не должны пересекаться. А если это необходимо (см. II. Простой варинт VPN), то вначале устанавливаются VPN-сервера, а потом расширяется DHCP-сервер
11.	Для проверки видимости Компьютера рекомендуется его пинговать
12.	PPTP значительне уязвимее, нежели OpenVPN

Исходные настройки VPN
1.	VPN-сервер DS211+ стоит за NАТ-маршрутизатором DHCP-сервером Aura и имеет локальный адрес 192.168.0.101
2.	DHCP-сервер Aura выделяет Локальнным DHCP-клиентам адреса в диапазоне 192.168.0.0-255 
3.	VPN-сервер DS211+ (OpenVPN) выделяет Удаленным VPN-клиентам адреса в диапазоне 192.168.1.0-255, так как адрес 192.168.0.0 уже занят, а детализировать диапазон нет возможности
4.	VPN-сервер DS211+ (PPTP) выделяет Удаленным VPN-клиентам адреса в диапазоне 192.168.2.0-255, как адреса 192.168.0.0 и 192.168.1.0 уже заняты, а детализировать диапазон нет возможности

I. Простейший варинт VPN
(удаленный доступ к VPN-серверу без маршрутизации)
1.	Ничего делать не надо
2.	Удаленные VPN-клиенты видят VPN-сервер DS211+ 
3.	Удаленные VPN-клиенты не видят Локальнных DHCP-клиентов
4.	Локальнные DHCP-клиенты не видят Удаленных VPN-клиентов

I I. Простой варинт VPN
(удаленный доступ ко всей локальной сети без маршрутизации)
1.	Для вовлечения в Локальную сеть Удаленных VPN-клиентов расширяем Локальную сеть, т.е. DHCP-сервер Aura перенастраиваем с параметрами 192.168.0.0/23 (т.е. маска 255.255.254.0). См. п.11 Общей информации
2.	В этом случае Удаленные VPN-клиенты становятся видны в сети под своими VPN адресами, а Локальные клиенты в свою очередь могут видеть Удаленных VPN-клиентов
3.	Это вариант настроек самый простой и не позволяет ограничить доступ Удаленных VPN-клиентов в Локальную сеть, т.к. не требует настройки маршрутизации
4.	Удаленные VPN-клиенты видят Локальнных DHCP-клиентов 
5.	Локальнные DHCP-клиенты видят Удаленных VPN-клиентов

III. Сложный варинт VPN
(удаленный доступ ко всей локальной сети с маршрутизацией)
1.	Выполняем маршрутизацию для доступа Удаленного VPN-клиента к Локальным DHCP-клиентам, учитывая, что локальный адрес Шлюза равер адресу самог VPN-клиента, который он получил от VPN-сервера:
'Запускается на Удаленном VPN-Клиенте в командной строке
IPConfig 'Выясняем последние цифры XXX IP Удаленного VPN-Клиента
Pause
Route add 192.168.0.0 mask 255.255.255.0 192.168.1.XXX 'для OpenVPN
Route add 192.168.0.0 mask 255.255.255.0 192.168.2.XXX 'для PPTP
2.	Выполняем маршрутизацию для доступа Локального DHCP-Клиента к Удаленным VPN-клиентам:
'Запускается на Локальном DHCP-Клиенте в командной строке
Route add 192.168.1.0 mask 255.255.255.0 192.168.0.101 'для OpenVPN
Route add 192.168.2.0 mask 255.255.255.0 192.168.0.101 'для PPTP
3.	Удаленный VPN-клиент видит Локальнных DHCP-клиентов
4.	Локальнный DHCP-клиент видит Удаленных VPN-клиентов

Оставшиеся вопросы
1.	Каким образом в вар.III можно ограничивать доступ, если команды выполняются на Клиенте
2.	Каким образом на DS211+ поднять WINS-Сервер



Обозначение Хостов, Масок и Сетей
192.168.0.10 – это адрес, например одного из Хостов в Сети
255.255.255.0 – это Маска длиною в 24 бита (3 байта), необходимая для указния диапазона сети
192.168.0.0/24 – это диапазон адресов Сети, полученный в результате логиского "И" адреса любого из Хостов сети и Маски сети длиной в 24 бита (3 байта):
192.168. 0.10 – адрес одного из Хостов в сети
255.255.255. 0 – Маска сети
192.168. 0. 0 – адрес Сети
т.е. 192.168.0.0/24 = 192.168.0.0-255 
или например: 192.168.0.0/23 = 192.168.0.0-255 и 192.168.1.0-255

Команды на прописывание статических маршрутов
Для доступа клиентских ПК из одной подсети в другую нам потребуется прописать на них статические маршруты. Делается это следующим образом: 
- Отключите VPN-соединение, если оно у вас поключено. 
- Откройте окно с командной строкой. Для этого нажмите кнопку "Пуск" в панели задач, выберите пункт "Все программы", затем "Стандартные", затем "Командная строка". 
- Наберите команду ipconfig ("Настройка протокола IP для Windows") и нажмите клавишу "ENTER". В окне будет выведена информация о настройках IP-протокола. Запомните IP-адрес основного шлюза. 
- Теперь можно вводить команды.
Мы будем использовать запись вида:
X.X.X.X mask Y.Y.Y.Y Z.Z.Z.Z ,где X.X.X.X сеть, Y.Y.Y.Y маска сети, Z.Z.Z.Z шлюз.
Это удобно интерпретировать так: Дается указание пойти на локальный Шлюз Z.Z.Z.Z, а с него в направлении Сети X.X.X.X с маской Y.Y.Y.Y
Добавить маршрут в среде Windows можно командой:
route add X.X.X.X mask Y.Y.Y.Y Z.Z.Z.Z
Действие данных команд сохраняется до перезагрузки и поэтому если вы что-то сделали не так, перезагрузите ПК и попробуйте снова. Убедившись что все работает нужно добавить маршруты на постоянной основе. В Windows это делается добавлением к команде ключа -p:
route add X.X.X.X mask Y.Y.Y.Y Z.Z.Z.Z -p
ПРИМЕЧАНИЕ:
- Для справки можно использовать команду: Route /?
Добавить маршрут в среде Linux можно командой:
route add -net X.X.X.X netmask Y.Y.Y.Y gw Z.Z.Z.Z

 

Link to comment
Share on other sites

8 hours ago, 3km said:

В домашней сети (где стоит Syno) примерно 30 устройств.

 

Картину привёл для примера , вместо MyPC будет iPhone.

 

 

С vpn сервером На syno проблем нет, я к нему подцепляюсь, но не вижу устройства в сети. (Всё как на картинке и ссылке в предыдущем посте)

Routing между 192.168.10.0 и 192.168.1.0 сетями обеспечивается самим сино-VPN сервером (OpenVPN?, не PPTP). На удаленном устройстве MyPC, при подключении, организуется тн Split Tunnel. Все пакеты к 192.168.10.0 сети идут через VPN, а остальное напрямую в Интернет. Вам нужна статически направить пакеты к сети 192.168.1.0 тоже через VPN. Это настраивается на удаленом MyPC в зависимости от клиента и операционной системы.

Link to comment
Share on other sites

21 час назад, XPEH сказал:

Routing между 192.168.10.0 и 192.168.1.0 сетями обеспечивается самим сино-VPN сервером (OpenVPN?, не PPTP).

Используется OpenVPN

 

21 час назад, XPEH сказал:

На удаленном устройстве MyPC, при подключении, организуется тн Split Tunnel. Все пакеты к 192.168.10.0 сети идут через VPN, а остальное напрямую в Интернет. Вам нужна статически направить пакеты к сети 192.168.1.0 тоже через VPN. Это настраивается на удаленом MyPC в зависимости от клиента и операционной системы.

 

В качестве удаленного PC  используется iphone, можно ли как то его настроить?

 

Link to comment
Share on other sites

17 minutes ago, 3km said:

В качестве удаленного PC  используется iphone, можно ли как то его настроить?

Не уверен. И не использую iPhone как OpenVPN клиент. Поищите что-то на тему статических маршрутов в iPhone и VPN.

Link to comment
Share on other sites

Решил проблему следующим образом

в настройках роутера в домашней сети (где стоит Syno)

Изменил настройки DHCP-сервера с параметрами 192.168.0.0/23 (т.е. маска 255.255.254.0).

 

Все! теперь у клиентов vpn есть доступ ко внутренним сетевым ресурсам без доп настроек на клиенте.

 

  • Like 1
Link to comment
Share on other sites

  • 1 year later...

Столкнулся с похожей задачей:

На Synology настроил  VPN, роутером к нему подключаюсь, но устройств из удаленной сети не пингуются =( Подозреваю, что это из-за разных LAN портов.

Никак не могу понять где и какие маршруты прописать, чтобы из Home можно было получить доступ к рабочей локальной сети (Work).

net.jpg

Link to comment
Share on other sites

On 3/26/2021 at 1:39 PM, coollogin said:

Так у него же два лан порта. Наоборот думал - хорошо, что один порт с белым ip в интернет смотреть будет, а другой в локальную сеть.

Это было бы хорошо для роутера-фаервола. В DSM такой функции нет. Есть в роутерах от Синоложи, но их мы не рассматриваем.

В вашeм случае, поставьте сино за роутером с пробросом на него портов для VPN. OpenVPN работает лучше и настроить легче чем L2TP/IPSec.

  • Like 2
Link to comment
Share on other sites

11 час назад, XPEH сказал:

Это было бы хорошо для роутера-фаервола. В DSM такой фунции нет. Есть в роутерах от Синоложи, но их мы не рассматриваем.

В вашeм случае, поставьте сино за роутером с пробросом на него портов для VPN. OpenVPN работает лучше и настроить легче чем L2TP/IPSec.

12 часа назад, coollogin сказал:

Так у него же два лан порта. Наоборот думал - хорошо, что один порт с белым ip в интернет смотреть будет, а другой в локальную сеть.

Поддерживаю. Только OpenVPN требователен к железу и на роутерах вряд ли будет хорошая скорость тоннеля. Я поднимал виртуальный роутер pfsense в DSM, но поскольку у меня машинка слабенькая, всё упёрлось в неё и я выше 20 Мбит/с не добился. Может ещё потому что это виртуалка, DSM режет её.
На официальном форуме кто-то делал это на отдельной старой железке, похожей на мою. Вот там, говорят, "соточка" была легко, по OpenVPN.

Я думаю что это идеальный вариант, если нужны скорость и хорошая масштабируемость.

 

  • Like 1
Link to comment
Share on other sites

Спасибо большое за помощь! Раньше так и было - нас стоял за роутером и всё работало, но думал будет лучше, если к нему напрямую доступ в интернет выделить (с белым ip и без пробросать портов). И смысл тогда от второго lan порта? Не понятно. Касательно OpenVPN - у меня keenetic, там такая возможность есть, но, вроде, L2TP/IPSec более защищенное соединение, поэтому его выбрал + для win и mac отдельная прога нужна для его подключения, что не очень удобно. Буду тогда всё возвращать обратно.

Link to comment
Share on other sites

18 часов назад, XPEH сказал:

OpenVPN работает лучше и настроить легче чем L2TP/IPSec.

У меня роутер кинетик. Xpenology стоит за роутером. На роутере поднят vpn сервер с ipsec. OsX и windows подключаются  штатными средствами к роутеру по впн, и имеют доступ в локальную сеть.

 

К тому же у кинтетика поддержка  vpn/ipsec хорошо реализована и шифруется все аппаратно, так что роутер вообще не нагружается.

 

Учитывая, что белый ip уже есть, то никаких проблем с поднятием vpn сервера с ipsec не будет на роутере.

Edited by Amoureux
Link to comment
Share on other sites

4 минуты назад, Amoureux сказал:

У меня роутер кинетик. Xpenology стоит за роутером. На роутере поднят vpn сервер с ipsec. OsX и windows подключаются  штатными средствами к роутеру по впн, и имеют доступ в локальную сеть.

 

К тому же у кинтетика поддержка  vpn/ipsec хорошо реализована и шифруется все аппаратно, так что роутер вообще не нагружается.

 

Учитывая, что белый ip уже есть, то никаких проблем с поднятием vpn сервера с ipsec не будет на роутере.

Это дома у меня кинетик, поэтому на нем vpn клиент настроил, а на работе totolink, у него такого функционала нет =( Поэтому vpn server пришлось настраивать на Xpenolgy. Сейчас к нему подключаюсь и по L2TP, и по OpenVPN, но удаленная локальная сеть не пингуется.  

 

Link to comment
Share on other sites

15 минут назад, coollogin сказал:

Это дома у меня кинетик, поэтому на нем vpn клиент настроил, а на работе totolink, у него такого функционала нет =( Поэтому vpn server пришлось настраивать на Xpenolgy. Сейчас к нему подключаюсь и по L2TP, и по OpenVPN, но удаленная локальная сеть не пингуется.  

 

Погоди, дома роутер кинетик с локальной сетью за ним, на котором поднят клиент для впн. На работе тотолинк, к которому подключен xpenology nas с сервером впн/ipsec.

 

Что откуда должно пинговаться?

Edited by Amoureux
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...