Jump to content
XPEnology Community

работа--VPN--дом


119

Recommended Posts

хочу из дома конектится к рабочему серверу RDP и пользоваться SIP телефонией!

 

Как сейчас это происходит:

На работе есть роутер прошитый DD-WRT который выступает в роли VPN сервера (скрин с настройками http://prntscr.com/ad68ec)

Я дома на компе поднимаю средствами ОС VPN соединение (PPTP наверно) и после этого уже подключаться к RDP серверу работы при этом указав локальный IP сервера работы, так же после этого VPN соединение у меня конектится прога для SIP телефонии PhonerLite и я спокойно звоню из дома как с работы.

 

Что хочется:

Исключить поднятие VPN соединения руками

может ли это делать к примеру тот же роутер или XPEnology, при этом надо чтоб инет не трагался рабочий (на работе инет в разы медленнее чем дома)

 

на работе и дома работают 24/7 "сервера" под XPEnology для видео наблюдения вот может что нибудь на них придумать чтоб они держали это VPN соединение?

 

скажу сразу я побывал дома прошить роутер той же DD-WRT и в нем же настроить PPTP клиента, "знакомый" который мне это помогал настраивать сказал что VPN поднимается (но для поднимается это когда бы у меня заработал RDP и SIP) но оно не работало и знакомый сказал что надо писать какие то маршруты и пропал на этом :sad:

 

Вот рассказал вроде как умел)

 

ПРОШУ ПОМОЩИ УВАЖАЕМЫЕ ГУРУ!

Link to comment
Share on other sites

ваш знакомый прав. когда вы поднимали впн на своей машине, она получала адрес впн сети и настройки этой сети (т.е. ваша машина ЗНАЕТ куда отправлять пакеты при соединении), и вы без проблем подключались к рдп серверу. чтобы также беззаботно подключаться к рабочей сети, ваша машина должна знать про эту сеть. ваша машина имеет дефолтный шлюз - ваш роутер. и все запросы отправляет на него. поэтому ваш роутер должен не только, ЗНАТЬ про рабочую сеть (при поднятии впн соединения он начинает ЗНАТЬ), но и НАПРАВЛЯТЬ трафик из вашей сети в рабочую. это достигается маршрутизацией. т.е. на роутере нужно настроить маршрут 1) рабочая подсеть (напр. 192.168.0.0/24) - шлюз для нее (ваше впн соединение). т.е. если вы соединяетесь с машиной из рабочей сети, роутер направляет этот трафик в впн туннель. 2) машина на работе получила трафик и отвечает. а с какого адреса пришел трафик? в зависимости от настроек впн сервера он может придти с локального адреса вашей машины дома либо с адреса который получил ваш роутер в качестве впн клиента. если трафик приходит с локального адреса машины из дома, значит рдп сервер отправляет ответ на СВОЙ дефолтный шлюз, и он в свою очередь должен иметь информацию о вашей домашней сети. на нем должен быть маршрут - ваша домашняя сеть (напр. 192.168.1.0/24) - впн сервер.

Link to comment
Share on other sites

хм, позвольте и мне вставить свои пять центов хотя и не в тему vpn

для того чтобы звонить из дома как с работы по моему не обязательно строить такие замысловатые схемы с маршрутизацией и vpn

в "нормальном" маршрутизаторе с поддержкой телефонии есть такая функция как Callthrough но не все её используют в полной мере

принцып работы очень прост,проверен много раз, и таков:

  • в маршрутизаторе выбираем любой номер которые есть в рапоряжение всё равно какой ip или аналог и делаем его входящим для "дозвона"
  • там же в маршрутизаторе прикрепляем к этому входящему номеру любой исходящий номер(ip или аналог)
  • в итоге звоним на входящий номер "дозвона" который автоматом перенаправляет на закреплённый иходящий номер и после короткого зумера спокойно набираем требуемый номер, вызов пойдёт теперь уже с номера вашего маршрутизатора

gt.png

 

как уже упоминул что проверено много раз например допустим родственник из мурманска звонит мне по ip номеру от одного и того же провайдера как и у меня а звонки внутри сети бесплатны, через Callthrough он набирает например любой номер по германии а так как у меня тариф "всё включено"(кроме мобильной связи) то всё это стоит в итоге: 0.00 центов

Link to comment
Share on other sites

Не во всех роутерах есть Callthrough, а вот проброс портов точно есть везде, я без проблем домашний gigaset c530ip настроил на рабочую ip атс. Просто на рабочем роутере открыл порты для voip, а дома в настройках указал рабочий ip и порт. Теперь из дома могу позвонить на внутренний конторский номер или наоборот сидя на работе набираю 3х значный номер и звонит домашний аппарат

Link to comment
Share on other sites

ну так что мне делать то

 

ну дык я до сих пор не могу понять что конкректно ты хочешь построить?

 

для ip телефонии не имеет ни какой разницы откуда звонишь из дома, работы или северного полюса

 

для примера могу дать логин от прямого гамбурского номера формата 040-20xxxxxx, вбивай в свою PhonerLite и звони как из гамбурга

 

я понял только одно что когда звонишь из дома то на другом конце должен светится аналоговый номер твоей конторы?

Link to comment
Share on other sites

c VPN cейчас проблемы на xpenology :sad:

работает только OpenVPN, сам недавно пытался поднять PPTP с виндой и безуспешно

так что вариант с рутерами выглядит более менее ортимальным, смотри пост loderunner выше viewtopic.php?f=5&t=12892&p=57734#p57531

как то так, надо конкректно смотреть твою сетку на работе и дома

 

если это скрин с настройками с работы: http://prntscr.com/ad68ec

то скинь пару скринов домашнего рутера

 

[spoiler=Создание VPN PPTP туннеля между двумя роутерами с dd-wrt]На «А» поднят сервер PPTP, а на «В» клиент.

4617164a510e41c9a8d4dfef6ee45187.jpg

 

9eeb1ed96fd14079ba19dbc9b8ba1d5a.jpg

добавить --nobuffer в поле ип пптп сервера через пробел для выкл. буферизации.

Теперь, когда у нас есть VPN-туннель, нам надо прописать маршрут в соседнею сеть

«А» имеет сеть 192.168.1.0/24 и ip как сервер VPN 172.16.1.1

«В» имеет сеть 192.168.2.0/24 и ip как клиент VPN 172.16.1.51

 

Для доступа из «А» в «В» нужно задать:

route add -net 192.168.2.0 netmask 255.255.255.0 gw 172.16.1.1

 

Для доступа из «В» в «А» нужно задать:

route add -net 192.168.1.0 netmask 255.255.255.0 gw 172.16.1.51

 

Shell-скрипт проверяет периодически на наличие маршрута и в случае его отсутствия проверяет поднятие туннеля, и при его наличии задаёт маршрут:

#!/bin/sh 
if 
PPTP=`ip ro | awk '/192.168.2.0/ {print $1}'`; 
test "$PPTP" = "192.168.2.0/24" 
then 
exit; 
#Тут мы указали если есть в ip ro маршрут на сеть 192.168.2.0 то скрипт заканчивается иначе идем дальше
else 
if 
PPTPup=`ip ro | awk '/172.16.1.51/ {print $1}'`; 
test "$PPTPup" != "" 
then 
route add -net 192.168.2.0 netmask 255.255.255.0 gw 172.16.1.1 
else 
exit;
# тут мы указали если в ip ro "VPN" соединение  не равно пустоте то добавить маршрут и закончить скрипт
fi 
fi 
exit;

во вкладке «Администратор» в пункте Cron, пишем:

*/3 * * * * root /tmp/custom.sh

запуск скрипта каждые 3 минуты, каждый час и каждый день.

 

Link to comment
Share on other sites

119, так тебе стать часть конторской локалки или просто дома подключиться к конторской атс?

Если первое то без Vpn вряд ли выйдет, а если второе, то пробрось порт твоей атс на роутере и из дома и на это порт подключайся.

Пример:

В конторе внешний белый ip 1.1.1.1, ip атс сидит за роутером на внутреннем ip 192.168.1.10

Пробрасываем стандартный порт 5060 наружу для 192.168.1.10

Дома в телефонную прогу пописываем в качестве сервера 1.1.1.1:5060 и твой логин пароль

Все, будешь звонить как из работы

Link to comment
Share on other sites

119, так тебе стать часть конторской локалки или просто дома подключиться к конторской атс?

Если первое то без Vpn вряд ли выйдет, а если второе, то пробрось порт твоей атс на роутере и из дома и на это порт подключайся.

Пример:

В конторе внешний белый ip 1.1.1.1, ip атс сидит за роутером на внутреннем ip 192.168.1.10

Пробрасываем стандартный порт 5060 наружу для 192.168.1.10

Дома в телефонную прогу пописываем в качестве сервера 1.1.1.1:5060 и твой логин пароль

Все, будешь звонить как из работы

 

хмм,что то не подумал схема то рабочая...

только вот попробовал ее и что то не работает у меня SIP звонила

 

а тут все мозгую вот че нашел может меня это и спасёт? http://prntscr.com/afl7wb

я так понял это надо настроить на обоих роутерах (дома и на работе)

но при этом надо чтоб роутер дома и на работе имели адреса к примеру 192.168.1.1 и 192.168.1.100

Link to comment
Share on other sites

Я этими dd-wrt не пользуюсь, на работе у меня стоит clearos в качестве роутера.

В качестве атс у меня стоит 3CX, компе с постоянным внутренним ip 192.168.0.2

На роутере в port forwarding прописаны порты tcp/udp 5060, 5090, 9000-9079 на 192.168.0.2

Дома на gigaset C620ip и настроено так:

Домен: внешний ip адрес роутера на работе

Имя входа в систему: 100( внутренний номер)

Имя пользователя: 100

Пароль: @@@@@@@

После этого трубка конектится к рабочей атс и могу домой с работы звонить по 3х значному номеру и наоборот. Могу звонить по межгороду через рабочую атс.

Edited by Guest
Link to comment
Share on other sites

  • 1 month later...

Добрый день.

 

Очень надеялся на то, что GUI OPENVPN, которые есть в XPEnology упростят жизнь, но оказался неправ... Суть вопроса: как победить этого монстра ?! Очень хочется из дома получить доступ к ресурсам сети на работе. Подключение поднимается - да, сеть пингуется, но NETBIOS не работает, DNS (типа)работает

 

Домашняя сеть: 192.168.1.0/24 , подключение через роутер

Рабочая сеть: 192.168.0.0/24 , фаервол , NAT , потры проброшены на XPEnologu 5.2-5644.8 , авторизация для одного доменного пользователя ( temp\tempuser )

VPN-сеть: 10.8.0.1, число пользователей 5, число подключений 10

 

Хочется подключить доступ (минимум) к серверу XPEnology через NETBIOS ( в офисе это делается через SMB://synology , можно привыкнуть к SMB://synology.temp.local ). Вопрос: что и как настроить в OpenVPN для такой работы ?! - кто-нибудь может помочь ?

 

PS Если это поможет, возможно предложите другое решение. Вынужден активно использовать совместную работу в MS Excell. Это невозможно при подключении шары как сетевого диска ( через WebDrive например ) - файл перезаписывается поверх изменений, которые внесли в документ другие пользователи сети. При подключении шары как локальный диск через NetDrive вообще начинается котовасия с документами: хочу-сохраню, хочу-не-сохраню, а могу и ошибку сохранения выдать...

 

С уважением

BiMouSe

Link to comment
Share on other sites

BiMouSe, пытался в одной компании объединить два офиса (находящиеся в одной локальной сети провайдера) средствами Synology. Двухдневные танцы и песни, вызывание духов не помогло.

Плюнул, и организовал всё средствами openwrt (OpenVPN/tap/ethernet/L2).

 

Отправлено с моего Nexus 7 через Tapatalk

Link to comment
Share on other sites

А почему тогда у меня все работает в нескольких вариантах?

1. В офисе 1. Вместо роутера стоит комп с clearos и на нем поднят vpn сервер

Из офиса 2 человек просто в винде тыкает по ярлыку и происходит соединение по впн

Далее он работает уже в локальной сети офиса 1, подключается к базе 1с перекидывает файлы в шары на компы и тд.

2. В офисе 2 стоит роутер asus и на нем поднят vpn сервер и все примерно так же работает

3. У меня дома на хренологии поднят vpn сервер и на роутере проброшены порты и я с телефона подключаюсь к домашнему vpn или с работы, когда надо пару файлов с домашнего компа забрать, а на фтп их не положил

И все это работает на обычном pptp и l2tp\ipsec

Link to comment
Share on other sites

Так у меня дома тоже работает.

И PPTP и L2TP/ipsec, и ОpenVPN.

Под конкретный офис vpn был необходим именно на канальном уровне. К тому же без паролей на основании сертификатов. Сервер (OpenVPN) в DSM - узкое место. TUN да, TAP (ethernet) я завести нормально не смог. Пробовал создавать вручную, через костыли (созданием профиля в "сети" - "сетевой интерфейс" - "создание...").

В простом случае, по паролю, "L3" (tun) арбайтен, аж свистит.

Вообщем, времени у меня не было на серьезное изучение, я сдался через пару дней и поднял сервер и клиент на маршрутизаторах (OpenWRT).

имхо: использовать DSM как СЕРВЕР openvpn ни комильфо. Как клиент - пожалуйста.

 

Отправлено с моего Nexus 7 через Tapatalk

Link to comment
Share on other sites

И да, Илья. Если подскажите куда копать и как реализовать полноценный tap сервер средствами dsm, буду Вам очень благодарен. Костыли (поднятием виртуалки с микротиком/врт и пр.) не интересны.

"Каждый баран должен носить свои яйца" (поговорка). Уж если есть в DSM собственный сервер, он должен работать на полную))

 

Отправлено с моего Nexus 7 через Tapatalk

Link to comment
Share on other sites

И да, Илья. Если подскажите куда копать и как реализовать полноценный tap сервер средствами dsm, буду Вам очень благодарен. Костыли (поднятием виртуалки с микротиком/врт и пр.) не интересны.

"Каждый баран должен носить свои яйца" (поговорка). Уж если есть в DSM собственный сервер, он должен работать на полную))

 

Отправлено с моего Nexus 7 через Tapatalk

А чем не устраивает встроенный l2tp IPSec, с подключением по паролю?

В клиенте один раз развёл пароль и потом только на иконку кликай.

Link to comment
Share on other sites

Друзья, я разобрался как к локалке подключить удаленных пользователей средствами DSM - все свелось к "верстке" пользовательского конфига:

dev tun
tls-client

remote [iP] [PORT]


dhcp-option DNS [iP_DNS_SERVER]
dhcp-option DOMAIN [DOMAIN_NAME]

pull

script-security 2

ca ca.crt

reneg-sec 0

auth-user-pass

route-method  exe
route-delay 2
route [OFFICE_IP] [OFFICE_IP_MASK]

 

Нормально проходит подключение, видна вся сеть, работает NETBIOS (а может мне так кажется из-за работающего DNS-сервера...) Осталось сделать так, чтоб автоматически происходила авторизация в домене - вот это точно не решить сами DSM, а костылить - не кашерно для продакшена; буду разворачивать в другом месте отдельный OpenVPN

 

Если резюмировать:

+ пользователь к сети теперь нормально подключается

- пользователь вынужден всегда повторно авторизовываться при работе с сетевыми ресурсами/шАрами

 

Развернул RADIUS-сервер в DSM, но че-та пока не понял как он работает - для меня совсем темный лес... пока темный лес :wink:

 

Хотя, может я вообще не в том направлении двигаюсь: задача довольно простая - дать возможность некоторым пользователям удаленно редактировать документы, которые находятся в сетевых шАрах, которые можно редактировать совместно (MелкоМягкиеТаблицы). Подключение шары как сетевого диска (webdav) сразу накладывает монополию на открываемый документ. Если б не эта досадное принципиальное требование некоторых, то обошелся WebDrive для десктопов, DS-file для телефонов/планшетников...

Link to comment
Share on other sites

я уже писал выше, что у меня все работает, но у меня одноранговая простая сеть без домена и прочего. Простоя рабочая группа, на компах есть отдельный пользователь с паролем под которым все компы друг друга и видят и не просят отдельной авторизации, соответственно для этого пользователя и шарах разрешения созданы соответствующие

Link to comment
Share on other sites

×
×
  • Create New...