Mapiranje NAS preko VPN

[PJ]

U mreži 192.168.1.xxx imam NAS uređaj.
Lokalni računari svoje foldere imaju mapirane kao mrežne diskove.

Na ruteru 192.168.1.1 je dignut OpenVPN (generisan fajl na ruteru, učitan u OpenVPN client aplikaciju) i kada se na njega povežem preko interneta, dobijem IP adresu u opsegu 10.8.0.x.

Uredno pristupim NASu preko browsera I njegove adrese 192.168.1.x, ali ga ne vidim kao mrežni uređaj, da ga mapiram kao mrežni disk.

Zapravo, sa VPN client, ne vidim nijedan računar u mreži. Kako ovo da rešim?

 

[alex303]

Moraš da forwarduješ/otvoriš TCP portove 445 i 137-139.

NAS-u preko browsera možeš da pristupiš jer su portovi 443 i 53 otvoreni po defaultu.

 

[bmaxa]

U mreži 192.168.1.xxx imam NAS uređaj.
Lokalni računari svoje foldere imaju mapirane kao mrežne diskove.

Na ruteru 192.168.1.1 je dignut OpenVPN (generisan fajl na ruteru, učitan u OpenVPN client aplikaciju) i kada se na njega povežem preko interneta, dobijem IP adresu u opsegu 10.8.0.x.

Uredno pristupim NASu preko browsera I njegove adrese 192.168.1.x, ali ga ne vidim kao mrežni uređaj, da ga mapiram kao mrežni disk.

Zapravo, sa VPN client, ne vidim nijedan računar u mreži. Kako ovo da rešim?

Da li hoces da pristupas spolja ili iznutra, pretpostavljam iznutra, posto nema svrhe da omogucis spolja da ti ulaze na disk...
Treba da vidis sta blokiraju firewall-ovi na uredjaju, ukoliko je tako onda i bez VPN-a nece raditi... ukoliko ne radi samo
VPN, proveri kako su ti rute podesene na ruteru... tj kako rutira lokalni saobracaj...

 

[alex303]

Čovek hoće da pristupa od spolja preko postijećeg OpenVPN tunela. I ono što sam napisao za portove gore se odnosi na otvaranje i routiranje SMB portova unutar OpenVPN tunela a ne preko WAN interfejsa gde bi bio izložen brute force napadima od spolja.

 

[PJ]

Hoću da pristupam NAS-u kroz VPN tunel. Ništa sa interneta.
Sa 10.8.0.x na 192.168.1.x

Kako da otvorim portove za VPN tunnel?

Zapravo, kada sa računara 10.8.0.x pretražim mrežne uređaje, ne vidim ništa sa 192.168.1.x. I obrnuto, sa 192, ne vidim računare na 10.

 

[alex303]

Hoću da pristupam NAS-u kroz VPN tunel. Ništa sa interneta.
Sa 10.8.0.x na 192.168.1.x

Kako da otvorim portove za VPN tunnel?

Zapravo, kada sa računara 10.8.0.x pretražim mrežne uređaje, ne vidim ništa sa 192.168.1.x. I obrnuto, sa 192, ne vidim računare na 10.

To je normalno jer nisu u istom subnetu.

Potrebno je napraviti NAT rule koji će raditi adress translation iz 10.8.0.x subneta u 192.168.1.x subnet. A nakon toga treba napraviti i firewall rule koji će povezati 10.8.0.x subnet sa 192.168.1.x subnetom za TCP protokol na portovima 445 i 137-139. Da li je ovo izvodljivo u tvom slučaju, zavisi od routera i njegovih mogućnosti. Koji je router u pitanju ?

Ako router nema tu mogućnost, možeš da probaš da promeniš lokalni IP 192.168.1.x u neki koji je u rasponu 10.8.0.x subneta. Nema garancije da će to raditi, jer ako router iz sigurnostnih razloga ne dozvoljava portove 445 i 137-139 onda ne možeš ništa. Osim da promeniš router naravno.

 

[PJ]

Ruter je TP-Link Archer AX55 - AX3000

AX3000 Dual Band Gigabit Wi-Fi 6 Router

Featuring a 160 MHz bandwidth and 1024-QAM, Archer AX55 delivers true gigabit speeds of up to 3 Gbps. Enjoy faster streaming and gaming like never before.

www.tp-link.com

Probao sam da stavim OpenVPN u isti opseg, ali ruter ne dozvoljava da računari preko VPN budu u istom subnetu kao lokalni računari.
"The client IP address and LAN IP address cannot be in the same subnet."

Jedan računar iz opsega 192 sam zakačio na VPN i dobio je adresu 10.8.0.10.
Sa kućnog računara 10.8.0.6 se uredno povežem na 10.8.0.10 preko Remote Desktop, ali ga i dalje ne vidim u Network i nemam mogućnost da njegov sharovan drajv da mapiram kao mrežni.

 

[mirop]

Zar openvpn ne propusta sve po difoltu? Na racunaru sa vpna idi u windows explorer, i kucaj \\192.168.0.x (adresu nasa). Sta dobijas?

 

[PJ]

Zar openvpn ne propusta sve po difoltu? Na racunaru sa vpna idi u windows explorer, i kucaj \\192.168.0.x (adresu nasa). Sta dobijas?

I eto rešenja
Pojavila se IP adresa u Network (nema ime uređaja, kao ostali, samo adresa), odem na mapiranje drajva, opet je ne vidi, ali ukucam i tamo IP adresu, pa browse da nađem folder koji mapiram i konačno rešeno.
Hvala

 

[vrobec]

Da li Archer AX55 podržava pristup priključenom USB disku preko interneta, kao neki cloud?
Namestio sam nešto, ali ne radi. Recimo Asus RT-AC68U je imao ovo i pristupao sam preko user. asuscomm.com-a. Možda treba statična IP adresa? Neka ideja?

 

[PJ]

Imam više AX55, na različitim lokacijama, ali i NAS uređaje, pa USB nisam koristio.

Svakako je potrebna javna IP adresa. Ne mora biti statička. Samo je bitno da nisi iza NAT i da je otvoren port 21.
Za početak stavi 192.168. 1.5 u DMZ, da pusti sve portove. Ako to radi, onda forwarduj samo port 21 za tu IP adresu.

 

[vrobec]

Imam više AX55, na različitim lokacijama, ali i NAS uređaje, pa USB nisam koristio.

Svakako je potrebna javna IP adresa. Ne mora biti statička. Samo je bitno da nisi iza NAT i da je otvoren port 21.
Za početak stavi 192.168. 1.5 u DMZ, da pusti sve portove. Ako to radi, onda forwarduj samo port 21 za tu IP adresu.

Hvala. Probacu, pa javljam ako jos nesto nije jasno. Hvala jos jednom.

 

[Astmario]

Imam sličnu ali komplikovaniju problematiku
OpenVPN je podignut ne na ruteru, već je server na jednoj Windows 10 mašini. Mašina je u standardnom 192.168.1.x subnetu, openVPN server je na 10.8.0.1 adresi. Na ruteru je otvoren port i forwardovan na adresu mašinu na kojoj se nalazi server(192.168.1.x). Firewall je trenutno potpuno isključen za virtuelni mrežni adapter.
Klijent se uspešno povezuje na server, dobija 10.8.0.6 adresu od servera, uspešno prolazi ping ka 10.8.0.1, tunel funkcioniše.

Dalje je muka kako rutirati saobraćaj kako bi ruter video treći računar u 192.168.1.x opsegu na kome se nalazi interna web aplikacija? Svuda viđam upustva za podešavanje koja se odnose na server instaliran sa gateway, što mi ne završava posao.
Kontam da bi trebalo negde dodati rutu koja preusmerava saobraćaj, ali se nisam igrao sa tim stvarima pa neke smernice bi dobro došle, da li to pokušavam na nivou rutera ili na nivou podešavanja OpenVPN-a(telekomov HG8245W5-6T)?

 

[PJ]

Da li sam dobro razumeo
Open VPN Server je na 192.168.1.x
Open VPN Client je na 10.8.0.6
Ciljana aplikacija na 192.168.1.y

Sa Open VPN klijenta pokušavaš da pristupiš aplikaciji na 192.168.1.y?

Da li sa Open VPN klijenta možeš da pristupiš servisima na 192.168.1.x?

 

[Astmario]

Open VPN server je virtuelni mrežni adapter na Windows mašini. Windows mašina na fizičkom mrežnom adapteru ima IP adresu 192.168.1.113. Virtuelni mrežni adapter koji kreira Open VPN server ima adresu 10.8.0.1.
VPN Client je na 10.8.0.6 (a fizički je isto na privatnom 192 opsegu adresa)
Ciljana aplikacija je na 192.168.1.9
Sa Open VPN klijenta želim da pristupim lokalnoj mreži servera, tj. 192.168.1.9 adresi.
Ne mogu da pignujem i pristupm lokalnoj mreži sa serverske strane jer ne postoji rutiranje između 10.8.0.x i 192. mreže.

 

[PJ]

Sad sam probao, sa 10.xxx na 192xxx mogu da pingujem, sve uređaje (NAS, štampači, termostati, usisivači, kamere...), ali ne mogu da pingujem nijedan računar.

Ali se na te računare povezujem preko Remote desktop preko 192xxx. Sada nemam dozvolu da to probam, ali na jednom od računara (koje ne mogu da pingujem) je SQL baza kojoj sam pristupao kroz neki servis. A ping neće.

Valjda će se javiti neko sa više iskustva

 

[Astmario]

To to, aplikaciji inače mogu iz lokalne mreže da pristupim kroz browser, kucanjem iport ili hostnameort lokalnog računara, cela ideja je da sada to radim kroz browser kućne mašine.
PS kod tebe je ako se sećam OpenVPN instaliran direktno na ruter, tako da ruter u sebi ima IP table i zna gde šta da preusmeri.

 

[e6111]

Moras na Windows racunaru koji izigrava VPN server (OpenVPN) da konfigurises NAT rutiranje, da bi mogao sa vpn client-a u subnetu 10.x.x.x/24 da pristupis subnetu 192.168.x.x/24. Znaci ruter koji imas, u ovoj prici nije uopste bitan, jer ti se VPN server nalazi na Windows racunaru, umesto na ruteru. Kada to obavis onda Windows racunar postaje server i ruter za VPN klijente.

Edit. Dodatno u konfiguraciji VPN klijenta potrebna ti je ruta za 192.168.1.9:

route -p add 192.168.1.9 mask 255.255.255.255 10.8.0.1

 

[e6111]

Mnogo vam je jednostavnije, da koristite softver kao sto je npr. ZeroTier, koji se ponasa kao mesh mreza, i sve se konfigurise prilicno jednostavno preko web interfejsa. Tada fizicka mreza i subnet uopste nisu faktor, i moze se lako menjati bez da se poremeti vec konfigurisana ZeroTier mreza.

 

[alex303]

Mnogo vam je jednostavnije, da koristite softver kao sto je npr. ZeroTier, koji se ponasa kao mesh mreza, i sve se konfigurise prilicno jednostavno preko web interfejsa. Tada fizicka mreza i subnet uopste nisu faktor, i moze se lako menjati bez da se poremeti vec konfigurisana ZeroTier mreza.

Ili TailScale.

 

[PJ]

Kako taj ZeroTier/TailScale funkcioniše, ako želim da povežem dve fizički odvojene lokacije?

Ako radi kao Mesh, onda nije bitno koja lokacija je server tj sve lokacije su server/client? I ostvaruju P2P konekciju?

Praktično bih morao da vodim računa samo da mi IP adrese sa dve lokacije ne budu u konfliktu?

 

[bbK1ng]

U mreži 192.168.1.xxx imam NAS uređaj.
Lokalni računari svoje foldere imaju mapirane kao mrežne diskove.

Na ruteru 192.168.1.1 je dignut OpenVPN (generisan fajl na ruteru, učitan u OpenVPN client aplikaciju) i kada se na njega povežem preko interneta, dobijem IP adresu u opsegu 10.8.0.x.

Uredno pristupim NASu preko browsera I njegove adrese 192.168.1.x, ali ga ne vidim kao mrežni uređaj, da ga mapiram kao mrežni disk.

Zapravo, sa VPN client, ne vidim nijedan računar u mreži. Kako ovo da rešim?

Dodeli ruteru drugu IP adresu iz 10.8.0.x opsega.

 

[PJ]

Ruter LAN IP i VPN subnet ne mogu da budu u istom opsegu.

Kada je kreiran Open VPN Server, ruter je sam dodao dve linije u static routing.
I kod mene generalno sve što mi je potrebno radi, pristupam svim servisima koje želim, osim što ne vidim računare i njihove deljene diskove kroz VPN. Nije da mi je tako nešto potrebno, pa sam pustio da tako ostane. I ne mogu da pingujem računare. Sve ostale uređaje mogu. To sam ustanovio pre neki dan kad je Astmario rekao da ne može da pinguje.

 

[alex303]

Kako taj ZeroTier/TailScale funkcioniše, ako želim da povežem dve fizički odvojene lokacije?

TailScale pravi indirektan WireGuard VPN tunel između 2 odvojene lokacije ali koristi TailScale server kao coordinator odnosno posrednik. Zbog toga nije bitno da li su lokacije iza CGNAT konekcije ili ne. Dok god imaju izlaz na net, konekcija je ostvariva. Projekat je opensource i jedino ograničenje je brzina koju je moguće ostvariti između dve lokacije kada se koristi free varijanta. Ali ni to nije problem jer takođe nude besplatan paket koji se zove HeadScale koji može da se instalira na neku mašinu ili VPS koja ima javni IP. Na taj način dobijaš sopstveni coordinator nad kojim imaš punu kontrolu preko sopstvenog dashboard-a i ne postoji način da treće lice sniffuje traffic. Za većinu korisnika TailScale u osnovnoj besplatnoj varijanti završava posao. I dostupan je za sve moguće platforme.

Ako radi kao Mesh, onda nije bitno koja lokacija je server tj sve lokacije su server/client? I ostvaruju P2P konekciju?

Obe lokacije su client jer se kače na TailScale coordination server koji obe strane "linkuje" međusobno.

Praktično bih morao da vodim računa samo da mi IP adrese sa dve lokacije ne budu u konfliktu?

Kako ćeš odraditi routiranje je u potpunosti na tebi.

Ruter LAN IP i VPN subnet ne mogu da budu u istom opsegu.

Zavisi koji je router u pitanju.

Kada je kreiran Open VPN Server, ruter je sam dodao dve linije u static routing.
I kod mene generalno sve što mi je potrebno radi, pristupam svim servisima koje želim, osim što ne vidim računare i njihove deljene diskove kroz VPN. Nije da mi je tako nešto potrebno, pa sam pustio da tako ostane. I ne mogu da pingujem računare. Sve ostale uređaje mogu. To sam ustanovio pre neki dan kad je Astmario rekao da ne može da pinguje.

Neki uređaji blokiraju ICMP saobraćaj po defaultu i to se radi iz sigurnosnih razloga. Isto važi i za SMB, stim da čak i ako se omogući SMB, performanse su katastrofa zbog načina na koji OpenVPN funkcioniše. Ako je potreban pristup file share-u, za takve stvari je bolji IPSec.

 

[PJ]

Zavisi koji je router u pitanju.

Da, hteo sam da napišem "moj ruter".

Dodavanje treće strane mi je nekako bespotrebno. Da neki servis ne radi ili da je bilo nekih ne rešenih problema, pa i da razmislim.

Ali pokušaću jednom prilikom kako radi, možda mi zatreba za neke lokacije bez javnih adresa.

 

[e6111]

Maksimalno uprosceno objasnjenje je da funkcionise kao bittorrent, svi klijenti mreze komuniciraju direktno medjusobno, a treca strana je "tracker" od kojeg klijenti dobijaju informaciju koji su sve klijenti clanovi tvoje virtualne mreze. Ovo je velika prednost u odnosu na tradicionalno client-server VPN rezim, gde saobracaj uvek prolazi kroz server. Virtualna mreza po defaultu ima svoj poseban subnet, npr. 172.16.x.x/24, a dodavanje novih klijenata u mrezu se vrsi putem web interfejsa "trackera", koji se moze postaviti i na sopstveni server, da bi se izbegla ta "treca strana", medjutim onda to komplikuje setup.

 

[PJ]

Kako se u tu priču dodaje mrežni štampač? Na njega ne mogu da instaliram klijent aplikaciju.

Može da se povuče sa nekog od računara kao servis sa tog računara, ali ako je taj računar isključen, onda nije dostupan ni štampač.

 

[e6111]

Za uredjaje na kojima ne moze da se konfigurise klijentski softver, moraju se resiti na isti nacin kao i u openvpn varijanti, sa rutiranjem paketa fizicke tj. lokalne i virtualne mreze.

 

[Astmario]

E ovde imam problem, sad gledam logove, kaže greška u kreiranju rute na klijentskom računaru.

Probam ručno kroz command prompt:
route add 192.168.1.9 mask 255.255.255.0 10.8.0.1
The route addition failed: The parameter is incorrect.

I ne kontam šta mu smeta, kada je openvpn prosledi, izbacuje grešku, kada ručno kucam isto, konflikt jer su lokalni opsezi isti?

 

[e6111]

Kad dodajes rutu za jedan ip /32, mask je 255.255.255.255. Kad dodajes rutu za npr. /24 onda je subnet mask 255.255.255.0. Opseg naravno ne moze da se preklapa u lokalnoj i remote mrezi.