Print this page
Giovedì, 09 Agosto 2018 07:41

OpenVPN su NAS Synology

Rate this item
(1 Vote)

Introduzione breve. Ho bruciato un HD USB esterno su cui avevo tanta roba. Allora ho deciso di comprare un NAS Synology a due slot per fare il backup di tutti i miei device, un mirroring dei dati ed averli sempre a disposizione attraverso una VPN attraverso il protocollo OpenVPN. In questo articolo spiego come ho settato il VPN server ed i client sui devices.
Se avete capito tutto e siete curiosi di sapere come ho fatto leggete oltre.
Se non avete capito una parola e volete saperne di più continuate comunque a leggere... vi prometto che non ve ne pentirete.

Cominciamo da capo. Ho bruciato l'ennesimo Hard Disk USB esterno, su cui tenevo le copie di backup dei DVD, dei CD, e diversi file privati. Di questo disco non avevo il backup...nel senso che lui era il backup... ma intanto dei dati originali molti sono andati persi. Per questo ho deciso di dare una svolta alla vita e acquistare un NAS (Network Attached Storage), ovvero un Hard disk con una interfaccia di rete visibile a tutti i dispositivi nella rete locale. Sono molteplici le funzionalità che un oggetto del genere può svolgere, ma in primo luogo, quando è dotato di due Hard Disk, esso esegue una copia in mirroring dei dati (ovvero scrive i dati sui due dischi contemporaneamente, a specchio) per cui, se non cade a terra tutto il server mentre è in funzione, la probabilità che due dischi insieme si rovinino è molto bassa, e si può stare un pò più tranquilli sulla sopravvivenza dei propri preziosi dati.

Su internet si trova dovizia di articoli e video in cui viene spiegato cosa è un NAS, come funziona e quali svariati compiti e servizi possa svolgere: download dei file via torrent o emule (sempre file legali, come iso di ditribuzioni Linux...), sistemi di videosorveglianza, cloud privato, server di file multimediali...Un video in italiano e molto esplicativo è del simpatico Andrea Galeazzi.

Dopo lunga e ponderata analisi sui vari NAS in commercio ho deciso per un Synology DiskStation DS 218J. Col senno di poi avrei dovuto metterci qualcosa di più come investimento e prendere una versione play o plus, che con la migliore CPU avrebbe consentito di effettuare anche la transcodifica video per avere migliori prestazioni... ma alla fine ho fatto il meglio che potevo con i soldi a disposizione. E comunque non è così male. 

Una delle cose più interessanti è quella di avere a disposizione i propri file sempre, basta avere un accesso internet. Per far questo si può utilizzare un servizio di Synology, il quickconnect, in cui attraverso le loro applicazioni si accede al NAS identificato da un nome univoco passando attraverso i database di Synology (nessun file transita attraverso di loro, ma solo una mappatura indirizzo IP-link amichevole). Certo che però così occorre usare le applicazioni e non si può invece passare attraverso l'esplora risorse del proprio pc. Un modo sicuramente migliore consiste nell'utilizzare una VPN: Virtual Private Network, ovvero una sorta di rete locale virtuale attraverso internet. In pratica attraverso una connessione protetta è come se computer posti a distanza fisica elevata fossero nella stessa stanza, o meglio sotto la stessa rete locale, a dialogare tra loro.

Esistono diversi tipi di VPN, dipendenti dal tipo di protocollo utilizzato: PPPTP, L2TP, OpenVPN, SSTP, Wireguard... I più diffusi sono sicuramente i primi due, anche perchè nativamente supportati dai sistemi operativi. Solo che uno dovrebbe domandarsi quali sono i requisiti che ci si aspetta da una VPN.
Beh anzitutto la sicurezza, poi la velocità, la stabilità della connessione e l'uso delle risorse del server. Ci sono vari articoli che descrivono vantaggi e svantaggi di questi protocolli, che si possono leggere qui, qui, qui e qui. Da tutti questi si evince che per stabilità, velocità, sicurezza ed impiego risorse OpenVPN sia la scelta migliore, che ha come unico svantaggio il fatto di necessitare di una applicazione da installare nei dispositivi che vi si connettono. In più è Open Source... e io adoro l'Open Source! L'altro svantaggio è che l'installazione può essere difficoltosa, ma se ci si applica e si mette insieme tutte le guide frammentate su internet qualcosa si riesce a fare, per cui ... vediamo questo difficile setup

Il NAS in mio possesso è dotato di sistema operativo DSM ultima versione 6.2-23739. Per questa guida supporrò una minima dimestichezza con questo sistema, che è comunque facilissimo da usare, con una interfaccia che sembra un desktop di sistema operativo... infatti gira sotto Linux! Quindi occorre collegarsi al NAS da un browser digitando semplicemente l'indirizzo IP ed effettuando il login come utente principale (amministratore).
Ecco i passi da fare

1) Dal "Centro Pacchetti" scaricare ed installare il pacchetto "VPN Server".
2) Dal menu principale, raggiungibile attraverso l'icona con 4 quadrotti nella barra in alto, sulla sinistra, aprire "VPN Server". Dal Menu a sinistra, in basso,  scegliere OpenVPN tra le opzioni di "Configurare il VPN Server".
3) Mettere la spunta su "Attiva server OpenVPN" e poi su "Attiva la compressione sul collegamento VPN" e "Consenti ai client di accedere alla LAN del server".
4) Cliccare su Applica. Appare un messaggio relativo all'apertura della porta 1194. Cliccare su ok, ci ritorniamo tra poco.
5) Cliccare su "Esporta configurazione". Verrà chiesto di salvare un file .zip. Scaricarlo ed estrarlo: dentro ci sono 3 files: readme.txt, ca.crt e vpnconfg.ovpn.
6) Dare i privilegi agli utenti. Sempre nella finestra del VPN Server, sulla sinitra, tra le opzioni di "Gestire il servizio VPN", aprire "Privilegi". Togliere tutto a tutti, poi dare il privilegio di OpenVPN solo agli utenti che accederanno al servizio. nel mio caso sono due. Cliccare su salva.
7) Modificare il file .ovpn inserendo a posto del YOUR_SERVER_IP l'IP pubblico fornito dall'operatore. nel mio caso Fastweb 2.x.x.x e salvare. L?indirizzo pubblico si può rilevare tra le pagine web di configurazione del router, o richiesto direttamente all'operatore.
8) Andare sulle pagine web di configurazione del router e aprire la porta 1194. Sul Fastgate si va nella scheda "Avanzate", "Configurazione manuale porte", "Associa nuovo port mapping". Si da un nome alla porta, tipo "OpenVPN", l'indirizzo IP locale del server NAS (192.168.x.x), si seleziona il protocollo UDP e si scrive su tutte le caselle con "porta interna" o "porta esterna" il numero 1194 . Si clicca su "Salva modifiche" ed il gioco è fatto, senza dover nemmeno riavviare il router.
9) A questo punto torniamo al "Pannello di controllo" del NAS. Su "Accessi esterno",nella scheda "Configurazione router" cliccare su "Crea", selezionare "Applicazione integrata", e quindi dall'elenco che si apre "VPN server porta 1194" e confermare con "ok". Controllare che sia abilitata come le altre porte con la spunta e cliccare su "Salva". Il test di connessione dovrebbe eseguirsi in automatico e se è stato fatto tutto bene ogni voce darà come risultato "ok".
10) Andare nella scheda del Pannello di Controllo "Centro informazioni", tab "Servizio". Nella sezione "pacchetti" tutto in basso, individuare la riga "VPN Server" e spuntare la casella "Invio porta", in modo che l'apertura verso il router sia completa. Cliccare su "Salva".

Fatto! la VPN è attiva. Adesso predisponiamo i client. Per ogni sistema operativo andrà installato un applicativo per utilizzare l'OpenVPN. Può piacere o non piacere, ma a me non disturba usare una piccola applicazione per sfruttare i vantaggi di questo protocollo. Non ho Mac, quindi per quello non posso fornire un esempio, ma vi illustrerò cosa c'è da fare con Linux, Android e Windows.

Linux.
Su Linux faccio l'esempio per Mint/Ubuntu

sudo apt-get install network-manager-openvpn openvpn

E' possibile che questi siano installati di default e nulla ci sia da fare.

Quindi bisogna settare la VPN dal Network manager. Individuare l'icona che identifica la connessione alla rete sulla barra (di solito quella che somiglia a dei computerini, ad un ventaglio, ad una spina connessa...) e cliccare. A seconda del sistema si può avere già il percorso per creare una nuova connessione o aprire il centro connessioni. In Linux Mint con desktop Cinnamon si clicca su "Impostazioni di rete". Nel box a sinistra si clicca su + per aggiungere una connessione, si seleziona "connessione VPN" e si sceglie l'ultima opzione "import from file". A questo punto andiamo a ritrovare il file .ovpn modificato poco fa. nella scheda che si apre inseriamo nome utente e password DEL NAS che è stato abilitato al punto 6 della procedura di installazione. Modifichiamo il nome della connessione in quello che vogliamo, tipo "VPN - NAS" e quindi clicchiamo su "add".
Proviamo a connettere. Se tutto è stato fatto bene in pochi secondi si è connessi.

Android.
Anche su Android il protocollo OpenVPN non è supportato nativamente, quindi si scarica una applicazione "OpenVPN connect".
Aprendola ci sono tre opzioni. Selezioniamo "ovpn profile". Nella prima esecuzione occorre dare l'autorizzazione all'applicazione di esaminare il contenuto del telefono, per cercare il file .ovpn, che avremo in precedenza copiato dal pc in cui abbiamo modificato il file. Quindi si cerca il file e si importa.
Bisogna quindi specificare il nome utente e cliccando su "save password" anche la password (altrimenti va immessa ogni volta) e cliccare su add: la finestra che appare mostra la connessione creata. Cliccandoci sopra avviamo la connessione.
La prima volta viene richiesta conferma se la connessione è attendibile. diciamo di si.
A questo punto, ho trovato uno scoglio: Con il profilo importato non viene fornito un certificato utente. Mi sono sforzato (non troppo per la verità) di trovare il modo di realizzare un certificato .pfx o .p12, richiesto dall'applicazione, ma senza particolare successo.
Comunque non è un problema. Basta cliccare su "continue" invece che "select certificate" per avviare la connessione con successo.
Sulla barra in alto appare uno scudo che indica OpenVPN in esecuzione e una chiave vicino all'icona della connessione che identifica la presenza di una vpn attiva.
A questo punto basta usare un file manager come esexplorer o filemanager+ per poter impostare il server come unità di rete remota ed accedervi da ovunque nel mondo (se il NAS è acceso). Per disconnettere basta cliccare sullo scudo e cliccare su "disconnect"

Windows.
Bisogna scaricare il programma di connessione dal sito OpenVPN (questo è il link diretto della versione 2.4, ma controllate sul sito se è disponibile una nuova). Procedere come una normale installazione Windows cliccando sempre su Next. Ad un certo punto appare un avviso di Sicurezza di Windows che chiede se installare il software e se è considerato attendibile. Clicchiamo senza paura su Installa.
Terminata l'installazione si troverà sul desktop l'icona di OpenVPNGUI. cliccandoci comparirà un avviso "No readable connection profiles......" clicchiamo su OK. Nella barra in basso a questo punto sarà presente l'iconcina di un monitor con lucchetto (probabilmente si troverà sul gruppo di icone che appare cliccando sulla freccetta /\ vicino all'orologio). Cliccandoci sopra col tasto destro vi sono tre opzioni: Import File, Configurazione e Esci. Clicchiamo sulla prima e andiamo a riprendere il file .ovpn. Diamo Apri e Ok per confermare. A questo punto, nella stessa icona, andando col tasto destro ci saranno molte più opzioni. Ad esempio andando in Configurazione ci sono molte più opzioni, che non sto qui a guardare. Invece andiamo sulla prima in alto, che adesso è "Connetti". Si apre una maschera dove inserire nome utente e Password, ed è possibile salvare la password. A questo punto è probabile che il firewall di Windows Defender chieda che fare. Chiaramente scegliamo "Consenti accesso"!
C'è una finestra con un log dove è possibile vedere cosa sta succedendo. Se non ci sono problemi particolari dopo poco la finestra scompare e si è connessi alla VPN di Casa. Per disconnettere sempre dall'iconcina nella barra, tasto destro e disconnetti.

 

Non credo che questo sarà l'ultimo articolo sul NAS... alla prossima!

 

 

Read 1182 times Last modified on Giovedì, 09 Agosto 2018 17:45