Pomoc polaczenie myqnaplcoud - openpvn - qbelt

[maxweber]

jednej rzeczy nie rozumiem i nie potrafię tego ogarnąć
w jaki sposób działa myqnapcloud - tzn jeśli nie ma sie stałego adresu ip to jakim cudem ta usługa działa i potrafi wystawić serwer na świat
a openvpn i qbelt skonfigurowany działa tylko lokalnie
Pewnie sobie sam odpowiadam na pytanie.
Ale rozumiem, ze jeżeli nie mam stałego adresu ip to mogę zapomnieć o leczeniu sie vpn do swojej sieci.
Ale na logikę nie kumam jak inne usługi działają a te nie jesli chodzi o vpn.

Czy maqnapcloud działa po prostu po porcie 443 i potrafi nawiązać polaczenie z nas'em. bo jeśli tak to wydaje mi sie ze jest to mało bezpieczne.
Pomimo autoryzacji dwueetapowej - hasła konfiguracja trzymana jest na niewiadomo jakim serwerze - bo konfiguracja qvpn od qnapa aplikacje w adnroidzie połączyłem sie kontem z myqnap i ściągnął cala konfiguracje i nic nie musiałem uzupełniać.

Tplinka potrafię tez wystawić na zewnątrz do tplink-cloud.

Mam nadzieje ze rozumiecie o czym pisze.
Wiec zadam krótkie pytanie - czy żeby działał vpn musi byc stale ip - jeśli tak to czy dostawcy musze cos mówić po za tym ze chce stale ip?

 

[Ice]

Żeby mieć VPN musisz mieć zewnętrzne IP. Może być nawet dynamiczne, ale wtedy połączysz się po DDNS. Nie ma filozofii. 50zł

 

[raf77]

Jak się nie mylę, to qnap ddns, takie oferuje za darmo.

 

[Ice]

DDNS to usługa która zgłasza jakie jest aktualne IP. Żeby to mieć, to trzeba mieć zewnętrzne. Większość (przytłaczająca) ma ip z wewnętrznej puli operatora - w skrócie, jest za dwoma routerami.

 

[SebekW]

Jak się nie umie skonfigurować, to tak jest.
Czym się łączysz (klient?) Do qbelta ? Mam nadzieję, że nie opcją z samego Qvpn ?
Musisz się łączyć z M$ lub android lub iPhone
Dodatkowo jeśli masz Qufirewall to dobrze go skonfiguruj

Z Qvpn się próbowałem łączyć, ale to już przeszłość bo mnie to wnerwia...
Stwierdziłem że jak będę miał chwilę czasu to wejdę w man-a na stronce i poczytam z czym się to je, może jakoś inaczej się podłączę, właśnie za pomocą windy.
Jak działa mi L2TP/IPSec z windy i OpenVPN to myślę że mi to styknie, ale OpenVPN na razie wyłączyłem.
Szkoda że nie mam w tym Qnapi-e WireGuard, ale z czegoś muszę korzystać...
Obecnie jeden VPN mam z Fortinetu L2TP/IPSec za pomocą Forti Client, drugi jest z Qnap-a L2TP/IPSec z windy.

pozdrawiam
SW

Połączono posty: 13 Luty 2022

DDNS to usługa która zgłasza jakie jest aktualne IP. Żeby to mieć, to trzeba mieć zewnętrzne. Większość (przytłaczająca) ma ip z wewnętrznej puli operatora - w skrócie, jest za dwoma routerami.

Na routerze z np. Vectry można sobie ustawić Bridge i masz wtedy zew. IP...
Dynamic Domain Name Server - kiedyś tego używano jak człowiek miał wew. IP i modem który zmieniał te IP co jakiś czas, przypisywało wew. do zew. programik w windzie tego pilnował i tak człowieczek mógł się mocniej zabawić... Dalej to tak działa Wystawiało się jeszcze na DMZ ten IPk i działało, czy jakoś tak...

ps.
Wystarczy trochę motywacji xD
Zrobiłem sobie tego Qbelt, trywialne to było, zmieniłem tylko port UDP na inny, w fortinecie także plus reguły, wzmocniłem klucz wstępny, nawet mnie zapytał o drugie hasło w 2u kroku. Wszedłem sobie na zasoby(nasy) 1,2,3 i gra

Ten Qbelt jest bezpieczny czy to jakiś gniot ?
pozdrawiam
SW

 

[maks87]

Na routerze z np. Vectry można sobie ustawić Bridge i masz wtedy zew. IP...
Dynamic Domain Name Server - kiedyś tego używano jak człowiek miał wew. IP i modem który zmieniał te IP co jakiś czas, przypisywało wew. do zew. programik w windzie tego pilnował i tak człowieczek mógł się mocniej zabawić... Dalej to tak działa Wystawiało się jeszcze na DMZ ten IPk i działało, czy jakoś tak...

Widzę, że ktoś cały czas myli pojęcia PUBLICZNE IP oraz ZMIENNE IP.
A to jest kluczowe aby zrozumieć jak działa DDNS, dlaczego można lub nie można połączyć się przez VPN itd.

Jak operator (w Twoim przykładzie Vectra) nie daje publicznego IP, to zmiana routera na bridge nic Ci nie da, dalej masz prywatne IP (z puli Vectry).

Jak miałeś "wewnętrzne" IP, to nie mogłeś używać DDNS. DDNS używa się kiedy ktoś ma publiczne ale zmienne IP. Nie mając publicznego IP, z zewnątrz nie jesteś widoczny.

 

[raf77]

DDNS to usługa która zgłasza jakie jest aktualne IP. Żeby to mieć, to trzeba mieć zewnętrzne. Większość (przytłaczająca) ma ip z wewnętrznej puli operatora - w skrócie, jest za dwoma routerami.

U mnie to działa wyśmienicie, więc najwyraźniej mam publiczne (zewnętrzne) IP.

 

[maxweber]

Czy qnap domyślnie dla openvpn włącza logowanie po certyfikacie?
Bo mam do ściągnięcia plik z konfiguracją i certyfikatem.
Mam wreszcie stałe IP ale niestety nie mogę się póki co połączyć openvpn.

 

[Ice]

Do połączenia z VPN musisz pobrać pliki conf z OpenVPN oraz w ustawieniach QVPN dodać uprawnienia dla danego użytkownika. Oczywiście, wcześniej porty muszą być odpowiednio przekierowane.

 

[maxweber]

Kurcze na telefonie nie mogę dodać screen z błędem jaki dostaje.
Ale nawiązuje połączenie po UDP i po 60 sekundach wali bledem
Tls Error Tls key nehoyiation faiked to occur.
Tls Error handshake faiked.

 

[Ice]

Masz coś w konfiguracji - nie można ustabilizować połączenia.

 

[maks87]

Pobranie pliku konfiguracyjnego z QVPN to nie wszystko. Do tego pliku trzeba jeszcze dokleić certyfikat i klucz. Pobiera się je w panelu sterowania, zakładka bezpieczeństwo a dalej na górze wybierasz certyfikat SSL i klucz prywatny. Jak pobierzesz te pliku to ich zawartość trzeba dokleić do pliku konfiguracyjnego z QVPN i powinno działać.

 

[Ice]

Nie zgadzam się. Pobrałem tylko plik z Qvpn, dodałem do OpenVPN i mam połączenie.

 

[maks87]

Czyli w pliku nie masz klucza ani certyfikatu i to działa?

 

[Ice]

Zgadza się.

 

[raf77]

U mnie tak samo.
Pobrałem plik, wstawiłem do aplikacji open VPN w telefonie i działa.

 

[maxweber]

Pobranie pliku konfiguracyjnego z QVPN to nie wszystko. Do tego pliku trzeba jeszcze dokleić certyfikat i klucz. Pobiera się je w panelu sterowania, zakładka bezpieczeństwo a dalej na górze wybierasz certyfikat SSL i klucz prywatny. Jak pobierzesz te pliku to ich zawartość trzeba dokleić do pliku konfiguracyjnego z QVPN i powinno działać.

O to może być to. Bo mi na telefonie pluje się i certyfikat.
Ale załamany jestem bo mam stałe IP a nawet qbelt mi nie działa.
Uprawnienia użytkownika do profilu qbelt openvpn mam. Wszystko otwarte na routerze i cisza w eterze jeśli chodzi o qbelta.

Połączono posty: 17 Luty 2022

Jak nie zadziała zgłoszę chyba do helpdesku qnapa ale wątpię żeby pomogli

Połączono posty: 17 Luty 2022

Sprawdziłem ale nie bardzo rozumiem bo w pliku z konfiguracją mam właśnie certyfikat.

 

[maks87]

Właśnie sprawdziłem i widzę, że w QTS 5 się to pozmieniało. Na QTS 4 na 100% jak pobierało się plik konfiguracyjny to do tego należało dokleić jeszcze certyfikat i klucz. Bez tego nie dało się połączyć. Przed chwilą sprawdziłem na QTS 5 i plik konfiguracyjny wygląda tak samo jak na QTS 4. Nie doklejałem do niego nic tylko dodałem ten profil do aplikacji na windowsie (OpenVPN Connect), pojawił się taki komunikat:

Nic nie dodawałem, kliknąłem kontynuuj i nastąpiło połączenie. Także jak widać, teraz wystarczy sam plik konfiguracyjny aby to zadziałało.

Pozwolę sobie zadać pytania do bardziej obeznanych w temacie:
1. Dlaczego dawniej było wymagane dodanie do pliku certyfikatu i klucza a teraz działa bez tego?
2. Czy przez to połączenie VPN jest "mniej bezpieczne"?

 

[Ice]

1. Z tego co kojarzę, to nigdy nie było wymagane.
2. Nie

 

[Damian]

O to może być to. Bo mi na telefonie pluje się i certyfikat.

Pojawia się dialog chyba z dwoma opcjami 'Skip' i 'Select certificat'. Co się dzieje jak wybierzesz skip? A poza tym jeśli masz QTS 5 to chyba bym przeszedł na WIreguard.

 

[maks87]

1. Z tego co kojarzę, to nigdy nie było wymagane.

Na 100% było to wymagane, nawet swego czasu (mniej więcej rok temu) założyłem tu na forum temat i pytałem skąd to wynika, ale pytanie pozostało wtedy bez odpowiedzi. Tu jest link do tego tematu Pomoc - OpenVPN - jak to działa?

Być może to kwestia jakiś innych ustawień w QNAPie (o których piszę poniżej), albo po stronie klienta (chociaż tutaj u mnie się nic nie zmieniło). Ale w moim przypadku było trzeba dodawać do pliku konfiguracyjnego certyfikat oraz klucz, bez tego nie działało. W chwili obecnej działa to bez dopisywania tych dwóch plików.

Jedyne co mi przychodzi do głowy to fakt, że wtedy ten QNAP do którego się chciałem łączyć VPNem był zarejestrowany w myqnapcloud i miał wygenerowany certyfikat Let's encrypt. Być może to spowodowało, że wymagane było doklejenie tego certyfikatu to pliku konfiguracyjnego. A potem jak konfigurowałem kolejne QNAPy (nawet te bez myqnapcloud) to już automatycznie doklejałem certyfikat i klucz bo uważałem, że tak trzeba. W chwili obecnej na żadnym QNAPie nie mam myqnapcloud więc nie mam jak tego sprawdzić.