Pomoc Qbelt na QVPN Service 2

[tomi613]

Witam wszystkich. Mam problem z odpaleniem QBelt na NAS. Problem polega na tym że nie widzę w aplikacji QVPN v. 2 możliwości konfiguracji QBelt.
Czy wiecie co jest grane ? Dzięki za pomoc. Poniżej przedstawiam zdjęcie.
Mam najnowszą wersję QVPN 2.0.558(20181004)

Wersja oprogramowania Firmware: 4.3.5 Build 20181110
Model serwera: QNAP TS-251A, 8GB Ram, 3 TB

 

[_Floyd]

myqnapcloud jest wykorzystywany jako DNS, a przynajmniej tak zrozumiałem podczas wykonywania kreatora DNS.

Niby jest bezpieczniejszy bo ma większe szyfrowanie. Mi chodziło raczej o to żeby mieć przyjemną aplikację i łączyć się kiedy zachodzi taka potrzeba a nei dodanie na stałe w Androidzie połączenia (chociaż o tym też rozważam).

Obawiam się że bez publicznego IP nic się nei da zrobić.

 

[Penerros]

Też mi się wydaje, że bez public IP nic z tego, z racji tego, że musi być otwarty jeden port UTP.

 

[maks87]

No ale nie mając publicznego IP, można dostać się do QNAPa właśnie przez myqnapcloud więc myślałem, że może skoro VPN też "idzie" przez tą chmurę to jakoś to zadziała.
Nie pozostaje nic innego jak samemu przetestować w najbliższych dniach.

 

[_Floyd]

Nie wiedzialem ze myqnapcloud nie potrzebuje publicznego ip. Myslalem ze dziala jako dns. Daj znac bo chetnie pochwale za cos qnapa

 

[Penerros]

Testuj, może zadziała, ja nie mam niestety jak sprawdzić mam public IP, też jestem ciekaw:s

 

[maks87]

Dostęp do QNAPa przez myqnapcloud na 100% działa bez publicznego IP - w tej chwili tak z tego korzystam, ale jest to upierdliwe, bo najpierw trzeba się logować do myqnapcloud, potem jeszcze już do QTSa.
OpenVPN na pewno nie działa bez publicznego IP, ale się właśnie zastanawiałem czy QBelt zadziała - dam znać jak się uda potestować, ale nie gwarantuję, że to będzie dzisiaj.
No i udało się wczoraj w nocy zrobić testy, chociaż byłem już mocno śpiący więc mogłem coś przeoczyć
Tak na prawdę mam do dyspozycji dwa QNAPy w dwóch różnych lokalizacjach: w jednej jest stały publiczny adres IP, natomiast w drugiej adres prywatny.

Zacznę od tej drugiej, czyli miejsca z adresem prywatnym (BTW: net to LTE Orange):
1. Dostęp do QNAPa przez myqnapcloud, czyli logowanie się przez www działa. Również działa dostęp do QNAPa przez aplikację na androida (Qmanager, Qfile...).
2. Dostęp do QNAPa przez OpenVPN (oczywiście) nie działa.
3. Dostęp do QNAPa przez QBelt (na laptopie którym testowałem jest zainstalowana aplikacja QVPN) nie działa. Pomimo, że QNAPa dodawałem poprzez połączenie z myqnapcloud to i tak nie działa.

Natomiast pierwsze lokalizacja, czyli tam gdzie jest publiczne, stałe IP to:
4. Oczywiście tak jak powyżej (w punkcie 1) dostęp do QNAPa przez myqnapcloud, czyli logowanie się przez www działa. Również działa dostęp do QNAPa przez aplikację na androida (Qmanager, Qfile...).
5. Dostęp do QNAPa przez OpenVPN działa (ale jako klient używa "oficjalna" aplikacja OpenVPN)
6. Dostęp do QNAPa przez OpenVPN przy użyciu aplikacji QVPN działa częściowo. Tzn. komputer na którym testowałem uzyskuje połączenie z VPN, udaje mi się pingować lokalny adres QNAPa, ale nie mogę wejść w przeglądarce po tym adresie do QTSa.
7. Dostęp do QNAPa przez QBelt (z wykorzystaniem aplikacji QVPN) również działa częściowo, tj. tak jak w powyższym punkcie.

Podsumowując:
8. Nie mając publicznego IP jedyny sposób na dostanie się do QNAPa to wykorzystanie myqnapcloud. Ale to działa tylko przez przeglądarkę, więc nie zastępuje normalnego VPNa, bo tutaj nie ma możliwości np. mapowania dysku, czy ustawienia Qsynca.
9. Jeśli mamy publiczne IP, to można z QNAPem łączyć się za pomocą VPN, ale jak widać, qnapowa aplikacja QVPN jako klient nie działa jak trzeba.

Ktoś ma jakieś inne doświadczenia z QBelt? Prawdę mówiąc, liczyłem na to, że skoro wykorzystujemy tam do logowania również myqnapcoud to uda się połączyć do takiego VPNa bez publicznego IP.

Przy okazji jeszcze zapytam tutaj o OpenVPN. Konfiguruję go na QNAPie (z publicznym IP), pobieram plik *.ovpn, dodaję go na komputerze w aplikacji OpenVPN i wszystko działa. Natomiast jak tak samo robię na telefonie (Android) to przy próbie połączenie pojawia się komunikat, że nie ma jakiegoś certyfikatu, ale jak kliknę kontynuuj to i tak uzyskuję połączenie. Ktoś wie o jaki certyfikat chodzi? No i czy bez tego certyfikatu, połączenie jest bezpieczne?

 

[_Floyd]

W takim wypadku myqnapcloud w tym wypadku działa jako DNS. Szkoda bo chciałem pochwalić Q za kawał dobrej roboty. Swoją droga zastanawia mnie jak można pominąć publiczne IP i wystawić dane na świat. Jak się okazuje PhotoStation tak działa.

 

[maks87]

Sam sobie zadałem pytanie i sam na nie odpowiem. Ale właśnie napiszę odpowiedź, aby dla "potomnych" zostało, bo może ktoś ma też taki sam problem jak i ja z dostępem do OpenVPN z Androida. A problem ten wynika po prostu z braku wiedzy.
Konfigurując serwer OpenVPN na QNAPie pobieramy plik *.ovpn który zawiera certyfikat <ca>. Podpinając ten plik na androidzie w aplikacji OpenVPN, prosi ona o certyfikaty (screeny zamieściłem w poprzednim moim poście). Okazuje się, że do pliku *.ovpn trzeba jeszcze ręcznie dokleić certyfikat <cert> oraz klucz prywatny <key>. Uzyskujemy je z panel sterowania->bezpieczeństwo->certyfikat i klucz prywatny. Ja wygenerowałem certyfikat Let's Encrypt a następnie klikamy na pobierz certyfikat (pobierają się 3 pliki). Nie wiem do czego potrzebny jest certyfikat pośredniczący (ja to nie używałem) ale dwa pozostałe otwieramy w jakimś notepadzie i jego zawartość kopiujemy do plik *.opvn, na końcu tego oryginalnego pliku, czyli po </ca> wpisujemy:
<cert>
-----BEGIN CERTIFICATE-----
(tutaj wklejamy zawartość pliku crt)
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
(tutaj wklejamy zawartość pliku key)
-----END PRIVATE KEY-----
</key>

Tak "wygenerowany" plik *.ovpn importujemy na telefonie w aplikacji OpenVPN i wszystko działa.

Teraz tylko się zastanawiam, czy jeśli importuje plik *.ovpn na komputerze (nie zmieniany, bez cert i key) to czy wtedy połączenie jest "zabezpieczone" czy jednak coś nie działa jak trzeba? Dodam, że na kompie nie pojawiają się żadne błędy czy prośby o podłączenie certyfikatów (tak jak to miało miejsce na androidzie).

 

[vitoldo]

myqnapcloud to mniej więcej jak logowanie się do swojej bankowości internetowej przez "jakąś" stronę, która gwarantuje, że nie przechowuje Twoich danych logowania.
Mam router D-Link. Kiedyś wygenerowłem sobie konto na mydlink i zalogowałem się do mojego domowego routera z zewnątrz. Zobaczyłem wszystko na temat mojej domowej sieci LAN: adresy IP, MAC, kto kiedy i na jaką stronę wchodzi. Były tam widoczne informacje, których nie potrafię wyciągnąć z routera nawet będąc na nim zalogowany lokalnie jako admin. A były elegancko widoczne w chmurze. Przeraziłem się i skasowałem konto mydlink, wyłączyłem na routerze opcję mydlink i zmieniłem hasło admina. I tak nie jestem do końca pewien czy na dobre odciąłem się od dlink.tw ale więcej tego błędu nie popełnię.

 

[maks87]

No tylko czasem myqnapcloud to jedyny sposób na dostęp z zewnątrz do QNAPa - jak się nie ma publicznego IP to VPN nie da rady zrobić.

 

[vitoldo]

Jasne. To wygodniejsza i dużo bardziej ryzykowna metoda.

 

[dominicc]

Ciekawostka - dostałem odpowiedź od Supportu na pytanie dlaczego w opcjach nie widzę możliwości uruchomienia QBelt:
"Qbelt nie będzie dostępny dla tego modelu"

Brawo QNAP!!!!!!!!

 

[maks87]

A o jaki model pytałeś?
Chociaż prawda jest taka, na podstawie testów które zrobiłem, zdecydowanie lepiej korzystać z OpenVPN niż QBelt, głównie ze względu na słabe działanie aplikacji QVPN na Windowsie (tylko tak sprawdzałem, a chyba QBelt tylko w tej aplikacji jest dostępny). Korzystając z OpenVPN GUI na Windowsie wszystko działa bardzo sprawie i połączenie jest w kilka sekund, a w QVPN łączyło się czasem ok. minuty.

 

[dominicc]

TS-228

 

[Usunięty użytkownik pigers]

poczekamy az kolega kupi produkt konkurencji (a wiem że jest tam jeszcze mniej extra aplikacji) - chętnie poczytam opinie nt Asustora, S, EMC

 

[maks87]

Tak BTW: ja przesiadłem się z S na QNAPa po tym, jak zobaczyłem co "potrafi" QNAP

A wracając do tematu VPN, to mam kolejne pytanie. Zdecydowałem się na używanie OpenVPN, QNAP jest w sieci o adresacji 192.168.100.x, a dla klientów VPN przyznaje adresy 10.8.0.x. Kiedy na QNAPie w opcjach VPN zaznaczę, aby QNAP był bramą, to wtedy po połączeniu się do VPN widzę adresy z puli 192.168.100.x oraz 10.8.0.x. Natomiast kiedy nie zaznaczę tej opcji, to widzę tylko 10.8.0.x - jest to logiczne.
Ale chciałbym korzystać właśnie z tego, aby cały ruch nie przechodził przez QNAPa (czyli nie będzie on bramą), ale chciałbym również widzieć urządzenia z sieci 192.168.100.x. Da się to jakoś zrobić? Da się gdzieś w QNAPie (sieci i przełącznik wirtualny?) ustawić tak, aby po połączeniu z VPN były widoczne również urządzenia z sieci LAN w której jest QNAP?