Re: [請益] 關於外網連freenas vpn問題

※ 引述《b1985003 (木須)》之銘言：
: 標題: [請益] 關於外網連freenas vpn問題
: 時間: Fri May 27 18:40:59 2022
:
: 各位前輩好，做了一些功課後組了人生第一台freenas
:
: 關於外網連入的部分也做了功課 用vpn連入後使用看起來是比起直接開port相對安全的方法
:
: 本來是用無線路由器開ipsec/l2tp，但後來發現其他使用者的路由器沒有passthough 的功
: 能連不上
:
: 因此想改用openvpn至少被擋住的機率比較低

被擋住的機會比較低是?公司有firewall?有做policy deny
否則是沒法擋的

: 目前的疑問是，
: 使用路由器開openvpn server與
: 使用freenas開openvpn server
: 在client端都是直接連上就能把nas當區網內使用嗎?
: 還是freenas架設server的必須要能夠進區網後才能連上?
:
: 感謝各位前輩

我的做法可以參考這幾張網路架構圖

豪華版
https://i.imgur.com/3zjGesF.jpg

前面有軟路由安裝sophos firewall，便宜軟路由可能要找兩port的小主機
幾年前買的j1900 4port 不到五千塊，現在應該只能買到J4125，價格超過五千
因為freenas裝在老電腦上有點浪費，於是我架proxmox，裡面再加裝一些服務
如果熟悉vmware的話，用vmware也行，不過要確定你的老主機網卡是否為I牌
否則裝上esxi可是無法讀到網卡，變成要將螃蟹卡的驅動倒進去

目前簡單設定wireguard 的方法有幾種，我知道的就是買Mikrotik的設備
v7.0版本已經有內裝wireguard，設定頗簡單

第二種就是在proxmox上用lxc範本將wiregurad安裝上
或者是開vm安裝ubuntu上install wireguard

第三種是將軟路由安裝pfsense，裡面加wireguard套件或買routeros CHR

第四種就是freeNas 上面加wireguard套件

有點小錢版
https://i.imgur.com/xy3ZJq5.jpg

前面也不用軟路由了，直接買Mikrotik 的硬體設備，一般家用買RB750Gr3，兩千塊上下利用Mikrotik的wireguard來做vpn，前面也不用pppoe固定ip，只要讓RB750Gr3
用pppoe撥號就好，直接利用它的ddns，來當作wireguard client的Endpoint

客家硬頸精神版
https://i.imgur.com/9YxBCX6.jpg

前面什麼設備都不用，老主機在安裝一張網卡
Proxmox的話買便宜五百塊有找的螃蟹網路卡，當作wan Port
esxi請買Intel 的網路卡，比較貴一點，不然就自己包Realtek

在虛擬機上面建Free UTM firewall 或routeros CHR
當作gateway，用firewall的話，要自己建wireguard，用routeros
就不用自己建，記得第四台網路請客服NAT，如果是中華電信請用PPPOE

自家案例
https://i.imgur.com/7kQGtYT.jpg

配備是I5 4代，記憶體安裝16GB
兩個網路port
利用wireguard LXC　建VPN
也順便建adguard home跟sftp server
還有一些工作實驗的環境
防火牆是用sohpos XG home免錢版
利用nat 限制連入來源為TW
https://i.imgur.com/mZUZlSr.jpg

wireguard client自己設定的port 是9527
https://i.imgur.com/ueY04gc.jpg

我的架構是豪華版，只是我的Mikrotik是wifi，最近訊號有減弱
也把wireguard 服務移到虛擬機上了，有點想賣掉Mikrotik....

:
:
: --
: ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.217.193.251 (臺灣)
: ※ 文章網址: https://www.ptt.cc/Storage_Zone/M.1653648061.A.D31
: → cs8425 : NAS開VPN 路由器那邊要開個port通到NAS 05/27 18:44: → cs8425 : 兩種client連上後基本沒差 但用路由器開openvpn 05/27 18:46: → cs8425 : 通常頻寬跑不高 以前測最強的也就30Mbps上下 05/27 18:46: 推 empingao : 吞吐量，wireguard 較優。存取內網我比較推 05/27 21:10: → empingao : cloudflare zero trust. 05/27 21:10: → cs8425 : 推wireguard 速度跟延遲真的好 前提NAS或路由器要 05/27 21:55: → cs8425 : 能開... 個人日常用wg openvpn/ssh tunnel備援 05/27 21:56: → cs8425 : 另外還跑自寫的內網穿透工具(pc用) 都跑在軟路由上 05/27 21:58: 推 filiaslayers: 用nas開wireguard不就好了? 05/27 23:41
--
空軍本是少爺兵，抽了防砲才夢醒
夜半衛哨卡到陰，後悔當初抽空軍

--

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.168.143.248 (臺灣)

J4125又16G，其實可以搞個PVE在上面，上面再裝openwrt跟docker J1900裝PVE太勉強，效能降太多，加上J1900不太適合虛擬化 J4125，要不我的J1900還沒壞掉，否則想換掉

我不是很建議用forti，除非有買授權，否則撿來的forti，價格沒那麼漂亮 撿太老的40C又太垃圾，效能還是有差距，能玩的東西又有限，就單純防火牆而已 除非是小型中小企業，但這類企業主還是花錢搞去資安艦隊，選sohpos或forti 有UTM授權，又有基本設定，再加上每個月分攤成本還有網路，不好嗎？

夠專業，之前有裝freenas　不過需求太小了，再加上我的老主機上面才四顆1TB的硬碟 之前用過OPVPN，設定也比較繁瑣，效能不夠好，後來發現wireguard，發現效率好得很 去年也是弄個架構圖出來，也實驗做出來，為了疫情變嚴峻之後，小弟公司各大高官 可以在家做WFH，可以連財會系統、ERP等等，只是我的上司不建議這樣做 請公司花錢搞才是重點（找廠商背鍋），不建議用我的客家硬頸精神去做

※ 編輯: arsehole (220.132.197.152 臺灣), 06/04/2022 12:10:13