PTT評價

Re: [請益] 關於外網連freenas vpn問題

看板Storage_Zone標題Re: [請益] 關於外網連freenas vpn問題作者
arsehole
(又騎又磨姿勢且佳)
時間推噓 8 推:8 噓:0 →:2

※ 引述《b1985003 (木須)》之銘言:
: 標題: [請益] 關於外網連freenas vpn問題
: 時間: Fri May 27 18:40:59 2022
:
: 各位前輩好,做了一些功課後組了人生第一台freenas
:
: 關於外網連入的部分也做了功課 用vpn連入後使用看起來是比起直接開port相對安全的方法
:
: 本來是用無線路由器開ipsec/l2tp,但後來發現其他使用者的路由器沒有passthough 的功
: 能連不上
:
: 因此想改用openvpn至少被擋住的機率比較低

被擋住的機會比較低是?公司有firewall?有做policy deny
否則是沒法擋的

: 目前的疑問是,
: 使用路由器開openvpn server與
: 使用freenas開openvpn server
: 在client端都是直接連上就能把nas當區網內使用嗎?
: 還是freenas架設server的必須要能夠進區網後才能連上?
:
: 感謝各位前輩

我的做法可以參考這幾張網路架構圖

豪華版
https://i.imgur.com/3zjGesF.jpg


前面有軟路由安裝sophos firewall,便宜軟路由可能要找兩port的小主機
幾年前買的j1900 4port 不到五千塊,現在應該只能買到J4125,價格超過五千
因為freenas裝在老電腦上有點浪費,於是我架proxmox,裡面再加裝一些服務
如果熟悉vmware的話,用vmware也行,不過要確定你的老主機網卡是否為I牌
否則裝上esxi可是無法讀到網卡,變成要將螃蟹卡的驅動倒進去

目前簡單設定wireguard 的方法有幾種,我知道的就是買Mikrotik的設備
v7.0版本已經有內裝wireguard,設定頗簡單

第二種就是在proxmox上用lxc範本將wiregurad安裝上
或者是開vm安裝ubuntu上install wireguard

第三種是將軟路由安裝pfsense,裡面加wireguard套件或買routeros CHR

第四種就是freeNas 上面加wireguard套件

有點小錢版
https://i.imgur.com/xy3ZJq5.jpg


前面也不用軟路由了,直接買Mikrotik 的硬體設備,一般家用買RB750Gr3,兩千塊上下利用Mikrotik的wireguard來做vpn,前面也不用pppoe固定ip,只要讓RB750Gr3
用pppoe撥號就好,直接利用它的ddns,來當作wireguard client的Endpoint

客家硬頸精神版
https://i.imgur.com/9YxBCX6.jpg


前面什麼設備都不用,老主機在安裝一張網卡
Proxmox的話買便宜五百塊有找的螃蟹網路卡,當作wan Port
esxi請買Intel 的網路卡,比較貴一點,不然就自己包Realtek

在虛擬機上面建Free UTM firewall 或routeros CHR
當作gateway,用firewall的話,要自己建wireguard,用routeros
就不用自己建,記得第四台網路請客服NAT,如果是中華電信請用PPPOE

自家案例
https://i.imgur.com/7kQGtYT.jpg


配備是I5 4代,記憶體安裝16GB
兩個網路port
利用wireguard LXC 建VPN
也順便建adguard home跟sftp server
還有一些工作實驗的環境
防火牆是用sohpos XG home免錢版
利用nat 限制連入來源為TW
https://i.imgur.com/mZUZlSr.jpg

wireguard client自己設定的port 是9527
https://i.imgur.com/ueY04gc.jpg

我的架構是豪華版,只是我的Mikrotik是wifi,最近訊號有減弱
也把wireguard 服務移到虛擬機上了,有點想賣掉Mikrotik....




:
:
: --
: ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.217.193.251 (臺灣)
: ※ 文章網址: https://www.ptt.cc/Storage_Zone/M.1653648061.A.D31
: → cs8425 : NAS開VPN 路由器那邊要開個port通到NAS 05/27 18:44: → cs8425 : 兩種client連上後基本沒差 但用路由器開openvpn 05/27 18:46: → cs8425 : 通常頻寬跑不高 以前測最強的也就30Mbps上下 05/27 18:46: 推 empingao : 吞吐量,wireguard 較優。存取內網我比較推 05/27 21:10: → empingao : cloudflare zero trust. 05/27 21:10: → cs8425 : 推wireguard 速度跟延遲真的好 前提NAS或路由器要 05/27 21:55: → cs8425 : 能開... 個人日常用wg openvpn/ssh tunnel備援 05/27 21:56: → cs8425 : 另外還跑自寫的內網穿透工具(pc用) 都跑在軟路由上 05/27 21:58: 推 filiaslayers: 用nas開wireguard不就好了? 05/27 23:41

--
空軍本是少爺兵,抽了防砲才夢醒
夜半衛哨卡到陰,後悔當初抽空軍

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.168.143.248 (臺灣)
PTT 網址

andy199113 06/03 18:38好文推

cs8425 06/03 23:19詳細推 個人是J4125跑openwrt+docker

cs8425 06/03 23:21RAM 16G OS灌USB隨身碟 總共約6k 估計能用個7~8年吧

J4125又16G,其實可以搞個PVE在上面,上面再裝openwrt跟docker J1900裝PVE太勉強,效能降太多,加上J1900不太適合虛擬化 J4125,要不我的J1900還沒壞掉,否則想換掉

lovesao 06/03 23:47豪華版同款配置+1

B0988698088 06/04 05:59

lovespre 06/04 07:05去撿個forti二手 像50E更好設定跟管理

我不是很建議用forti,除非有買授權,否則撿來的forti,價格沒那麼漂亮 撿太老的40C又太垃圾,效能還是有差距,能玩的東西又有限,就單純防火牆而已 除非是小型中小企業,但這類企業主還是花錢搞去資安艦隊,選sohpos或forti 有UTM授權,又有基本設定,再加上每個月分攤成本還有網路,不好嗎?

jack860719 06/04 08:57詳細給推 自己是用freenas的jail 跑wireguard

jack860719 06/04 08:57然後路由器port forwarding給NAS配第四台跑橋接模式

夠專業,之前有裝freenas 不過需求太小了,再加上我的老主機上面才四顆1TB的硬碟 之前用過OPVPN,設定也比較繁瑣,效能不夠好,後來發現wireguard,發現效率好得很 去年也是弄個架構圖出來,也實驗做出來,為了疫情變嚴峻之後,小弟公司各大高官 可以在家做WFH,可以連財會系統、ERP等等,只是我的上司不建議這樣做 請公司花錢搞才是重點(找廠商背鍋),不建議用我的客家硬頸精神去做

※ 編輯: arsehole (220.132.197.152 臺灣), 06/04/2022 12:10:13

sdbb 06/04 19:56感謝詳細教學

ThisIsNotKFC06/06 18:50