Inlägg

Jag har en uppgift som går ut på att jag ska köra Windows server 2012 i Microsoft ”virtual lab” direkt i webbläsaren.
Men jag hittar inte var jag gör detta nånstans.
Någon här som vet?

För det första, vilken tech stack använder ni? Vad för typ av arbetsuppgifter har du? Programmering kan kännas väldigt överväldigande eftersom det är så mycket som man skall kunna men prioritera att läs på om det ni använder och stressa inte upp dig allt för mycket.

Det är ju stor brist på utvecklare så har du kommit till rätt arbetsplats så kommer de satsa på dig. Försök göra egna projekt på fritiden blandat med att titta på kurser/bloggar/youtube klipp för att greppa ämnen och räkna inte med att du kommer fatta efter ha kollat/läst en gång. Allting tar sin tid, bara du är driven och vill lära dig nytt så kommer det om du lägger ner tid på det.

Det är alltså Synologyn som måste vara VPN server, den kan inte vara en klient mot min Unraid server?

Varför jag frågor om ransomware är efter alla nyheter på senaste, med tex ASUS NAS.
Jag sätter helt klart upp en egen användare på Unraid för detta och NASen kommer endast anvädas för min backup, men visst låser jag ner till minsta möjliga rättigheter på den ändå.

Så om jag ej kan köra BRTFS så är jag körd? Säg att man kör med snapshots men serven blir infekterad, vad hindrar viruset från att kryptera filerna? Att de är satta som write once read meny?

Har du några tips på program som jag kan köra på Synologyn för att lösa detta? Låter ju helt klart säkrast, att den med ett script varje natt ansluter till Unraid och läser av filerna och kör en backup sen släpper anslutningen till nästa natt.

Idag har jag ingen SSH öppen då jag inte behöver det. VPNar in om det är något när jag inte är hemma.
Men bra tips, ska läsa dina länkar.

Hmm låter inte dumt.

Men varför måste jag peka synology.mindomän.se när jag satt upp en site-2-site vpn? Borde jag inte bara kunna dela en mapp på Synologyn och sen peka direkt mot dennas lokala IP i Duplicati?

Jag har redan en WireGuard installation på Unraid serven (hade en OpenVPN innan med så kan installera igen om det skulle krävas), skulle en RPi3 räcka på NAS sidan för at peka rätt?

Extern trafik från NAS sidan, den kommer inte gå via VPN tunneln va? Utan det går direkt ut på nätet?

Min lokala IP vid Unraid servern är i dag 192.168.235.xxx, NAS sidan är 192.168.1.xxx tror jag.
Med denna tunnel, om jag från Unraid pingar 192.168.1.10 så får jag ett svar från NAS sidan då? Lika så åt andra hållet?
Men om jag går till 158.174.189.9 (sweclockers.com) så går jag dirket från respektive site via router ut i etern?

EDIT: När jag tänker lite längre, måste det var så komplicerat?
Kan jag inte bara installera en wireguard klient på Synology, och ansluta till Unraid? Tillåta lokal åtkomst så borde jag ju kunna pinga Synology från Unraid och således se den delade nätverksdisken och skriva "lokalt" till den via Duplicati?

Risken jag tänker dock är att ett ransomware kanske kan sprida sig till Synology då via nätverket och kryptera alla mina backups? Hur undviker jag det?

Hej!

Jag har nyss köpt en lite äldre 2-bay Synology från en medlem här.
Planen är att ställa den hos föräldrarna som off-site backup till min Unraid Server i signaturen.

Idag har jag en Duplicati Docker uppsatt för backup mot BackBlaze.

Jag har redan en domän som CloudFlare hanterar med DNS och så. Den får IP från en cloudflare docker på unraid serven.

Går det att peka remote.mindomän.se mot synology nas när mindomän.se pekar mot min unraid server? (egentligen andra subdomäner som pekar mot olika portar på unraid för nextcloud mm.)
För att göra det måste jag installera cloudflare DDNS på Synology antar jag? Till exempel denna?

Sen tänkte jag skapa SSH nyckelpar på unraid och trycka publika nyckeln till Synology och på något sätt ge den privata till Duplicati. Vet inte om det är bra och montera SSH-nyckel mappen i Duplicati? Kanske read-only är OK?

Antagligen byta port på SSH på Synologyn.
Öppna denna port i router som Synology sitter bakom.

Anses detta vara ett säkert sätt att sköta en extern anslutning?
Vill verkligen inte att pappas nätverk ska bombas med ddos attacker eller att mina (såklart krypterade but still) snapshots från Duplicati hamnar på villovägar.

Det låter precis som en typ av lösning jag eftersöker! Det verkade som sagt lite bökigt att få till VPN i Routern, men det borde väl räcka att ha en VPN server enbart på min NAS och ansluta till den genom VPN?

Hej!

Ser att jag svarade dig på fel bilder. De bilder på huset med tomten är från vår trädgårdsarkitekt - tror hon använder sketchup.
De bilder som är från insidan i vårt vardagsrum är från entreprenadens sida. Vet inte vilket program de använder.

Själva ritningen är från vår entreprenad. Därefter la jag in denna i UniFi Design Center. Därifrån la jag ut de produkter jag ville ha, la till vilken typ av vägg (trä/betong etc), höjd etc så räkna den ut allt till mig. Smidigt program för än lite enklare överblick.

Här är några bilder:
Överblick hus med tomt
http://www.bilddump.se/bilder/20211216141553-90.235.18.161.jpg
Överblick hus front
http://www.bilddump.se/bilder/20211216141627-90.235.18.161.jpg
Överblick hus med Carport
http://www.bilddump.se/bilder/20211216141811-90.235.18.161.jpg
Vardagsrum mot kök
http://www.bilddump.se/bilder/20211216141847-90.235.18.161.jpg
Vardagsrum mot gavel
http://www.bilddump.se/bilder/20211216141924-90.235.18.161.jpg

***Vardagsrumsbilderna är inte de senaste, men fångar det övergripande.
***Till Nock i vardagsrummet/hall är det cirka 4 meter. Den andra delen av huset är 2.65m.

När man bygger OVPN-filen och skapar de olika certifikaten så finns det en option att kryptera certifikatet med ett lösenord.
Men man kan hoppa över detta och då blir OVPN-filen "öppen", dvs den fungerar utan användarinput.
Jag brukar göra sådana för tex Raspberry-Pi enheter som skall vara uppkopplade mot hemmanätet. Dessa filer kommer ju inte ut någonstans ändå. De som jag lämnar ut till människor som skall koppla upp sig får lösenordsskydd.
Nja, det är inte riktigt så....
Jag har två routrar här hemma, en Asus RT-AC86U som sköter mitt hemma-LAN där tex OpenVPN-servern finns.
Sen har jag också en av Bahnhof tillhandahållen router för min IP-telefoni.
Båda koppas till fiberboxen på var sitt uttag och får varsin WAN-adress (Bahnhof delar ut två adresser till sina fiberkunder).

Nu har jag genomfört testet jag skrev om och kopplat in stug-routern till fiberboxen så den fått en egen WAN-adress.
Sen har jag kopplat upp mobilen till stug-WiFi och öppnat en webbläsare till dess router-config.
Här har jag sen aktiverat VPN-client med den nyss tillverkade OVPN-filen. Och startat om routern.
När jag nu loggar in på stug-routern igen så kan jag därefter öppna en webbsida på en av mina RPi-enheter som finns på hemma-LAN! Jag kan också nå min NAS-enhet etc.
Men om jag kollar den externa adressen för telefonen så blir den en annan än den externa adressen på mitt hemmanät.
Så det verkar som om jag bara behöver åka ut och koppla in den här routern i stugan när IP-Only är klara med fiberinkopplingen!

UPPDATERING:
Jag skapade en OVPN-fil på Ubuntuservern nyss där inget lösenord behövs, bara själva certifikaten.
Det betyder att Asus bara behöver koppla upp med den profil-filen så skall det funka.

Testning...
Jag funderar nu på att kolla det hela genom att dra igång stug-routern här hemma eftersom jag har två enheter kopplade på fiberboxen:
- Min huvudrouter Asus RT-AC86U
- En annan router som sköter mitt gästnät plus IP-telefonen (den kommer från Bahnhof)
Om jag kopplar in stug-routern till Bahnhof-routern så når den Internet fast via ett annat LAN än det som jag har hemma.
Då kan jag ju konfigurera den med VPN (genom att ansluta min Windows10 PC till WiFi på RT-AC68U).
När det är gjort skall jag kunna nå min NAS och andra enheter på hemmanätet fast jag är kopplad mot stug-routern.
Funkar det är det ju bara att köra ute i stugan!

Bra att höra, tack!
Det är redan ordnat:
Hemmanät: 192.168.119.x
Stugnät: 192.168.117.x
Tunnelnät (local only): 10.8.139.x
Tunnelnät (webaccess): 10.8.0.x
Jag insåg efter att jag dragit igång openvpn-servern för många år sedan att det nog varit bättre med ett annat nät än 10.8.0.x...
Men jag var ovan då och använde kokboks-inställningar.
Numera gör jag sånt som liknar local only ovan, eller t.o.m kör sånt som 10.207.113.x i tunneln för att det skall vara extremt ovanligt att kollidera med två VPN-tunnlar öppna med samma tunneladress.

Har dock aldrig gjort detta med att själva routern är klient.

Ja, det är det jag menar och jag har satt upp detta på servern med två olika openvpn-instanser på två olika portar.
Den ena skickar kommandot att köra all trafik genom tunneln och den andra bara för det lokala servernätet.

Den delen är klar redan, men vad jag ville veta är ifall Asus-routern som VPN-klient klarar av denna situation, nämligen:
- All lokal trafik går direkt
- All trafik till mitt hemma-subnät går via tunneln till hemmaservern
- All annan extern trafik går via gateway i routern till Internet

Det handlar alltså om Asus router i VPN-mod är kapabel att köra på detta sätt?

Bas-konfigurationen i VPN-mode verkar vara att skicka all extern trafik via VPN, och så vill jag inte ha det.
Men det kan ju också vara för att de inte beskrivit den här moden...

https://i.imgur.com/kPaMYKe.png

För att PC ska kunna nå Client 1 så krävs det lite routes så trafiken vet vart den ska gå, som tidigare har nämnts i tråden.

1. PC på subnät 192.168.1.0/24 måste veta att subnät för Client 1 192.168.60.0/24 ligger bakom VPN Klient 1. Detta kan oftast ställas in i VPN servern. Nu har du lagt in att båda VPN klienterna har 192.168.60.0/24 bakom sig vilket strular till trafiken, jag skulle ha tagit bort den ena så att det bara finns en väg att gå.

2. VPN klient 1 måste klara av att agera router för att skyffla trafiken mellan sina olika nät, troligtvis krävs någon inställning för detta.

3. Client 1 har Router 2 192.168.60.1 som standard väg för all sin trafik, så får den en ping ifrån ett okänt subnät som PC på 192.168.1.0/24 så provar den att skicka ping svaret till router 2. Här måste klienten ha en pekare (route) som säger att trafik till subnät 192.168.1.0/24 ska skickas till VPN klient 1 på 192.168.60.11.

För att se vilka vägar en PC har kan du skriva route print i CMD.

En fråga, är företaget okej med att du kopplar ihop ditt hemmanätverk med företagsnätverket? Du utsätter båda nätverken för en risk, samt att de på företaget kommer komma åt allt i ditt hemma nätverk och vise versa.

Båda måste känna till varandra för att kunna kommunicera, annars kommer dom skicka den trafiken till sin default gateway och trafiken kommer droppas vid något läge.

Jag skulle lägga till en extra route på 192.168.60.0/24 klienterna, förslagsvis via DHCP servern att dom kan nå 192.168.1.0/24 via tex synologyn

Det beror nog på att du inte via din router tilldelar IP-adresser utan låter företagsänden sköta den biten, det blir lite av ett moment 22 skulle jag tro då båda ändarna vill ta hand om den IP-rangen.

Men jag tror att vi hittat en möjlig lösning som du säger.

Fråga är att du vill komma åt 192.168.60.0/24 från 192.168.1.10 och 192.168.1.20.
Du kommer åt 192.168.60.11 när du ansluter till vpn adressen 10.16.0.2

Det kan vara flera fel, Hur hittar datorerna på 192.168.60.0/24 som inte sitter på vpn tillbaka till 192.168.1.0/24, har dom en route via "VPN Client 1/2"? Sker det någon nat/masquerade i någon av vpn enheterna, tillåter dom ip-forwarding och det är öppet i brandväggarna?

Nu ser jag att jag har missat lite.
Hur fungerar det med åtkomst för de andra enheterna som använder VPN-servern? Jag är lite fundersam över konfigurationen för serverdelen eftersom du blandar fyra nät, finns det någon anledning till att du inte kör VPN-klienterna på samma nät som de övriga klienterna på LAN 2 och låter din router tilldela VPN-klienterna adresser på 192.168.1.x?
Om du kör 192.168.1.x även för VPN-klienterna har vi eliminerat ett nät som för mig verkar överflödigt.

Det finns ingen möjlighet att sätta upp en VPN-server hos företaget? Det skulle nästan garanterat eliminera problemet.
Eftersom du även skriver att 10.128.5 används för WAN verkar det dessutom som att vi har med dubbel NAT att göra, ytterligare en faktor som försvårar.
Är brandväggen igång på NASarna? Det kanske är lättast att använda en av dem som gateway, eller köra en riktig ful-lösning och köra en OpenVPN-server på en av dem och ansluta till en VPN genom en VPN.
Ju mer jag tänker på detta desto mer av ett mardrömsscenario blir det

Hmm, frågan om det har med serverkonfigurationen att göra eller något annat, har inte stött på det faktiskt.
Rutten du la till nu försöker med all sannolikhet fortfarande komma till LAN 1 via LAN 2 och inte via VPN-nätet då det inte fick någon gateway att gå igenom och inte kan gissa sig till vilken väg som är rätt.

Att skriva
route 192.168.60.0 255.255.255.0 vpn_gateway
är dock samma sak som det jag skrev, så testa med det.
Är inte "verb" satt (eller om det är satt till ett lägre värde) i din klientkonfiguration så skriv även in
verb 4
så får vi lite mer detaljer

Har inte själv behövt ge mig på bridging i detta sammanhanget men det verkar absolut vara relevant om det inte går att lösa med enkel routing som ovanstående