[Solved] TrueNAS + VPN - łączy się ale nie do końca

Cześć.

Próbuję rozgryźć uruchomienie VPN na serwerze TrueNAS. Posłużyłem się tym tutorialem:



I niby wszystko działa ale nie do końca. Już pisze o co mi chodzi:

Na swoim domowym komputerze mam uruchomiony serwer VPN i gdy połączę się właśnie z nim (powiedzmy z telefonu) IP klienta zmienia się na zewnętrzne IP mojej domowej sieci:



W takim przypadku bez problemu mam zdalny dostęp do wszystkiego co sobie udostępniłem na komputerze domowym.

Jednak gdy połączę się z VPN założonym na komputerze z TrueNAS IP pozostaje bez zmian:



W związku z tym nie mam dostępu do samego NAS'a.

Czy ktoś mógłby wskazać mi gdzie szukać problemu?

w tym drugim przypadku jak wygląda połączenie:

Telefon -> ISP -> VPN na komp -> VPN na TrueNAS (bo tak mi wynika z postu),
czy
Telefon -> ISP -> VPN na TrueNAS

Telefon podłączony do mobilnej sieci T-Mobile łączy się z VPN na TrueNAS podłączonym do internetu UPC w domu

bpjl wrote:

internetu UPC

Jaki masz od nich za modemorouter, jest tam aktywne IPv6, masz tam jeszcze jakiś Swój router?

To jeszcze sprawdź na VPN na TrueNAS z jakiej klasy przyznaje adres IP klientowi.
Jeśli dobrze rozumiem screeny, które załączyłeś, to być może jest tak, że ruch jednak routuje się nie przez tunel.

Ustaw taką samą klasę IP dla klienta jak na serwerze VPN na komputerze.

KOCUREK1970 wrote:

Jaki masz od nich za modemorouter, jest tam aktywne IPv6, masz tam jeszcze jakiś Swój router?

Tylko Horizon od UPC. Włączone PPTP oraz IPSec. IPv6 raczej brak (a nawet na pewno). Jak wspomniałem wyżej połączenie z moim standardowym VPN postawionym na domowym Windowsie nie sprawia problemów.

gustlik macalik wrote:

To jeszcze sprawdź na VPN na TrueNAS z jakiej klasy przyznaje adres IP klientowi.

gustlik macalik wrote:

Ustaw taką samą klasę IP dla klienta jak na serwerze VPN na komputerze.

Tylko jak i gdzie?

Na tym filmie z pierwszego postu czas 8:09
https://youtu.be/S8I-IiQYVas?t=489

Musiałem pozbyć się komputera na którym eksperymentowałem więc postawiłem TrueNAS na VMware. Skonfigurowałem od nowa i efekt jest taki sam jak powyżej. Ciekawe gdzie leży mój błąd.

Wirtualny NAS otrzymuje IP prosto z routera:


A tak wygląda moja konfiguracja usługi OpenVPN w TrueNAS:

A zobacz jeszcze, co raportuje TrueNAS po połączeniu klienta przez VPN. Powinieneś mieć jakieś dane odnośnie podłączonych klientów VPN.
Jak się podłączysz to dasz radę coś pingować z klienta? Albo dostać się po WWW na server TrueNAS?

gustlik macalik wrote:

A zobacz jeszcze, co raportuje TrueNAS po połączeniu klienta przez VPN. Powinieneś mieć jakieś dane odnośnie podłączonych klientów VPN.

Nie bardzo widzę coś takiego. Żadnych logów też nie.

gustlik macalik wrote:

Jak się podłączysz to dasz radę coś pingować z klienta?

Tak, bez peoblemu:

gustlik macalik wrote:

Albo dostać się po WWW na server TrueNAS?

Tu już niestety klapa:

@bpjl
Dlaczego IP sieciówki w serwerze masz ustawione na 192.168.1.70 a dane serwera VPN masz IP 192.168.20.0?

Z tego co zrozumiałem z tego filmowego tutoriala tam powinien być adres serwera VPN będący poza zakresem sieci lokalnej do której ten serwer jest podłączony. Z resztą jak ustawię tam taki sam adres IP jak dostaje serwer z routera to usługa serwera VPN nie może się uruchomić:

bpjl wrote:

adres serwera VPN będący poza zakresem sieci lokalnej do której ten serwer jest podłączony.

W sytuacji, kiedy serwer DHCP na routerze przydziela adresacje np od 192.168.1.1 do 192.168.1.50 - to końcówka 70 jest poza zakresem serwera DHCP, ale tutaj masz zupełnie inną adresację serwera VPN w zupełnie innej sieci.
Skoro serwer VPN masz na komputerze, to serwer NAS na moje powinien najpierw dostać informację, że ma się "kontaktować" z serwerem VPN na komputerze, a to powoduje, że cały ruch sieciowy powinien najpierw iść z Horizona na komputer a dopiero z niego na serwer NAS - no bo tak masz w sumie to zbudowane.
Skąd Horizon ma wiedzieć, gdzie i na jaką adresacje przekierować ruch z zewnątrz.

Dasz radę to jakoś rozrysować (może być ręcznie, byle all było wszystko wyraźne na fotce) i opisać jak co masz uruchomione, gdzie do czego podłączone z jaką gdzie adresacją?

KOCUREK1970 wrote:

W sytuacji, kiedy serwer DHCP na routerze przydziela adresacje np od 192.168.1.1 do 192.168.1.50 - to końcówka 70 jest poza zakresem serwera DHCP, ale tutaj masz zupełnie inną adresację serwera VPN w zupełnie innej sieci.

Zmieniłem ustawienia DHCP w routerze żeby przydzielał adresy od 192.168.1.10 do 192.168.1.210 (mój komputer ma na stałe przypisane 208, nie chciałem już tutaj mieszać, stąd taki zakres). Po tym zmieniłem wpis w ustawieniach serwera VPN truenas na 192.168.1.220. Tutaj również nie da się uruchomić tego serwera. Tak jakby adresacja musiała być właśnie z zupełnie innej sieci.

KOCUREK1970 wrote:

Dasz radę to jakoś rozrysować (może być ręcznie, byle all było wszystko wyraźne na fotce) i opisać jak co masz uruchomione, gdzie do czego podłączone z jaką gdzie adresacją?

Proszę bardzo:


Przy takim ustawieniu usługa serwera włącza się i można połączyć się z tym serwerem. No ale nic poza tym.

no i pewnie Twój klient VPN dostaje adres z sieci 192.168.20.0.
pozostaje pytanie, czy Twoj serwer VPN dostaje jakiś adres IP z sieci VPNowej? pewnie 192.168.20.1
czy Twoj klienv VPN dostaje jakis adres IP z sieci VPNowej?
czy jesli dostajesz jako klient adres IP z sieci VPNowej to możesz spingować 192.168.20.1
czy jesli powyzsze tak to czy mozesz chociaz spingowac adres IP sieci firmowej TrueNAS (192.168.1.70)
czy jesli powyzsz to czy jestes w stanie spingowac brame domyslna sieci firmowej (192.168.1.1)

przeqpiciel wrote:

czy Twoj klienv VPN dostaje jakis adres IP z sieci VPNowej?

Raczej nie.

przeqpiciel wrote:

czy jesli dostajesz jako klient adres IP z sieci VPNowej to możesz spingować 192.168.20.1

Okazuje się że tak.

przeqpiciel wrote:

czy jesli powyzsze tak to czy mozesz chociaz spingowac adres IP sieci firmowej TrueNAS (192.168.1.70)

Tutaj już echo.

przeqpiciel wrote:

czy jesli powyzsz to czy jestes w stanie spingowac brame domyslna sieci firmowej (192.168.1.1)

Tak samo tutaj.

bpjl wrote:

Tutaj już echo.

Czyli Twój serwer VPN jakby nie potrafił przekazać pakietów dalej (nie robi jako router). Nie wiem jak bardzo głęboko możesz wejść w ustawienia tego wybryku, jednak gdyby to była normalna maszyna z Linux i na niej zainstalowany serwer VPN, zasugerowałbym aby ustawić ipv4_forward
Link do pierwszego z brzegu artykułu nt.

przeqpiciel wrote:

tego wybryku

Bardzo dobrze powiedziane. Z ciekawości postawiłem na drugiej VM Windows 7 i tam zainstalowałem serwer VPN. Poszło bez problemu. Wszystko łączy się, IP są przydzielane jak należy.. A z tym VPN w TrueNAS teraz to mi się już nawet nie łączy i nie mam pojęcia dlaczego skoro nic z tym nie zrobiłem.

Ręce mam już tak bardzo opadnięte że jestem skłonny porzucić ten cały TrueNAS i postawić koledze ten serwer plików na Windowsie. Przynajmniej w wypadku awarii jestem w stanie coś zrobić a nie patrzeć na te linuxowe znaczki jak sroka w malowane wrota. Jedynie jak zainstalować W7 albo 10 na 8GB SSD, ale to już sprawa na inny temat.

@bpjl
Problemem może też być to, że poinstalowałeś to wszystko jak dobrze zrozumiałem na maszynach wirtualnych, a to oznacza dodatkowe wirtualne karty sieciowe (?), ale też oznacza, że w tym komputerze z VPN i NASem masz fizycznie tylko jedną kartę sieciową (?) - w mojej ocenie (być może błędnej), musiałbyś na tej samej maszynie co masz VPN i NASa mieć 2 fizyczne karty sieciowe.
Wtedy przy istniejących 2 kartach fizycznych, nie powinno być błądzenia/gubienia pakietów, bo każde dane IP można by wtedy fizycznie zaadresować.
Może trzeba by porzeźbić w trasach statycznych, ale tu potrzebny byłby na moje jakiś własny router, by to wszystko razem spiąć.

A sprawdź jeszcze jak połączysz się do TrueNAS VPN, to w aplikacji Open VPN na dole masz info o połączeniu:


Porównaj z tym jak jest ustawiony VPN od strony zewn. (czyli jaki adres trzymuje TrueNAS) i od str. wewn. czyli jaką podsieć przeznacza dla klientów. Cze te dane są ze sobą spójne.

I jeszcze jedno. Jak podłączysz się przez VPN na adres np. 192.168.70.70, to zobacz czy załadujesz stronę 192.168.70.1

KOCUREK1970 wrote:

Problemem może też być to, że poinstalowałeś to wszystko jak dobrze zrozumiałem na maszynach wirtualnych, a to oznacza dodatkowe wirtualne karty sieciowe (?), ale też oznacza, że w tym komputerze z VPN i NASem masz fizycznie tylko jedną kartę sieciową (?) - w mojej ocenie (być może błędnej), musiałbyś na tej samej maszynie co masz VPN i NASa mieć 2 fizyczne karty sieciowe.
Wtedy przy istniejących 2 kartach fizycznych, nie powinno być błądzenia/gubienia pakietów, bo każde dane IP można by wtedy fizycznie zaadresować.

Zanim postawiłem to na wirtualnej maszynie eksperymentowałem na osobnym kompie. Efekt był taki sam jak na WM.

gustlik macalik wrote:

jak połączysz się do TrueNAS VPN

No właśnie - jak się podłączę. Puki co wszystko siadło i nic mi się nie łączy. Czort jeden wie dlaczego nagle :/

bpjl wrote:

Zanim postawiłem to na wirtualnej maszynie eksperymentowałem na osobnym kompie. Efekt był taki sam jak na WM.

Ale zaadresowałeś na osobnych komputerach odpowiednio sieciówki, przypisując odpowiednią usługę pod dane IP?
Pamiętaj też, że dekoderomodemorouter Horizon, ma ograniczone by nie powiedzieć żadne możliwość konfiguracyjne, być może jakieś ustawienia firewalla na Horizonie są zbyt restrykcyjne.
Horizon ma DMZ, spróbuj dodać do tego DMZ to IP z którym masz problem, być może jakiś port do danej usługi jest blokowany z jakiegoś powodu. Niestety podanie danego IP do DMZ nie jest zbyt bezpieczne, ale może nie być innej możliwości.

Zapisz sobie kopię ustawień z HZN a potem zrób mu reset guzikiem z tyłu obudowy - dekoder się zresetuje w sekcji internetowej, potem ponownie ustaw w HZN dany protokół VPN i zobacz czy coś to zmieniło.

Jednak będę upierał się że problem leży gdzieś w samym TrueNAS'ie. W przeciwnym wypadku te VPN'y postawione na windowsach (czy to na komputerach czy też WM'ach) tez by nie działały. A z nimi problemu nie ma żadnego. Z resztą jak tak czytam w sieci różne fora to dla bardzo wielu ludzi uruchomienie VPN w TrueNAS jest ogromnym bólem d**y (bo inaczej nie można już powiedzieć).

A się tak zapytam. Autorze wątku, dotarłeś w ten zakątek internetu? https://www.truenas.com/community/threads/route-all-traffic-through-openvpn-service.88906/

Z 7 razy

Może powinienem zaznaczyć to w pierwszym poście ale jestem kompletnym linuxowym laikiem. Co za tym idzie szukam rozwiązania które mógłbym wprowadzić z poziomu w miarę zrozumiałego GUI. Nie żebym bał się rozwiązań terminalowych czy też shell'owych ale wiem doskonale że jeśli coś namieszam w ten sposób to nie będę miał pojęcia jak to odkręcić.

bpjl wrote:

TrueNAS

A może zamiast tego, pójdziesz w kierunku innego systemu operacyjnego Linuxowego?:
https://linuxhint.com/best-nas-software-linux/

FreeNAS to poprzednik TrueNAS więc ta pozycję pomijam. Oni po prostu w pewnym momencie ściągnęli wszystko pod wspólną nazwę TrueNAS tylko w różnych wersjach. O pozostałych nie słyszałem. Masz jakieś doświadczenia z nimi i mógłbyś coś polecić? Szukam czegoś prostego co ma przechowywać pliki, udostępniać je w sieci lokalnej dla komputerów z windowsami no i jak się okazało od teraz przez internet dla tych samych kompów gdy będą w terenie.

bpjl wrote:

Masz jakieś doświadczenia z nimi i mógłbyś coś polecić?

Kup Synology DS220j - odpalisz i zapomnisz.
Z takimi alternatywnymi tworami, zawsze jakieś rzeźbienie.

KOCUREK1970 wrote:

Kup Synology DS220j

Człowieku nie ma szans. Jak kiedyś był potrzebny sprzęt pod ten FreeNAS to dość chwilę mi zajęło tłumaczenie sensu kupna paru gratów i złożenie jakiegoś stacjonarnego PC'ta a nie wyjęcie z szafy i wykorzystanie starego laptopa.

KOCUREK1970 wrote:

Z takimi alternatywnymi tworami, zawsze jakieś rzeźbienie.

I tu masz rację. Pochwalę się że po długiej walce wszystko się udało. A było to tak:

Po przejrzeniu "milionów" tutoriali na temat FreeNAS i TrueNAS postanowiłem spróbować czegoś innego. Wybór padł na Amahi. Po 3h próby skonfigurowania tam czegokolwiek już wiedziałem że to był zły wybór

No więc kolejny kandydat - Openmediavault.

Chwila czytania wnioski, wyciągnięte z wali z poprzednimi "tworami", że konfiguracja z GUI jest gó*** warta w przypadku serwerów VPN spowodowały że wszedłem w ten tutorial:



Po chwili konfiguracji wszystkiego co było potrzebne do przeprowadzenia całego procesu z filmu nadszedł moment próby. I oto efekt:



Jak widać po połączeniu się z uruchomionym VPN'em publiczny IP klienta zmienił się na ten na którym jest VPN. Tu już wiedziałem że jest dobrze

Dla pewności udostępniłem w Openmediavault przstrzeń dyskową, z poziomu windowsa wrzuciłem tam byle jakie dane na próbę i sprawdziłem czy mogę tam wejść i odczytać te pliki z klienta spoza sieci domowej - czyli ten mój telefon:



Radość i niedowierzanie TO ŻYJE!!

Zamykam temat rozwiązując problem jak wyżej.