※ 引述《b1985003 (木须)》之铭言： : 标题: [请益] 关於外网连freenas vpn问题 : 时间: Fri May 27 18:40:59 2022 : : 各位前辈好，做了一些功课後组了人生第一台freenas : : 关於外网连入的部分也做了功课 用vpn连入後使用看起来是比起直接开port相对安全的方法 : : 本来是用无线路由器开ipsec/l2tp，但後来发现其他使用者的路由器没有passthough 的功 : 能连不上 : : 因此想改用openvpn至少被挡住的机率比较低 被挡住的机会比较低是?公司有firewall?有做policy deny 否则是没法挡的 : 目前的疑问是， : 使用路由器开openvpn server与 : 使用freenas开openvpn server : 在client端都是直接连上就能把nas当区网内使用吗? : 还是freenas架设server的必须要能够进区网後才能连上? : : 感谢各位前辈 我的做法可以参考这几张网路架构图 豪华版 https://i.imgur.com/3zjGesF.jpg 前面有软路由安装sophos firewall，便宜软路由可能要找两port的小主机 几年前买的j1900 4port 不到五千块，现在应该只能买到J4125，价格超过五千 因为freenas装在老电脑上有点浪费，於是我架proxmox，里面再加装一些服务 如果熟悉vmware的话，用vmware也行，不过要确定你的老主机网卡是否为I牌 否则装上esxi可是无法读到网卡，变成要将螃蟹卡的驱动倒进去 目前简单设定wireguard 的方法有几种，我知道的就是买Mikrotik的设备 v7.0版本已经有内装wireguard，设定颇简单 第二种就是在proxmox上用lxc范本将wiregurad安装上 或者是开vm安装ubuntu上install wireguard 第三种是将软路由安装pfsense，里面加wireguard套件或买routeros CHR 第四种就是freeNas 上面加wireguard套件 有点小钱版 https://i.imgur.com/xy3ZJq5.jpg 前面也不用软路由了，直接买Mikrotik 的硬体设备，一般家用买RB750Gr3，两千块上下 利用Mikrotik的wireguard来做vpn，前面也不用pppoe固定ip，只要让RB750Gr3 用pppoe拨号就好，直接利用它的ddns，来当作wireguard client的Endpoint 客家硬颈精神版 https://i.imgur.com/9YxBCX6.jpg 前面什麽设备都不用，老主机在安装一张网卡 Proxmox的话买便宜五百块有找的螃蟹网路卡，当作wan Port esxi请买Intel 的网路卡，比较贵一点，不然就自己包Realtek 在虚拟机上面建Free UTM firewall 或routeros CHR 当作gateway，用firewall的话，要自己建wireguard，用routeros 就不用自己建，记得第四台网路请客服NAT，如果是中华电信请用PPPOE 自家案例 https://i.imgur.com/7kQGtYT.jpg 配备是I5 4代，记忆体安装16GB 两个网路port 利用wireguard LXC　建VPN 也顺便建adguard home跟sftp server 还有一些工作实验的环境 防火墙是用sohpos XG home免钱版 利用nat 限制连入来源为TW https://i.imgur.com/mZUZlSr.jpg wireguard client自己设定的port 是9527 https://i.imgur.com/ueY04gc.jpg 我的架构是豪华版，只是我的Mikrotik是wifi，最近讯号有减弱 也把wireguard 服务移到虚拟机上了，有点想卖掉Mikrotik.... : : : -- :

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 49.217.193.251 (台湾) : ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Storage_Zone/M.1653648061.A.D31.html : → cs8425 : NAS开VPN 路由器那边要开个port通到NAS 05/27 18:44 : → cs8425 : 两种client连上後基本没差 但用路由器开openvpn 05/27 18:46 : → cs8425 : 通常频宽跑不高 以前测最强的也就30Mbps上下 05/27 18:46 : 推 empingao : 吞吐量，wireguard 较优。存取内网我比较推 05/27 21:10 : → empingao : cloudflare zero trust. 05/27 21:10 : → cs8425 : 推wireguard 速度跟延迟真的好 前提NAS或路由器要 05/27 21:55 : → cs8425 : 能开... 个人日常用wg openvpn/ssh tunnel备援 05/27 21:56 : → cs8425 : 另外还跑自写的内网穿透工具(pc用) 都跑在软路由上 05/27 21:58 : 推 filiaslayers: 用nas开wireguard不就好了? 05/27 23:41 -- 空军本是少爷兵，抽了防炮才梦醒 夜半卫哨卡到阴，後悔当初抽空军 --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.168.143.248 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Storage_Zone/M.1654251120.A.998.html J4125又16G，其实可以搞个PVE在上面，上面再装openwrt跟docker J1900装PVE太勉强，效能降太多，加上J1900不太适合虚拟化 J4125，要不我的J1900还没坏掉，否则想换掉 我不是很建议用forti，除非有买授权，否则捡来的forti，价格没那麽漂亮 捡太老的40C又太垃圾，效能还是有差距，能玩的东西又有限，就单纯防火墙而已 除非是小型中小企业，但这类企业主还是花钱搞去资安舰队，选sohpos或forti 有UTM授权，又有基本设定，再加上每个月分摊成本还有网路，不好吗？ 够专业，之前有装freenas　不过需求太小了，再加上我的老主机上面才四颗1TB的硬碟 之前用过OPVPN，设定也比较繁琐，效能不够好，後来发现wireguard，发现效率好得很 去年也是弄个架构图出来，也实验做出来，为了疫情变严峻之後，小弟公司各大高官 可以在家做WFH，可以连财会系统、ERP等等，只是我的上司不建议这样做 请公司花钱搞才是重点（找厂商背锅），不建议用我的客家硬颈精神去做 ※ 编辑: arsehole (220.132.197.152 台湾), 06/04/2022 12:10:13