作者arsehole (又骑又磨姿势且佳)
看板Storage_Zone
标题Re: [请益] 关於外网连freenas vpn问题
时间Fri Jun 3 18:11:55 2022
※ 引述《b1985003 (木须)》之铭言:
: 标题: [请益] 关於外网连freenas vpn问题
: 时间: Fri May 27 18:40:59 2022
:
: 各位前辈好,做了一些功课後组了人生第一台freenas
:
: 关於外网连入的部分也做了功课 用vpn连入後使用看起来是比起直接开port相对安全的方法
:
: 本来是用无线路由器开ipsec/l2tp,但後来发现其他使用者的路由器没有passthough 的功
: 能连不上
:
: 因此想改用openvpn至少被挡住的机率比较低
被挡住的机会比较低是?公司有firewall?有做policy deny
否则是没法挡的
: 目前的疑问是,
: 使用路由器开openvpn server与
: 使用freenas开openvpn server
: 在client端都是直接连上就能把nas当区网内使用吗?
: 还是freenas架设server的必须要能够进区网後才能连上?
:
: 感谢各位前辈
我的做法可以参考这几张网路架构图
豪华版
https://i.imgur.com/3zjGesF.jpg
前面有软路由安装sophos firewall,便宜软路由可能要找两port的小主机
几年前买的j1900 4port 不到五千块,现在应该只能买到J4125,价格超过五千
因为freenas装在老电脑上有点浪费,於是我架proxmox,里面再加装一些服务
如果熟悉vmware的话,用vmware也行,不过要确定你的老主机网卡是否为I牌
否则装上esxi可是无法读到网卡,变成要将螃蟹卡的驱动倒进去
目前简单设定wireguard 的方法有几种,我知道的就是买Mikrotik的设备
v7.0版本已经有内装wireguard,设定颇简单
第二种就是在proxmox上用lxc范本将wiregurad安装上
或者是开vm安装ubuntu上install wireguard
第三种是将软路由安装pfsense,里面加wireguard套件或买routeros CHR
第四种就是freeNas 上面加wireguard套件
有点小钱版
https://i.imgur.com/xy3ZJq5.jpg
前面也不用软路由了,直接买Mikrotik 的硬体设备,一般家用买RB750Gr3,两千块上下
利用Mikrotik的wireguard来做vpn,前面也不用pppoe固定ip,只要让RB750Gr3
用pppoe拨号就好,直接利用它的ddns,来当作wireguard client的Endpoint
客家硬颈精神版
https://i.imgur.com/9YxBCX6.jpg
前面什麽设备都不用,老主机在安装一张网卡
Proxmox的话买便宜五百块有找的螃蟹网路卡,当作wan Port
esxi请买Intel 的网路卡,比较贵一点,不然就自己包Realtek
在虚拟机上面建Free UTM firewall 或routeros CHR
当作gateway,用firewall的话,要自己建wireguard,用routeros
就不用自己建,记得第四台网路请客服NAT,如果是中华电信请用PPPOE
自家案例
https://i.imgur.com/7kQGtYT.jpg
配备是I5 4代,记忆体安装16GB
两个网路port
利用wireguard LXC 建VPN
也顺便建adguard home跟sftp server
还有一些工作实验的环境
防火墙是用sohpos XG home免钱版
利用nat 限制连入来源为TW
https://i.imgur.com/mZUZlSr.jpg
wireguard client自己设定的port 是9527
https://i.imgur.com/ueY04gc.jpg
我的架构是豪华版,只是我的Mikrotik是wifi,最近讯号有减弱
也把wireguard 服务移到虚拟机上了,有点想卖掉Mikrotik....
:
:
: --
:
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 49.217.193.251 (台湾)
: ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Storage_Zone/M.1653648061.A.D31.html
: → cs8425 : NAS开VPN 路由器那边要开个port通到NAS 05/27 18:44
: → cs8425 : 两种client连上後基本没差 但用路由器开openvpn 05/27 18:46
: → cs8425 : 通常频宽跑不高 以前测最强的也就30Mbps上下 05/27 18:46
: 推 empingao : 吞吐量,wireguard 较优。存取内网我比较推 05/27 21:10
: → empingao : cloudflare zero trust. 05/27 21:10
: → cs8425 : 推wireguard 速度跟延迟真的好 前提NAS或路由器要 05/27 21:55
: → cs8425 : 能开... 个人日常用wg openvpn/ssh tunnel备援 05/27 21:56
: → cs8425 : 另外还跑自写的内网穿透工具(pc用) 都跑在软路由上 05/27 21:58
: 推 filiaslayers: 用nas开wireguard不就好了? 05/27 23:41
--
空军本是少爷兵,抽了防炮才梦醒
夜半卫哨卡到阴,後悔当初抽空军
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.168.143.248 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Storage_Zone/M.1654251120.A.998.html
1F:推 andy199113 : 好文推 06/03 18:38
2F:推 cs8425 : 详细推 个人是J4125跑openwrt+docker 06/03 23:19
3F:→ cs8425 : RAM 16G OS灌USB随身碟 总共约6k 估计能用个7~8年吧 06/03 23:21
J4125又16G,其实可以搞个PVE在上面,上面再装openwrt跟docker
J1900装PVE太勉强,效能降太多,加上J1900不太适合虚拟化
J4125,要不我的J1900还没坏掉,否则想换掉
4F:推 lovesao : 豪华版同款配置+1 06/03 23:47
5F:推 B0988698088 : 。 06/04 05:59
6F:推 lovespre : 去捡个forti二手 像50E更好设定跟管理 06/04 07:05
我不是很建议用forti,除非有买授权,否则捡来的forti,价格没那麽漂亮
捡太老的40C又太垃圾,效能还是有差距,能玩的东西又有限,就单纯防火墙而已
除非是小型中小企业,但这类企业主还是花钱搞去资安舰队,选sohpos或forti
有UTM授权,又有基本设定,再加上每个月分摊成本还有网路,不好吗?
7F:推 jack860719 : 详细给推 自己是用freenas的jail 跑wireguard 06/04 08:57
8F:→ jack860719 : 然後路由器port forwarding给NAS配第四台跑桥接模式 06/04 08:57
够专业,之前有装freenas 不过需求太小了,再加上我的老主机上面才四颗1TB的硬碟
之前用过OPVPN,设定也比较繁琐,效能不够好,後来发现wireguard,发现效率好得很
去年也是弄个架构图出来,也实验做出来,为了疫情变严峻之後,小弟公司各大高官
可以在家做WFH,可以连财会系统、ERP等等,只是我的上司不建议这样做
请公司花钱搞才是重点(找厂商背锅),不建议用我的客家硬颈精神去做
※ 编辑: arsehole (220.132.197.152 台湾), 06/04/2022 12:10:13
9F:推 sdbb : 感谢详细教学 06/04 19:56
10F:推 ThisIsNotKFC: 推 06/06 18:50