soluție pentru Remote Acces (din internet) la un NAS din rețeaua locală

Salut.
Am următoarea situație:
La un birou mic am 5 calculatoare, un server Dell PowerEdge T720 (cpu Xeon 6 core, 16 GB RAM, 3 hdd SAS de câte 1 TB) și un router Cisco RV325 (gigabit dual wan VPN router). Internet e de la RDS și e cu ip static.
Pe serverul Dell vreau să pun o distribuție NAS, cu câțiva useri (probabil maxim 5) , care își vor pune diverse fișiere pe SMB-Shares ce vor fi create pe NAS. Este nevoie ca acești useri să poată accesa rețeua locală a ”biroului” și de acasă/etc. De fapt, de acasă să poată accesa doar SMB-Shares de pe NAS Core dar nu și celelalte SMB-Shares făcute pe vreunul din cele 5 calculatoare din birou.

Eu m-am gândit să instalez TrueNAS Core pe serverul Dell. Chiar am găsit ghiduri utile pe internet [ https://www.youtube-nocookie.com/embed/3thvpjg0Sjg?feature=oembed - Pentru incarcare in pagina (embed) Click aici ] .

Cred că accesul remote către rețeua locală a NAS-ului e bine să se facă prin VPN și anume OpenVPN. Am văzut că routerul Cisco RV325 e cam vechiuț și deși are cel mai recent firmware instalat , el nu are suport pentru OpenVPN.. oricum cred că RV325 nu prea făcea față la traficul prin VPN (spun asta gândindu-mă la procesorul său destul de slăbuț). Așa că mi se pare o idee mult mai bună să setez serverul de OpenVPN chiar pe TrueNAS Core (are hardware mult mai potent). Ghiduri [ https://www.youtube-nocookie.com/embed/it0HdDiutIE?feature=oembed - Pentru incarcare in pagina (embed) Click aici ] .

De acasă , userii se vor conecta ”prin” clientul OpenVPN de Windows.

Pare o soluție bună, ce credeți ?

PS: inițial mă gândisem să inlocuiesc routerul Cisco cu un PC ”cu” PfSense 2.6 dar m-am răzgândit gândindu-mă la faptul că PC-ul cu PfSense trebuie să ”meargă” 24/24

Clar serverul VPN trebuie sa ruleze pe NAS.
Din ce am citit, OpenVPN permite aceesarea retelei LAN prin VPN, dar nu am incercat niciodata.

Eu urasc OpenVPN pentru ca nu e suportat nativ pe mac si consuma foarte multa baterie, de aceea merg pe ipsec, dar nu pot accesa LAN.
Exista oricand FTP, dc nu merge SMB.

Acum realizez că e posibil să fi greșit locul Topic-ului .. cred că se potrivea mai bine în Networking.

Wireguard pe nas.
Port fwd pe router catre portul udp wireguard din nas.
Max 10 min daca truenas-ul ala stie wireguard.

 Adm, on 12 octombrie 2022 - 13:54, said:

Permite - il am la munca - conexiunea intre sedii se face prin el - viteza e cam micuta insa.
Nu stiu insa cum e configurat - e un alt coleg care se ocupa de configurarea serverelor pe linux.

 ogo, on 12 octombrie 2022 - 14:05, said:

Pare mai complicat de configurat..

Am o nelămurire.
În timp ce clientul OpenVPN de pe laptop e conectat la serverul de la birou, laptopul de acasă ”să aibă” public-IP-ul de acasă (ptr celelalte lucruri: browse, Skype, etc) sau cel al server-ului OpenVPN de la birou ? Cum e mai bine pentru securitate ?

Edited by dani_moca1976, 12 October 2022 - 16:59.

Mai complicat wireguard ca openvpn??
Cred ca glumesti….
Ip-ul lui de acasa, normal!
Tu ii dai acces doar la resursele locale si atat.

Zerotier e cel mai usor de configurat.

 dani_moca1976, on 12 octombrie 2022 - 16:44, said:

Se poate configura in ambele feluri.

 ogo, on 12 octombrie 2022 - 17:11, said:

Ajută cu ceva să configurez în routerul Cisco (de la birou) astfel încât numai anumite MAC-uri (din rețeua sa locală) să-i poată accesa interfața web ?
Să fac la fel și pentru interfața web a TreuNas-ului ?

router-ul se ocupa de L3 - IP-uri
switch-ul (in general vorbind) se ocupa de L2 - MAC
Cisco ala e si switch? Daca nu, nu ai cum bloca accesul via MAC - DOAR pe baza de IP
o solutie ar fi sa declari un IP / subnet care are voie la interfata lui (a router-ului) de management (ssh/GUI/snmp/etc) si restul sa fie interzise.

revenind la NAS, cel mai bine bine sa dai acces doar la resursele necesare si atat: pui toti clientii vpn intr-un vlan si vlan-ul ala poate accesa doar NAS-ul si atat.
mai mult, fiecare user sa aiba credentialele lui pt NAS.

Acel Cisco are și switch incorporat.