※ 引述《b1985003 (木須)》之銘言：
: 標題: [請益] 關於外網連freenas vpn問題
: 時間: Fri May 27 18:40:59 2022
:
: 各位前輩好，做了一些功課後組了人生第一台freenas
:
: 關於外網連入的部分也做了功課 用vpn連入後使用看起來是比起直接開port相對安全的方法
:
: 本來是用無線路由器開ipsec/l2tp，但後來發現其他使用者的路由器沒有passthough 的功
: 能連不上
:
: 因此想改用openvpn至少被擋住的機率比較低
被擋住的機會比較低是?公司有firewall?有做policy deny
否則是沒法擋的
: 目前的疑問是，
: 使用路由器開openvpn server與
: 使用freenas開openvpn server
: 在client端都是直接連上就能把nas當區網內使用嗎?
: 還是freenas架設server的必須要能夠進區網後才能連上?
:
: 感謝各位前輩
我的做法可以參考這幾張網路架構圖
豪華版
https://i.imgur.com/3zjGesF.jpg
前面有軟路由安裝sophos firewall，便宜軟路由可能要找兩port的小主機
幾年前買的j1900 4port 不到五千塊，現在應該只能買到J4125，價格超過五千
因為freenas裝在老電腦上有點浪費，於是我架proxmox，裡面再加裝一些服務
如果熟悉vmware的話，用vmware也行，不過要確定你的老主機網卡是否為I牌
否則裝上esxi可是無法讀到網卡，變成要將螃蟹卡的驅動倒進去
目前簡單設定wireguard 的方法有幾種，我知道的就是買Mikrotik的設備
v7.0版本已經有內裝wireguard，設定頗簡單
第二種就是在proxmox上用lxc範本將wiregurad安裝上
或者是開vm安裝ubuntu上install wireguard
第三種是將軟路由安裝pfsense，裡面加wireguard套件或買routeros CHR
第四種就是freeNas 上面加wireguard套件
有點小錢版
https://i.imgur.com/xy3ZJq5.jpg
前面也不用軟路由了，直接買Mikrotik 的硬體設備，一般家用買RB750Gr3，兩千塊上下
利用Mikrotik的wireguard來做vpn，前面也不用pppoe固定ip，只要讓RB750Gr3
用pppoe撥號就好，直接利用它的ddns，來當作wireguard client的Endpoint
客家硬頸精神版
https://i.imgur.com/9YxBCX6.jpg
前面什麼設備都不用，老主機在安裝一張網卡
Proxmox的話買便宜五百塊有找的螃蟹網路卡，當作wan Port
esxi請買Intel 的網路卡，比較貴一點，不然就自己包Realtek
在虛擬機上面建Free UTM firewall 或routeros CHR
當作gateway，用firewall的話，要自己建wireguard，用routeros
就不用自己建，記得第四台網路請客服NAT，如果是中華電信請用PPPOE
自家案例
https://i.imgur.com/7kQGtYT.jpg
配備是I5 4代，記憶體安裝16GB
兩個網路port
利用wireguard LXC　建VPN
也順便建adguard home跟sftp server
還有一些工作實驗的環境
防火牆是用sohpos XG home免錢版
利用nat 限制連入來源為TW
https://i.imgur.com/mZUZlSr.jpg
wireguard client自己設定的port 是9527
https://i.imgur.com/ueY04gc.jpg
我的架構是豪華版，只是我的Mikrotik是wifi，最近訊號有減弱
也把wireguard 服務移到虛擬機上了，有點想賣掉Mikrotik....
:
:
:

推