Доступ к Synology без белого IP адреса с помощью Tailscale

Всем привет!!!

Если у вас нет белого IP адреса или скорость Synology QuickConnect вас не устраивает, то есть очень простое решение использовать VPN от Tailscale.

К сожалению разработчик данного ПО решил действовать вопреки здравому смыслу, видимо задняя точка давно раздолблена, и поэтому запретил пользователям из нашей страны, которая ведет СВО против фашистов и бандитов на территории страны 404, использовать TailScale.

Есть альтернатива: Synology установка ZeroTier или как подключаться без белого адреса

Tailscale – это VPN-сервис, который делает ваши устройства и приложения доступными в любой точке мира, безопасно и легко. Он обеспечивает зашифрованные соединения точка-точка с использованием протокола WireGuard с открытым исходным кодом, что означает, что только устройства в вашей частной сети могут взаимодействовать друг с другом.

В этом решении есть два минуса. Первое это платный продукт, но в бесплатном варианте он поддерживает 3 пользователя и 100 устройств. Этого ну прям предостаточно. Второй минус, что бы воспользоваться сервисом Tailscale нужны определенные аккаунты, просто по личной почте не получится. Я просто создал еще один аккаунт на Google и привязал его к этому сервису. Так что это да минус, но тоже не критичный.

После первого входа на сервис вас будет приветствовать такое окно. Клиенты есть под любые ОС и что очень важно для Synology.

YouTube player

В центре пакетов Synology DSM находим Tailscale и устанавливаем.

Официальная инструкция по установке Tailscale на Synology тут ссылке

В центре пакетов Synology обычно лежит не самая свежая версия. Если нужно самая свежая, то spk можно скачать с репозитория проекта Tailscale Packages

Как только он будет установлен жмите открыть и заходите в свой аккаунт. В общем привяжите его к своему аккаунту на сервисе Tailscale.

Ограничения и известные проблемы

Некоторые вещи, о которых следует знать:

  • Если вы обновите Synology с DSM6 до DSM7, вам нужно будет удалить, а затем переустановить приложение Tailscale. Не выполняйте обновление Synology DSM7 через Tailscale, иначе вы можете потерять соединение во время обновления.
  • Tailscale использует гибридный сетевой режим в Synology, что означает, что если вы используете подсети, они будут доступны через UDP и TCP, но не обязательно будут доступны для пинга.
  • Другие пакеты Synology не могут устанавливать исходящие соединения с другими узлами Tailscale по умолчанию на DSM7. См. инструкции ниже, чтобы включить.
  • Tailscale на Synology в настоящее время может делать –advertise-routes, но не –accept-routes. Это означает, что если у вас есть другие маршрутизаторы подсетей, устройства в этих других подсетях еще не смогут получить доступ к вашему NAS или устройствам в локальной подсети.
  • Маршруты рекламной подсети могут быть настроены только из командной строки, а не из веб-интерфейса.
  • Tailscale SSH не работает на Synology.

Synology в DSM7 ввела более жесткие ограничения на то, что пакетам разрешено делать. Если вы используете DSM6, Tailscale работает как root с полными разрешениями, и эти шаги не требуются.

По умолчанию Tailscale на Synology с DSM7 разрешает только входящие подключения к вашему устройству Synology, но исходящий доступ Tailscale из других приложений, работающих на Synology, не включен. Для обхода этого ограничения нужно сделать следующее:

Откройте панель управления, планировщик задач, создать, запущенная задача и скрипт, заданный пользователем

На вкладке общее укажите имя задачи, укажите пользователя root (обязательно) и при событии “Загрузка”. Так же убедитесь, что задача включена.

На вкладке настройка задачи в поле команды вставьте такую команду:

/var/packages/Tailscale/target/bin/tailscale configure-host; synosystemctl restart pkgctl-Tailscale.service

Должно получиться как на картинке ниже

При сохранении задачи система выдаст предупреждение, соглашаемся и вводим пароль от пользователя с правами администратор

Теперь задача создана и будет запускаться при старте системы автоматически. А сейчас, что бы не перегружать сервер, просто выделите ее и нажмите запустить.

Если брандмауэр Synology включен: отрегулируйте настройки брандмауэра

Включив TUN, трафик Tailscale будет подчиняться встроенному брандмауэру Synology.
Брандмауэр отключен по умолчанию. Однако, если он включен, добавьте исключение для подсети Tailscale, 100.64.0.0/10. В главном меню > Панель управления > Безопасность > Брандмауэр добавьте правило брандмауэра в профиль по умолчанию, которое разрешает трафик из исходной IP-подсети 100.64.0.0 с маской подсети 255.192.0.0.

После этого установите на свой телефон или ПК клиент Tailscale, войдите в учетку и готово.


Пока я готовил статью и видео ролик интерфейс Tailscale на телефоне хорошо обновился. Теперь он стал более продуктивным на мой взгляд.


Активируете соединение и можно подключаться по IP адресу к вашему Synology

При этом в личном кабинете Tailscale вы будите видеть свои устройства в таком виде как на картинке ниже

При этом скорость такого соединения упирается в интернет канал и WIFI или сотовую связь. В моем случае скорость была около 400 Мегабит\с. И это все на сером IP адресе, т.е я не пробрасывал никаких портов на роутере. Через 4G у меня скорость доходила до 60-70 Мб\с и это очень очень отличный результат.

Учтите, что если у вас включен фаервол, то вы должны разрешить клиентские IP адреса.

На этом все, задача получить доступ на Synology за серым IP адресом без QuickConnect решена.


Теперь можно пойти дальше. Так например IP адрес 100.79.9.91 будет работать, только при включенном Tailscale, а если вы дома это как бы и не нужно. Как приложениям объяснить какой IP использовать и когда? Никак, этого они не поймут.

Поэтому для решения этой проблемы нужно, что бы клиент Tailscale на Synology объявил домашнею сеть всем кто подключился к вашей сети VPN Tailscale.

Для этого нужно на Synology ввести такую команду в консоли через SSH:

sudo tailscale up --advertise-routes 192.168.0.0/24 --advertise-exit-node --reset

Где:

  • 192.168.0.0/24 – это ваша домашняя сеть. Если она другая, то исправьте ее на свою
  • –advertise-exit-node – это опция для превращения вашего устройство Synology в шлюз. Грубо говоря вы сможете выходить в интернет так как будто вы находитесь дома.

Если вы не хотите использовать SSH, то можно так же через планировщик, только не указывайте sudo а выполняйте скрипт от пользователя root.

Теперь в личном кабинете Tailscale у устройства Synology появится две опции Subnets и Exit Node. Но они работать не будут. Для их активации нажмите три точки и Edit route settings

В открывшемся окне активируйте эти опции

Теперь на клиенте можно открывать по IP любое домашнее устройство, например зайти по локальному IP на Synology

Теперь когда вы дома, то Tailscale вам не нужен, можно его отключить, а вне дома или где-то в интернете включаете Tailscale и пользуетесь своими приложениями и услугами вашего Synology NAS

Приложениям Synology Drive, Photos, Video, Audio и другим указывайте локальный IP адрес Synology, что бы они всегда работали.

Можно пойти еще дальше, если у вас стоит Adguard Home, Pi-Hole или DNS сервер дома, то можно пользоваться и ими тоже. В настройках DNS Tailscale отключите MagicDSN. Удалите все Name Servers, пропишите IP адрес вашего DNS и поставьте галочку Override Local DNS

После этого ваши доменные зоны будут работать не только в локальной сети, но и в сети VPN Tailscale, что еще более удобно.

А что бы выходить в интернет, так как будто вы дома, то на клиентском устройстве зайдите в опции, выберите Use exit node, выберите ваш шлюз по умолчанию для выхода в интернет и вы увидите статус, что сейчас вы используете интернет того устройства. В моем случаи это Synology. Все сервисы будут думать, что вы находитесь дома.


Tailscale иногда требует повторной аутентиентиации ваших машин, чтобы обеспечить безопасность сети. Для предотвращения этого посетите страницу консоли администратора, чтобы отключить срок действия ключа как показано на картинке ниже

На этом все, всем удачи и пока!!!

Подписаться
Уведомить о
guest
53 Комментарий
Старые
Новые
Межтекстовые Отзывы
Посмотреть все комментарии