Site to site vpn Synology router

Synology router understøtter site to site vpn. Efter DSM er opgraderet til SRM version 1.3 er der sket ændringer på din router. Den understøtter flere netværk F.eks. Gæste netværk, Vlan.

Dette kan give nogle udfordringer når du skal oprette et site og site VPN, for under “privat undernet” kan man ikke vælge “netværk 1” som er det primære netværk

Du kan se at man kan vælge Lan på billedet : men det er oprettet manuelt under objekter

Sådan opretter du et objekt “netværk”. Gå i VPN plus server og vælg objekt. Klik på tilføj og opret et netværk som er = Netværk 1 primær netværk

Installer connector synology Twingate VPN

Åben container manger på din Synology. Bemærk det er er ikke alle Synology modeller som Der kan installeres container manager på. Denne guide tager udgangspunkt i at du har DSM 7.0. Start med at downloade twingate

  1. Download Twingate Connector-billedet:

Klik på fanen “Registry” i Docker. I søgefeltet, skriv twingate/connector og tryk Enter. Vælg billedet og klik på Download. Sørg for at downloade den nyeste version af Twingate Connector-billedet.

login i twingate start med at oprette et navn f.eks lokation.twingate.com

Når du er logget ind skal du deploy connector. Vælg docker

Step 2 er at generere token

Gå under under container, klik på opret.

TENANT_URL
REFRESH_TOKEN
ACCESS_TOKEN

Tilføje disse variabler

Husk at når du første har genereret token kan du ikke få dem vist igen.

Du må heller ikke genbruge tokens

‘Connector tokens are unique to each individual Connector and they cannot be shared between Connectors.’

Når connector er forbundet skal der laves en “resource”

En resource kan være en enhed ip adresse, en range af ipadresser 192.168.10.0/24,det kan være porte f.esk 3389

For at forbinde til twingate download du klienten her: https://www.twingate.com/download

Eksempel på overførsels hastivhed.

Twingate kan være et godt alternativ til “Tailscale” der ikke har særlig god performance på en synology nas.

Link til engelsk installationvejledning

nu skal der laves adgang til en resource f.eks en Synology nas

Label=nas-kh
Globus = ip adresse på synology nas
Alias= dns navn. man kan ikke benytte hostname det skal være et DNS navn. “hostnavn.internal” benyt ikke *.local det kan give problemer.

i stifinder kan man nu skrive \\nas-kh.internal

Opsætning af DMARC

DMARC skal sikre os at vi tjekker for SPF og DKIM “digital signatur” inden vi modtager en mail på vores server i office 365.

Inde du går i gang skal du tjekke at du har adgang til kundens DNS records

Step1

Start med at oprette en e-mail shared mailbox til at opsamle fejl rapporter. F.eks. dmarc@domænenavn.dk

Til at generere vores TXT DNS record benytter vi denne side Link eller benyt mxtoolbox.

Step2

Der skal laves en txt record:

 _DMARC.domænenavn.dk

Value: 

v=DMARC1; p=none; rua=mailto:dmarc@domænenavn.dk; ruf=mailto:dmarc@domænenavn.dk; fo=1

Link til DMARC generator Link

v=DMARC1;p=none;sp=reject;pct=100;rua=mailto:dmarc@uni-it.dk;ruf=mailto:dmarc@uni-it.dk;ri=86400;aspf=r;adkim=r;fo=1

Link til artikel hos CloudFactory:

Test din record hos mx toolbox.

Her er forklaring på en enkelte records

v (required)The version tag. The only allowed value is “DMARC1”. If it’s incorrect or the tag is missing, the DMARC record will be ignored.
p (required)The DMARC policy. Allowed values are “none”, “quarantine”, or “reject“. The default is “none,” which takes no action against non-authenticated emails. It only helps collect DMARC reports and gain insight into your current email flows and their authentication status. “quarantine” marks the failed emails as suspicious, while “reject” blocks them.
ruaAggregate report sending destination. It’s the “mailto:” URI that ESPs use to send failure reports. The tag is optional, but you won’t receive reports if you skip it.
rufForensic (Failure) report sending destination. It’s the “mailto:” URI that ESPs use to send failure reports. The tag is optional, but you won’t receive reports if you skip it.
spThe subdomain policy. The subdomain inherits the domain policy tag (p=) explained above unless specifically defined here. Like the domain policy, the allowed values are “none,” “quarantine,” or “reject.” This option isn’t widely used nowadays.
adkimThe DKIM signature alignment. This tag follows the alignment between the DKIM domain and the parent Header From domain. Allowed values are “r” (relaxed) or “s” (strict). “r” is the default and allows a partial match, while the “s” tag requires the domains to be the same.
aspfThe SPF alignment. This tag follows the alignment between the SPF domain (the sender) and the Header From domain. Allowed values are “r” (relaxed) or “s” (strict). “r” is the default, and allows a partial match, while the “s” tag requires the domains to be exactly the same.
foForensic reporting options. Allowed values are “0,” “1,” “d,” and “s.” “0” is the default value, which generates a forensic report when both SPF and DKIM fail to produce an aligned pass. If either of the protocol outcomes is something other than pass, use “1.” “d” generates a report when DKIM is invalid, while “s” does the same for SPF. Define the ruf tag to receive forensic reports.
rfThe reporting format for failure reports. Allowed values are “afrf” and “iodef”.
pctThe percentage tag. This tag works on domains with a “quarantine” or “reject” policy only. It marks the percentage of failed emails a given policy should be applied to. The rest falls under a lower policy. For example, if “pct=70,” on a domain with a “quarantine” policy, it applies only 70% of the time. The remaining 30% goes under “p=none”. Similarly, if “p=reject” and “pct=70,” “reject” applies to 70% of failed emails, and 30% go into “quarantine.”
riReporting interval. Marks the frequency of received XML reports in seconds. The default is 86400 (once a day). Regardless of the set interval, in most cases, ISPs send the reports at different intervals (usually once a day).

  • Installer connector synology Twingate VPN

  • Opsætning af DMARC

  • Opsætning af DKIM

  • Certificate on esxi 6.7 / 7.0

  • Test din adblocker

  • Tjeck at et domæne understøtter TLS kryptering

Opsætning af DKIM

Forberedelse: Tjek at du har adgang kundens DNS records

Trin til oprettelse af DKIM

1.Log ind på siden https://security.microsoft.com/dkimv2

Klik på det domæne du vil oprette DKIM for

2. Klik på opret DKIM -nøgler

Der genereres nu domænenøgler Der oprettes 2 stk CNAME.

Host Name : selector1._domainkey
Points: selector1-domæne-dk._domainkey.arkitektsk.onmicrosoft.com

Host Name : selector2._domainkey
Points : selector2-arkitektsk-dk._domainkey.arkitektsk.onmicrosoft.com

Tryk nu enable DKIM

Verificer DKIM hos microsoft

https://admin.microsoft.com/AdminPortal/?searchSolutions=DKIM#/homepage

Kør nu en test og tjeck at det er sat rigtigt op.

Dobbelt tjeck hos mx toolbox. selector er = selector1

Link:

Her er resultatet

  • Installer connector synology Twingate VPN

  • Opsætning af DMARC

  • Opsætning af DKIM

iperf3

mål netværks performance med dette lille program.

Start med at installere iperf3.exe på den maskine som der skal måles op imod. Den skal fungere som server.

Vil du måle op imod en Synology nas skal du gøre det via Container manager

iperf3 on docker

installer iperf3 som client på f.esk en windows maskine. Start power shell som administrator.

choco install iperf3

open PowerShell og lave en måling op imod en Synology