Starten met VPN

[TonVH]

Staat enigszins los van Synology, vandaar hier. Merk wel als dit verkeerde plek is.

Ik zit erover te denken om al het verkeer vanaf de NAS vis een VPN (denk aan PIA als provider) te laten lopen. Gepoogd me op dit gebied wat in te lezen maar heb last van het bomen/bos effect. Dus wat start/richtingen zou behulpzaam zijn.

Allereerst vraag ik mij af: Wat is nu de plek om deze software te installeren?

-  in de router? Zou (denk ik) als gevolg hebben dat al het Internetverkeer van het lokale netwerk via de VPN gaat/ Lijkt enerzijds makkelijk maar is dit wel verstandig.

-  in de NAS? Als pakket vind ik alleen een VPN-sserver terwijl het mij lijkt dat ik een client nodig heb. Of zie ik begrip server/client hier verkeerd.Heb nu een Airport Extreme maar heb plannen die te vervangen door .......

Kortom, enige tips en/of URL's worden op prijs gesteld want het wiel volledig uitvinden lijkt mij overbodig. Alvast mijn dank.

[Birdy]

n de router? Zou (denk ik) als gevolg hebben dat al het Internetverkeer van het lokale netwerk via de VPN gaat/ Lijkt enerzijds makkelijk maar is dit wel verstandig.

Dat kan echter, je Router moet dit wel ondersteunen dus, een Cliënt verbinding kunnen maken.
Nadeel is dan wel, dat o.a. de NAS van buitenaf niet meer bereikbaar kan zijn, volgens mij.
En, als je Mail hebt lopen via je Internet Provider, dan is de kans groot dat je wel mail kunt ontvangen maar, niet verzenden.

-  in de NAS? Als pakket vind ik alleen een VPN-sserver terwijl het mij lijkt dat ik een client nodig heb.

Cliënt deel zit hier:


In principe kun je een Cliënt hebben per apparaat b.v. PC, NAS.

[TonVH]

"Nadeel is dan wel, dat o.a. de NAS van buitenaf niet meer bereikbaar kan zijn, volgens mij.
En, als je Mail hebt lopen via je Internet Provider, dan is de kans groot dat je wel mail kunt ontvangen maar, niet verzenden."

Dan is die optie gelijk exit. In alle gevallen moet normale toegang voor rest netwerk ongehinderd blijven bestaan.


"client deel zit hier"

Heb me de blubber gezocht en dankzij jou dus gevonden waar ik moet zijn. Ga me verder verdiepen. Als ik goed begrijp is het een kwestie van een (testaccount bij een VPN provider, daar de gegevens van invullen en al het uitgaande NAS verkeer gaat via de VPN.

Neem aan dat (van buiten) binnenkomend verkeer (dus buiten VPN)gewoon doorgaat? In dat geval is het relatief simpel en weekendje werk. Of ben ik te optimistisch?

Heb je nog tips om simpel te kunnen testen of het NASverkeer daadwerkelijk via die VPN loopt?

[Birdy]

Als ik goed begrijp is het een kwestie van een (testaccount bij een VPN provider, daar de gegevens van invullen en al het uitgaande NAS verkeer gaat via de VPN.

Welke je ook als Provider kiest, ze zullen je de instructies geven, mag ik aannemen.

Neem aan dat (van buiten) binnenkomend verkeer (dus buiten VPN)gewoon doorgaat?

Als je NAS verbonden is aan een VPN Provider, dan denk ik dat je NAS op dat moment niet meer bereikbaar is van buiten af.
Maar, je hoeft toch niet altijd verbonden te zijn ? (lijkt mij).

[Birdy]

Wordt dus een kwestie van testen met een proef account

[Ben(V)]

Ik heb nog nooit een vpn vanuit de Nas naar een Vpn provider opgezet, maar het is technisch gezien niet noodzakelijk dat de Nas dan niet meer gewoon via het netwerk te bereiken is.
Het lijkt me zelfs onwaarschijnlijk, want dat zou inhouden dat je ook niet meer vanaf je lan op de Nas kunt komen, maar alleen via de Vpn tunnel, dus via de Vpn provider.
Dat lijkt me voor een Nas een onzinnige implementatie.

Voor pc's wordt dat vaak wel gedaan, als het bijvoorbeeld via een Vpn client op je pc naar een bedrijfsnetwerk wil connecten, dan wil zo'n bedrijf niet dat die pc ook nog met je lan/internet verbonden bent.
Je zou dan effectief een gateway naar het internet zijn en alle firewalls van het bedrijf bypassen.
Dit zijn echter meestal speciale Vpn clients, een gewone vpn client doet dat niet default.

[Birdy]

Het lijkt me zelfs onwaarschijnlijk, want dat zou inhouden dat je ook niet meer vanaf je lan op de Nas kunt komen, maar alleen via de Vpn tunnel, dus via de Vpn provider.

Vanaf LAN is je NAS natuurlijk wel bereikbaar, die tunnel is immers voor naar buiten en niet voor binnen gebruik.

[Pippin]

Als je router policy routing kan zou dat het mooist zijn. Die verbindt dan met je VPN-provider en dan kun je in de router per apparaat op het LAN aangeven of die door de VPN moet of niet.

Als je DS twee LAN-poorten heeft kun je volgens mij meerdere gateways activeren op de DS waardoor de ene LAN-poort bereikbaar blijft en de andere poort voor de VPN gebruikt wordt. De LAN-poort voor de VPN is dan niet bereikbaar vanaf internet maar de andere wel.
Natuurlijk dient dan wel port forward in de router geregeld te zijn.

[Ben(V)]

Het lijkt me zelfs onwaarschijnlijk, want dat zou inhouden dat je ook niet meer vanaf je lan op de Nas kunt komen, maar alleen via de Vpn tunnel, dus via de Vpn provider.

Vanaf LAN is je NAS natuurlijk wel bereikbaar, die tunnel is immers voor naar buiten en niet voor binnen gebruik.

Als je vanaf het LAN bij je NAS kunt gaat dat natuurlijk ook vanaf het internet.
Dat is een kwestie van portforwarden en je NAS weet niet beter dan dat het verkeer van de LAN poort van je router komt.

Maar die VPN client in je NAS moet wel split tunnel functionaliteit hebben, maar zoals ik al zei lijkt het me waarschijnlijk dat hij dat wel heeft anders is het voor een NAS een vrij nutteloze functionaliteit.

[TonVH]

Als ik goed begrijp is het een kwestie van een (testaccount bij een VPN provider, daar de gegevens van invullen en al het uitgaande NAS verkeer gaat via de VPN.

Welke je ook als Provider kiest, ze zullen je de instructies geven, mag ik aannemen.

Kans dat ik verkeerd kijk maar ik zie bij vrijwel elke VPN provider de optie om een programmaatje te DL'en die het voor mij zal regelen. Echter die zijn voor Win, Mac, etc. Wat ik nergens kan vinden is een provider die of een .spk voor Synology heeft of de parameters die ingevuld moeten worden bij "netwerk aanmaken -> VPN -> profiel maken".

Iemand die nog wat suggesties heeft op dit punt?

[Pippin]

Tutorial voor PIA:

[Pippin]

Voor DSM 6 is het eenvoudiger geworden als ik deze link zo lees:
https://www.privateinternetaccess.com/forum/discussion/21856/how-to-set-up-synology-dsm-6

Eigenlijk dus gewoon de Synology help volgen...

[Birdy]

Nou, dus maar eens getest hoe het werkt, heb dit mogen/kunnen doen met een (PIA) account van een vriend van mij 

Dit zijn de stappen, in woord en beeld:

EDIT 20:47: 0 - Vink eerst aan: (Met dank aan @MMD )


1 - Heb OpenVPN-configuratiebestanden (aanbevolen) gedownload en uitgepakt, je krijgt de map openvpn op je PC en daar haal je dus het nodige uit:
1.1 - Heb gekozen voor Gateway Nederland dus, ik gebruik:
1.2 - Netherlands.ovpn
1.3 - Certificaat is: ca.rsa.2048.crt
1.4 - Certificaatintrekkingslijst (certificate revocation list): crl.rsa.2048.pem

2 - VPN Cliënt inrichten.

2.1


2.2


2.3


2.4


2.5


3 - Verbinden


3.1 - Verbonden


4 - Checks

4.1 - PuTTY (ifconfig)


4.2 - PuTTY (traceroute)
Je ziet hier dat ik naar buiten ga via het virtuele adres van OpenVPN.


4.3 - Check voor DSM updates en Packages installeren werkt.

5 - Opmerkingen:
5.1 - NAS is uiteraard via LAN bereikbaar.
5.2 - Vooraf had ik even een DDNS ingesteld en kon dus m'n NAS, via telefoon (zonder WiFi), benaderen.
5.3 - Na de verbinding met PIA, kon ik de NAS niet meer benaderen (DDNS en Extern IP-adres getest), via telefoon (zonder WiFi), zoals ik had verwacht.
Als hier een oplossing voor nodig is, misschien dat iemand anders die weet.
(Doorgehaald, oplossing is stap 0)

[Ben(V)]

Strak werk Birdy.

Maar dat je de Nas niet meer vanaf het internet kunt benaderen dat snap ik niet helemaal.
Als je vanaf je Lan je Nas via poort 5000 kunt benaderen dan zou je als je een poort forwarding in je router naar poort 5000 van je NAS doet je de NAS ook normaal moeten kunnen benaderen.

Als dat niet lukt, dan moet de VPN software van de NAS dus actief dat Lan verkeer dat vanaf je router komt blokkeren.

[Birdy]

Thanks!

Het zal wel aan de route liggen ? (heb er niet zoveel verstand van.....)

VPN uit:

Code: [Selecteer]

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         router.asus.com 0.0.0.0         UG    0      0        0 ovs_eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 ovs_eth0

VPN aan:

Code: [Selecteer]

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.17.10.5      128.0.0.0       UG    0      0        0 tun0
default         10.17.10.5      0.0.0.0         UG    0      0        0 tun0
10.17.10.1      10.17.10.5      255.255.255.255 UGH   0      0        0 tun0
10.17.10.5      0.0.0.0         255.255.255.255 UH    0      0        0 tun0
46.166.188.213  192.168.1.1     255.255.255.255 UGH   0      0        0 ovs_eth0
46.166.190.234  192.168.1.1     255.255.255.255 UGH   0      0        0 ovs_eth0
128.0.0.0       10.17.10.5      128.0.0.0       UG    0      0        0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 ovs_eth0

Ben van buitenaf niet te zien lijkt mij en, dat is natuurlijke de bedoeling van een dergelijke verbinding.