Synology-Forum.nl
Overige software => DDNS / Quick Connect / EZ-Internet / Portforwarding => Topic gestart door: DS214 op 22 september 2017, 03:21:42
-
Beste Forum-leden,
Het zou mogelijk moeten zijn mijn 214+ in te stellen als VPN-server. Ik wil dan via android extern contact maken via mijn nas, naar buiten. Omdat het meerdere instellingen zijn, deel ik mijn vraag op in twee stukken:
Vraag 1)
Ik heb deze handleiding opgevolgd:
https://www.synology.com/nl-nl/knowledgebase/DSM/help/VPNCenter/vpn_setup
Hierbij stel ik via de VPN-app de L2TP/IPsec in. Wanneer ik wil inloggen met android op de VPN heb ik informatie als een serveradres nodig. Deze handleiding is verre van compleet, want hoe nu verbinding te maken? Omdat poorten openen mij noodzakelijk leek, heb ik ook deze handleiding opgevolgd:
https://pcmweb.nl/artikelen/nieuws/zo-stel-je-je-eigen-nas-als-vpn-server/
Hierbij heb ik de poorten in de NAS geopend (via firewall > ingebouwde toepassing selecteren)
Ook in mijn Ziggo Connectbox bij IP- en poortfiltering L2TP-toegang aangezet. Zijn de juiste poorten dan open?
-------------------------------------------------------------------------------------------------------------------------------------------------
Source IPv6-adres Destination IPv6-adres Protocol Afzenderpoort Bestemmingspoort Toestaan Ingeschakeld Wis
All All L2TP All All Ja Ja
-------------------------------------------------------------------------------------------------------------------------------------------------
In mijn vorige modem kon ik elke poort handmatig openzetten. Volgens laatstgenoemde handleiding moeten 1701, 500 en 4500 open. Met port forwarding in de Ziggo Connectbox (via https://community.ziggo.nl/thuisnetwerk-101/port-forwarding-op-de-connectbox-16114) moet je voor het bewuste apparaat via DHCP een vast ipv4-adres aanmaken (terwijl hij nu dynamisch is, want via ****.synology.me.) Daarna zou je via IP- en poort-filtering de poorten moeten openzetten, maar daar vraagt hij om een ipv6-adres?
Vraag 2)
Stel dat de juiste VPN poorten via IP- en poortfiltering in het modem met L2TP-toegang geven wél al open stonden (zie toegangsregel hierboven)
Om vervolgens verbinding te maken gebruik ik deze handleiding:
https://pcmweb.nl/artikelen/nieuws/nas-als-vpn-server-verbinding-maken-met-smartphone-en-tablet
Hierin probeer je via android in te loggen op de VPN met het serveradres (IP van NAS) etc. Ik heb een omleiding via ****.synology.me. Dat vul ik in, is dat goed? En de inlog van een gebruiker met vpn-rechten. Plus de vooraf gedeelde sleutel.
Toch werkt het niet, wie kan mij helpen?
Alvast bedankt
-
Klinkt als een van de meest gehoorde vragen bij een helpdesk:"hij doet t niet".
Wat gaat niet goed? Krijg je helemaal geen verbinding? Of wel verbinding maar je login wordt geweigerd? Of kun je wel inloggen maar daarna "doet ie het niet"?
Probeer eerst eens met je vpn client in te loggen op de vpn terwijl je in je eigen lan zit, en dan gebruik makend van het ip adres in je lan vd vpn server. Als je dat aan de praat krigt, kun je gaan spelen om de verbinding van buitenaf op te zetten. Nu heb je teveel onzekerheden tegelijk om effectief te trouble shooten
-
Ik snap niet hoe TS het idee heeft dat je geen portforwarding in de connectbox van Ziggo kunt doen terwijl hij een paar regels later een link plaatst hoe hij dat moet doen.
Dat je er verstandig aan doet je NAS een vast ip-adres te geven via mac bonding lijkt me voor de hand liggend en zou ook voor z'n vorige router gedaan moeten zijn.
Even een paar misverstanden uit de weg ruimen.
****.Synology.me wijst uiteraard nooit naar het ip-adres van je NAS maar naar die van je router.
Je NAS zit op je lan en die is niet zichtbaar vanaf het internet, daarom heb je dus portforwarding in je router nodig die forward dan al het verkeer dat naar die bewuste poort(met het wan ip-adres van je router) gestuurd wordt door naar je NAS.
Die regel over die ip- en poortfiltering heeft niets met poortforwarding te maken, maar is een firewall regel.
Afhankelijk van hoe je de firewall in je router hebt ingesteld moet je voor een bepaalt protocol (in dit geval L2TP/IPsec een regel aanmaken dat dit protocol wordt doorgelaten.
Als je dat goed wilt doen zou ik minimaal een bestemming ip-adres en de juiste poorten(500, 1701 en 4500) opgeven en niet alles.
Maar om te testen zou ik de firewall op je router eerst even uitzetten of op een zo laag mogelijk level (er zijn er dacht ik drie).
-
Bedankt voor de reacties!
@mchp92 ik had het idee dat mijn vraag iets inhoudelijker was dan 'hij doet het niet'. Via het ip-adres van de nas van binnenuit een vpn verbinding proberen op te zetten gaf hetzelfde resultaat, dat voor de duidelijkheid geen enkele verbinding is. Na een tijdje 'verbinden' staat er 'niet geslaagd'.
@Ben(V) Ik heb niet het idee dat je geen portforwarding kunt doen, maar loop er tegenaan dat je eerst een ipv4-adres moet vastzetten en ergens moet invullen waar een ipv6-adres vereist is. Volgens de handleiding moet je dit invullen onder beveiliging in portforwarding, maar onder beveiliging staat bij mij alleen firewall, mac-filtering en ip en poort filtering.
EDIT: op de community van ziggo lees ik dat het geheel (VPN) helemaal niet mogelijk is met ipv6. En ook dat er onder ipv6 helemaal geen portforwarding mogelijk is?
Bedankt voor het uitleggen hoe de zichtbaarheid van de nas werkt, dat helpt. Het ip-adres stond inderdaad al vast.
"Als je dat goed wilt doen zou ik minimaal een bestemming ip-adres en de juiste poorten(500, 1701 en 4500) opgeven en niet alles."
Dat zou ik ook wel willen, maar ik weet niet hoe. Ik heb nu een ipv6-adres van de NAS gevonden. Hoe kan ik de poorten nog opgeven?
Ik raak een beetje in de war van jouw antwoord wanneer je zegt dat het niks met poortforwarding te maken heeft, maar er wel de juiste poorten opgegeven moeten worden.
Zie afbeelding
-
…Via het ip-adres van de nas van binnenuit een vpn verbinding proberen op te zetten gaf hetzelfde resultaat, dat voor de duidelijkheid geen enkele verbinding is. Na een tijdje 'verbinden' staat er 'niet geslaagd'.
Ik zou me nu helemaal niet druk maken over forwarden etc. Als het van binnenuit ook niet werkt, zit er ergens een configuratiefout in de cliënt of de nas. Dat moet je eerst aanpakken voordat je een volgend probleem in de router gaat oplossen. Dat volgende probleem is er misschien niet eens.
Met IPv6 is inderdaad geen forwarding mogelijk omdat er niets te forwarden is. Elk apparaat op je lan kan nml met een eigen publiek IP aangesproken worden.
Maar dat IP moet je wel van buiten benaderbaar maken. Verder kun je instellen welke poorten toegankelijk zijn. Qua instellingen die je doet, lijkt het wel erg of forwarden. Op de Ubee staat dit IPv6 gebeuren dus ook tussen de IPv4 forwardingsregels.
-
Heb hem toevallig net aan de praat van binnenuit. Via het ip-adres van de NAS en op wifi dus.
Hoe nu verder?
Nu bij verbinden het adres via ****.synology.me invullen?
-
Uiteraard is er onder ip6 geen portforwarding mogelijk, dan heeft ieder device op je lan een eigen ipv6 adres en valt er niets te forwarden.
Of je daar blij mee moet zijn is een andere zaak, want NAT geeft toch ook nog wel een behoorlijke bescherming tegen kwaadwilligen.
Er is nog een mogelijkheid en dat is als je in oud Ziggo gebied zit (dus niet UPC), je hebt dan kans dat je ds-lite hebt en dan werkt VPN gewoon niet, omdat je dan geen extern toegankelijk ipv4 adres meer hebt.
-
Ik weet toevallig dat ik juist in een oud UPC gebied zit. Dit hebben ze bij mijn overstap vermeld.
-
Maar heb je nu IP6 of ip4?
-
IPv6
-
en werken jouw devices (NAS, PC etc) ook met ipv6?
-
Ik denk het.. Bij verbonden apparaten in het ziggo modem zie ik bij mijn nas zowel een ipv4 als een ipv6 adres staan.
Ondertussen ook ziggo aan de lijn gehad en ik word teruggezet van ipv6 naar ipv4, dat leek die persoon goed. Dat las ik ook vaak terug op het forum bij mensen die precies dit probleem hadden. Goede zet?
-
helemaal prima
-
Het is juist oud-UPC die DS-lite gebruikt. Daarmee kun je de nas niet meer via IPv4 benaderen en moet je alles via IPv6 doen. En dat is weer een ramp als je extern op een IPv4-only locatie zit.
Als je thuis een nas hebt, is thuis IPv4-only inderdaad het simpelste.
-
En ik ben overgezet. Nu de optie 'port forwarding' weer terug.
Tot mijn verbazing staan er echt een elftal poorten open. Andere dan ik ooit op het vorige modem heb opengezet voor de nas (bij installatie). Volgens mij heeft DSM met upnp deze poorten automatisch geopend in het huidige modem, kan dat?
Poorten die nu openstaan zijn op verschillende ip's en met protocol UDP, terwijl ik voor mijn nas in het vorige modem voor 1 ip zeven poorten open deed.
Handmatig terugzetten naar wat ik had? Voordat ik poorten ga openzetten voor vpn
-
Dat is een van de redenen waarom je nooit upnp moet gebruiken.
Meteen uitzetten in het modem.
Weet niet welke poorten open staan maar alles wat je niet zelf opengezet hebt is verdacht.
Ik zou je PC ook maar eens scannen op malware.
-
…Volgens mij heeft DSM met upnp deze poorten automatisch geopend…
Dat is het doel ook van UPnP op een router. Op de Ubee van Ziggo zie je deze UPnP forwards echter nooit staan. Daar heb je speciale UPnP software nodig om dit in de router te zien. Lekker geniepig. Die UPnP forwards hebben ook nog voorrang boven handmatig ingestelde dus kun je daar lekker in de problemen komen als je zichtbare forwards door de onzichtbare overruled worden.
UPnP gewoon uitzetten en alles met de hand instellen.
Dat je eerder geen IPv4 forwards kon zien ik nieuw voor me, maar het heeft een logica omdat het niet kan werken onder DS-lite.
…maar alles wat je niet zelf opengezet hebt is verdacht.
Ik kan me herinneren dat mijn zus eens langsgeweest was. Een paar dagen later keek ik met een tool naar de UPnP forwards en zag dat Skype twee forwards aangemaakt had naar het IP van de smartphone van mijn zus.
Dat was schrikken, vooral om dat de UPnP checkbox van mijn router aangaf dat UPnP uit stond. (Die bug heeft Ziggo gelukkig opgelost)
-
Zag dit oude topic. Dit werkt nu dankzij de antwoorden, nog bedankt iedereen!
-
Is je eigen Topic :lol:
-
Dat klopt helemaal! ;)
Had nog niet gereageerd, zag ik.
Was meer een verzoek voor een slotje.