VPN-verbinding met RT1900ac als VPN-server

[Birdy]

Mooi zo

[Undertaxxx25]

Goeiemorgen allen,

Intussen OpenVPN dus werkend maar loop tegen een nieuw probleem aan. Als ik verbonden ben met VPN krijg ik het WAN IP van thuis te zien en de DNS server van mijn ISP. Nu zou ik graag lokaal access willen hebben en dus de DNS van het LAN subnet thuis willen verkrijgen. Indien ik de DNS van het LAN subnet aan de Openvpn.ovpn file toevoeg heb ik geen internet toegang meer. Op US forum zie ik onderstaande oplossing maar toch bizar dat je via SSH connectie aanpassingen moet doen alvorens dit werkend te krijgen. Indien iemand de oplossing heeft gevonden voor dit issue.

1. Add a firewall rule to allow traffic from OpenVPN subnet to LAN subnet.
Code: Select all
Ports: all
Source IP: Subnet 10.8.0.0/255.255.255.0
Destination IP: SRM
Action: allow

2.Add a line in OpenVPN's server config file to push route to the client.
Edit the following file:
Code: Select all
/usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf

And add this line at the top of the file (adjust to match your subnet range):
Code: Select all
push "route 192.168.1.0 255.255.255.0"

Reboot the VPN server.

[Pippin]

push "route 192.168.1.0 255.255.255.0"

Dit zou niet nodig moeten zijn als je in de OVPN server de optie, clients toegang geven tot het LAN, hebt aangevinkt.
Die optie pushed namelijk de route naar de client zodat deze weet hoe die daar komen moet.

Als dat niet werkt, ticket maken.

Nu zou ik graag lokaal access willen hebben en dus de DNS van het LAN subnet thuis willen verkrijgen

Lokaal access staat los van DNS, zie mijn push route verhaaltje.

Als je de DNS aanvragen van je client ook over de VPN wil laten gaan dan moet in de config van de server:

Code: [Selecteer]

push "dhcp-option DNS ip.van.dns.in.lan"of aan de config van de client:

Code: [Selecteer]

dhcp-option DNS ip.van.dns.in.lantoevoegen.

[Undertaxxx25]

Heb al verschillende settings getest maar bv. Sonos bereiken via OpenVPN verbinding is onmogelijk. Ook het lokaal subnet scannen is onmogelijk met welke instelling dan ook. Clients toegang geven tot het LAN staat netjes aangevinkt bij de OpenVPN instellingen op de RT1900ac.

Met onderstaande instellingen in de openvpn.ovpn file krijg ik via OpenVPN op iPhone het WAN IP van mijn router + DNS van ISP. Lokaal Subnet is dus niet bereikbaar.

redirect-gateway def1
dhcp-option DNS (hier staat DNS van mijn ISP)

Met onderstaande instellingen in de openvpn.ovpn file krijg ik via OpenVPN op iPhone het WAN IP van mijn 4G connectie + DNS van lokaal subnet. Toch heb ik nog steeds geen toegang tot bv. Sonos netwerk van thuis.

#redirect-gateway def1
#dhcp-option DNS (niets ingevuld)

Met onderstaande instellingen in de openvpn.ovpn file krijg ik via OpenVPN op iPhone geen WAN IP + DNS van lokaal subnet. Nu heb ik geen toegang meer tot internet alsook geen toegang tot het lokaal subnet.

redirect-gateway def1
dhcp-option DNS (DNS van LAN subnet thuis)

[Babylonia]

Zo'n Sonos, werkt dat normaal niet via DLNA ?
Weet niet of zoiets via VPN wordt doorgegeven.  Kan het hier niet controleren want heb geen apparaten die van DLNA gebruik maken.

Verder kan ik vanuit mijn smartphone via het 3G netwerk, via het lokale LAN IP-adres zowel mijn router als een erachter aangesloten NAS benaderen. Met een webbrowser het internet op, via de connectie "thuis" en web-pagina's bekijken.
mijn-ip-adres.nl    geeft het WAN IP-adres van thuis weer.

Ik heb mijn instellingen zoals eerder in de draad weergegeven  < HIER >
(met uitzondering van "float" wat voor mijn smartphone tevens is geactiveerd).

Die configuratie werkt ook als zodanig correct vanuit mijn andere locatie 35 km verderop, en dan VPN opgebouwd vanuit een laptop.
(Dezelfde aangepaste  openvpn.ovpn  configuratie,  "float" daarbij niet geactiveerd zoals aangegeven).


Instellingen die ik eerder nog niet heb benoemd, maar mogelijk verschil kunnen maken:




De volgende instellingen worden niet benoemd voor Open VPN, maar geef ik toch maar weer.
Lijken me meer bedoeld als je achter de router een VPN-server hebt draaien (bijv. op een NAS).
Ik merkte geen verschil met die opties aan- of uit gevinkt. Liet het maar aangevinkt.



De help-file wat die erover weergeeft:

[falcone75]

Ik hoop dat de experts hier me kunnen helpen want ik snap er even niks meer van. 
Hierbij mijn situatie:

ZIGGO modem, IP = 192.168.1.1 (geen DHCP)
Port forward in ziggo modem van 443 naar 1194 (TCP, zie opm laterop)
RT1900ac, WAN IP = 192.168.1.99 (kabel tussen Ziggo modem en WAN poort)
RT1900ac, DHCP in range 192.168.2.10-50; intern IP: 192.168.2.1

OpenVPN server uninstalled en reinstalled. Bij reinstall kreeg ik melding dat Firewall regels moesten worden aangemaakt. Geaccepteerd. In VPN server settings: TCP protocol (zie verderop), poort 1194 en intern netwerk gebruiken aangevinkt

OpenVPN client script als volgt en gestart als administrator:

dev tun
tls-client
remote ziggo-wan-ip-adress 443
#float
redirect-gateway def1
dhcp-option DNS 8.8.8.8
pull
proto tcp-client
script-security 2
ca ca.crt
comp-lzo
reneg-sec 0
auth-user-pass

(NB: Dat ik TCP connectie op 443 verkies heeft te maken dat UDP connectie niet werkt vanuit mijn bedrijfsnetwerk, TCP connectie op 443 wel)

Resultaat: Ik kan OPENVPN connectie maken.
Ik kan bij mijn NAS komen via IP 192.168.2.100 (= intern IP adress NAS).
Tevens kan ik -vreemd genoeg imho- mijn ziggo modem benaderen door 192.168.1.1 in te tikken

Wat me echter niet meer lukt (vreemd genoeg lukte me dat eerder wel):
Inloggen op de RT1900ac als ik via VPN connected ben.
Ik heb geprobeerd: 10.8.0.1; 192.168.2.1; 192.168.1.99.
Lukt niet, reactie = Deze webpagina is niet beschikbaar. ERR_CONNECTION_TIMED_OUT
(NB: ik heb deze adressen ook ingetikt met :8000 erachter, zelfde resultaat)
Ook via verkenner \\10.8.0.1; \\192.168.2.1; \\192.168.1.99 time-outs.

Iemand enig idee hoe ik in kan loggen op mijn RT1900ac als ik via VPN connected ben?
Als er nog settings ter toelichting nodig zijn let me know.

[Babylonia]

Verder neem ik aan dat je in de Ziggo modem niet alleen de poorten hebt doorgestuurd, maar de Synology router ook een fixed IP-adres hebt gegeven op basis van het MAC-adres ?   (IP 192.168.1.99).

Je geeft aan dat je niet met UDP kunt werken onder poort 1394 1194,  maar kun je via poort 443 vanuit je bedrijfsnetwerk dat wel onder UDP?
In dat geval zou je in plaats van TCP, UDP kunnen gebruiken.
Als dat niet het geval is, waarom gebruik je dan niet gewoon poort 1394 1194 vanuit je bedrijfsnetwerk onder TCP, en stuurt dat normaal door naar 1394 1194 binnen je eigen netwerk?

Door juist typisch voor poort 443 te kiezen vraag ik me af of het dan niet een "versleutelde verbinding - binnen een versleutelde VPN verbinding gaat worden"?
Dubbel-op.  Dat lijkt me vragen om moeilijkheden. Waarom niet gewoon van de standaard instellingen gebruik maken?
En als het dan niet gaat onder UDP, alleen het protocol kiezen voor TCP (inclusief de instelling in de Synology router zelf daarvoor).

Dat je het Ziggo modem kunt benaderen is niet vreemd, want dat kun je thuis als je in je eigen thuisnetwerk zit ook.
VPN is niet meer dan een verlengstuk van het netwerk thuis. Dus wat je thuis kunt, kun je elders dan ook.

Als de tunnel dan correct werkt, de router benaderen met   192.168.1.99:8000

Kun je een schermafdruk geven van je Firewall settings?

[falcone75]

Bedankt voor je snelle reactie Babylonia. De antwoorden op je vragen:
- Klopt, RT1900ac heeft fixed adres
- Nee, meermaals geprobeerd. Met UDP kan ik, ook via 443, geen connectie leggen. MVP gaf aan dat ik het niet snapte, maar ik heb dit echt geprobeerd en werkt niet. De 443-TCP combo heb ik juist via internet als oplossing gevonden, zie https://www.bestvpn.com/blog/5919/how-to-hide-openvpn-traffic-an-introduction/
- Via poort 1194 (je geeft aan 1394, maar ik denk dat je 1194 openvpn bedoeld) kan ik geen verbinding vanuit bedrijfsnetwerk opzetten. wordt geblocked denk ik. Proxy? Firewall? Hoe weet ik niet.
- De OpenVPN verbinding die ik nu heb werkt dus wel: Ik krijg verbinding en kan nas (en ziggo modem) via intern ip adressen benaderen. De RT1900ac synology router dus alleen niet!
- Firewall RT1900AC:

 

[Babylonia]

Heb in mijn vorige reactie even het poortnummer gecorrigeerd (inderdaad een vergissing).

Dat van die verwijzing in gebruik van poort 443 voor VPN  m.b.t. tot landen die sensuur plegen,  is een goeie!
Zo steek ik er ook nog iets van op 

Ik denk dat je Firewall te beperkt zijn ingesteld.
Bovendien de poort die je apart hebt ingesteld in je 2e regel zit reeds in de 1e regel besloten.

Hieronder even de Firewall regels voor de situatie even aangepast zoals het voor jou van toepassing zou kunnen zijn.
(Geen rekening houdend met andere services die je van buiten uit zou willen benaderen).

[falcone75]

Fixed it!

AndyVR had onderstaande al gepost


dus gisteren had ik die firewall regel toegevoegd:


Net ingelogd en ja hoor, nu werkt het !
Kortom: Wil je SRM ook bereiken via OPENVPN dan ook in firewall dit toestaan (precies zoals je aangeeft Babylonia!)

Wat betreft die 443-TCP. Ik werk niet in China ;-) Toch heeft de bedrijfsproxy / firewall eea goed dichtgetimmert.