Synology-Forum.nl

Hardware ondersteuning => Netwerk algemeen => Topic gestart door: admiralawesome op 13 maart 2019, 13:23:30

Titel: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 13 maart 2019, 13:23:30
Goedemiddag alle,

Na de afgelopen dagen flink wat gelezen en gezocht te hebben hier op het forum, toch maar besloten om zelf een topic te openen.
Ik heb tips nodig om mijn vpn weer omhoog te krijgen.

Vorige week ben ik van de oude glassituatie van telfort (met een eigen router) geupgrade naar de nieuwe glasverbinding (met de experiabox v10a). Sindsdien lukt het mij niet meer op mijn vpn-diensten (IPsec en VPN plus op de iphone) te connecten.
Ik heb al geprobeerd om de experiabox in te stellen zodat de Syno-RT1900 in de dmz valt (werkt niet), ik heb geprobeerd om de portforwarding zo in te stellen dat de porten 500, 1701 & 4500 (udp) & 443 (tcp) direct worden geforward naar de RT1900 en op de RT1900 staan de firewall instellingen dat alle bronpoorten met als doel VPN Plus Server (L2TP/IPsec) en VPN Plus Server (SSLVPN) geaccepteerd dienen te worden.
Niks lijkt te werken. De app geeft een fout melding aan (Fout Onbekende fout (De bewerking kan niet worden voltooid. (SYNOWebAPIErrorDomain fout 402.)), en ook via windows kan ik geen verbinding opbouwen. Aan de RT1900 kant is niks veranderd, dus het lijkt me in de experiabox te zitten (?).

Kort om.. wat mis ik?
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Babylonia op 13 maart 2019, 13:45:03
De Telfort V10A  heeft een aantal bugs.  Waaronder die met een VPN-connectie, maar alleen aangaande het PPTP-protocol.
Zowel uitgaande verbindingen (als VPN Client naar een server elders), alsook inkomende verbindingen naar de thuis-server.
Meer erover is beschreven op het Telfort forum < HIER > (https://forum.telfort.nl/internet-267/vpn-op-een-v10a-werkt-niet-80845#post671577)

De andere VPN-protocollen  --degene die jezelf toepast--  hebben echter geen problemen.
Dus als je daar toch problemen mee hebt, heb je naar ik vermoed toch een aantal verkeerde instellingen gebruikt?
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Ben(V) op 13 maart 2019, 13:47:37
Je kunt alleen je eigen router in de DMZ van de experiabox zetten, zodat je eigen router dan als het ware direct aan het internet hangt.

En dat moet uiteraard gewoon werken, gebruikt TS wel het juiste ipadres om naar te connecten want die nieuwe experiabox heeft natuurlijk wel een ander ipadres gekregen.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 13 maart 2019, 13:50:36
Hoi Ben,
uiteraard gebruik ik wel het nieuwe ipadres.
En aan de dmz kan weinig fout gaan, lijkt me. Het client adres is die van de Synology Router.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 13 maart 2019, 13:55:53
Hoewel het "uiteraard" gewoon moet werken, heb ik niet zulke exotische instellingen wat zou verklaren dat het na het omprikken van een telfort router, opeens niet meer werkt.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Babylonia op 13 maart 2019, 14:02:29
Zelf maak ik geen gebruik van DMZ, maar stel apart port forwarders in voor de services die worden gebruikt.
(Overigens wel een keer getest met DMZ en dat werkt ook).

Eerst DHCP-binding (in mijn geval het meeste naar de 2e router, zijnde een Synology RT1900ac

[attach=1]

Doorsturen van poorten, waarbij VPN - PPTP dus NIET functioneert.
Voor mezelf gebruik ik een andere poort     voor Synology SSL-VPN ----> poort 442
En heb tevens een tweede poort ingesteld voor Synology SSL-VPN ----> poort 452
                                             (voor de VPN-server in de MR2200ac als Access Point).

[attach=2]

Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 13 maart 2019, 14:05:03
Ik heb je post op een ander topic gelezen (link (https://www.synology-forum.nl/synology-router/vpn-verbinding-met-rt1900ac-als-vpn-server/msg173632/#msg173632)), maar zelfs na het stat-voor-stap uitvoeren hiervan, lukt het niet.

Morgen ontvang ik een nieuw router, een edgerouter lite, maar eens kijken of ik de experiabox daardoor kan vervangen.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Babylonia op 13 maart 2019, 14:11:09
Het zou hem ook kunnen zitten in onjuist gebruikte Firewall regels?   Voor meer recente uitleg zie < HIER > (https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/)

Als je met een Edgerouter aan de gang wilt, om dat als vervanging in te zetten voor de Experia Box. Maak dan je borst maar nat.
Als ik de berichten op het Telfort forum mag geloven, is dat nog best een complexe bedoening om het in te stellen.
Moeilijker dan dat je een VPN-server werkend aan de gang zou moeten krijgen met port forwarders en instellingen m.b.t. firewall.

Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 13 maart 2019, 14:25:53
Het gekke is, dat via de browser een VPN verbinding wel op te zetten is. Als ik gebruik maar van https://gebruikersnaam.vpnplus.to, kan ik wel inloggen en kom ik in het locale netwerk terrecht.
De instellingen lijken mij dus wel goed te staan.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Babylonia op 13 maart 2019, 14:40:17
Heb je wel een VPN Client geïnstalleerd op je PC?
(De VPN connectie komt pas tot stand na connectie via dat eerste inlogscherm).

Eerste inlogscherm:

[attach=3]

In dit geval nog met een extra 2-staps verificatie:

[attach=4]

Daarna de volgende schermen (als de VPN Plus Client is geïnstalleerd):

[attach=1]

[attach=2]

Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 13 maart 2019, 15:15:13
Ja die client heb ik wel geinstalleerd natuurlijk.
Maar, ligt het aan mij of is het vaag dat dit wel werkt, daar het de zelfde poorten gebruikt. en de portforwarding dus schijnbaar wel goed staat. Zou verwachten dat IPsec dan ook zou werken.

-- Ik heb trouwens ook de DMZ weer even uitgezet, en maak nu (weer) gebruik van directe portforwarding, van poort 500, 1701, 4500 (UDP) & 443 (TCP).
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Babylonia op 13 maart 2019, 15:48:29
Maar, ligt het aan mij of is het vaag dat dit wel werkt, daar het de zelfde poorten gebruikt.

Omdat ik achterliggend tevens een web-server heb geïnstalleerd die gebruik maakt van poort 80 en 443 = https
Moet ik wel een andere poort gebruiken dan 443 om bij het VPN Plus web-portal uit te kunnen komen.
In mijn geval daarom poort 442,  en om dezelfde reden mijn "tweede" VPN-SSL mogelijkheid via poort 452.
Maar wat houd je tegen om zelf even andere poorten uit te testen?  (En. evt. andere VLAN "object" IP sub-nets).

Je zou de VPN Plus Client software ook een keer kunnen de-installeren, en daarna een keer opnieuw installeren.
En gebruik in ieder geval de laatste versies Client software die behoren bij de laatste SRM en VPN Plus server package updates.
Kijk eens wat dat oplevert?

Ja die client heb ik wel geinstalleerd natuurlijk.

Gebruik je ook een domeinnaam op je internet WAN IP-adres en een SSL certificaat?
Anders loop je tegen beveiligings-meldingen op van je browser. Afhankelijk van de browser kun je daar een uitzondering voor maken.

IPSec staat daar natuurlijk weer los van.
Hoewel Telfort zelf wel aangeeft dat IPSec ook problemen oplevert met de Experia Box V10A,
ben ik in de combinatie van L2TP/IPSec met de VPN Plus server niet op problemen gestuit.
(Zoals op het Telfort forum aangegeven (https://forum.telfort.nl/internet-267/vpn-op-een-v10a-werkt-niet-80845#post671577)  Daarbij test ik zaken altijd eerst zelf uit voordat ik iets neerschrijf of iets wel of niet kan).

Overigens zijn er andere gebruikers (https://forum.telfort.nl/internet-267/vpn-op-een-v10a-werkt-niet-80845#post672225) die reeds dezelfde ervaring hebben. Probleem met PTPP, maar niet met L2TP/IPSec.

Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 13 maart 2019, 20:20:29
Ik heb zojuist even een andere poort gebruikt, maar dit heeft ook weinig succes.
Zelfs met een geheel naar fabrieksinstellingen teruggezette router, up to date en de laatste versie van VPN plus, werkt het niet.
Met telfort contact gehad, en morgen sturen ze een V10 (zonder A) op. Kijken of dat verschil maakt. Daarnaast, morgen middag ook eens kijken of ik de edgerouter aan de praat krijg, en wat dat voor een resultaat heeft.

-- Het blijft toch een raar fenomeen. Volledig jouw stappen plan doorlopen, zelfs met een schone installatie, en toch een heel ander resultaat.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Babylonia op 13 maart 2019, 20:29:09
Fabrieksinstellingen gaat wel erg ver, want uiteindelijk kom je toch weer bij dezelfde set-up uit.
Ik ben benieuwd naar de V10, maar denk dat je op hetzelfde uitkomt,
omdat er (buiten de VPN PPTP methode) met de V10A geen restricties zijn.  We zien je resultaten wel tegemoet.  ;)
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 13 maart 2019, 20:47:41
Het was inderdaad meer een wanhoopsgreep.
En wellicht dat de v10 wat anders doet, ik zal mijn ervaring wel posten.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Plerry op 14 maart 2019, 12:51:28
Waarschijnlijk een open deur, maar het blijkt niet uit je eerdere posting in dit topic, noch direct uit je DMZ Plaatje.
En een vergissing is snel gemaakt.:
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Babylonia op 14 maart 2019, 13:14:50
Nu dat je het over die IP-bereiken hebt.
Telfort gebruik standaard een sub-net wat hetzelfde is als het standaard sub-net van het gast WiFi netwerk van de Synology router.
Dat is in conflict met elkaar als je niet ofwel het sub-net van de Experia Box verandert, of dat van de Synology router.

Meer informatie lees < HIER > (https://www.synology-forum.nl/synology-router/rt1900-geen-internet-bij-kpn/msg197490/#msg197490) en de achterliggende verwijzingen van de reactie < HIER > (https://www.synology-forum.nl/vpn-server/vaak-wel-verbinding-met-nas-maar-geen-vpn/msg200982/#msg200982)
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 14 maart 2019, 13:16:13
Hoi Plerry,
Een open deur of niet, bedankt voor je input.
•   Ik zal mij setup een beetje proberen te beschrijven.
o   De experiabox heeft extern natuurlijk een ipadres x.x.x.x, intern 192.168.2.254.
o   De Synology router heeft een WAN ipadres 192.168.2.1 en een intern ipadres 192.168.0.1.
•   Op de experiabox staat dhcp uit.
•   De utp kabel vanaf de experiabox gaat naar de wan (blauwe) poort op de Synology.
•   De dmz, of portforwarding sturen alles door naar 192.168.2.1.
Precies dus zoals je schrijft.
Zolang ik intern ben, en dus een 192.168.0.x ipadres heb, op mijn laptop of iphone, doet alles het zoals verwacht. VPN, zowel IPsec alsook VPNplus, is direct op te zetten. Zodra ik mij buiten het netwerk bevindt, ondervind ik de problemen zoals eerder beschreven.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 14 maart 2019, 13:19:21
Ik geloof dat de subnetten niet het zelfde zijn, maar dat durf ik niet met zekerheid te zeggen.
Vanavond even controlleren.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Babylonia op 14 maart 2019, 13:20:28
•   Op de experiabox staat dhcp uit.

En waarom dat dan?  Het is toch een NAT achter NAT set-up?  (Twee routers achter elkaar).
Gewoon de DHCP-server aan laten staan van de Experia Box.
Zeker als je via die Experia Box ook gewoon de TV-ontvanger daarop hebt aangesloten.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 14 maart 2019, 13:22:06
Waarom? Geen idee eigenlijk. Naast de Synology Router hangt er verder niks achter.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Babylonia op 14 maart 2019, 13:24:50
Ook geen TV-ontvanger?
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 14 maart 2019, 13:31:26
Die hangen direct aan 3 andere synology routers (in ap modus), in de 3 verschillende kamers.
dmv. igmp-snooping draaien die netjes mee.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Babylonia op 14 maart 2019, 13:43:18
Maar als ik het begrijp in het sub-net van de Experia Box??
Of heb je in de "hoofd" Synology router nog speciale IPTV instellingen gemaakt?

Als dat het geval is, heb je dan vaste IP-adressen in de Access Points ingesteld?
Maar meer nog, zonder IP-adres voor de TV-ontvangers (die je niet in die apparaten zelf kunt instellen),
mis je een aantal functies van de TV-ontvanger ----> "Apps op TV"
en bijv. geen Netflix mogelijkheid via de TV-ontvangers mocht je daar een abonnement op hebben.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 14 maart 2019, 13:58:57
Ja die subnetten weet ik niet. Dat kan ik nu niet controleren.
Ik heb geen gebruik gemaakt van de IPTV instellingen, alleen igmp snooping aangezet.
Ook maken wij op de tv-ontvangers geen gebruik van app's, die gaan gewoon via de tv.
De AP's hebben alle een vast ipadres, 192.162.0.2 tm 0.4.
De tv-ontvangers krijgen alle een ipadres van de Synology Router, ook in de reek 192.168.0.x
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Ben(V) op 14 maart 2019, 19:59:32
Als je op de experiabox geen dhcp hebt aanstaan, dan moet je in de Synology dus zelf het ipadres gezet hebben.
Heb je dan ook het juiste gateway adres en DNS adres ingevoerd, want als je Dhcp uit hebt staan krijgt hij dat niet meer automatisch.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 15 maart 2019, 10:50:41
Zoals je gister al schreef, zijn inderdaad beide subnetten het zelfde. Zowel de Experiabox, als de Synology Router en het netwerk draaien in 255.255.255.0.
Kan hier de fout in zitten?

En waar zou ik dit dan moeten aanpassen? De Experiabox accepteert geen ander subnet, en wanneer ik dit op de Synology Router aanpas, krijg ik de melding dat dit het zelfde moet zijn als van het WAN netwerk (de Experiabox).
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Babylonia op 15 maart 2019, 11:57:37
Omdat je de DHCP-server van de Experiabox kennelijk hebt uitgezet, fungeert de Synology router als DHCP-server.
Wel een aparte set-up. Die ik eerlijk gezegd nog niet eerder op die wijze ben tegengekomen.
In die opstelling zou dat met elkaar dan niet hoeven te bijten?
En de Synology "hoofdrouter" (want je gebruikt er drie ---> de andere als Access Point), staat die wel in router mode?

Wel interessant, omdat je kennelijk "achter" de Synology router dan toch TV-ontvangers actief hebt.
Kun je eens schematisch beschrijven hoe je alles hebt aangesloten?
Gebruik je wel gewoon een aansluiting LAN poort ExperiaBox <----> op WAN poort Synology router?
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 15 maart 2019, 12:21:01
Ik heb geprobeerd om het hiermee overzichtelijk te maken. Wellicht neemt dit ook wat onduidelijkheid weg uit de vorige post's.
Nog even kort, het lukt mij dus niet om vanuit een externe locatie verbinding te maken met de Synology Router (192.168.2.1/192.168.0.1) dmv. IPsec op Windows laptop of VPN Plus op iphone. VPN plus via browser doet het wel. Intern werkt ook alles.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Babylonia op 15 maart 2019, 12:55:36
Dat is inderdaad een stuk duidelijker, en neemt inderdaad een aantal vragen weg.
Feitelijk een "gewone" NAT achter NAT set-up, echter met wel degelijk twee verschillende sub-nets voor beide routers.

Als ik het even nog op een rijtje zet met die informatie:
Kom ik erna wel weer terug, want vind het wel fascinerend dat je in deze set-up achter de Synology router die TV-ontvangers actief hebt?
Feitelijk naar ik denk door uitschakeling van DHCP van de Experia Box V10A.
(Ik heb hier vergelijkbare apparatuur in huis, wil dat hier ook eens testen).
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 15 maart 2019, 13:09:30
Ik heb inderdaad de "hoofdrouter" een vast IP gegeven. Alle vaste netwerk apparatuur, trouwens.
Het gasten wifi valt, zoals je al gokt, in een reek van 192.168.1.x.
Maar dit is allemaal niet veranderd sinds ik ben geswitch naar de nieuwe propositie. Het enige wat ik mij kan voorstellen, is dat de V10A toch nog iets die poorten filtert.

Vandaag verwacht ik de V10, kijken of dat verschil maakt. En anders toch van het weekend met een EdgeRouter lite aan de gang. De configfile heb ik vanochtend gemaakt, dus die hoef ik alleen maar te pushen. Verschillende internetbronnen gebruikt (bron 1 (https://kriegsman.io/), bron 2 (https://robswinkels.nl/2017/03/05/ubiquiti-edgerouter-lite-configured-with-telfort-sni-f/), bron 3 (https://www.telfort.nl/persoonlijk/service/netwerkinstellingen-met-eigen-modem.htm))
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Babylonia op 15 maart 2019, 14:15:57
Heb hier nu even getest met een vergelijkbare set-up.
Experia Box V10A,  waarbij ik de DHCP van die modem/router heb uitgezet.
In de RT1900ac voor het WAN IP handmatig een vast IP-adres gegeven, in het sub-net van de Experia Box.
(en met de gateway gegevens van de Experia Box).

Heel fascinerend. Door het ontbreken van een DHCP-server in de Experia Box,
krijgt de TV-ontvanger aangesloten op die Experia Box geen intern LAN IP-adres toegewezen, en werkt niet "achter de Experia Box".

Echter de TV-ontvanger nu aangesloten achter de Synology RT1900ac, is daarop nu wel volledig actief.
Zowel IGMP Snooping, alsook IGMP Proxy moesten daarvoor wel actief zijn ingeschakeld in de RT1900ac.

Het enige wat ik mij kan voorstellen, is dat de V10A toch nog iets die poorten filtert.

Daar heb ik nu ook op getest.
Maar ik kwam in deze set-up (met uitgeschakelde DHCP) nu niet verder dan alleen een werkende OpenVPN verbinding (via mijn mobiele telefoon).
Vanuit de thuislocatie probeerde ik ook met een "loopback" functionaliteit een VPN Plus SSL VPN connectie.
Maar kwam daar nu ook niet mee verder, terwijl dat normaal geen probleem is.

Zelfde resultaat voor DMZ als Port Forwarding.  Het is een te grote tombola of iets wel of niet zal werken.

EDIT:
Inmiddels verderop iets verder getest, zie aanbevelingen in laatste deel van < DEZE > (https://www.synology-forum.nl/netwerk-algemeen/experiabox-v10a-icm-vpn-diensten-1900ac/msg266859/#msg266859) reactie.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 15 maart 2019, 14:24:18
Dat je tv ontvangers geen ip krijgen wanneer de dhcp is uitgeschakeld op de Experiabox, is logisch toch.
Je kunt hierbij niet handmatig een ip invullen.

-Aan de ene kant fijn dat het op deze manier bij jou ook niet werkt, maar opzich best vreemd.
Met de V10 is deze setup bij jou geen probleem? Desnoods met de dhcp op de experiabox gewoon aan.. Zolang de vpn diensten maar weer te gebruiken zijn.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Ben(V) op 15 maart 2019, 15:17:47
Er is geen antwoordt op gegeven dus zeg ik het nog maar eens.

Als je de DHCP van de experiabox uitzet dan krijg de WAN kant van de Synology router geen gateway adres en geen DNS adres.
Hij weet dan niet waar hij heen moet als je het internet op wilt.
Je moet dan handmatig die twee instellen en het zou zomaar kunnen dat zoiets niet voorzien is in de Synology router.
Die moeten dus 192.168.2.254 zijn.

Zet gewoon die DHCP server van de experiabox aan en zorg ervoor via een macadres/ipadres  koppeling die Synology router steeds hetzelfde ipadres krijgt.
In de DMZ zetten is eigenlijk ook niet handig, gewoon standaard dubbele Nat is veel verstandiger.
Je moet dan als je portforwarding gebruikt dat alleen twee keer doen namelijk in de experiabox naar je Synology router en in de Synology router naar het device (bijvoorbeeld je Nas) waar je naar toe wilt forwarden.

Er zijn namelijk twee soorten DMZ.
Als het de ene vorm is hangt die Synology router als het ware rechtstreeks aan het internet en dan heb je een ipadres ingestelt dat niet werkt op het internet.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Babylonia op 15 maart 2019, 15:22:11
Dat je tv ontvangers geen ip krijgen wanneer de dhcp is uitgeschakeld op de Experiabox, is logisch toch.

Het klopt dat dat logisch is.  Maar ik beschrijf het tevens ook voor mensen buiten ons zelf die deze berichten ook lezen.
Daar kan de informatie ook informatief/ interessant voor zijn.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Babylonia op 15 maart 2019, 16:11:52
Als je de DHCP van de experiabox uitzet dan krijg de WAN kant van de Synology router geen gateway adres en geen DNS adres.
Hij weet dan niet waar hij heen moet als je het internet op wilt.
Je moet dan handmatig die twee instellen en het zou zomaar kunnen dat zoiets niet voorzien is in de Synology router.

De Synology router voorziet daar wel in, en is dan ook als zodanig in te stellen.
Maar stabiel werkt het allemaal niet om in de Experia Box de DHCP uit te zetten m.b.t. door te sturen services.

Zet gewoon die DHCP server van de experiabox aan en zorg ervoor via een macadres/ipadres  koppeling die Synology router steeds hetzelfde ipadres krijgt.
In de DMZ zetten is eigenlijk ook niet handig, gewoon standaard dubbele Nat is veel verstandiger.
Je moet dan als je portforwarding gebruikt dat alleen twee keer doen namelijk in de experiabox naar je Synology router en in de Synology router naar het device (bijvoorbeeld je Nas) waar je naar toe wilt forwarden.

Zo heb ik dat normaal ook precies als zodanig ingesteld (gewoon 2x port forwarding ingesteld, en werkt doorgaans ook het beste).
Maar zelf had ik eerder daarmee niet de TV-diensten vanuit Experia Box kunnen doorzetten naar de Synology router.
Met de testen die ik nu aanvullend heb gemaakt, heb ik dat inmiddels wel klaar gekregen.

En dat zit hem dan eigenlijk alleen in de "IGMP Proxy" functionaliteit, die niet stond ingesteld.
(IGMP Snooping  had ik standaard al wel ingesteld, maar dat is kennelijk niet genoeg voor die TV-services).

Met dit "voortschrijdend inzicht" ben ik er nu zelf toch ook heel wat mee opgeschoten.  :)
En voor  @admiralawesome  zou ik willen adviseren, de set-up dan ook precies als zodanig in te stellen.
Dus zowel in de Experia Box DHCP ingeschakeld houden, op basis van MAC-adres vast IP-adres ("DHCP-binding") voor de Synology router instellen. De Synology router op DHCP laten staan en automatisch een IP-adres laten verkrijgen vanuit de Experia Box.
Verder voor de gebruikte services de zaken met Port Forwarding instellen.

Echter geldt voor de V10A nog wel de beperking dat het VPN - PPTP protocol niet werkt, voor zowel uitgaand als inkomende connecties.
En dat zit hem dan in bugs van die V10A wat inmiddels door diverse gebruikers is opgemerkt. De V10 (zonder A) heeft die problemen niet.
Echt rauwig hoef je er niet echt op te zijn, want PPTP is toch al niet echt aan te bevelen, omdat het het minst veilige VPN protocol is.
De andere VPN-protocollen hebben geen probleem met de V10A.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 15 maart 2019, 17:27:08
Oké, nu toch maar de dhcp functie van de experiabox aangezet, om de oplossing van Ben(V) te proberen.
Echter heeft dit ook geen effect gehad.
De huidige instellingen, zie bijlage, zijn volgens mij de meest eenvoudige, en,
PostNL is hier nog niet langs geweest, dus de v10A heb ik nog niet binnen. En precies hoe jij, Babylonia, het als eerste voorstelde.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Babylonia op 15 maart 2019, 18:48:24
Nog weer een ander gebrek van die V10A opgemerkt.  De "loopback" functie van de V10A werkt niet.
(Gebruik binnen je eigen netwerk van het internet WAN IP-adres of zoals in mijn geval een NL-domein met SSL certificaat).

V10 (zonder "A") terug gehangen, werkt het direct.  Dus die V10 is wel beter.  (Stuur je de V10A terug).

De huidige instellingen, zie bijlage, zijn volgens mij de meest eenvoudige

Bij gebruik van Port Forwarding, niet ook DMZ daarbij gebruiken.
De TV-ontvangers kun je gewoon achter de Synology router of Access Points blijven gebruiken.
(Dat heb ik nu juist uit jou eerdere opstelling geleerd, bij gebruik van IGMP Snooping en IGMP Proxy ).

Feitelijk gewoon zoals je eerste schema (https://www.synology-forum.nl/netwerk-algemeen/experiabox-v10a-icm-vpn-diensten-1900ac/msg266844/#msg266844). Alleen met DHCP ingeschakeld, vast IP-addres (DHCP-binding) voor je eerste Synology router,
en Port Forwarders voor services van je NAS e.d. die je van buitenuit wilt bereiken. (Zoals eerder met plaatjes uitgelegd < HIER > (https://www.synology-forum.nl/netwerk-algemeen/experiabox-v10a-icm-vpn-diensten-1900ac/msg266709/#msg266709) ).

Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 15 maart 2019, 19:29:57
Nee, ip forwarding werkt natuurlijk niet als DMZ aanstaat. Die heb ik ook uitgezet. Alleen in de tekening nog niet..
En die IGMP proxy, moet je trouwens aanvinken om gebruik te kunnen maken van IGMP snooping v3. Zonder dat werkt het niet.

De V10A kan terug, fijn dat ze daar bij Telfort helemaal niet moeilijk over doen, en een V10 direct versturen.
De argumentatie die ik aan de telefoon kreeg, dat VPN puur een zakelijk toepassing is en daarom via de klantenservice niet wordt ondersteund vind ik wel een beetje flauw. Serieuze consumenten moeten er toch ook mee kunnen werken. Wellicht dat een firmware update in de toekomst nog iets doet, want er zullen op de achtergrond toch (ongeacht de instellingen) nog poorten worden geblokkeerd, blijkt.

Voor nu, alle bedankt voor het meedenken en als de V10 direct werkt, zal ik dat hieronder laten weten.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Birdy op 15 maart 2019, 19:53:34
Citaat
De argumentatie die ik aan de telefoon kreeg, dat VPN puur een zakelijk toepassing is en daarom via de klantenservice niet wordt ondersteund vind ik wel een beetje flauw.
Dat is niet flauw, ze lopen gewoon jaren achter met hun denkwijze. ::)
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Babylonia op 15 maart 2019, 20:46:56
De V10A kan terug, fijn dat ze daar bij Telfort helemaal niet moeilijk over doen, en een V10 direct versturen.
De argumentatie die ik aan de telefoon kreeg, dat VPN puur een zakelijk toepassing is en daarom via de klantenservice niet wordt ondersteund vind ik wel een beetje flauw.

Dat ze bij Telfort niet moeilijk doen om de modem/router te ruilen is sterk afhankelijk welke medewerker je treft.
Op het forum bij Telfort zijn er ook gebruikers waarbij de medewerker heel hardnekkig willens en weten vasthoudt aan de gedachte dat de gebruiker geen recht heeft op een andere modem/router. En niet van plan is die te verstrekken.

Daarbij kun je bedenken dat het niet aan Telfort is welke services doorgegeven of geblokkeerd mogen worden.
Eisen waar apparatuur aan moet voldoen is vastgelegd in wetgeving.

Met het niet functioneren - blokkeren of vertragen van bepaalde services (zoals VPN),
voldoet de apparatuur niet aan regelgeving m.b.t. "netneutraliteit".
Aanvankelijk alleen een typisch Nederlandse wetgeving (sinds 2013),
maar inmiddels bindend geregeld voor de hele Europese Unie als bescherming voor de rechten van gebruikers.

Webpagina van Telfort zelf die informatie geeft over "netneutraliteit"  < HIER > (https://www.telfort.nl/persoonlijk/service/netneutraliteit.htm)
Europese kantoor belast met de Europese regelgeving m.b.t. internet < HIER > (https://berec.europa.eu/eng/netneutrality/)  (in detail info HIER (https://ec.europa.eu/digital-single-market/en/policies/open-internet-net-neutrality) )

[attachimg=1]

Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 16 maart 2019, 17:07:30
Oké,
Zojuist de nieuwe router (V10) geïnstalleerd. Na portforwarding aangezet te hebben voor een nieuwe gemaakte regelset, doet de VPN plus app op mijn Iphone het direct.
De Ipsec-verbinding via mijn laptop extern gaat nog niet lekker "Remote Access error 789 - The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer.", maar dit lijkt mij een autorisatiefout. Ze zien elkaar dus wel.
Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: Babylonia op 16 maart 2019, 17:11:24
Nog wat sleutelen dan.  De V10 is in ieder geval een stuk betrouwbaarder dan de V10A.

Hierbij voor je (en voor andere gebruikers die een en ander in een V10 willen instellen) nog even de afbeeldingen van een V10
Instellen vast IP-adres "DHCP-binding".
Hoewel dat voor de situatie bij NAT achter NAT feitelijk alleen voor de RT1900ac nodig zou zijn,
staan enkele apparaten er ook bij, voor het geval ze voor bepaalde omstandigheden
tijdelijk direct toch achter de V10 worden gehangen.

[attach=1]


Aanmaken van applicaties om poorten voor bepaalde services te reserveren.
Voor zover ze niet al reeds zijn vóór ingevuld.  Ingedeeld per categorie.

[attach=2]


Het toevoegen van de services aan een IP-adres
waarmee de port forwarding daadwerkelijk actief wordt ingesteld.

[attach=3]

Titel: Re: Experiabox v10a, icm VPN-diensten 1900AC
Bericht door: admiralawesome op 18 maart 2019, 09:48:14
Laatste update.
Het blijkt dus een fout te zijn in de verificatie van Windows (7/10). Deze heeft (schijnbaar) moeite met een NAT-NAT opstelling.
Een simpele registry key lost dat op.


Hierna komt de L2TP/Ipsec verbinding meteen in de lucht.