VPN lan en gewone lan

[Bloemetjesgordijn]

Hallo,

Ik ben er al een poosje mee bezig, maar ik loop ergens vast.
Ik wil graag twee lan netwerken
- gewoon lan netwerk =>via ziggo (=router #1 zie tekening)
- een VPN netwerk =>via NordVPN (=router #2 zie tekening).

 setup.gif (136.77 kB. 705x486 - bekeken 202 keer.)" alt="" class="bbc_img" />
gewoon lan netwerk -> niks bijzonders.
IP range 192.168.1.1-254
gateway: 192.168.1.1
Synology LAN1 IP lan1 port 192.168.1.16 (fixed IP & in DMZ geplaatst)
Synology LAN1 IP lan1 port 192.168.1.17

Dit werkt 

VPN netwerk - dit werkt niet 

DHCP op LAN poort 1 (van Synology) gestart:
IP range 192.168.2.1-254
gateway: 192.168.1.1 - werkt niet 
gateway: 192.168.2.1 - werkt niet 

Vragen:

• wat doe ik fout?
• Is dit de juiste route / aanpak?

- is het wel handig om NAS in DMZ te zetten?

Groeten

[zandhaas]

Persoonlijk zou ik mijn NAS met al mijn persoonlijke informatie erop niet in de DMZ zone zetten.
Bij mij staat mijn NAS altijd stevig afgeschermd achter een firewall in mijn eigen lokale LAN.

[Babylonia]

Inderdaad, de NAS in DMZ zetten is wel het laatste wat je zou moeten doen.  Tenzij je graag gehackt zou willen worden.

Er klopt wel meer niet 

In het plaatje wordt gepraat over twee routers, maar in de beschrijving vooraf is er feitelijk alleen sprake van één Ziggo router.
NordVPN is geen "router".  De NAS zelf zoals je het kennelijk wilt instellen al evenmin, hooguit alleen een DHCP-server "locaal".

Verder kun je geen fysiek verschillende sub-net bereiken met elkaar combineren.
(De Ziggo router die het netwerkverkeer regelt binnen een bepaalt sub-net,
en aparte clients  --de NAS-- die je afwijkend instelt in een ander sub-net).


Zou je een meer centrale NordVPN Client willen gebruiken, die voor meerdere apparaten het internetverkeer regelt via de VPN,
maar niet alle apparaten in een netwerk, zou je daar beter een meer geavanceerde router voor kunnen inzetten.

Het eigen merk Synology router model, heeft op dat punt nu reeds wel de mogelijkheden om dat relatief vrij gemakkelijk in te kunnen stellen.
Maar zou daar op dit moment niet meer op investeren.  Is IMO inmiddels net wat te verouderd, en biedt qua firmware
eveneens net te weinig mogelijkheden om op wat dieper niveau iets met VLAN functionaliteit te doen.
Het wachten (voor veel gebruikers) is op een nieuw model Synology router en/of firmware die deze mogelijkheden wel hebben.
Maar daar lijkt op dit moment weinig nieuws in te melden.

Andere router modellen die naar ik denk wel de functionaliteiten hebben zijn naar ik denk zodanig gecompliceerd om in te stellen,
dat het met de nu reeds mank lopende ideeën van de startpost, ik daar eerlijk gezegd weinig hoopvol in ben,
dat je dat tot een goed einde weet te brengen om in te regelen?  (Met alle respect overigens hoor).

[Bloemetjesgordijn]

Je hebt gelijk, er klopt wel meer niet. 

De NAS in DMZ zetten had ik al niet zo'n goed gevoel over, dus maar niet gedaan.

Maar in de huidige situatie (heb ik werkend):
- een 'gewoon' lan netwerk
- VPN client op mijn NAS, die door de Ziggo router gaat

Mijn logica is alsvolgt:
Synology NAS heeft de mogelijkheid om een tweede netwerk aanmaken (Lan, WIFI, gast of ... VPN??)

Als het tweede netwerk (beheert door mijn NAS) een gast wifi netwerk zou zijn, dan werkt het.
Als nu het tweede netwerk (beheert door mijn NAS) een VPN netwerk is, zou het toch ook moeten werken?!?!.

Dus (maar ik snap er te weinig van) zou toch moeten werken:
- een VPN client op mijn NAS (heb ik nu)
- het verkeer via mijn NAS door sturen naar de Ziggo Router. (doet hij nu ook, alleen voor data vanaf de NAS)
- tweede netwerk aan kunnen maken op de NAS (noem dit GAST netwerk of VPN netwerk)
- GAST netwerk door sturen via ZIGGO router (werkt)
- Gast / VPN netwerk door sturen via ZIGGO router (werkt NIET) 
 

Kan het niet of ... snap ik het niet of gebruik in de verkeerde instelling??
Ik snap het allemaal niet zo goed moeer met al die verschillende Gateways en netwerk service orders e.d.



@ Babylonia

Ik begrijp niet zo goed, je opmerking niet "Verder kun je geen fysiek verschillende sub-net bereiken met elkaar combineren. (De Ziggo router die het netwerkverkeer regelt binnen een bepaalt sub-net, en aparte clients  --de NAS-- die je afwijkend instelt in een ander sub-net)."

Ik weet niet of de ZIggo router hier een probleem mee heeft, maar een alternatief zou kunnen zijn: 
- 'gewoon' netwerk - ip range 192.168.1 - 200
- VPN netwerk: IP Range 192.168.201-254

Dan heeft de Ziggo router een subnet of niet?


Alvast bedankt voor jullie geduld, input en hulp. :-)



Groeten, Marc
 

[Babylonia]

Mijn logica is alsvolgt:
Synology NAS heeft de mogelijkheid om een tweede netwerk aanmaken (Lan, WIFI, gast of ... VPN??)

Nee, dat heeft de NAS niet.  De NAS is geen router.
Heeft bovendien ook geen WiFi interface, dus waar haal je dat dan weer vandaan?
Met de instellingen van de netwerkinterface van de NAS heb je alleen de mogelijkheid de netwerk-poort een "vast" IP adres in te stellen.
Dat doe je doorgaans met de aanvullende gegevens zoals geldig zijn binnen het sub-net van de aangesloten router.
(of bijv. een extra managed switch om Link Aggregation te kunnen instellen).

Niet anders als dat je bij allerlei apparaten de netwerk interface "vast" / handmatig kunt instellen.
Kijk maar eens onder de eigenschappen van de netwerkadapter van je Windows PC onder het  "TCP /IPv4"  protocol.
Daar vindt je vergelijkbare instellingen als die je ook bij de NAS onder de netwerk interface vindt.
Is de Windows PC daarmee een router?  Nee.

Als voorbeeld nu even handmatig ingevuld, (vanuit een andere situatie wat ik toevallig aan plaatjes heb liggen).
Maar doorgaans zijn die gegevens "leeg" bij toewijzing van "Automatisch een IP-adres laten toewijzen" vanuit DHCP.

          -         

Idem bij IP-camera's en elk ander apparaat wat via een netwerk-adapter kan worden aangesloten.

Dus (maar ik snap er te weinig van).....

Klopt.

- GAST netwerk door sturen via ZIGGO router (werkt)
- Gast / VPN netwerk door sturen via ZIGGO router (werkt NIET) 

Verwarrend.  Waar haal je dat gast netwerk vandaan?
Alleen routers en mogelijk bijv. Access Points hebben een mogelijkheid van een extra gast netwerk.

Verder moet je fysieke netwerken en virtuele netwerken niet door elkaar halen.
Zijn twee verschillende dingen, en ook die sub-nets (fysiek en virtueel) moeten verschillend zijn van elkaar, om geen conflicten te krijgen.

Lees eerst een goed boek of bekijk online bronnen om meer de achtergronden van netwerken te doorgronden.
Daar wil ik het voorlopig bij laten.

[Bloemetjesgordijn]

Ok mischien wil ik wel teveel en te moeilijk.


De wens is: om de HTPC gebruik te laten maken van de VPN client van de Synology NAS

Dus is het niet mogelik om:
- Synology in te richten met VPN client, waarmee ik verbinding maakt met NordVPN (dit werkt nu)
- HTPC verbinding laten maken met de NAS 

[Babylonia]

Waarom stel je op de HTPC niet direct een VPN Client in naar NordVPN ??
Lijkt me een stuk eenvoudiger.   Waarom een omweg via de NAS?
(En wat is die "HTPC", een mobile telefoon of een "home theater pc" = afgekort HTPC).

Een centrale VPN Client zou handig kunnen zijn als je meerdere apparaten "automatisch" allemaal via VPN met NordVPN zou willen omleiden.
Maar zoiets regel je doorgaans dan met een VPN Client in een router.
Heeft ook nadelen, want centraal geregeld vanuit een router kost de nodige processing, en levert doorgaans minder snelle VPN verbindingen op.
Het beste rendement heb je gewoon door een VPN Client op individuele basis op apparaten zelf in te stellen.
Is ook makkelijker per individu / apparaat in- of uit te schakelen.

Zelf heb ik hier ook wel de mogelijkheden om een VPN Client in de router in te stellen "omdat het kan".
Maar geldt meer als test en "als hobby" om te kijken wat de mogelijkheden zijn, dan dat ik er echt gebruik van maak.
(Juist door de nadelen ervan).   Gebruik praktisch zelf altijd heel specifiek aparte VPN Clients op individuele apparaten.
Van uiteenlopende aard en protocollen, omdat ik VPN connecties opzet naar verschillende typen VPN servers.
(Ik maak geen gebruik van een commerciële VPN dienst).

[Bloemetjesgordijn]

Hallo Babylonia,

Het aantal VPN clients wil ik graag beperken
- ik deel het VPN account met mijn broer (dus beperktere VPN clients)
- VPN client geeft problemen met applicatie van mijn werk &  mijn audio engine heeft problemen met NordVPN ?!?
- binnen 1 huishouden heb ik al meerdere mogelijke VPN gebruikers (NAS, HTPC, PC van mijn zoon en ik)

Om deze reden wil ik graag een centrale VPN client.

Gezien de Ziggo router dit niet toe laat ... zijn er dan mi twee mogelijkheden HTPC (=Raspberry) of NAS.
- VPN kost nodig processing, dus leek mij handiger om de centrale VPN client in de NAS te zetten.
- en of ik nu de NAS als centrale VPN client gebruik of de SYnology, het principe is het zelfde.

Daar komt bij, dat ik in de instellingen van de NAS had gezien dat het mogelijk is / was (zie bijlage)

[Babylonia]

Daar komt bij, dat ik in de instellingen van de NAS had gezien dat het mogelijk is / was (zie bijlage)

Zover ben ik eerlijk gezegd nooit gegaan. Ik wist niet eens van die mogelijkheid?   
Heb nu even de opties ervan bekeken, het kan inderdaad, en ook de oplossing. Uiterst eenvoudig bovendien.
Maar dat gaat wel op een heel andere wijze dan jij voor ogen hebt.

Allereerst het juiste vinkje bij de instellingen van een VPN-profiel bij de VPN Client opties van de NAS:



Dat is het dan voor wat betreft aanpassingen in de instellingen van de NAS.

Dan verder:

Mijn eerdere voorbeeld hier wat reacties naar boven met een voorbeeld van de netwerk interface van een "Windows PC".

Daar geef je dan een vast IP-adres voor "je PC" en zet daarin dan niet het IP-adres van de router als "Standaardgateway"
Maar het IP-adres van je NAS.

Dat betekent dat de netwerkconnectie wordt omgeleid naar de NAS, en omdat die dan een VPN verbinding heeft,
loopt ook het verkeer van in dit geval mijn Windows PC via die VPN-tunnel.

De situatie zoals het normale sub-net in mijn router is ingesteld geldt een IP sub-net in het  192.168.10.xx  bereik.
Het IP-adres van de router zelf  (de Gateway) is  192.168.10.1
Het vaste IP-adres van mijn Windows PC is         192.168.10.10
Het vaste IP-adres toegewezen aan mijn NAS     192.168.10.20


De instellingen van de netwerk adapter van mijn Windows PC zonder enige aanpassing:



Geeft bij controle van mijn WAN-IP adres het IP-adres van mijn internet aansluiting (uiteraard):




De instellingen van de netwerk adapter van mijn Windows PC heb ik nu veranderd.
Bovenste regel:        Het vaste IP-adres van die Windows PC is       192.168.10.10
Standaardgateway:  Het vaste IP-adres toegewezen aan mijn NAS   192.168.10.20



De internetverbinding loopt dan via de VPN Client van de NAS.

Het WAN IP-adres is dan die van de VPN-server "elders".




Dat kun je op vergelijkbare wijze dan ook doen voor de netwerk adapters bij andere apparaten.  Dat is het dan.

[Bloemetjesgordijn]

Hoi Babylonia


Bedankt voor je uitleg. Het werkt :-)


Groeten