WireGuard VPN-Tunnel blokkeert NAS

[redOz]

Beste


De NAS staat hier op een aparte VLAN "br10".

Thuis gebruik ik een gedeelte van de Synology NAS waar bijvoorbeeld RustDesk als docker op runt om iemand extern toegang te geven tot een server die ik host. Alsook gebruik ik RustDesk om remote aan mijn devices te kunnen.

Als ik de VPN-Tunnel inschakel over mijn UDM Pro heb ik geen toegang meer tot deze stacks, alsook als ik "br10" niet toevoeg aan de regel FORCED_SOURCE_INTERFACE="br0 br......." in mijn VPN config..


Alvast bedankt

[Babylonia]

Uit je reactie is niet duidelijk of je op een UDM Pro de VPN gebruikt als  "Client"  of als  "Server".
Maar gezien je probleem, vermoed ik een VPN-tunnel als Client, naar een (commerciële) VPN server elders toe?

Met een VPN tunnel naar een server elders wordt het WAN IP-adres van de (commerciële) VPN service gebruikt voor jou connecties.
Dus je eigen WAN IP-adres is "voor de buitenwereld" dan niet geldig.

De VPN-service waar jij connectie mee hebt, zou port forwarders moeten instellen naar jou UDM Pro,
om contact vanaf buiten mogelijk te maken naar jou "RustDesk".  Die service wordt niet verleend door VPN-services.

[redOz]

Bedankt voor de reactie. Ik heb het nog niet aan de praat gekregen en weet ook niet juist waar terug te starten om dit optimaal te laten werken.

Ik gebruik Mullvad (WireGuard) keys die ik via de command prompt configureer. Vanaf het moment dat ik deze aanzet werkt de VPN perfect maar kan ik inderdaad niet meer alle functies van mijn NAS die openbaar zijn gebruiken. Hoe zet ik dit best op? Ik dacht dat een aparte VLAN wel zou werken maar dit lukt mij momenteel ook nog niet. Ik had deze VLAN nochtans niet in FORCED_SOURCE_INTERFACE="br0 br......." geconfigureerd.

[Babylonia]

OK - Mullvad VPN  betreft dus een commerciële VPN dienst.
En is het probleem dat daarbij het WAN IP-adres van de commerciële VPN service wordt gebruikt.

Heb zelf geen ervaring met een UDM Pro router.  Heb eerder wel vergelijkbare reacties m.b.t. VPN op bijv. het KPN forum gelezen.
Denk niet dat een UDM Pro router zodanig is in te regelen dat bij een actieve VPN Client - server tunnel, daar andere opties voor zijn?

Met wat trucjes zou je wel een VPN Client kunnen instellen op een Synology NAS (echter niet onder het snellere Wiregard protocol),
en via een ander VLAN en gebruik van de 2e LAN-poort op een NAS (indien voorhanden) toch de NAS van buiten kunnen benaderen.

Op het Engelstalige forum heb ik daar wel eens een reactie over geschreven.
Niet zozeer het benaderen van buitenaf van de NAS, maar zelfs twee verschillende VPN-verbindingen naar twee VPN-servers.
(In combinatie met een Synology router).
Waarbij het WAN IP-adres van mezelf nog steeds actief is, en om die reden services van buiten ook benaderbaar blijven.

https://community.synology.com/enu/forum/2/post/159502?reply=493735#post630536

Zonder gebruik van de in die set-up gebruikte Synology router -voor een 2e VPN verbinding,
waarbij die gescheiden functionaliteit WEL mogelijk is van een VPN verbidning en "het eigen" WAN IP-adres toch actief.
Zou je in ieder geval nog steeds één VPN verbinding actief kunnen hebben.  En toch je NAS van buiten kunnen bereiken.

[redOz]

Dit gaat voor mij allemaal ver hehe, ik probeer het te begrijpen. Momenteel maakt mijn NAS verbinding via UTP met de UDM Pro rechtstreeks, moet ik een 2e UTP kabel aan de NAS verbinden en die rechtstreeks koppelen aan de modem van mijn netbeheerder?

Het lijkt erop als ik de VPN cliënt activeer op de UDM Pro dat ik geen uitzonderingen kan maken tussen de verschillende VLAN's. Ik wou de VLAN waar de NAS op verbonden zit excluden van de VPN maar dit lijkt niet te werken.

Is hier een "makkelijke optie" voorhanden of blijft het delicaat?

[Babylonia]

Weet niet welke provider je internet van afneemt?  (Dat maakt niet zoveel uit).
Beschrijving / uitleg op het KPN forum  m.b.t.  gebruik van de NAS en VPN  < HIER > (Voorbeeld 2), en vervolgreacties.
O.a. info van gebruiker "wjb"  die zelf veel kennis heeft en uitleg geeft op het KPN forum van Ubiquiti routers (UDM Pro).

De basis hoe je dat opzet is met die info daarmee gegeven.
Het zal best nog wel wat doorspitten worden, "trial & error" voordat het werkt.
Een makkelijke meer simpele oplossing is er niet.

Mocht je dieper in de materie willen duiken van de mogelijkheden van Ubiquiti routers in combinatie van VPN,
zou je mogelijk meer baat kunnen hebben om contact te leggen met die  wjb  op het forum van KPN, met de mogelijkheden ervan.
Of anders op  Tweakers.net  (of andere fora m.b.t. Ubiquiti).

[redOz]

Bedankt voor de uitleg. 

[Birdy]

https://unifi-forum.nl/

[Babylonia]

@redOz
Via dat Nederlandse Unifi-forum vind ik al vrij snel recente onderwerpen waarbij de mogelijkheden van een "gescheiden" VPN tunnel,
op een Unifi router zelf,  via een apart VLAN wordt uitgelegd met verwijzing naar een YouTube filmpje - op basis van OpenVPN.
Zonder dat alle netwerken via de VPN tunnel lopen.   (Bij gebruik van een vrij recente OS firmware versie op de router).

Onderwerp:   https://unifi-forum.nl/onderwerpen/vpn-naar-buiten.5136/     met  < YouTube filmpje >

        Dat kun je voor je gehele verkeer inrichten of voor een deel daarvan,
        bv een apart SSID dat via de VPN verbinding maakt met de boze buitenwereld.

Als je een NAS met twee LAN-poorten dan iedere poort op een apart VLAN aansluit.  (2e LAN-poort via VPN).
Zou je daarmee een vergelijkbare functionaliteit kunnen bewerkstelligen van enerzijds connectie van de NAS via de VPN tunnel.
Anderzijds via de andere LAN-poort tevens toch van buitenaf benaderbaar via het normale WAN IP-adres van de internet aansluiting.

Op basis van het Wiregard VPN protocol, zou een VPN Client set-up vanuit een Unifi router
dat afgelopen juli / augustus 2023 schijnbaar nog niet mogelijk zijn ??   Wel via het OpenVPN protocol.
(Wiregard geldt alleen als optie voor een VPN Server set-up).
Onderwerp:   https://unifi-forum.nl/onderwerpen/wireguard-vpn-client.5025/

Dus in hoeverre dat inmiddels is bijgesteld voor het Wiregard protocol als Client, kan  @redOz  misschien zelf bevestigen?


< Een ouder onderwerp gevonden >  waarbij de optie met  een 2e LAN-poort op de NAS  wordt aangehaald.
Ook de nadelen die men tegenkomt als men "alles" via de VPN Client laat lopen  --->  verlies van nogal wat internet snelheid.

Overigens dat de snelheid van internet via een VPN-tunnel opgezet vanuit een router vaak enorm naar beneden gaat
is een algemeen bekend gegeven.  Vaak zijn routers in het gebruik van de processing / CPU daarmee niet goed op afgestemd.
Met name het gebruik van OpenVPN is bij veel router modellen een betrekkelijk traag proces.

Als het even kan, probeer zoveel mogelijk "per apparaat" in je netwerk een aparte (Wiregard) VPN Client verbinding te leggen.
Dat is echt aanzienlijk efficiënter.

Mogelijk komt een set-up van een VPN Client ingeregeld op een NAS aan hogere VPN snelheden,
dan via een VPN Client ingesteld op een router?

Dus nogal wat zaken om te overwegen / uit te proberen.   

[ EDIT 23 september 2023 ]
Geen of wel een VPN-verbinbding en de verschillen in snelheid tussen twee router modellen of als aparte VPN Client vanaf een laptop.
Zie  < DEZE reactie >  als zijnde een "kale" internetsnelheid (zonder VPN), en  < HIER - met VPN >