openvpn client verbinding (achter NAT) lukt niet

[maxke]

Beste,

ik heb even het forum doorlopen maar vond helaas niet wat ik zoek.
Ik zit met het volgende probleem.

Op Synology Server 1 draait een openvpn server.
De Synology zit achter een NAT. (port 1194 staat open op de router)
Ik kan mijn Linux server (met publiek ip adres) verbinding laten maken met de openvpn server.

Tot nu toe alles ok dus.

Echter heb ik nog een 2de Synology server draaien die ook achter NAT zit. (port 1194 staat open op de router)
Wanneer ik een vpn verbinding probeer te leggen met de openvpn server van Server1 lukt dit niet.
Ik zie ook niets binnen komen in de logs van de vpn server.
Wanneer ik dit alles echter probeer met een ipsec vpn server lukt dit wel. Ik heb daar wel de optie (server is behind a nat) aangevinked. Die optie vind ik echter niet terug via de openvpn server.

Kan dit de oorzaak zijn en hoe los ik dit op ?

Ik wil absoluut met een openvpn server werken.

Alvast bedankt voor jullie reacties.

Mvg

Max

[Ben(V)]

Wat je wil kan niet of ik bergrijp niet wat je wilt doen.
Waarom zou je binnen je lan een VPN tussen twee Nassen willen hebben?

[maxke]

Sorry misschien niet duidelijk geweest.
Netwerk 1 : Synology Server (achter NAT)
Netwerk 2 : linux server bij hosting provider met publiek adres (dus eigenlijk geen netwerk maar ene standalone linux server met publiek ip adres)
Netwerk 3 : Synology Server (achter NAT)

Het betreft hier dus 3 verschillende locaties.
Netwerk 2 en 3 dienen via openvpn te connecteren naar netwerk 1
Voor netwerk 2 lukt dit.
Voor netwerk 3 niet.

En ik denk dus dat het komt omdat de nas in netwerk 3 ook achter NAT zit.

Mvg

[Briolet]

Netwerk 3 gebruik je uitgaand. Dan behoort NAT geen effect te hebben.

Als je VPN vanuit een hotelkamer, vliegveld of station gebruikt, zit je doorgaans ook achter een NAT.

[Pippin]

Op de Synology server in netwerk 3 dien je een OpenVPN client profiel te importeren.
Dat kan in de netwerk instellingen.


Het is misschien verstandig goed duidelijk te maken wat het exacte doel is van de opzet.

[maxke]

Ik heb een export gedaan van de openvpn instellingen van de vpn server.
In de config file het ip adres aangepast naar de FQDN (heb dit ook getest met mijn publiek ip adres maar dat werkt ook niet)
Vervolgens op netwerk 3 in de synology onder netwerk een openvpn met import ovpn file gedaan.
Login en paswoord ingegeven, de ovpn file geimporteerd en de ca.crt file
Poort 1194 staat ook open op de router van netwerk 3.

De bedoeling is dat net zoals mijn linux server bij de hosting provider, mijn synology van netwerk 3 een openvpn verbinding legt naar de synology op netwerk1.
Met de linux server is dat geen probleem, met de synology in netwerk 3 wel.

[maxke]

Ik zie noch in de log file van de vpn server noch in de algemene log files van synology3 meldingen of errors

[Pippin]

Hebben beide clients een eigen gebruikers account?

Doe anders ééns het volgende,
Aan het config bestand voor de Synology op netwerk 3 deze regels toevoegen:

Code: [Selecteer]

log /volume1/<GEDEELDEMAP>/vpnclient.log
verb 4<GEDEELDEMAP> vervangen door een werkelijk gedeelde map.
Opnieuw importeren en de verbinding starten.
Dan in het vpnclient.log kijken wat er gemeld wordt.

[maxke]

Dit maakt geen log file aan helaas.
Op die map heeft iedereen full acces

[maxke]

ALs ik een ipsec vpn server neem lukt het wel maar daar is een optie 'server is behind a nat', wat ik niet heb bij een openvpn connectie.
Dus ik denk dat er in die richting moet gedacht worden.

[Pippin]

De NAT waar het hier over gaat heeft daar niets mee van doen.

Poort 1194 staat ook open op de router van netwerk 3.

Die poort mag weer dicht, is niet nodig. Alleen aan de server zijde is dat nodig maar dat heb je al.

De vraag is of de Synology op netwerk 3 de server kan bereiken.

Het log van Synology is summier/waardeloos, vandaar mijn voorstel om OpenVPN's eigen log te bekijken.
Waarom dat nu niet werkt weet ik niet, heeft wel gewerkt.
Heb je een Unix capabele text editor gebruikt?
Post eens de exact toegevoegde regels.

Heb je een andere client geprobeerd met hetzelfde account als van de Synology op netwerk 3?

In het scherm waar je het geïmporteerde profiel kunt starten, wat wordt daar gemeld als je probeert te verbinden?

[maxke]

Die poort moet nochtans open op mijn linux server anders is er geen check op certificaat. Maar bon dat is een ander verhaal en doet hier niet ter zake.

Dit heb ik toegevoegd met nano :
log /volume1/Evi/vpnclient.log
verb 4

Ik heb het getest met ipsec en dat werkt perfect.
Ik moet wel zeggen dat pingen niet lukt MAAR dat staat er los van. Het immers zo dat ik ook vanop een mobile data verbinding op mijn gsm ook niet kan pingen naar mijn extern adres van network 1 maar ik kan perfect vpn-en.

De melding die ik krijg :
Failed to establish network connection.
Connection failed. Please check your network settings.

[Pippin]

Kan de Synology op netwerk 3 uberhaupt het internet bereiken?
Wat zegt de DSM update status? Configuratiescherm -> Bijwerken en herstellen

[maxke]

Natuurlijk kan de synology op netwerk 3 het internet bereiken.
Ik kan perfect vpn-en via ipsec of pptp en ik kan vanuit de console ook pingen naar eender wat.

De synology in netwerk3 is perfect up to date en geeft geen meldingen aan.

[Pippin]

Ja, klopt ook, U mag mij nu voor    uitmaken 

Heb je (root) toegang via SSH naar de Synology op netwerk 1 ?
Voeg dan de log regels toe:

Code: [Selecteer]

log /var/log/openvpn.log
verb 4aan

Code: [Selecteer]

/volume1/@appstore/VPNCenter/etc/openvpn/openvpn.confHerstart de OpenVPN server en probeer met de Synology op netwerk 3 te verbinden.
Vervolgens het server log bekijken of die poging bij de server aangekomen is.

Als deze niet aankomt is er iets mis aan de client zijde.