Synology-Forum.nl
Overige software => Overige software => Topic gestart door: TonVH op 17 november 2016, 20:20:40
-
Staat enigszins los van Synology, vandaar hier. Merk wel als dit verkeerde plek is.
Ik zit erover te denken om al het verkeer vanaf de NAS vis een VPN (denk aan PIA als provider) te laten lopen. Gepoogd me op dit gebied wat in te lezen maar heb last van het bomen/bos effect. Dus wat start/richtingen zou behulpzaam zijn.
Allereerst vraag ik mij af: Wat is nu de plek om deze software te installeren?
- in de router? Zou (denk ik) als gevolg hebben dat al het Internetverkeer van het lokale netwerk via de VPN gaat/ Lijkt enerzijds makkelijk maar is dit wel verstandig.
- in de NAS? Als pakket vind ik alleen een VPN-sserver terwijl het mij lijkt dat ik een client nodig heb. Of zie ik begrip server/client hier verkeerd.Heb nu een Airport Extreme maar heb plannen die te vervangen door .......
Kortom, enige tips en/of URL's worden op prijs gesteld want het wiel volledig uitvinden lijkt mij overbodig. Alvast mijn dank.
-
n de router? Zou (denk ik) als gevolg hebben dat al het Internetverkeer van het lokale netwerk via de VPN gaat/ Lijkt enerzijds makkelijk maar is dit wel verstandig.
Dat kan echter, je Router moet dit wel ondersteunen dus, een Cliënt verbinding kunnen maken.
Nadeel is dan wel, dat o.a. de NAS van buitenaf niet meer bereikbaar kan zijn, volgens mij.
En, als je Mail hebt lopen via je Internet Provider, dan is de kans groot dat je wel mail kunt ontvangen maar, niet verzenden.
- in de NAS? Als pakket vind ik alleen een VPN-sserver terwijl het mij lijkt dat ik een client nodig heb.
Cliënt deel zit hier:
[attach=1]
In principe kun je een Cliënt hebben per apparaat b.v. PC, NAS.
-
"Nadeel is dan wel, dat o.a. de NAS van buitenaf niet meer bereikbaar kan zijn, volgens mij.
En, als je Mail hebt lopen via je Internet Provider, dan is de kans groot dat je wel mail kunt ontvangen maar, niet verzenden."
Dan is die optie gelijk exit. In alle gevallen moet normale toegang voor rest netwerk ongehinderd blijven bestaan.
"client deel zit hier"
Heb me de blubber gezocht en dankzij jou dus gevonden waar ik moet zijn. Ga me verder verdiepen. Als ik goed begrijp is het een kwestie van een (testaccount bij een VPN provider, daar de gegevens van invullen en al het uitgaande NAS verkeer gaat via de VPN.
Neem aan dat (van buiten) binnenkomend verkeer (dus buiten VPN)gewoon doorgaat? In dat geval is het relatief simpel en weekendje werk. Of ben ik te optimistisch?
Heb je nog tips om simpel te kunnen testen of het NASverkeer daadwerkelijk via die VPN loopt?
-
Als ik goed begrijp is het een kwestie van een (testaccount bij een VPN provider, daar de gegevens van invullen en al het uitgaande NAS verkeer gaat via de VPN.
Welke je ook als Provider kiest, ze zullen je de instructies geven, mag ik aannemen. ;)
Neem aan dat (van buiten) binnenkomend verkeer (dus buiten VPN)gewoon doorgaat?
Als je NAS verbonden is aan een VPN Provider, dan denk ik dat je NAS op dat moment niet meer bereikbaar is van buiten af.
Maar, je hoeft toch niet altijd verbonden te zijn ? (lijkt mij).
-
Wordt dus een kwestie van testen met een proef account ;)
-
Ik heb nog nooit een vpn vanuit de Nas naar een Vpn provider opgezet, maar het is technisch gezien niet noodzakelijk dat de Nas dan niet meer gewoon via het netwerk te bereiken is.
Het lijkt me zelfs onwaarschijnlijk, want dat zou inhouden dat je ook niet meer vanaf je lan op de Nas kunt komen, maar alleen via de Vpn tunnel, dus via de Vpn provider.
Dat lijkt me voor een Nas een onzinnige implementatie.
Voor pc's wordt dat vaak wel gedaan, als het bijvoorbeeld via een Vpn client op je pc naar een bedrijfsnetwerk wil connecten, dan wil zo'n bedrijf niet dat die pc ook nog met je lan/internet verbonden bent.
Je zou dan effectief een gateway naar het internet zijn en alle firewalls van het bedrijf bypassen.
Dit zijn echter meestal speciale Vpn clients, een gewone vpn client doet dat niet default.
-
Het lijkt me zelfs onwaarschijnlijk, want dat zou inhouden dat je ook niet meer vanaf je lan op de Nas kunt komen, maar alleen via de Vpn tunnel, dus via de Vpn provider.
Vanaf LAN is je NAS natuurlijk wel bereikbaar, die tunnel is immers voor naar buiten en niet voor binnen gebruik.
-
Als je router policy routing kan zou dat het mooist zijn. Die verbindt dan met je VPN-provider en dan kun je in de router per apparaat op het LAN aangeven of die door de VPN moet of niet.
Als je DS twee LAN-poorten heeft kun je volgens mij meerdere gateways activeren op de DS waardoor de ene LAN-poort bereikbaar blijft en de andere poort voor de VPN gebruikt wordt. De LAN-poort voor de VPN is dan niet bereikbaar vanaf internet maar de andere wel.
Natuurlijk dient dan wel port forward in de router geregeld te zijn.
-
Het lijkt me zelfs onwaarschijnlijk, want dat zou inhouden dat je ook niet meer vanaf je lan op de Nas kunt komen, maar alleen via de Vpn tunnel, dus via de Vpn provider.
Vanaf LAN is je NAS natuurlijk wel bereikbaar, die tunnel is immers voor naar buiten en niet voor binnen gebruik.
Als je vanaf het LAN bij je NAS kunt gaat dat natuurlijk ook vanaf het internet.
Dat is een kwestie van portforwarden en je NAS weet niet beter dan dat het verkeer van de LAN poort van je router komt.
Maar die VPN client in je NAS moet wel split tunnel functionaliteit hebben, maar zoals ik al zei lijkt het me waarschijnlijk dat hij dat wel heeft anders is het voor een NAS een vrij nutteloze functionaliteit.
-
Als ik goed begrijp is het een kwestie van een (testaccount bij een VPN provider, daar de gegevens van invullen en al het uitgaande NAS verkeer gaat via de VPN.
Welke je ook als Provider kiest, ze zullen je de instructies geven, mag ik aannemen. ;)
Kans dat ik verkeerd kijk maar ik zie bij vrijwel elke VPN provider de optie om een programmaatje te DL'en die het voor mij zal regelen. Echter die zijn voor Win, Mac, etc. Wat ik nergens kan vinden is een provider die of een .spk voor Synology heeft of de parameters die ingevuld moeten worden bij "netwerk aanmaken -> VPN -> profiel maken".
Iemand die nog wat suggesties heeft op dit punt?
-
Tutorial voor PIA:
-
Voor DSM 6 is het eenvoudiger geworden als ik deze link zo lees:
https://www.privateinternetaccess.com/forum/discussion/21856/how-to-set-up-synology-dsm-6
Eigenlijk dus gewoon de Synology help volgen...
-
Nou, dus maar eens getest hoe het werkt, heb dit mogen/kunnen doen met een (PIA) account van een vriend van mij 8)
Dit zijn de stappen, in woord en beeld:
EDIT 20:47: 0 - Vink eerst aan: (Met dank aan @MMD )
[attachimg=10]
1 - Heb OpenVPN-configuratiebestanden (aanbevolen) (https://nld.privateinternetaccess.com/openvpn/openvpn.zip) gedownload en uitgepakt, je krijgt de map openvpn op je PC en daar haal je dus het nodige uit:
1.1 - Heb gekozen voor Gateway Nederland dus, ik gebruik:
1.2 - Netherlands.ovpn
1.3 - Certificaat is: ca.rsa.2048.crt
1.4 - Certificaatintrekkingslijst (certificate revocation list): crl.rsa.2048.pem
2 - VPN Cliënt inrichten.
2.1
[attachimg=1]
2.2
[attachimg=2]
2.3
[attachimg=3]
2.4
[attachimg=4]
2.5
[attachimg=5]
3 - Verbinden
[attachimg=6]
3.1 - Verbonden
[attachimg=7]
4 - Checks
4.1 - PuTTY (ifconfig)
[attachimg=8]
4.2 - PuTTY (traceroute)
Je ziet hier dat ik naar buiten ga via het virtuele adres van OpenVPN.
[attachimg=9]
4.3 - Check voor DSM updates en Packages installeren werkt.
5 - Opmerkingen:
5.1 - NAS is uiteraard via LAN bereikbaar.
5.2 - Vooraf had ik even een DDNS ingesteld en kon dus m'n NAS, via telefoon (zonder WiFi), benaderen.
5.3 - Na de verbinding met PIA, kon ik de NAS niet meer benaderen (DDNS en Extern IP-adres getest), via telefoon (zonder WiFi), zoals ik had verwacht.
Als hier een oplossing voor nodig is, misschien dat iemand anders die weet. ;)
(Doorgehaald, oplossing is stap 0)
-
Strak werk Birdy.
Maar dat je de Nas niet meer vanaf het internet kunt benaderen dat snap ik niet helemaal.
Als je vanaf je Lan je Nas via poort 5000 kunt benaderen dan zou je als je een poort forwarding in je router naar poort 5000 van je NAS doet je de NAS ook normaal moeten kunnen benaderen.
Als dat niet lukt, dan moet de VPN software van de NAS dus actief dat Lan verkeer dat vanaf je router komt blokkeren.
-
Thanks! 8)
Het zal wel aan de route liggen ? (heb er niet zoveel verstand van.....)
VPN uit:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default router.asus.com 0.0.0.0 UG 0 0 0 ovs_eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 ovs_eth0
VPN aan:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.17.10.5 128.0.0.0 UG 0 0 0 tun0
default 10.17.10.5 0.0.0.0 UG 0 0 0 tun0
10.17.10.1 10.17.10.5 255.255.255.255 UGH 0 0 0 tun0
10.17.10.5 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
46.166.188.213 192.168.1.1 255.255.255.255 UGH 0 0 0 ovs_eth0
46.166.190.234 192.168.1.1 255.255.255.255 UGH 0 0 0 ovs_eth0
128.0.0.0 10.17.10.5 128.0.0.0 UG 0 0 0 tun0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 ovs_eth0
Ben van buitenaf niet te zien lijkt mij en, dat is natuurlijke de bedoeling van een dergelijke verbinding. ;D
-
Was net aan het posten en schreef een paar posts terug al een mogelijke oplossing m.b.t. het extern bereikbaar zijn.
@Birdy
Schakel Gebruik standaard gateway op het externe netwerk eens uit en probeer dan eens te verbinden vanaf het WAN, dat gaat lukken want dat zorgt voor die routes die je ziet.
Dan gaat echter niet alle verkeer over de VPN.
Probeer vervolgens in Netwerk Gateway Geavanceerd (of zoiets) de optie Meerdere Gateways in te schakelen maar met Gebruik standaard gateway op het externe netwerk aan.
En houd de firewall in de gaten ;)
-
Schakel Gebruik standaard gateway op het externe netwerk eens uit en probeer dan eens te verbinden vanaf het WAN, dat gaat lukken want dat zorgt voor die routes die je ziet.
Gedaan maar, werkt niet......DDNS en Extern-IP.
Route in de NAS is hetzelfde gebleven.
Probeer vervolgens in Netwerk Gateway Geavanceerd (of zoiets) de optie Meerdere Gateways in te schakelen maar met Gebruik standaard gateway op het externe netwerk aan.
Moet ik nog testen ;)
EDIT: Waar doe ik dat ? @MMD
-
Werkt niet? Das verrassinkje, misschien doet Synology onderhuids nog wat...
In DSM 5 staat dat onder Control Panel - Network - TAB General - Advanced settings - Enable Multiple Gateways.
-
Nu ook ingeschakeld:
[attachimg=1]
[attachimg=2]
Zelfde resultaat en route blijft hetzelfde.
-
Ik heb een van mijn nassen als client aan een server van ibvpn. Geen client software nodig want syn heeft standaard openvpn client beschikbaar
Qua bereikbaarheid van buitenaf: QC werkt nog gewoon. Connect via de ddns werkt niet meer, omdat de ip aan de ddns gekoppeld, feitelijk het exit point van je vpn provider wordt
Alles werkt dus nog gewoon, ook van buitenaf
-
Quickconnect blijft werken omdat het initieel vanaf de NAS komt.
Die verbinding vanaf de NAS komt dan in de state table van de firewall terecht en wordt vervolgens "levend" gehouden.
De Meerdere gateways optie zou volgens mij moeten werken om toegang vanaf het WAN te krijgen. Reply to arp staat standaard aan als het goed is. Of in dit geval DDNS het juiste IP zal resolven weet ik niet maar met het externe IP zou het moeten lukken.
Misschien is een reboot nodig na gedane instellingen...?
Edit:
Zit naar de routes te kijken...
Samen met meerdere gateways een static route toevoegen:
Destination: 192.168.1.0
Subnetmask: 255.255.255.0
GW: 192.168.1.1
Interface: LAN 1
-
Ik heb het geverifieerd - ddns resolvet naar het IP vd vpn server die je geconnect hebt. En dat is ook logiscb
-
Zie edit.
-
@MMD Met het schaamrood op mijn kaken, moet ik bekennen dat ik in de fout ben gegaan met het testen na jouw reactie « Gepost op: Vandaag om 16:48:25 » (http://www.synology-forum.nl/the-lounge/starten-met-vpn/msg206290/#msg206290)
Typo in IP-adres :oops: en sorry.
M.a.w., "Control Panel - Network - TAB General - Advanced settings - Enable Multiple Gateways" werkt wel in combi met "Schakel Gebruik standaard gateway op het externe netwerk eens uit".
Heb daarna "Gebruik standaard gateway op het externe netwerk" weer aangevinkt, getest, werkt ook.
Dus, het enige verschil met mijn eerste test (http://www.synology-forum.nl/the-lounge/starten-met-vpn/msg206275/#msg206275), is de toevoeging: "Control Panel - Network - TAB General - Advanced settings - Enable Multiple Gateways" 8)
Ga dit toevoegen aan m'n "tutje" ;)
Nu is de beurt aan @TonVH want, daar deden we het voor.
-
Nouja, schamen niet nodig toch :)
Ok, dus wanneer alle verkeer over de VPN gaat en Meerdere Gateways is ingeschakeld, is dat voldoende om vanaf het WAN/internet te kunnen verbinden naar de NAS?
Als @mchp92 dat ook eens probeert?
En dan kijken of DDNS "correct" resolved...
-
Ik heb het geverifieerd - ddns resolvet naar het IP vd vpn server die je geconnect hebt. En dat is ook logiscb
Dat is alleen logisch als OpenVPN de default gateway overschrijft, en dat gebeurt dan ook met redirect gateway.
Schakel je vervolgens meerdere gateways in dan wordt die default gateway (je router IP) weer aan de route tabel toegevoegd.
De pakketjes/verbindingspoging die van het WAN/internet komt heeft dan weer een route terug naar het WAN.
-
Nu is de beurt aan @TonVH want, daar deden we het voor.
Ik had eigenlijk dit weekend hiermee van start willen gaan maar is allerlei tussengekomen (kleinkinderen, Zwarte Piet, longontsteking en meer) maar ik stel e.e.a. zeer op prijs en @allen alvast bedankt. In de loop van de week ga ik e.e.a. uitproberen en laat resultaten weten.
Nogmaals, alvast mijn dank. Was anders vast niet gelukt.
-
Ja, de kids gaan natuurlijk voor :D En beterschap gewenst :!: