Synology-Forum.nl
Synology Router => Synology Router => Topic gestart door: aliazzz op 27 april 2017, 15:50:56
-
Ik ben geinteresseerd in jullie negatieve of juist positive ervaringen voor de VPN Plus Server.
Is dit pakket makkelijk (dus zonder eerst de manual te raadplegen) te configuren?
Wat is het gebruiksgemak?
Eet het pakket veel resources, etc, etc.
Ik lees her en der dat mensen dit pakket, wat veel potentie heeft, niet makkelijk aan de praat krijgen en wil hier een centrale plek voor creëeren. Dit zodat we onze krachten kunnen bundelen om het werkend re krijgen.
Graag lees jullie ervaringen en zal ik later deze week mijn eigen ervaringen delen.
-
Ik gebruik al een poosje OPenVPN, juist vanwege zijn eenvoud en doeltreffendheid.
Daarnaast blijkt OpenVPN ook nog eens tot de veiligste VPN varianten te behoren.
Aan clientzijde lijkt het heel even puzzelen. Ik maak gebruik van OpenVPN 2.4.1 (https://openvpn.net/index.php/download/community-downloads.html).
Volg wel even de aanwijzingen (zoals het handmatig invullen van het IPnummer van de OpenVPN server) maar daarna werkt
het perfect.
Succes !
Peter
-
Hoi Peter,
OpenVPN gebruik ikzelf ook (al iets van een jaar of 2 inmiddels?). Mij gaat het niet om de VPN server package (met daarin OpenVPN) maar om de VPN PLUS package, welke een package is dat exclusief is voor SRM. Mischien had ik dit wat helderder moeten uitleggen;
Dit package stelt gebruikers in staat (naar het schijnt) een OpenVPN (of vergelijkbaar) sessie te maken via een browser (dus zonder een installer op client). de VPN Plus Server schijnt een gateway applicatie te zijn waarop je middels verschillende clients kan inloggen, alsmede een browser als client. Dit laatste trekt mij erg aan, ik gebruik daarom bijv ook guacemole docker als remote desktop manager, omdat dit een browser based RDP client is. Dan heb ik slechts een thin-client nodig, waar ik ter wereld ook werk of ben.
-
Ah zo, dat had ik idd niet begrepen.
Ik heb daar al mee gestoeid. Je schotelt de gebruiker dan een keurige webpagina voor.
Ik weel nog wel dat je dan alsnog (als je voor de eerste keer met je browser op VPN inlogt) iets van een
componentje moest downloaden. Het werkte wel maar om een of andere reden ben ik daar toen afgehaakt maar weet niet meer waarom.
Heb jij het al draaiend ?
Peter
-
Hoi, ik heb de originele vraag ik het topic ook maar even uitgebreid. Ik wil namelijk koste wat het kost straks het vpn plus server pakket aan de praat krijgen. Ik zie in de implementatiekeuze veel voordelen, scheelt me veel gezeur met beheren. Ik begrijp dat mensen het maar moeilijk of mondjesmaat, lees verkeerde vpn protocol, aan de praat krijgen.
Ik zou ze het liefst met openvpn draaien, maar sslvpn zou een alternatief zijn.
Ik wil in dit draadje met anderen van tips/trucs uitwisselen om de boel werkend te krijgen :thumbup:
-
Hier geen beste ervaring met VPN Plus (als start met de conventionele VPN-opties ----> binnen VPN Plus benoemd als "Standard VPN").
Zie reactie < HIER > (https://www.synology-forum.nl/synology-router/instelling-vpn-client/msg214986/#msg214986) Maar vind het verder een prima idee de ervaring van meerdere gebruikers te bundelen.
Aanvulling met wat ik eerder heb beschreven op het internationale Synology forum < HIER > (https://forum.synology.com/enu/viewtopic.php?f=265&t=126828&start=15#p466282)
Later ben ik nog eens opnieuw gaan testen, en heb de router met een reset helemaal terug gebracht naar fabrieksinstellingen.
Vanuit die basis VPN Plus geïnstalleerd. In dat geval met wat in die reactie wordt beschreven als "No possibility to export Configuration file."
Werkte dat toen wel. Dus ik kon wel het OpenVPN Configuratiebestand / certificaat exporteren. (De reset had dus wel zin gehad).
(Op het internationale forum daar toen ook feedback over gegeven < HIER > (https://forum.synology.com/enu/viewtopic.php?f=265&t=126828&start=15#p467224) ).
Alleen was de ervaring van het opzetten van een VPN-verbinding niet anders, als wat ik voorheen ook had.
Na 7 seconden werden de verbindingen verbroken. Met Synology support daar nog wel een aantal reacties aan gewijd, maar kwam niet verder.
Ben uiteindelijk afgehaakt. Omdat ik geen succes had, moest ik uiteindelijk telkens weer terug naar mijn conventionele VPN-server set-up.
Omdat bij elke volledige reset naar fabrieksinstellingen (en weer terug gaan naar het oude VPN-server package), het achterliggende certificaat wordt aangepast, moest ik dat telkens weer in mijn mobiele apparaten weer updaten. Dat kostte me allemaal teveel tijd.
Aanvulling:
Gezien er zowel negatieve als positieve ervaringen zijn, als ik zie welke router modellen worden gebruikt zit daar mogelijk een verschil.
Het lijkt me goed om aan te geven welke model men gebruikt, en welke VPN services zijn getest:
RT2600ac :
- Positief @pvkan OpenVPN (ik neem aan met de conventionele VPN-verbindingen)
- Positief @MarkH OpenVPN (aanvankelijk problemen, na reset opgelost, zie relaas (https://www.synology-forum.nl/synology-router/rt2600ac-openvpn-toegang-tot-lokaal-netwerk/msg223383/#msg223383))
- Positief @aliazzz Alleen de nieuwere VPN Plus methoden geprobeerd.
RT1900ac :
- Negatief @Babylonia Alleen getest met de conventionele VPN-verbindingen - PPTP - L2TP/IPSec - OpenVPN
- UPDATE per 31-12-2017: - @Babylonia
Met installatie van een nieuw SSL certificaat, en in de afgelopen periode inmiddels diverse updates van zowel de router firmware
alsook van het VPN Plus package, ben ik er nu maar weer mee aan de slag gegaan om het opnieuw te proberen.
EN....
Nu met positief resultaat voor alle conventionele VPN protocollen: PPTP - L2TP/IPSec - OpenVPN, en de extra VPN Plus opties.
(Relaas van de bevindingen vanaf < HIER > (https://www.synology-forum.nl/synology-router/vpn-plus-server-ervaringen/msg239809/#msg239809) ).
-
Nu maar inzetten om dit package te verbeteren en om synology de plooien eruit te te laten strijken. Dit geldt ook voor de active directory server.
-
Hoi allemaal,
Modem is binnen, uitgepakt & geconfigureerd.
Dit is een peulenschil.
Meteen WebVPN aangezet en wat schetst mijn verbazing?
Out of the box werkend! :geek: :P :lol: 8) :thumbup:
Gezien diverse mensen hun ervaringen met het niet werken van deze optie kan ik ze vertellen dat de webvpn portal bij vlekkeloos werkt. Mischien heeft dit wat met de recente update te maken? In ieder geval de moeite waard om alsnog dit pakket weer even af te stoffen en te proberen.
WebVPN is een andere methode dan SSL VPN, maar zijn beide uniek voor VPN PLUS server
Beide methoden zijn heel eenvouding te installeren.
-
Nu met nieuwe firmware had ik ook al bedacht om het opnieuw te gaan proberen, maar ben een aantal dagen buitenshuis i.v.m. mei schoolvakantie van mijn dochter.
Verder zou er ook nog steeds wel verschil kunnen zijn met de ervaringen met een RT1900ac en RT2600ac.
Die met de RT2600ac was dat door @pvkan eerder ook reeds als positief gemeld met een OpnVPN connectie.
Maar heb je ook de conventionele VPN-methoden uitgeprobeerd? Dat was namelijk de eerste inzet van mezelf om die werkend te krijgen.
Via VPN wil ik namelijk gewoon met de verkenner "binnen het netwerk" connectie met de de NAS thuis, en aangekoppelde USB-schijf met de router.
Dat een website via VPN verloopt daar ligt niet mijn prioriteit.
-
As we speak de VPN Plus - SSL VPN client uitgeprobeerd!
Deze synology eigen variant lijkt sterk op de OpenVPN variant maar is gebruikersvriendelijker dan standaard openVPN.
Ik heb me er nog niet in verdiept met welke encryptiemethode de verbinding tot stand komt, maar mijn intuïtie zegt dat het een synology schil over OpenVPN zelf heen is.
Edit: inmiddels even in de encryptie verdiept. Default staat SSLv3 en AES128 ingesteld, dat kan technisch gezien behoorlijk wat sterker;
Hier dus de smaak TLSv12 in combinatie met SHA256 en DHE-RSA-AES256 van gemaakt.
1) Versions of TLS — v1.1 and v1.2 are significantly more secure and fix many vulnerabilities present in SSL v3.0 and TLS v1.0.
2) SHA-256 algorithm generates an almost-unique, fixed size 256-bit (32-byte) hash.
3a) DHE = Diffie–Hellman key exchange,
3b) RSA algorithm: A user of RSA creates and then publishes a public key based on two large prime numbers, along with an auxiliary value. The prime numbers must be kept secret. Anyone can use the public key to encrypt a message, but with currently published methods, if the public key is large enough, only someone with knowledge of the prime numbers can feasibly decode the message.
3c) AES256: For AES, NIST selected three members of the Rijndael family, each with a block size of 128 bits, but three different key lengths: 128, 192 and 256 bits. AES has been adopted by the U.S. government and is now used worldwide.
Ofwel, met de VPN encryptie zit het na een drietal klikjes wel snor!! :thumbup:
Deze variant biedt voor elk OS, ook linux en windows phone, een client. Client installeren, gegevens invoeren, klaar. Geen gezeur met certificaten. Dit wordt allemaal afgehandeld in de achtergrond! :thumbup:
[attach=2]
Vooralsnog heeft deze methode mijn voorkeur boven webvpn en openvpn.
Daarmee is niet gezegd die methodes minder zijn, ik heb zelf ruim 2 jaar openvpn gebruikt, maar het is een kwestie van persoonlijke smaak.
Android, IOS, windows phone, linux, allemaal een client te downloaden. (zie screenshot)
-
Ik had VPN Plus al een tijdje draaien op de rt1900 ac. Daar gebruik ik WebVPN en SSLVPN. Ook in combinatie met de iOS app. Moet zeggen dat het instellen echt heel gemakkelijk is.
Sinds de laatste update van de router (1.1.4) werkt de reconnect alleen niet meer. Als ik eenmaal verbinding heb werkt het prima. Zodra ik mijn telefoon een uurtje weg leg en daarna een willekeurige app open is de melding standaard .... geen internetverbinding. Als ik dan de VPN Plus app open staat er "verbinden...". Als ik vervolgens via de instellingen van mijn telefoon VPN weer uit zet heb ik gewoon weer internetverbinding.
Ik kan vijf of tien minuten wachten, maar er blijft staan.... "verbinden..." in de VPN Plus app.
Iemand hier al ervaring mee?
-
Confirmed.
De time-out reconnect optie werkt niet via de laptop en ook niet via de android app => ticket naar synology schieten?
-
Dat had ik al gedaan. Maar ik dacht even checken of er meerdere mensen zijn die tegen hetzelfde probleem aanlopen. Bedankt voor je reactie!! Zal nog even laten weten wat de reactie van Synology is.
-
OpenVPN is geen SSL VPN, misverstand dat ook al weer lang bestaat.
Er is niets "Synology eigen" aan, zowel WebVPN als SSL VPN.
Qua veiligheid kan het ook niet tippen aan OpenVPN ;)
-
Er is niets "Synology eigen" aan, zowel WebVPN als SSLVPN. => Oke, kan je dan vertellen waarop dit wel op gebasseerd is?
En ja, de settings in OpenVPN overtreffen die van SSL(TLS!) VPN, maar goed is goed genoeg nietwaar? Ik hoef geen 10 als ik het ook met een 7 red. Vooralsnog wint hier het gebruiksgemak, dat is ook heel wat waard.
Maar ik ben benieuwd wat onze VPN expert hierover inhoudelijk te vertellen heeft ;-)
-
Qua veiligheid kan het ook niet tippen aan OpenVPN ;)
Wat is het verschil met de veiligheid dan?
Sinds een aantal dagen ook actief met SSL VPN, en ik ben erg tevreden. Is makkelijk in te stellen, en werkt super.
Ook de client voor iPhone werkt erg goed. Misschien dat dit ook wel de oplossing is voor internetlocaties welke de opbouw van een vpn connectie niet toelaten?
-
Mooie uitleg (http://searchsecurity.techtarget.com/definition/SSL-VPN)(vind ik).
Op de zaak gebruiken wij ook SSL VPN (Cisco) en maken connectie via de browser vandaar, het is niet "Synology eigen"..
-
Ben geen expert, bij lange na niet, anders was het mijn werk wel geweest ;)
Het ging mij om:
Deze synology eigen variant lijkt sterk op de OpenVPN variant
Er wordt wel gebruik gemaakt van SSL maar betekent niet vergelijkbaar, OpenVPN is een eigen protocol.
Wat eigen is aan Synology is de schil die om bestaande technologie heen gebouwd is.
WebVPN (client-less VPN) geeft beperkt toegang tot diensten, web gebaseerd.
SSL VPN is anders, lijkt misschien wat meer op b.v. stunnel, vaak is Java benodigd en er wordt een IP toegewezen zodat een client "deel" wordt van het netwerk. Als ik mij niet vergis kunnen bijna alle protocollen "door de tunnel" gaan.
Elk type heeft dus zijn functie en als het aan de eis voldoet dan prima :)
Cisco kent dit b.v. al lang als WebVPN en Anyconnect WebVPN.
Edit:
Mooie link van @Birdy
-
Wat is het verschil met de veiligheid dan?
OpenVPN heeft meer "lagen" van protectie die gebroken moeten worden voordat men een probleem heeft, mits zodanig geconfigureerd.
Dit is b.v. ook een reden waarom SHA1 i.g.v. OpenVPN nog steeds veilig is.
-
De applicatie heet dan SSLVPN, maar je mag kiezen tussen SSL en TLS... dit had ik toch duidelijk aangegeven;
Ik heb TLSv12 in combinatie met SHA256 en DHE-RSA-AES256 ingesteld.
[attach=1]
-
Met de nieuwste srm update werkt zowel vpnplus als sslvpn! Er zit nog wel een reconnect bugje maar die zal gefixed worden.
Ik gebruik beide methoden in tandem. Daar mij dit goed bevalt heb ik op dit moment geen persoonlijke behoefte voor openvpn meer.
Bij vragen hoe ik dit heb ingesteld hoor ik graag.
-
Ook maar even gaan stoeien met SSL-VPN.
Helaas vergeet ik ergens iets, want ik krijg het niet aan de praat.
Alles keurig geconfigureerd (je kan het eigenlijk niet fout doen), op de firewall nog even het juiste poortje opengezet, maar helaas.
In een browser krijg ik allerlei waarschuwingen over me heen die eindigen in een 403 error,
Inloggen met de Android app eindigt na ingave van mijn credentials met de melding "Dit is geen VPN Plus server".
Ik stoei even verder, maar als iemand een hint heeft hoor ik dat graag.
[Edit: Laat maar, uit automatisme zette ik de vpn poort open naar mijn NAS.... :lol: :lol: :lol:
Dat is niet handig natuurlijk.....]
Peter
-
Probleempje ontdekt met SSL-VPN
Ik gebruik op mijn router 2pass-verification.
Daar gaat het echter in IE en Edge mis, niet in Chrome.
Zodra ik via SSL VPN verbinding wil maken via de browser worden in eerste instantie mijn credentials goedgekeurd.
Zodra daarna om de (2pass-verification) code wordt gevraagd wordt deze niet geaccepteerd in IE en Edge.
De VPN server komt in IE terug met de melding dat mijn password niet klopt (dat is vreemd, want een scherm terug vond hij ze nog prima ). EDGE accepteert mijn 2pass code niet. (Iets wat overigens bij de NAS vlekkeloos verloopt).
Wat ook opvalt in IE en EDGE is dat de cursor in het code inputveld op een vreemde plek staat en ik in eerste instantie niets kan intikken.
Zodra ik met de muis de cursor op zijn plek heb gezet, kan ik wel de code ingeven, maar volgt dus de foutmelding.
In Chrome en mijn Android app gaat alles vlekkeloos (hoewel Chrome nog wat zeurt over https en het onveilig zijn).
Dit zou dus betekenen dat IE en EDGE incompatible zijn met SSL VPN van Synology. Zou dit iets met Java van doen hebben ?
Peter
-
Tsja, geen idee :P
Ik gebruik firefox en de ios en android apps.
Meteen maar een ticket naar synology schieten! Dan kan je bug worden nageen en verholpen.
-
Ik denk dat ik weet waar de schoen wringt: Ik vermoed dat het (ontbreken van) een SSL certificaat hier roet in het eten gooit.
Nu is het vrij simpel om via bv Free-SSL een certificaatje aan te maken maar dat lukt dan alleen door een TXTrecord op te nemen
in de DNS (de router heeft geen webserver).
Mijn domeinen en daarmee mijn DDNS instellingen zitten bij Strato en ik heb daar geen mogelijkheid om een TXTrecord toe te voegen
zolang DDNS actief is. DUs dan zou ik mijn DDNS om zeep moeten helpen...dat schiet dan ook niet op.
Jammer dat Let's encrypt niet op de Rt2600ac te vinden is. Dat werkt op de NAS perfect.
Iemand een idee om SSL VPN toch behoorlijk aan de praat te krijgen ? Misschien een andere DDNS provider ?
Peter
-
Bij VPN Plus hoort een certificaat, maar wil je er meerdere (per verschillende Client ??) zou je die moeten kopen.
Lees de help files daarover wat je zou moeten doen (ikzelf heb VPN Plus niet geïnstalleerd).
Van welke instantie het certificaat wordt uitgegeven lijkt me verder niet het probleem.
Certificaten kun je gewoon in de router importeren. Daar hoef je geen aparte "web-server" voor te laten draaien.
Ik heb een SSL certificaat van Comodo, wat ik zowel in mijn NAS als in de router heb geïmporteerd.
Gekoppeld aan een NL-domein wat ik heb vastgelegd aan het WAN IP-adres van mijn internetverbinding.
-
Het certificaat is niet het probleem (dat is appeltje eitje).
Het probleem ligt bij in mijn geval bij Strato. Die staat geen TXTrecord toe vanwege het feit dat de DDNS van de router ook al actief is bij hen. TXTrecord heb ik echter nodig omdat op de router geen webserver draait.
Dus misschien andere DDNS provider gebruiken...
Peter
-
Ik heb ook zojuist VPN Plus werkend gekregen..
Wel leuk om te zien dat het zo gebruiksvriendelijk klaar gemaakt is..
Nu ga ik eens uitzoeken hoe ik dan via de vpn bij de bestanden van de synology kan komen, dan hoef ik alleen maar de weg van de vpn open te zetten, en alles van de NAS dicht te laten. Lijkt me een stuk beter qua indringingsmogelijkheden...
Mvg Nigel
EDIT:
Dit met RT2600, een up te date firmware.
Gedaan via een browser en dan webvpnplus pagina .
Gaat hier om de SSL VPN.
Andere vpn mogelijkheden heb ik uit staan.
-
Kun je ook aangeven welke specifieke protocollen je gebruikt en welk router model, de RT1900ac of de RT2600ac ?
Die VPN-opties die alleen via VPN Plus zijn in te zetten, of heb je ook geprobeerd de standaard conventionele VPN methoden te testen?
De Standaard VPN methoden zijn ondergebracht onder het kopje "Standaard VPN" van het menu.
(Zoals ook beschikbaar bij het oude VPN-server package en vergelijkbaar zoals het package beschikbaar voor DSM bij een NAS).
Dit om beter inzicht te krijgen wat er nu precies wel werkt, en wat niet.
Kan het lijstje eerder in de draad < HIER > (https://www.synology-forum.nl/synology-router/vpn-plus-server-ervaringen/msg221590/#msg221590) worden aangevuld.
-
Beste mede synofans,
Ik heb zojuist bevestigd gekregen van synology support via email dat 2pass authentication feature voor VPN Plus server met een toekomstige update uitgerold gaat worden. Dit staat dus op de shortlist. Het indienen van feature requests helpt dus zeker, men luistert ernaar en geeft zelfs feedback. Hulde! (Deze feature was natuurlijk wel voor de hand liggend, maar dan nog)
-
ok, na de laatste update synced de 1900 hier zn tijd niet meer vanzelf...en dan kun je niet meer verbinden met VPN plus. ( unknown error )
Dus mocht iemand plots problemen hebben na bv een reboot, controleer even of je router wel de juiste tijd heeft.
-
Toch werkt het niet helemaal lekker,via Android smartphone..
Iemand met de app via vpn plus al ingelogd? Ik krijg dan wel verbinding, maar ik kan geen enkele website bezoeken. Terwijl er wel de tijd loopt van hoelang je verbonden bent, plus het sleuteltje komt links bovenin in beeld...
Mvg Nigel
Verstuurd vanaf mijn SM-G920F met Tapatalk
-
Mogelijk tevens afhankelijk welke VPN methode je toepast, kunnen er mogelijk een paar zaken aan de orde zijn.
Daar ben je helemaal niet duidelijk in. Met VPN Plus zijn er nogal wat opties. Wat precies welke VPN connectie pas je toe?
(In het verzamelen van concrete informatie en aanvulling van deze draad, wil ik je nogmaals verzoeken de vragen te beantwoorden < HIER > (https://www.synology-forum.nl/synology-router/vpn-plus-server-ervaringen/msg222908/#msg222908) ).
- Heb je ergens een instelling vastgelegd om al het verkeer via VPN te laten lopen (dus ook van websites)??
- Afhankelijk van de VPN-methode moet je mogelijk DNS-servers opnemen in de instellingen.
-
Inloggen via de vpn plus android app heb ik werkend, alsmede surfen over het internet. Het werkt dus zeer zeker :!:
Heb je al teruggelezen in dit topic hoe ik de boel aan de praat heb gekregen?
Er zit overigens nog wel een reconnect na disconnect bugje in de app. Deze is gemeld bij bij synology.
-
De "reconnect when connection is lost" via de Windows PC client v1.1.0-0127 x64 werkt overigens wel
-
Ik heb het geprobeerd te volgen waar ik wat moet zetten, maar het is doorsturen op doorsturen. Het werd er niet duidelijk op, op me telefoontje, vandaar dat het korte berichten waren, sorry hiervoor..
Ik lees uiteraard wel en kijk wat Yt om het te laten werken...
Goed om te horen dat het wel degelijk werkt, dat is voor mij de uitdaging en drive om het toch werkend te krijgen.
Mvg Nigel
-
@aliazzz heeft een Mini Tutorial SSL-VPN gemaakt hier (https://www.synology-forum.nl/synology-router/mini-tuturial-om-ssl-vpn-aan-de-gang-te-krijgen/) (gesplitst van dit Topic).
-
Alweer een wat ouder draadje, maar nog steeds relevant. Kan me nu inmiddels ook voegen bij het clubje "VPN Plus" gebruikers.
Had ik eerder altijd problemen (met een RT1900ac model) om reeds de standaard VPN protocollen onder VPN Plus aan de gang te krijgen.
(en daarmee reeds de animo ontbrak om de andere onderdelen te testen). Nu een positief resultaat.
Met installatie van een nieuw SSL certificaat (https://www.synology-forum.nl/overige-software/ssl-certificaat-dns-cname/), waarbij ik dan tevens toch alle OpenVPN configuraties die eraan gekoppeld zijn opnieuw zou moeten updaten voor mijn VPN Clients, en er inmiddels nogal wat firmware / software updates van SRM zijn geweest en het VPN Plus package, leek het me na pakweg 8 maanden een mooie gelegenheid om te kijken of er in die periode voortgang is geboekt in wegwerken van achterliggende bugs (met name in de situatie met de RT1900ac). Dus ging het het maar weer eens opnieuw proberen.
Het oude VPN-server pakket eerst alleen "gestopt" (en router voor alle zekerheid opnieuw gereboot).
Voor het geval de werking van VPN Plus nog steeds niet positief zou uitpakken, kon ik dan makkelijk weer terug.
VPN Plus geïnstalleerd met de menu-keus of ik alle VPN-profielen (uit het oude pakket) en logbestanden zou moeten meenemen naar VPN Plus.
Menu-keus positief aangegeven. Dat verliep zonder problemen. Alle eerdere configuratie-instellingen werden netjes overgenomen.
Daarmee kon ik meteen de VPN-methoden zonder verdere aanpassingen onder PPTP en L2TP/IPSec uittesten.
Die werkten direct !!
OpenVPN werkte niet direct. Maar dat was ook niet zo verwonderlijk.
Omdat er in deze versie van de OpenVPN-server verdergaande beveiligingsinstellingen m.b.t. SHA en authenticatie methoden voorhanden zijn, en standaard de zwaarste opties waren aangevinkt, zou dat wellicht ook niet meer kloppen met de oude situatie (met oud certificaat).
Bovendien had ik nu een nieuw SSL certificaat in te zetten waarbij alle aanverwante gegevens uiteindelijk toch worden veranderd.
Met import nieuw SSL certificaat + export van het openvpn configuratiebestand, en implementatie naar de VPN Clients van mijn mobiele apparatuur, was ook dat geüpdate, EN.... Nu met positief resultaat !!
Daarmee werken nu alle conventionele VPN protocollen: PPTP - L2TP/IPSec - OpenVPN
Nu de rest van de extra VPN mogelijkheden nog gaan uittesten die met VPN Plus mogelijk zijn.
(Het lijstje in het begin van de draad, aangepast, zie reactie (https://www.synology-forum.nl/synology-router/vpn-plus-server-ervaringen/msg221590/#msg221590)).
-
Allemaal beste wensen voor het nieuwe jaar. Maar meteen vers van start. ;)
Inmiddels één van de specifieke extra VPN-functies uitgeprobeerd die onder VPN Plus mogelijk zijn, SSL-VPN.
Met een paar klikjes en VPN Client software om te installeren had ik het werkend.
Een mini tutorial beschreven door @aliazzz via de volgende link < HIER > (https://www.synology-forum.nl/synology-router/mini-tuturial-om-ssl-vpn-aan-de-gang-te-krijgen/)
Leuk die extra VPN-mogelijkheid, maar wat brengt het nu werkelijk?
Het is een alternatieve manier om via een "Synology app" een VPN-verbinding op te zetten.
Via Windows, moet je eerst een stukje "VPN Client" software installeren, vandaar kun je (als hulpje) "via een webbrowser" een VPN-verbinding opzetten. Onder Android (of iOS) moet je een bijbehorende VPN Plus app installeren. Daar werkt het niet onder een webbrowser, maar als zelfstandige applicatie.
Vergelijk met OpenVPN:
Het lijkt in een aantal opzichten op de werkwijze zoals gebruikt bij OpenVPN, waarbij je ook een extra stukje Client software installeert.
Alleen bij Synology is het een wat fraaiere gebruiksinterface. Maar daarmee heb je het wat mij betreft ook gehad.
Het gaat mij om de functionaliteit en effectiviteit, en daar schort het wat mij betreft nogal aan.
Voor- en nadelen:
Als ik die twee methoden vergelijk is naar mijn mening OpenVPN te prefereren boven Synology SSL-VPN.
- Door gebruik van TCP bij SSL-VPN is de verbinding minder efficiënt, waardoor de snelheid (stevig) achterloopt tegenover OpenVPN met UDP. Met name als je onderweg bent en gebruik moet maken van mobiele netwerken gaat dat parten spelen.
- Bij Android is de VPN Plus app pas beschikbaar vanaf Android 4.4
Met een oudere smartphone (zoals ik gebruik) is om die reden SSL-VPN niet in te zetten. (Wel met mijn jongere tablet en WiFi).
Bij gebruik van OpenVPN kan ik desondanks moeiteloos gebruik maken van de huidige in OpenVPN gebruikte sterkere encrypties.
(Er zijn altijd ook nog oudere OpenVPN versies beschikbaar. Zelfs Windows XP als OS wordt nog steeds ondersteund). - Bij OpenVPN kun je kiezen om alle internetverkeer via VPN te laten lopen, of enkel het data-verkeer met een bestandsserver via een VPN-tunnel waarmee je contact legt. Bij SSL-VPN heb je die keus niet. Alles loopt dan via VPN.
- Enige voordeel lijkt te zijn dat de functie van Synology zich relatief moeiteloos laat installeren tegenover OpenVPN. (Dat kan voor veel mensen mogelijk toch aantrekkelijk zijn tegenover het vaak met veel moeite configureren van een OpenVPN verbinding).
Standaard gebruikt SSL-VPN poort 443.
Mocht je achterliggend een web-server op een NAS hebben draaien (https), kom je daar dus mee in conflict.
Je kunt niet twee verschillende services draaien onder hetzelfde poortnummer.
Wel kun je (gelukkig) een ander poortnummer gebruiken. (Uitgeprobeerd en werkt ook).
Verder heb ik nu niet een hard vergelijk kunnen maken met OpenVPN onder VPN Plus tegenover het gebruik onder het oude VPN-server package. Doordat het pakket nu zwaarder is, met meer toeters en bellen, zou het kunnen dat OpenVPN onder het oude pakket daarin efficiënter draait??
Iets om verder in de komende weken wat meer uitgebreid te testen. (Heb evenwel het oude pakket nu gedeïnstalleerd).
In ieder geval zie ik nu geen meerwaarde in het gebruik van SSL-VPN.
Volgende stap is het testen van "WebVPN" (in een volgende reactie).
-
Vervolgtest met de optie "WebVPN".
Daarbij komen wat meer zaken bij kijken m.b.t. certificaten.
SSL certificaat:
Omdat het puur een VPN-verbinding betreft enkel via een webbrowser via een beveiligd web-portaal en men niet telkens een melding van "onbeveiligde" website wil tegenkomen, is het gebruik van een certificaat essentieel.
Nu heb ik toevallig een NL-domein + SSL certificaat op mijn internetverbinding. Dus dat zou dan mooi kunnen uitkomen.
Toch liep ik direct tegen een probleem op wat in een ander gebruik hier op het forum meermalen is besproken (niet in relatie met VPN Plus).
Bij VPN via "WebVPN" komt er telkens een stukje "prefix" codering vóór het eigenlijke domein.
Het begint al met (standaard) de prefix https://login.[domein.nl]
Problemen met sub-domeinen:
Certificaten omvatten niet direct het gebruik met "sub"-domeinen.
Ik heb wel even in mijn account gekeken m.b.t. mijn NL-domein. De prefix www. wordt in dat geval wel geaccepteerd.
Zie ook een joker ( *. ), maar werkt bij mij kennelijk niet in relatie met "WebVPN". Zou daar mijn hostingprovider eens voor moeten benaderen wat de instellingen zouden moeten zijn om het werkend te krijgen. Maar kwam nu telkens bij elke opgeroepen website via "WebVPN" aan de melding van onbeveiligde website, omdat er telkens een stukje codering als prefix voor het NL-domein komt.
Aanvulling: Uitleg m.b.t. deze "onveilige website" meldingen door een ontoereikend SSL certificaat, zie < HIER > (https://www.synology-forum.nl/synology-router/vpn-plus-server-ervaringen/msg239999/#msg239999)
"HSTS" controle:
Omdat eerder er via mijn domein altijd een omleiding volgt van http naar https met een zgn. "HSTS" controle, was dat in eerste instantie niet ongedaan te maken (bij gebruik van de Google Chrome webbrowser). Via een trucje moest ik de codering ervan eerst vrij maken. Voor uitleg zie:
https://www.thesslstore.com/blog/clear-hsts-settings-chrome-firefox/
Daarna kon ik verder.
Heb wel telkens een uitzondering moeten maken om door te gaan. Ondanks die handicap toch een indruk wat "WebVPN" kan brengen.
Op zichzelf is de functie wel erg efficiënt voor wat betreft overgebleven connectiesnelheid. Men merkt nauwelijks vertraging. (Met Ookla speedtest gecontroleerd). Maar daar is dan ook alles mee gezegd. Dat is IMO het enige voordeel.
Hoe gaat het praktisch in zijn werk?
Men komt via een "VPN" web-portaal op een pagina waar men de URL's van een website kan ingeven.
Via dat webportaal opent zich dan een nieuwe web-pagina wat via je eigen internetverbinding loopt, met een prefix van wat onbekende code, gevolgd door de domein-naam van de internetverbinding thuis.
Maar heel vervelend, wil men van die web-VPN gebruik maken MOET men perse via dat web-portaal de URL's van websites ingeven.
In de browser tabs NAAST dat van het VPN-webportaal kunnen "gewone" verbindingen zijn. Die vindt je dus naast elkaar met het VPN web-portaal, of websites die via dat webportaal zijn aangeroepen met een eigen prefix codering.
Onveilige / verwarrende situatie als VPN browser ervaring:
Die wisselwerking van VPN en niet beveiligde verbindingen "naast elkaar" zorgt voor veel verwarring, en je moet continue in de gaten houden of je wel een VPN-verbinding hebt of een "gewone" verbinding.
Voor de aardigheid heb ik binnen het web-portaal de Google zoekmachine opgeroepen (https://Google.nl).
Die opent zelf keurig netjes binnen een beveiligde VPN-pagina als onderdeel van de VPN-verbinding thuis (met prefix codering in het web-adres).
Klik je echter de links aan die binnen Google als resultaat worden getoond, worden die geopend buiten de VPN-verbinding om.
Die verschijnen als extra tabs NAAST de "VPN" beveiligde Google pagina als "gewone" verbinding.
IMO volstrekt onaanvaardbaar om op deze wijze verbindingen op te zetten.
De kans op vergissingen is zodanig groot wat nu wel of niet als beveiligde web-pagina als VPN-verbinding doorgaat,
dat men zich maar beter direct van deze methode zou kunnen distantiëren.
Ander nadeel. Zoals eerder aangehaald gaat het enkel om web browsen (van websites) via VPN.
Een rechtstreekse VPN-verbinding met apparaten thuis, via "Netwerk" en bestandsuitwisseling via de verkenner is er niet bij.
[attach=1]
-
Ik blijf bij: Standaard VPN > OpenVPN ;)
-
Met die ervaring wat ik nu heb uitgetest ook. ;)
Veel toeters en bellen dat VPN Plus, "maar weinig wol".
-
Zie ook een joker ( *. ), maar werkt bij mij kennelijk niet in relatie met "WebVPN". Zou daar mijn hostingprovider eens voor moeten benaderen wat de instellingen zouden moeten zijn om het werkend te krijgen.
Een joker is een joker. Dat behoort met elke naam te werken. Zo niet, lijkt me dit een bug in WebVPN en niet iets wat jouw hostingprovider kan veranderen.
-
Er zit een eigenaardigheidje in de services die Synology ter beschikking stelt voor haar WebVPN connecties.
Enerzijds heb je een "webbrowser" beveiligingscertificaat nodig om niet in problemen te komen met die https beveiligingsmeldingen.
Dat is één.
Maar anderzijds spreekt men ook over een specifieke licentie op gebruikersniveau die geldig is om die VPN services te kunnen gebruiken.
Er zou een gratis licentie zijn om het in te zetten, wel gevalideerd, maar zie geen validatiedatum.
Die lijkt in mijn geval dus niet te werken.
[attach=1]
-
Er zou een gratis licentie zijn om het in te zetten, wel gevalideerd, maar zie geen validatiedatum
Ik zie die validatiedatum ook niet maar, ook niet boeiend, het is immers validated.
[attachimg=1]
-
Veel toeters en bellen dat VPN Plus, "maar weinig wol".
Daar ben ik het niet geheel mee eens. De SSL-VPN optie binnen VPN Plus werkt goed, is stabiel en vergt geen of althans nauwelijks onderhoud. Ze heeft mij heel wat keren veilig laten internet bankieren in het buitenland. :thumbup:
Tuurlijk, de encryptie is default iets minder sterk vs. OpenVPN. Maar daar staat een stuk gebruiksgemak tegenover!
Bovendien overleeft SSL VPN wel SRM updates, terwijl dit elke keer bij OpenVPN maar moet blijken. Met OpenVPN heb ik tot afgelopen April (toen overgegaan) daar nog weleens wat gerommel mee gehad.
Beide opties zijn prima, maar vanuit gebruikers optiek, want dat ben ik, is eenvoud doorslaggevend.
-
Met betrekking tot https en SSL certificaat:
Zie toevallig op het internationale Synology forum een overeenkomstige ervaring wat ik ook merk met die beveiligingsmeldingen:
https://forum.synology.com/enu/viewtopic.php?f=265&t=137504
Veel toeters en bellen dat VPN Plus, "maar weinig wol".
Daar ben ik het niet geheel mee eens.
Dat mag? Ieder mag er het zijne van denken. En dat hoeft niet perse mijn mening te zijn. ;)
In de ruim twee jaar dat ik de RT1900ac gebruik (sinds 3e week oktober 2015), met OpenVPN nog nooit problemen ondervonden, anders dan dat ik een keer een update van de Windows Client software uitvoerde. De verbinding was toen niet stabiel.
Door één versienummer terug te gaan in de OpenVPN Windows Client software was het opgelost.
Met VPN Plus heb ik juist een hele waslijst aan problemen ondervonden, wat nu eindelijk een keer opgelost lijkt te zijn.
In die zin dat alle conventionele VPN protocollen nu eindelijk stabiel werken. Maar ondervind juist nog steeds problemen met die https in relatie tot de expliciete Synology VPN oplossing, terwijl dat op basis van de instellingen eigenlijk niet zou moeten plaatsvinden. (Zie 2 reacties verder).
Ik ben juist helemaal niet bang dat de ondersteuning van OpenVPN op zou houden. Daarmee zou Synology zichzelf in de vingers snijden, omdat het wereldwijd een te verbreidt VPN protocol is tegenover hun eigen VPN services, om dat te laten schieten. Dat pikken gebruikers simpelweg niet.
Het is zelfs zo dat het oude VPN-server pakket, waarbij men een jaar terug al had aangekondigd dat het zou vervallen, nog steeds beschikbaar is, en updates ondergaan. Schijnbaar teveel gebruikers die gewoon liever bij de oude versie blijven??
-
Heb ook wel eens die andere VPN opties getest echter, het viel mij dus tegen dat de Router geen Let's Encrypt kent dus, als je Let's Encrypt wilt gebruiken, dan eerst op je NAS maken en daarna exporteren naar je Router en dat is niet fijn als je certificaat is vernieuwd op je NAS.
Dus, het niet hebben van Let's Encrypt software op de Router (die natuurlijk altijd aanstaat t.o.v. mijn NASsen, waarbij Let's Encrypt auto zou kunnen updaten) weerhoudt mij helemaal om de andere VPN opties te gebruiken.
Synology is ook niet van plan om Let's Encrypt ter beschikking te stellen op de Routers.
-
Zie ook een joker ( *. ), maar werkt bij mij kennelijk niet in relatie met "WebVPN". Zou daar mijn hostingprovider eens voor moeten benaderen wat de instellingen zouden moeten zijn om het werkend te krijgen.
Een joker is een joker. Dat behoort met elke naam te werken. Zo niet, lijkt me dit een bug in WebVPN en niet iets wat jouw hostingprovider kan veranderen.
Inmiddels bij mijn hostingprovider geïnformeerd.
Mijn NL-domein ondersteunt wel jokers vóór de domein naam (voor het gebruik van sub-domeinen).
Daar is die joker / wildcard codering voor bedoeld die ik in mijn domeingegevens terugzag.
Alleen mijn SSL certificaat gaat niet zover, en is niet toegewezen voor het gebruik met een wildcard vóór de domeinnaam.
(De enige uitzondering erop is www.) Vandaar het probleem wat zich toont bij gebruik van WebVPN.
De extra kosten van een SSL certificaat wat wel de wildcard optie ondersteunt is mij echter niet de moeite waard om daarop over te stappen.
Dus blijft er praktisch alleen SSL VPN over om eventueel in te zetten van de extra VPN mogelijkheden naast de conventionele VPN methoden.
(SSL VPN is overigens toch al de meest interessante van de twee extra VPN methodes).
-
Sinds deze week ben ik ook trotse eigenaar van een synology router. Met name de VPN opties hebben mij overgehaald deze router te kopen, waarbij ik erg nieuwsgierig was naar de WebVPN functionaliteit.
Het instellen van de diverse VPN's lukte erg makkelijk. Gelukkig zie ik dat Babylonia mijn vermoeden over mijn SSL certificaat kon verifieren, ik krijg in de WebVPN waarschhuwingen omdat mijn certificaat niet werkt voor subdomeinen.
De WebVPN wil ik graag gebruiken om toegang te krijgen tot mijn NAS en andere programma's die daarop draaien met een web interface. Dit lukt zonder enkel probleem!
Daarnaast wilde ik graag proberen om via de WebVPN met een RD web terminal connectie te maken. Ik heb hiervoor een windows server 2012 op een PC geïnstalleerd en dit ingesteld. Vanuit mijn LAN kan ik hier op inloggen en remoteapps openen. Vanuit de VPN lukt dit helaas niet. Ik krijg een de volgende foutnelding Error: Unable to display RD Web Access .
Ik zag ergens op de Synology site dat WebVPN alleen voor interne (simpele) sites is bedoeld. Heeft iemand ervaring hiermee? Ik probeer al uren iets te vinden, maar kom nog niet echt verder.
-
@Dutchy1502
Wellicht kan je hier wat mee?
https://www.synology-forum.nl/synology-router/vpn-plus-server-gt-nieuwe-webbased-remote-desktop-client-functionaliteit!/ (https://www.synology-forum.nl/synology-router/vpn-plus-server-gt-nieuwe-webbased-remote-desktop-client-functionaliteit!/)
-
Top! Bedankt aliazzz! Daar ga ik zeker naar kijken.
Inmiddels ben ik er ook achter dat het aan de serverversie ligt. Op de 2012 versie kan ik wel inloggen, echter kun je daar minder makkelijk remoteapp mee faciliteren (moet onderdeel zijn van een AD).
-
Met name de VPN opties hebben mij overgehaald deze router te kopen, waarbij ik erg nieuwsgierig was naar de WebVPN functionaliteit.....
.....De WebVPN wil ik graag gebruiken om toegang te krijgen tot mijn NAS en andere programma's die daarop draaien met een web interface. Dit lukt zonder enkel probleem!.....
.....Ik zag ergens op de Synology site dat WebVPN alleen voor interne (simpele) sites is bedoeld.....
Het gebruik van typisch het Synology eigen "WebVPN" is IMO juist vrij beperkt, met de nadelen die ik eerder uitvoerig heb beschreven (https://www.synology-forum.nl/synology-router/vpn-plus-server-ervaringen/msg239886/#msg239886).
Als het je gaat om via een "web-interface" je NAS te benaderen, en dat onder VPN, kun je dat namelijk onder ELK (conventioneel) VPN protocol.
Daar heb je de opties van de extra Synology VPN Plus mogelijkheden niet voor nodig.
Alle conventionele "niet" Synology gerelateerde VPN-protocollen en enkel het Synology gerelateerde "SSL VPN" geven je daarbij tevens duidelijkheid of je onder een VPN-verbinding connectie hebt, of juist NIET (in het geval het niet is ingeschakeld). Als je dan zo mogelijk een van die extra Synology VPN mogelijkheden zou willen benutten, zou ik juist willen opteren om dan de "SSL VPN" optie in te zetten. Omdat die in ieder geval een consequente connectie via VPN verschaft.
Bij gebruik van het Synology "WebVPN" protocol is dat nu juist de bottleneck, dat de connectie per "tab" van de webbrowser afwisselend onder VPN kan vallen, of juist NIET. Dat moet je per tab van de webbrowser in de www adresregel telkens opnieuw controleren. Even nog afgezien dat je daarbij een meer uitgebreide "wildcard" SSL certificaat moet inzetten om de meldingen van "onveilige website" te vermijden.
Voor "interne" (LAN) benadering bij je thuis van websites heb je geen VPN nodig.
Hooguit wil je anoniem het web op om "big brother is watching you" uit te sluiten.
Maar dat zit hem dan niet zozeer in de VPN-server verbinding met thuis, maar eerder met een VPN-verbinding via een externe VPN-service.
-
@Babylonia
Helemaal eens dat de functionaliteit van de WebVPN beperkt (lijken) te zijn.
Voordat ik de router kocht had ik ook al een OpenVPN server draaien waarmee ik verbinding met mijn thuisnetwerk kon maken.
Wat mij juist aantrok met de WebVPN is dat deze werkt zonder installatie van client software. Mijn idee is dus om de WebVPN op poort 443 te laten draaien waardoor ik vanuit elke locatie en PC verbinding kan maken met alle software van Thuis.
Deze mogelijkheid heb ik volgens mij niet met een van de andere VPN opties die jij beschrijft. Ik ben zeker geen expert op dit gebied dus misschien zit ik daar wel naast hoor.
Een nice to have voor mezelf is het instellen van RemoteApp op windows server. Hiermee kan ik dan als het ware een eigen cloud omgeving beschikbaar stellen door de WebVPN portal waarin ik alle programma's kan opstarten die ik wil, maar ik weet nog niet of dit werkt.
Al met al denk ik dat de WebVPN niet zozeer als vervanging hoeft te dienen voor de andere VPN opties, maar wel andere mogelijkheden biedt.
Overigens heb ik een workaround voor het certificaat. Ik heb de prefix van de WebVPN ingesteld op www. Hiermee wordt het certificaat geaccepteerd en kun je in ieder geval zonder error naar je portal gaan.
-
Mijn idee is dus om de WebVPN op poort 443 te laten draaien waardoor ik vanuit elke locatie en PC verbinding kan maken met alle software van Thuis.
Deze mogelijkheid heb ik volgens mij niet met een van de andere VPN opties die jij beschrijft.
Ik weet niet hoe je dat bedoelt met "alle software van thuis", maar ik vermoed met het standaard VPN Plus pakket, dan toch enkel die software die via een web-interface is te bedienen?? (Een andere connectie optie is er niet met "WebVPN").
En daarvoor hoef je nu juist helemaal niet die "WebVPN" voor in te zetten. Dat kan met elke conventionele VPN-verbinding.
Ik doe o.a. het systeembeheer bij een charitatieve organisatie. En benut de "normale" VPN-mogelijkheid juist speciaal om op afstand routers, managed switches, WiFi "straalverbinding", Access Points, en printers in te kunnen stellen. Daarvoor ga ik niet speciaal naar de organisatie toe, maar doe dat vanuit mijn eigen huis, of net waar ik op dat moment ben (met een tablet die ik bij heb), mocht er een probleem zijn.
De mogelijkheid om "Guacamole" (https://guacamole.apache.org/) als Remote Desktop in te zetten waar @aliazzz eerder naar refereert heb ik niet geprobeerd en heb er dus ook geen ervaring in. Maar wat ik erover lees vermoed ik dat "Guacamole" op zichzelf niet gerelateerd is aan het gebruik van een "WebVPN" optie van het VPN Plus pakket?
"all you need to access your desktops is a web browser." Eerder draaide het kennelijk al op een NAS. Die heeft helemaal geen "VPN Plus" opties.
Maar daar kan @aliazzz wellicht wat meer uitleg over geven. (Overigens een beta "WebVPN" pakket gebruik ik niet).
Overigens heb ik een workaround voor het certificaat. Ik heb de prefix van de WebVPN ingesteld op www. Hiermee wordt het certificaat geaccepteerd en kun je in ieder geval zonder error naar je portal gaan.
Die methode had ik eerder met de testen die ik deed ook al ingezet voor "het portaal". Maar geldt dan alsnog niet voor elke "random" prefix van elke aangeroepen web-pagina via "WebVPN".
-
Ik weet niet hoe je dat bedoelt met "alle software van thuis", maar ik vermoed met het standaard VPN Plus pakket, dan toch enkel die software die via een web-interface is te bedienen?? (Een andere connectie optie is er niet met "WebVPN").
En daarvoor hoef je nu juist helemaal niet die "WebVPN" voor in te zetten. Dat kan met elke conventionele VPN-verbinding.
Ik wil de WebVPN inzetten om verbinding te maken met een RemoteApp server via een webportal. Op die manier kan ik veilig verbinding maken en de apps die geïnstalleerd zijn op mijn windows server gebruiken met elke thin client. Met een normale VPN kun je volgens mij niet met een willekeurig apparaat verbding maken zonder installatie van extra software toch?
Uiteraard zou ik de RemoteApp webportal ook direct beschikbaar kunnen maken door poort 443 te forwarden, maar zoals gezegd ben ik geen IT-expert en zeker niet op het gebied van beveiliging. Het lijkt mij dus veiliger een portaal vóór de RemoteApp webserver te hebben.
De mogelijkheid om "Guacamole" (https://guacamole.apache.org/) als Remote Desktop in te zetten waar @aliazzz eerder naar refereert heb ik niet geprobeerd en heb er dus ook geen ervaring in. Maar wat ik erover lees vermoed ik dat "Guacamole" op zichzelf niet gerelateerd is aan het gebruik van een "WebVPN" optie van het VPN Plus pakket?
"all you need to access your desktops is a web browser." Eerder draaide het kennelijk al op een NAS. Die heeft helemaal geen "VPN Plus" opties.
Maar daar kan @aliazzz wellicht wat meer uitleg over geven. (Overigens een beta "WebVPN" pakket gebruik ik niet).
Dit is eigenlijk wat ik wil bereiken alleen heb ik nog weinig succes met het gebruik van Docker op mijn NAS. Met de functie in VPN server Plus (beta) wordt de resolutie beperkt en werk je volledig in een andere desktop. Met RemoteApp start je maar 1 programma op en heb je verder de desktop van het apparaat waarop je werkt.
Dat vind ik persoonlijk fijner werken.
Mbt het certificaat: daar kwam ik helaas ook achter, initieel is de foutmelding in ieder geval weg :)
@aliazzz
Heb jij de RDP functie in de VPN plus server werkend gekregen? De VNC optie werkt bij mij, maar met de RDP krijg ik de melding "er is een fout opgetreden" maar via een PC kan ik wel middels RDP inloggen op de desbetreffende server.
-
Ik wil de WebVPN inzetten om verbinding te maken met een RemoteApp server via een webportal. Op die manier kan ik veilig verbinding maken en de apps die geïnstalleerd zijn op mijn windows server gebruiken met elke thin client. Met een normale VPN kun je volgens mij niet met een willekeurig apparaat verbding maken zonder installatie van extra software toch?
Een webportal is een webportal. In principe heb je daar alleen een webbrowser voor nodig.
Maar omdat het wellicht enkel achter een afgeschermd LAN netwerk is op te roepen, moet je dus eerst "binnen je eigen systeem zijn."
Dat kan met elke conventionele VPN verbinding. Niet anders dan wat ik doe met routers, switches, Access Points, printers....
Je gebruik in dat geval "als je binnen bent" alleen de lokale IP-adressen van de web interfaces van die apparaten.
Zo gauw je de VPN-verbinding verbreekt, is ook alle connectie met al die apparaten verbroken.
Het is dus of het een of het ander. Dat geeft IMO meer overzicht en duidelijkheid hoe je verbindingen lopen, dan afwisselend het ene tabblad in een webbrowser wel onder VPN, en het andere weer niet.
-
Helemaal eens, enig verschil is dat je met de conventionele VPN extra software of instellingen moet maken en dat bij voorkeur dus op eigen hardware instelt.
Door de WebVPN is dat niet nodig.
-
Alleen voor OpenVPN moet je een extra stukje software installeren. De andere VPN-mogelijkheden zijn standaard ingebakken bij elk OS.
Waarbij aangetekend dat je om veiligheidsredenen PPTP beter niet kunt gebruiken.
Verder bij WebVPN de onzekerheid dat de ene tab in de browser beveiligd is, en de andere niet, is vanuit veiligheidsoverwegingen IMO een aanzienlijk zwaarder wegend nadeel, dan het nadeel eenmalig een stukje software te moeten installeren. Dat valt daarbij in het niet. Dat nadeel in "schijn"veiligheid van WebVPN lijkt praktisch gezien van een min of meer vergelijkbare orde als het gebruik van PPTP. Alleen bij uitzondering als je zelf geen PC bij de hand hebt en afhankelijk bent van een PC die je even ter beschikking wordt gesteld kan WebVPN een "noodoplossing" zijn.
-
Doorgaans zal ik gewoon gebruik maken van mijn eigen hardware met ingestelde vpn zoals jij ook schrijft.
Maar het komt ook regelmatig voor dat ik geen eigen hardware bij heb en toch bij mijn LAN wil kunnen. Daar is dan webvpn handig voor.
Overigens is de onzekerheid geen issue als ik naar portals in je LAN verbind. Omdat ze benaderbaar zijn via WebVPN zorg ik dat ze vanaf WAN niet te benaderen zijn. Dan weet je dus altijd zeker dat je over VPN verbonden bent.
Zoals ik eerder zei, ik geloof niet dat WebVPN een vervanger is, maar het biedt wel extra mogelijkheden die nuttig gebruikt kunnen worden
-
Zoals ik eerder zei, ik geloof niet dat WebVPN een vervanger is, maar het biedt wel extra mogelijkheden die nuttig gebruikt kunnen worden.
Zeker, ieder plukt er wat zaken uit die voor de ene of andere situatie nuttig kan zijn.
Deze wat meer uitvoerige uiteenzetting met voor- en nadelen is mogelijk een goede leidraad voor potentiële gebruikers waar op te letten.
Weten ze waar ze aan toe zijn. ;)
-
Ik sluit mij aan bij jouw redenering Dutchy. Ook ik heb welleens geen beschikking tot eigen hardware, dus dan is de remote desktop variant zeer zeer handig. De router is hiervoor een soort thin client aan de rand van het LAN netwerk. Via het WAN log je in de router, (2pass auth aan mensen!) en vervolgens gebruik je je router als "kijkpijp" voor een RDP/VNC sessie naar een machine in je thuisnetwerk. Voordeel is dat je dus alleen een webbrowser nodig hebt waar ook ter wereld. :thumbup:
Dezelfde werking biedt Guacemole ook (zij het met meer protocollen en beheersopties), die werd bij mij gehost op m'n DS415+ in Docker. Doordat deze client niet in mijn LAN, maar aan de rand van het LAN ligt, is dit mijn ogen net een mooiere plaats en het kost me geen docker container meer. Beheer binnen VPN Plus Server is ook een peulenschil, dus ook hier was de overstap makkelijk gemaakt.
Ik maak zelf gebruik van optie 1 en 2. Vooral SSL VPN is handig om ergens anoniem te kunnen zijn via een public wifi adres, precies zoals wat ik al deed met OpenVPN, alleen nu net even wat "eenvoudiger" in beheer vergeleken met mijn voorgaande OpenVPN setup.
Hieronder nog even duidelijk de onerscheid in "smaken" die beschikbaar zijn volgens synology;
DING DING reclame :P
VPN Plus Server tovert uw Synology Router om in een geavanceerde VPN-server (virtual private network). Dit pakket geeft u toegang tot internetbronnen en bronnen in lokale netwerken achter uw Synology Router via een VPN client of een webbrowser.
VPN Plus Server beschikt over de volgende functies;
Synology-exclusieve VPN-services: Synology SSL VPN, clientloze WebVPN en Remote Desktop
Site-to-Site VPN-service: biedt veilige verbindingen tussen netwerken op meerdere vaste locaties via het internet.
Standaard VPN-services: SSTP VPN, OpenVPN, L2TP/IPSec VPN en PPTP VPN
Beheer: Gebruiker/groepmachtigingen, VPN-verkeersmonitor en -beheer en beheer/verbindingslogboeken
betreffende de Synology-exclusieve VPN-services
1) Synology SSL VPN;
Stel Synology SSL VPN in een maak een verbinding via de Synology-exclusieve client voor veilige en vlotte VPN-toegang tot webpagina's, bestanden en toepassingen. Synology SSL VPN is een VPN-service die SSL (Secure Sockets Layer) verificatie en codering ondersteund. Deze service biedt snelle en veilige SSL VPN-toegang tot webpagina's, bestanden en toepassingen op het internet of op lokale netwerken.
2) Remote Desktop;
Stel de Remote Desktop-service in voor externe toegang tot een client desktop in het netwerk van uw Synology Router via RDP- of VNC-protocol. Met Remote Desktop hebt u mits u over een internetverbinding beschikt toegang tot het bureaublad van clients binnen het netwerk onder Synology Router van om het even waar, zonder dat u clientsoftware moet installeren.
3) WebVPN;
Stel WebVPN in een maak een verbinding via een populaire webbrowser voor eenvoudige VPN-toegang tot webpagina's zonder een client te installeren. WebVPN biedt clientloze VPN-toegang tot interne websites en webtoepassingen van een organisatie via een browser zonder installatie van extra clientsoftware.
https://www.synology.com/nl-nl/knowledgebase/SRM/help/VPNPlusServer/vpnplus_server_desc (https://www.synology.com/nl-nl/knowledgebase/SRM/help/VPNPlusServer/vpnplus_server_desc)
Betreffende optie3;
Wat ik hieruit opmaak is dat (3) alleen bedoeld is voor websites binnen het eigen domein. Ik heb er zelf ook mee zitten klooien en jawel, google is al gauw gevonden via de standaard aanwezige url balk.
De WebVPN portal is ook per user en/of usergroup aan te passen zodat de WebVPN portal alleen van te voren geteste interne URL's bevat uit eigen domein als een reeks klikbare regels. Last but not least dien je dan de URL balk niet beschikbaar te stellen zodat de keuze om een eigen URL in te geven vervalt. Naar smaak/inzicht/beleid is de URL balk dan per user/usergroup wel of niet te tonen.
Ga ervanuit dat @Babylonia gelijk heeft dat dit wel eens tot verwarring (of erger) kan leiden! Ik kan me als use case voorstellen dat MKB's dit aanwenden bij kleine usergroepen voor benaderen van het urenregistratie systeem ofzo, maar een verdere uitwerking van dit concept is wel gewenst en heeft nog een weg te gaan.
-
Vond een interessante bijdrage van een gebruiker op het internationale forum om "Let's Encrypt wildcard" certificaten in te zetten in combinatie met WebVPN. Via persoonlijk aangepaste scripts in de root van de SRM firmware heeft hij dat werkend gekregen. Met bovendien automatische vernieuwing van het certificaat als die verloopt. (Let's Ecrypt certificaten zijn slechts een beperkte tijd geldig).
https://forum.synology.com/enu/viewtopic.php?f=265&t=141181
-
Site-to-Site VPN-service: biedt veilige verbindingen tussen netwerken op meerdere vaste locaties via het internet.
Synology mag nog wel even sleutelen aan de stabiliteit hiervan, plus het feit dat extern verbonden VPN clients niet door de tunnel kunnen comminiceren (https://forum.synology.com/enu/viewtopic.php?f=130&t=139903) mogen ze ook nog wel een oplossing voor verzinnen.
-
Dat die optie niet stabiel "werkt" kan ik helaas niet beoordelen.