Synology-Forum.nl
Synology Router => Synology Router => Topic gestart door: Babylonia op 08 maart 2016, 10:05:19
-
Na de laatste firmware update van SRM (de firmware van de Synology RT1900ac router),
hadden gebruikers problemen met VPN. Zie draadje < HIER > (http://www.synology-forum.nl/synology-router/vpn-issues-sinds-version-1-0-2-6022/)
Kennelijk was het gemakkelijker het VPN-server package daarop aan te passen, dan een patch van de firmware van de router zelf.
Dus nu een update van die VPN-server package naar versie 1.2-2463
LET OP !! (edit kleine aanpassing na opmerking volgende reactie):
Mocht je toch problemen ondervinden.
- Na installatie herstart de router dan een keer handmatig opnieuw op.
- Vul de account wachtwoorden voor inloggen als VPN-Client eenmalig opnieuw in.
(Moest ik doen bij elk gebruikt VPN-protocol ----> test met een smartphone Android onder het 3G/4G mobiele netwerk).
Daarna werken alle VPN-connecties weer. ( PPTP, L2TP/IPSec, OpenVPN )
Tevens test uitgevoerd met VPN-server op een achterliggende NAS om VPN "Pass Through" te testen (met port forwarding naar de NAS),
met uitschakeling van de VPN-server op de router zelf. Ook dat werkt nu weer correct.
-
Updata van VPN package bij mij zonder problemen:
- Na installatie herstart de router een keer opnieuw op.
Bij mij niet. Zou ook de eerste keer zijn geweest dat een package installatie een reboot nodig zou hebben van het systeem.
- Vul de account wachtwoorden voor inloggen als VPN-Client eenmalig opnieuw in.
Was bij mij ook niet nodig.
-
Prima natuurlijk dat je niets extra hebt hoeven te doen en de update probleemloos verliep.
Mijn aanvulling is meer bedoeld voor als gebruikers wel tegen een vergelijkbaar probleem oplopen met wat ikzelf ondervond.
Dan hebben ze de oplossing nu er meteen bij. ;)
Met mijn opmerking wilde ik eigenlijk aangeven om de router zelf handmatig te herstarten. Dat gebeurt niet automatisch.
Zal de tekst daarvan iets aanpassen, dat het meer duidelijk is.
In mijn geval de ervaring met die extra handeling was misschien ook nog wel afhankelijk door het feit dat ik ervoor het losse pakket wat ik van Synology support had gekregen dacht dat het een "patch" was voor SRM zelf om te installeren. De extensie klopte niet, heb dat veranderd, maar het bleek dus een "package" te zijn en geen SRM-update patch. De update als "SRM" werd afgebroken, omdat het bestand niet voldeed.
Begreep dat aanvankelijk niet zo goed. Daarmee is mijn router net in die status gekomen dat het die reboot wel nodig had.
Nog geen 5 minuten later kreeg ik de melding dat er een officiële update was van de VPN-server package.
-
[teleurstel-modus]
Weet je wat ik nu niet begrijp.....
Ik zie dat OpenVPN nu van 2.3.7 naar 2.3.10 is gegaan op de router.
Weken.......maanden vraag ik om updates voor op DS`en en er komt maar niets :(
Gisteren een bericht gestuurd omdat ik wat vragen heb en meteen maar weer een visje uitgegooid of er een update komt naar 2.4 die elliptic curve gaat ondersteunen.
Er is ook nog steeds geen update voor CVE-2015-7547 die 19 Februari al gefixt was...!!! ::)
http://www.synology-forum.nl/synology-dsm-5-2/version-5-2-5644-update-5/msg183712/#msg183712
De work around zorgt n.l. voor problemen vooral voor diegenen met een wat zwakkere DS.
[/teleurstel-modus]
-
Waar kun je aflezen welke OpenVPN versie wordt gebruikt?
Ik kan alleen ontdekken wat het complete VPN-server pakket als versie heeft.
Verder verwijs je naar een draadje m.b.t. firmware update van DSM als systeemsoftware voor de NAS. Hier gaat het om de Synology router.
Hoewel zowel voor een Synology NAS alsook de router "hetzelfde" VPN-server pakket beschikbaar is, zitten er kennelijk toch kleine verschillen in de versies bedoeld voor bepaalde NAS series en router.
De router heeft onlangs met hun firmware extra functies gekregen. Schijnbaar door Synology niet getest in combinatie met extra te installeren pakketten zoals in dit geval een VPN-server, zodat erna een conflict bleek voor mensen die het pakket wel gebruiken. Wat men nu dan heeft opgelost door voor de Synlogy router een aparte (afwijkende) versie VPN-server uit te geven.
- Het VPN-server pakket op mijn RT1900ac router heeft als laatste versie nu 1.2-2463
- Het VPN-server pakket op mijn DS415+ NAS heeft als laatste versie nu 1.2-2456
-
In de release notes van de router is het terug te vinden:
Version: 1.2-2463
(2016/03/08)
Enhanced transmission performance of PPTP/L2TP.
You can now set the IP domain of PPTP/L2TP to be the same as the IP range specified in Network Center > Local Network (e.g., 192.168.1.x) without IP range overlap.
Upgraded OpenVPN to version 2.3.10.
-
Waar kun je aflezen welke OpenVPN versie wordt gebruikt?
In PuTTY
openvpn --versioningeven.
Verder verwijs je naar een draadje m.b.t. firmware update van DSM als systeemsoftware voor de NAS.
Hier gaat het om de Synology router.
Dat is nog maar de vraag...
Ben wel benieuwd of
iptables -Lin PuTTY op de router de volgende twee regels laat zien:
DROP tcp -- anywhere anywhere tcp spt:domain length 2048:65535
DROP udp -- anywhere anywhere udp spt:domain length 2048:65535Als dat zo is, is ook die bug nog niet gefixt.
zitten er kennelijk toch kleine verschillen in de versies bedoeld voor bepaalde NAS series en router.
In hetgeen Synology om OpenVPN heen heeft gebouwd ja, niet OpenVPN zelf.
Die wordt alleen gebouwd voor de betreffende CPU, de functionaliteit is exact zoals je `m download bij OpenVPN zelf.
Gisteren een bericht gestuurd omdat ik wat vragen heb en meteen maar weer een visje uitgegooid of er een update komt naar 2.4 die elliptic curve gaat ondersteunen.
En net antwoord gekregen, of eigenlijk, geen antwoord...
Behalve dan dat hij zegt dat 2.4 nog niet beschikbaar is, manooman :lol:
De vraag was of zodra 2.4 beschikbaar komt er ook een update vanuit Synology komt.
-
In de release notes van de router is het terug te vinden:
Version: 1.2-2463
Ah, eerder wist ik eigenlijk niet waar ik dat zou kunnen terugvinden. Ben er nu inmiddels achter.
Via website Synology (NL) (https://www.synology.com/nl-nl/) ---> Router ---> Downlaod Center ---> Pakketten ---> VPN Server ---> Release Note (https://www.synology.com/nl-nl/releaseNote/VPNCenter?model=RT1900ac) :D
-
@MMD
Je verwijst naar een mogelijke bug in OpenVPN.
Jij gebruikt dat met allerlei persoonlijke aanpassingen door met PuTTY dieper te graven in het achterliggende pakket op root niveau.
Maar als je gewoon "standaard" het pakket gebruikt zoals het door Synology wordt aangeboden, zonder fratsen gewoon via de SRM interface de zaken instelt. Hoe en waar uit zich dat dan dat er een "bug" zou zitten"?
Ik kom (met deze VPN-server versie) aan een normaal werkende VPN-verbinding.
-
@MMD
Je verwijst naar een mogelijke bug in OpenVPN.
Waar dan?
De verwijzing is naar de CVE-2015-7547 bug.
Hoe en waar uit zich dat dan dat er een "bug" zou zitten"?
Zie mijn reactie hierboven om te zien of de workaround m.b.t. die bug ook op de router aanwezig is:
Dat is nog maar de vraag...
Ben wel benieuwd of
iptables -L
Enz.
Jij gebruikt dat met allerlei persoonlijke aanpassingen door met PuTTY dieper te graven in het achterliggende pakket op root niveau.
Heeft niets te maken met de versie van OpenVPN en/of de CVE bug.
Ik kom (met deze VPN-server versie) aan een normaal werkende VPN-verbinding.
Ik ook, sterker nog, een beter werkende VPN-verbinding, dat betekent echter niet dat men kan wensen dat een meer als één jaar oude versie geüpdatet wordt...
-
De verwijzing is naar de CVE-2015-7547 bug.
Dat zou reeds zijn gecorrigeerd met de firmware update van de router zelf: < Zie release notes SRM Version: 1.0.2-6022 > (http://www.synology-forum.nl/synology-router/srm-1-0-2-6022-update/)
-
Dat is nog niet gecorrigeerd/gefixt, daar is toen een workaround voor bedacht.
De bug is nog steeds aanwezig alleen weet ik niet of dat voor de router ook geldt.
Dat zou je dus kunnen zien met:
iptables -Lin PuTTY en daar ben ik benieuwd naar.
De fix is echter al op 19 Februari bekend gemaakt, ze lopen achter of ze laten gebruikers er mee zitten, vooral diegenen met een zwakkere DS. Sneller reageren op dit soort dingen zou wenselijk zijn naar mijn idee...
Echte antwoorden van support krijgt men ook niet als het hierom gaat.
Ben verder wel te spreken over de support want ondanks mijn modificaties zijn ze nu voor de tweede keer wel bereid naar mijn probleem te kijken via SSH. In VPN Center worden nu niet meer de verbonden gebruikers getoond terwijl dat voorheen wel zo was.
Dat is dan weer een pluim waard.
-
Dat zou je dus kunnen zien met:
iptables -Lin PuTTY en daar ben ik benieuwd naar.
Ik kom er alleen met PuTTY (via WinSCP) niet in. Heb daar al eerder ooit problemen mee gehad.
Maar aangezien ik normaal toch niks te zoeken heb op "root" niveau liet ik het er maar bij.
- admin als gebruiker ingeschakeld
- inloggen met "root" wachtwoord van admin
-
Kom er nu wel in (had poort 22 vergeten open te zetten).
Tezamen met een enorme lijst aan gegevens, komen die twee regels er wel in voor,
maar het wordt wel anders beschreven en als codering opgenomen met wat jij hebt aangegeven.
Chain DNS_ATTACK_PROTECT (1 references)
target prot opt source destination
DROP udp -- anywhere anywhere udp spt:domain len gth 2048:65535
DROP tcp -- anywhere anywhere tcp spt:domain len gth 2048:65535
Ter referentie de code die jij hebt beschreven (vanuit gebruik van VPN-server + OpenVPN op de NAS) via ingave:
iptables -L
in PuTTY op de router de volgende twee regels laat zien:
DROP tcp -- anywhere anywhere tcp spt:domain length 2048:65535
DROP udp -- anywhere anywhere udp spt:domain length 2048:65535
Is daarmee je vraag beantwoord?
-
Daarmee is het duidelijk, bedankt.
Die twee regels doen hetzelfde als op een DS, ze hebben ze alleen een eigen chain gegeven, waarschijnlijk omdat het om een router gaat die een andere rol vervult als een DS. Op een DS staan ze in de input chain.
-
Daarmee is het duidelijk, bedankt.
Die twee regels doen hetzelfde als op een DS,
Maar houd dat in dat via het installeren van het VPN-server package uiteindelijk dan toch weer de CVE-2015-7547 bug wordt geïntroduceerd?
Of hoe moet ik dat zien? Of heeft het alleen te maken met je wens om "elliptic curve" te ondersteunen?
-
De CVE staat los van OpenVPN.
Dat ik over die CVE schreef was meer door het gevoel van teleurstelling over dat er niet geüpdatet wordt.
-
Weer een update !!
Version: 1.0.2-6022-1
(2016/03/10)
Fixed Issues
VPN Server must be upgraded to version 2463 or later to be compatible with SRM 1.0.2.
Fixed an issue where Internet connection might be unstable when Synology Router is connected to certain ISPs in the UK.
-
Maar dat betreft dan de update van SRM, de systeemsoftware van de router.
(Vandaar onder de reactie van SRM firmware update (http://www.synology-forum.nl/synology-router/srm-1-0-2-6022-update/msg185282/#msg185282) nog eens aangehaald).
Als je het VPN-server pakket al had ge-update, biedt het voor Nederlandse gebruikers feitelijk geen toevoeging.