Synology-Forum.nl
Synology Router => Synology Router => Topic gestart door: Babylonia op 06 november 2015, 08:58:38
-
Naar aanleiding van vragen en eigen nieuwsgierigheid om een VPN-verbinding op te zetten met de nieuwe RT1900ac router
in de andere draad (http://www.synology-forum.nl/synology-router/1e-gebruikservaringen-synology-router-rt1900ac/msg172535/#msg172535) en met name de suggestie van @Ben(V) om dat eerst lokaal binnen mijn thuis-netwerk uit te testen heb ik geprobeerd dat aan de gang te krijgen, maar kom er toch niet helemaal uit.
Nu snap ik dat mensen mij niet tot in detail kunnen adviseren met betrekking tot de router zelf, omdat op dit moment @wizjos en ikzelf de enige gebruikers van dit modem in Nederland zijn. Maar hoop toch dat er wat algemene aanwijzingen gegeven kunnen worden waar ik mogelijk de instellingen zou moeten bijstellen om daadwerkelijk een VPN-verbinding tot stand te kunnen brengen.
Vanuit deze (http://www.synology-forum.nl/synology-router/1e-gebruikservaringen-synology-router-rt1900ac/msg172651/#msg172651) en deze (http://www.synology-forum.nl/synology-router/1e-gebruikservaringen-synology-router-rt1900ac/msg172660/#msg172660) suggestie:
Je kunt de VPN performance ook lokaal testen.
Zet een Vpn op tussen de router en je Nas ( of een Pc) en connect met een pc aan de wan poort van je router en voer wat wat performance testen uit.
Maakt daarna zo'n verbinding zonder Vpn en herhaal je testen.
In dat geval is het slim om eerst met pptp Vpn te beginnen.
Die is het simpelste werkend te krijgen en dan kun je vandaar uit de andere Vpn smaken zoals open vpn uit proberen.
Ik heb ooit eens zo'n setup gemaakt met een oude linksysrouter en m'n Nas om VPN uit testen zonder dat ik via het internet moest werken.
......ben ik verder aan de gang gegaan. Zoals voorgesteld eerst maar eens met VPN PPTP.
De netwerk thuissituatie zoals ik het nu heb uitgeprobeerd vanuit NAT achter NAT, maar nog zonder resultaat:
- 1e (modem)/router betreft een Telfort Experiabox V8 met IP range 192.168.2.xxx
De RT1900ac heeft een vast IP-adres gekregen wat aangeboden wordt op de WAN-poort van de RT1900ac
IP = 192.168.2.10
Op hetzelfde netwerk van de Experiabox heb ik mijn PC aangesloten,
die dan een VPN-verbinding met de RT1900ac moet maken middels een extra aangemaakte "Windows" VPN-client.
- 2e router betreft de RT1900ac zelf met IP range 192.168.0.xxx
Op DEZE router is de VPN-server geïnstalleerd.
Daarachter weer een NAS type DS 415+ die op de 2e router een vast IP heeft gekregen van 192.168.0.20
Heb in de NAS ook een VPN-client ingesteld, maar zou overbodig moeten zijn omdat de achterliggende apparaten
achter de RT1900ac met de instellingen ervan gewoon gezien moeten worden vanuit het VPN-netwerk.
In de RT1900ac heb ik de nodige port-forwarders + Firewall-regels aangepast voor een juiste verbinding met mijn PC, plus verbinding met de NAS. Als "gewone" netwerkverbinding werkt het ook allemaal prima met NAT achter NAT.
Het probleem zit alleen in de PC Windows VPN-verbindings "adapter" die niet geactiveerd wil worden.
De instellingen op de 2e router, de RT1900ac om een VPN-server op te zetten.
[attach=1]
Nadat het is ingesteld is het ook werkelijk actief.
[attach=2]
Als controle het gebruikte WAN IP-adres (zoals het vanuit de Experiabox wordt aangeboden).
[attach=3]
De Firewall-regels zoals in de RT1900ac router ingesteld met toegang vanuit:
- Het LAN-netwerk van de Experiabox
- Het LAN-netwerk van de RT1900ac
- Het virtuele VPN-netwerk
[attach=4]
Op de PC (die dus is aangesloten op het LAN-netwerk van de Experiabox) de volgende VPN-settings:
[attach=5]
[attach=6]
De automatische keuze voor een VPN protocol.......
[attach=7]
.......heb ik handmatig aangepast naar het specifieke PPTP protocol
[attach=8]
Helaas blijft de netwerk "adapter"-instelling op "verbroken" staan
en kan ik ook niet inschakelen (met de rechtermuisknop) ----> Verbinding maken/verbreken.
[attachimg=9]
-
Ik zou eerst eens testen zonder RT1900 Firewall m.a.w. eerst even zo eenvoudig mogelijk houden.
EDIT:
Overigens, ik zie dat de VPN verbinding laat zien verbroken, dat zou betekenen dat er wel een verbinding was m.i.
Als er geen verbinding gemaakt kan worden, dan zou je een melding moeten krijgen zoiets als, kan geen verbinding maken.
-
Yup, firewall uit en de PPTP client aan de RT hangen i.p.v. de V8.
-
PPTP client is toch de PC ?
-
Jazeker:
Op de PC (die dus is aangesloten op het LAN-netwerk van de Experiabox) de volgende VPN-settings:
-
Firewall uit maakt niks uit.
PC aangesloten op de RT1900ac en dan de VPN-instelling aangepast voor het basis netwerk 192.168.0.1
(zijnde het IP-adres van de RT1900ac router), maakt ook hier niet uit.
Als ik met de rechter muisknop vanuit de "VPN-adapter" op aanklikken "Verbinding maken/verbreken" kies,
krijg ik vanuit mijn PC-scherm aan de rechterkant wel een Windows uitschuif-venster, dat ik verbinding heb met de RT1900ac.
Maar van daaruit gaat het niet verder. Het kleinere icoontje bij adapters blijft op "verbroken" staan.
(Eerder de PC aan de Experiabox krijg ik aan de rechterkant het scherm dat ik verbinding heb met de Experiabox).
Ter oriëntatie, herstarten van PC's en routers heeft ook niets uitgemaakt.
-
krijg ik vanuit mijn PC-scherm aan de rechterkant wel een Windows uitschuif-venster, dat ik verbinding heb met de RT1900ac.
Maar van daaruit gaat het niet verder. Het kleinere icoontje bij adapters blijft op "verbroken" staan.
Dus, Windows laat 2 tegenstrijdige meldingen zien ?
In die situatie, wat laat je RT VPN Server dan zien ?
[attachimg=1]
-
Als ik nu even verder kijk naar specifiek de "Windows" PC VPN-instellingen heb ik wel het IP-adres waar de verbinding "naar toe moet" (het IP van de router), maar ik vind dan nergens een instelling van het virtuele VPN-netwerk op de server, zijnde 10.0.0.0
Klopt dat?
(Ik denk dat het klopt omdat je "van buiten uit" normaal ook nooit de interne IP-adressen van een "LAN" intikt).
@Birdy
Vanuit de status op de router zelf is de verbindingsstatus met andere apparaten leeg.
Het logboek laat alleen zien dat de VPN-server een aantal keren is gestart en gestopt.
Dat kan kloppen met omzetten van de netwerkverbindingen en herstarten e.d.
Het probleem zit hem schijnbaar al vanuit de Windows VPN-"adapter" ??
-
Ja, dat klopt.
Kun je eens kijken wat ifconfig in PuTTY op de router geeft met PPTP actief.
-
Dat gaat me even boven mijn pet.
Ik heb wel WinSCP maar kan daar vooralsnog niet mee in de "firmware" komen van de router (poort 22).
Of bedoel je wat anders?
-
WinSCP heeft een Terminal ingebouwd.
Ik vind nu echter in de gebruiksaanwijzing geen info m.b.t. SSH/Telnet maar in de specs wel.
Heb je de firewall op Windows ook uit gehad?
Het is zo jammer dat er hier geen staat... :D
-
Met WinSCP kan ik hooguit een connectie maken met de rechtstreeks op de router aangesloten USB disks of SD-geheugenkaart.
Maar het gaat me eigenlijk te ver dat ik via een Terminal diep in het systeem zou moeten duiken om het aan de praat te krijgen?
Hoe moet toch gewoon met normale instellingen kunnen werken?
Ja, firewall op Windows heb ik ook uit gehad.
Verder. Met een VPN-client in de NAS ingesteld geeft ook die een "verbroken" verbinding.
[attach=1]
Ik vraag me echter af of je überhaupt wel een VPN-verbinding kunt opbouwen als je "bij de voordeur" reeds een connectie hebt via de normale gateway en LAN-adressen ??
Tenslotte laat de router op basis van de aangesloten apparaten in het netwerk reeds een connectie zien.
Een VPN-verbinding zou dan "dubbelop" zijn.
Of zien jullie nog andere aanknopingspunten?
Misschien na het weekend maar eens contact opnemen met Synology support.
-
Even iets verduidelijken.
Als een router Vpn functionaliteit heeft kun je een vpn opzetten tussen een client( bijvoorbeeld een pc) op het internet en de vpn server in de router.
Dus die client komt binnen op de wan poort van je router en praat vanaf die kant tegen de vpn server.
Ik denk niet dat Synology heeft ingebouwd dat je ook vanuit de lan kant tegen de vpn server kunt praten.
Als je dus lokaal een vpn wilt opzetten tussen een pc ( of je Nas) en de router zul je die client dan ook aan de wan poort van de router moeten aansluiten.
De eenvoudigste test is dus pc aan wan poort van router en dan eenpptp vpn initieren vanuit de pc.
De wan poort en de pc moeten dan eerst een vast ipadres gekregen hebben.
Bij voorkkeur twee ipadressen uit verschillende subnets, want de software zou best zo slim kunnen zijn dat hij geen vpn tunnel wil opzettten binnen hetzelfde subnet.
-
Als je dus lokaal een vpn wilt opzetten tussen een pc ( of je Nas) en de router zul je die client dan ook aan de wan poort van de router moeten aansluiten.
Vandaar eigenlijk mijn eerste opzet om de PC aan te sluiten op de Experiabox en de Experiabox verder naar de WAN van de RT1900ac te laten gaan.
Maar ja, dan zitten PC en RT1900ac inderdaad wel op het zelfde subnet. :|
Ik zit nu 35 km verderop en had dan graag echt "van buiten uit" een test willen doen.
Maar ja, vanmiddag was ik niet helder genoeg van geest om in de Experiabox even de juiste poorten door te sturen. Ben ik vergeten.
Dus nog onzekerheid. ::)
Ik kan wel remote de RT1900ac benaderen zonder VPN.
(Daar had ik eerder al wel rekening mee gehouden met de settings in de Experiabox en RT1900ac). Maar ja, dan vis ik met VPN nog achter het net.
In ieder geval kan ik nu wel op afstand de NAS opstarten via het Wake-On-Lan tooltje (http://www.synology-forum.nl/synology-router/1e-gebruikservaringen-synology-router-rt1900ac/msg172337/#msg172337) in de router. (Heb ik nu geprobeerd).
WOL pakketjes worden door een Experiabox niet doorgegeven. (Die problematiek hebben we al eens eerder besproken).
Bedankt in ieder geval maar weer voor je inbreng. Daar kan ik mee verder.
-
Ik ben er inmiddels weer opnieuw mee aan de gang gegaan.
Connectie vanuit mijn PC naar de WAN van de RT1900ac met wat spelen in IP's heeft verder niets opgeleverd.
Heb dat verder maar laten liggen, omdat men praktisch gezien VPN met name inzet voor connectie "van buiten".
Heb echter WEL VPN-verbindingen kunnen opzetten vanuit mijn smartphone op het 3G netwerk naar de router toe.
Dus echt een connectie die gegarandeerd "van buiten komt" is daarmee positief bevestigd.
Zowel via het PPTP protocol als het L2TP protocol !! Dat liep via deze protocollen probleemloos.
Toen heb ik geprobeerd een Open-VPN verbinding op te zetten met de gebruiksaanwijzing < HIER > (http://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/msg135812/#msg135812).
Mijn lieve hemel wat een gedoe om op die wijze certificaten aan te maken? Nadat "eindelijk" de bestanden "netjes" waren opgezet zou dat ergens in het systeem moeten worden gekopieerd. Alleen is de gebruiksaanwijzing geschreven als basis voor een VPN-server op een NAS. Daar kun je met WinSCP in de systeemdirectory van DSM komen.
Bij de RT1900ac is me dat echter niet gelukt. Mogelijk omdat de firmware hierbij intern in flashgeheugen zit.
Bij de instellingen van de VPN-server in de RT1900ac onder dat Open-VPN protocol, kan ik evenwel een zip-bestand ophalen waaronder een Readme.txt, een openvpn.ovpn profiel + een ca.crt certificaat-bestand is inbegrepen.
Na edit van het profiel op aanwijzingen van de readme, en inlezen met de OpenVPN Connect (https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=nl) app die ik op mijn smartphone heb gezet had ik ook hiermee verbinding !
Echter indien het "standaard" UDP-protocol wordt veranderd bij zowel Server als Client in TCP (eveneens in het profiel voor de Client), naar aanleiding van een eerdere vraag van @falcone75, dan werkt het niet meer.
Mogelijk dat een Open-VPN verbinding vanuit de software op een PC andere resultaten laat zien?
Babylonia@
-
Bij de RT1900ac is me dat echter niet gelukt. Mogelijk omdat de firmware hierbij intern in flashgeheugen zit ??
Dat meen ik al min of meer uit een eerdere reactie op te maken en als dat echt zo is dan zou voor mij de router afvallen en ga ik maar eens kijken voor een zelfbouw router.
Was je dan wel als root met wachtwoord van admin ingelogd?
Mijn lieve hemel wat een gedoe om op die wijze certificaten aan te maken?
Als je dat op de command line moet doen wordt het nog "erger" :)
Maar als je het een paar keer gedaan hebt valt het wel mee.
In XCA heb ik Templates gemaakt, dat werkt een stuk sneller.
-
Het gebruik van TCP over een vpn in plaats van udp is ook niet zo zinvol en geeft alleen maar extra overhead.
De vpn verbinding garandeert al de aflevering van data dus daarom wordt standaard upd over vpn gebruikt.
-
@MMD
Ik had inderdaad met root en het wachtwoord van admin proberen in te loggen.
Het vreemde is echter wel dat bij de betreffende poort 22 een info-knopje zit die aangeeft:
"Schakel de SSH-service in om u aan te melden en uw Synology router te beheren.
Het wachtwoord via aanmelden in SSH is hetzelfde als uw admin-accountwachtwoord."
Vandaar dat ik er nog eens opnieuw naar gekeken had.
Maar eerlijk gezegd voel ik niet zo sterk de behoefte om dat op die wijze op te lossen.
Gewoon de standaard functies wat de router zelf biedt aan certificering vind ik prima.
@Ben(V)
Zelf had ik inderdaad ook al de info gelezen dat TCP meer overhead heeft, en UDP efficiënter is.
Had het alleen gedaan op verzoek van @falcone75 omdat zijn werkgever UDP in zijn geheel afblokt, en TCP zijn enige keus is.
-
Vrees dat @falcone75 het niet begrijpt.
Het udp protocol zit in de tunnel en daar valt niets te blokken.
Het probleem zal wel zijn dat de standaard vpn poorten geblocked worden.
Hij zou kunnen proberen om VPN over de https poort (433) te gebruiken, die wordt zelden geblokkeerd en VPN verkeer is niet te onderscheiden van https verkeer.
-
MOD: Onnodige citaat is verwijderd, lees even. (http://www.synology-forum.nl/vragen-en-opmerkingen-over-het-forum/gebruik-de-citaatknop-met-mate-17838/)
Hij zou kunnen proberen om VPN over de https poort (433) te gebruiken
uhhh waarschijnlijk bedoel je poort 443...of je begrijp je het niet goed :lol: :lol: :lol:
en ik gebruik inderdaad een andere poort maar dan wel TCP want UDP ging het niet mee (ik heb dat natuurlijk niet voor niets gewijzigd, maar dat betekent uiteraard niet dat dat gelijk voor iedereen geldt...).
-
Dat udp niet zou werken heeft niets met blokeren door een firewall of het niet toelaten van udp te maken kan hebben.
Dat udp of tcp gaat door de tunnel heen en komt helemaal niet op het netwerk terecht waar de pc staat.
Dus ondanks het feit dat je het vervelend vind begrijp je het echt niet.
-
In een reactie eerder aangegeven (http://www.synology-forum.nl/synology-router/vpn-verbinding-met-rt1900ac-als-vpn-server/msg173087/#msg173087) heb ik via een smartphone VPN kunnen opzetten voor alle VPN-protocollen.
Omdat ik nu elders ben, probeer ik dat nu ook met een PC in te stellen en dan gebruik te maken van de OPEN-VPN methode.
Hoewel ik volgens de gegevens van zowel het icoontje rechts onderin de statusbalk van de PC VPN-verbinding heb, en ook via de status in mijn router 35km hier vandaan die ik op afstand kan bekijken, kan ik er verder "niets" mee.
Daar waar ik bij een VPN-connectie op een smartphone de "lokale IP-adressen" kan gebruiken van mijn netwerk thuis, en op die wijze bijv. de aangesloten USB-drive of gebruiksinterface van de router kan benaderen, lukt dat via een PC vooralsnog niet.
Ter info: Op een smartphone als ik in een webbrowser intik "mijn IP-adres" met de achterliggende web-service van die webpagina, dan krijg ik het WAN internet IP-adres te zien wat ik thuis als internet account heb.
Dus via de "tunnel" de situatie thuis.
De webbrowser hier op de PC werkt echter nog steeds onder de status van een "gewone" connectie.
(Mijn IP, geeft hier het IP-adres van het internet account wat hier voorhanden is, op de plek waar ik nu ben, en niet dat van mij thuis).
Wat zie ik over het hoofd?
(Ik gebruik dezelfde certificaat of openvn sleutelbestanden die ik eerder ook op de smartphone gebruik).
Ter verdere info met aanvullende testen met de andere VPN-protocollen via PPTP en L2TP/IPSec
Dat werkt allemaal wel zoals verwacht (idem het IP-adres van "thuis" in een webbrowser)
Vanuit mijn glasvezel abbo 50/50 thuis en elders (waar ik nu ben) circa max 65 Mbps download via het netwerk, kom ik aan onderstaande snelheid. (De upload vanuit mijn glasvezel abbo is de referentie).
Bestand van 150 MB
PPTP Tussen circa 4,5 - 5 MB/s ofwel in Mbps uitgedrukt circa 36 - 40 Mbps
L2TP/IPSec Tussen circa 4,5 - 6 MB/s ofwel in Mbps uitgedrukt circa 36 - 48 Mbps vanaf USB-drive
L2TP/IPSec Tussen circa 5 - 6 MB/s ofwel in Mbps uitgedrukt circa 40 - 48 Mbps vanaf SD geheugenkaart
Download zonder VPN met File Station binnen de SRM gebruiksinterface van de router geeft 6 MB/s ofwel 48 Mbps
-
Ervan uitgaande dat je op Windows zit, is de OpenVPN GUI client als Administrator gestart?
Er worden anders geen routes gezet die o.a. naar het LAN achter je router wijzen.
-
Ook als administrator maakt niets uit.
De verbinding hoeft in principe voor deze test ook maar te komen tot aan de VPN-server op de router.
Aan de router zit een USB-schijfje en SD-kaart. Die zitten op de router, delen hetzelfde IP als de router zelf.
En tot zover komt het ook, want in de router zelf wordt de verbinding als actief gezien.
Ik heb in de log-data van de VPN-connectie wel een vreemde melding.
WARNING: No server certificate verification method has been enabled.
See http://openvpn.net/howto.html#mitm (http://openvpn.net/howto.html#mitm) for more info.
Het is me dan echter nog niet duidelijk hoe te handelen.
Aan het certificaat aan de VPN-server-zijde bij de router kan ik niets doen. Die maakt een certificaat op de achtergrond wat ik alleen maar kan exporteren.
Het enige wat ik handmatig erna moet doen is in het openvpn.ovpn bestand, het IP-adres van mijn internet-connectie opgeven, en mogelijk wat andere zaken, met hetgeen in het bestand wordt beschreven.
Ik heb geprobeerd op goed geluk (snappen doe ik niet) die losse stukjes tekst in te voegen wat bij die hyperlink vermeld staat:
remote-cert-tls server
ns-cert-type server
Maar het hoe en waarom weet ik niet. Het geeft bovendien ook geen resultaat.
Misschien geeft het jou wat aanwijzingen?
-
Daar waar ik bij een VPN-connectie op een smartphone de "lokale IP-adressen" kan gebruiken van mijn netwerk thuis, en op die wijze bijv. de aangesloten USB-drive of gebruiksinterface van de router kan benaderen, lukt dat via een PC vooralsnog niet.
Dit is wat mij doet vermoeden dat er geen routes gezet worden. Met Android lukt het wel maar met Windows niet, die er min of meer om bekend staat. Omdat het met Android wel lukt kan ik ervan uitgaan dat in de VPN Server de optie: "Clients toegang geven de LAN server" aanwezig is en aangevinkt?
Is er respons op pings naar IP`s op het LAN/tunnel IP`s/Gateway?
Als het goed is vindt je die (LAN/tunnel IP`s/Gateway) terug in het log als je verb 3 wijzigt in verb 4.
WARNING: No server certificate verification method has been enabled.
Dit op zich is geen vreemde melding, die melding krijgt men ook op de NAS in het log maar staat los van dit probleem.
Standaard controleert de server of de client over een geldig certificaat beschikt.
Echter, de client controleert standaard niet het certificaat van de server en dat is wat die logmelding betekent.
Als men dat wil komt men bij het eerder genoemde topic: OpenVPN: Beter beveiligen want dan zijn er eigen certificaten nodig.
-
..... kan ik ervan uitgaan dat in de VPN Server de optie: "Clients toegang geven de LAN server" aanwezig is en aangevinkt?
Is inderdaad aanwezig en aangevinkt.
Is er respons op pings naar IP`s op het LAN/tunnel IP`s/Gateway?
Als het goed is vindt je die (LAN/tunnel IP`s/Gateway) terug in het log als je verb 3 wijzigt in verb 4.
Ik kan (nog steeds) inloggen in de RT1900ac router via remote en intikken van de WAN IP internet aansluiting bij mij thuis 35km verderop waar de "server" actief is. (Dus de webbrowser zit "buiten" de VPN-tunnel, waar ik eigenlijk het "lokale" LAN IP-adres van mij thuis zou willen gebruiken).
In de RT1900ac vind ik binnen het menu van de VPN-server dat er contact is met de PC van waar ik nu zit "als VPN". In de log-bestanden van de VPN-server zie ik het WAN-IP van waar ik nu zit + het VPN IP-adres wat aan de PC hier is toegekend uit de 10.8.0.x reeks.
Bij de ene test of de andere test verandert daarbij het IP-nummer enigszins. Dan is het 10.8.0.6 de keer erop 10.8.0.10.
In de Windows werkbalk onderin, zo gauw een VPN-connectie actief is, komt er even een klein tekst-ballonnetje met "VPN-connectie verbonden" en daarbij het VPN IP nummer vernoemd (dus bijv. 10.8.0.6 ).
Door met de muisknop even boven dat Open-VPN icoontje te staan krijg ik ook diezelfde gegevens.
Bij het configuratiescherm netwerk-adapters, geeft de "TAP Windows Adapter V9" (het stukje software van Open VPN), een actieve verbinding met "een onbekend netwerk".
Pingen in een DOS-box naar de gateway van 10.8.0.1 levert niets op.
4x Request timed out en ook 4 stuks lost.
Pingen in een DOS-box naar de het toegekende PC IP 10.8.0.6 levert 4x respons op en 0% verloren.
Alles zou bij mijn weten moet aangeven dat er gewoon connectie is als zijnde VPN, maar kan er niets mee.
Zowel een webbrowser als het netwerk om connectie te leggen met drive en SD-kaartje pikken geen "lokale" IP-adressen op zoals het aan de VPN-serverkant bij mij thuis als LAN gebruikt wordt.
Weet niet wat je bedoelt met "verb 3 wijzigt in verb 4" (verbinding 3 wijzigen in verbinding 4 ??)
Dezelfde situatie heb ik ook vanuit een oude Windows XP computer, waar ik een oudere versie van Open VPN op heb geïnstalleerd.
-
Dus de webbrowser zit "buiten" de VPN-tunnel, wat eigenlijk niet zou moeten
In de config het hekje voor #redirect-gateway weghalen zorgt ervoor dat alle verkeer door de tunnel gaat.
Dan is het 10.8.0.6 de keer erop 10.8.0.10
Dat is nieuw voor mij, dat de server begint met uitdelen met 10.8.0.6 i.p.v. 10.8.0.5
Hoeft verder niets te betekenen hoewel het dan mogelijk is dat de server zich op 10.8.0.2 bevindt i.p.v. 10.8.0.1
"een onbekend netwerk"
Dat is normaal.
"In de RT1900ac vind ik binnen het menu van de VPN-server dat er contact is met de PC van waar ik nu zit "als VPN""
Dat kan misleidend zijn omdat UDP gebruikt wordt ("communicatieloos"). Om direct een signaal naar de server te sturen dat de verbinding verbroken is/wordt kan men explicit-exit-notify aan de config toevoegen. Lijkt mij in dit geval niet echt nodig.
Edit: Vergeten
Als je verb 4 aan de config toevoegt laat het log wat meer zien.
-
Ik heb het hekje # weggehaald bij: #redirect-gateway def1
Maar moet ik ook nog iets doen met het aanvullende commando def1 ??
Want ondanks hekje weg heb ik nog steeds hetzelfde resultaat.
Vind op dit moment alleen aanpassingen om het juist NIET te "redirecten":
https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway
(Het is nog een hele bevalling voordat het werkt :o )
-
Als test kun je def1 weghalen. Op een NAS is def1 niet aanwezig dus er zijn wat dingen anders dan anders :)
-
De link die je aanhaalt geldt alleen als de VPN server redirect-gateway pushed.
Op een NAS wordt het niet gepushed maar op de router weet ik niet.
Zonder log files van de server/client is dat nauwelijks te achterhalen.
-
Het status window van Open VPN laat meer zien dan het log-bestand. Heb daar een screendump van gemaakt.
Er zitten nogal wat foutmeldingen in.
Ik heb het zodanig gekropt dat mogelijk meer MAC-adres achtige gegevens niet te zien zijn.
De regel als:
redirect-gateway
[attachimg=1]
De regel als:
redirect-gateway def1
[attachimg=2]
Het logboek van de VPN-server op de router geeft geen foutmeldingen. Alleen dat een connectie is opgestart of beëindigd.
Het lijkt me ook een Client gerelateerd probleem, en niet aan de server-kant?
-
Het had er al alle schijn van dat de routes niet gezet worden.
Dat zie je dus nu ook in het log staan.
Welke Windows versie was het?
Het lijkt er echt op dat OpenVPN niet als Administrator gestart wordt.
-
:oops: :oops:
Gisteren had ik dat wel gedaan en merkte geen verschil, maar toen hadden we bij die ene regel ook dat hekje nog niet weg gehaald.
Vandaag nieuwe dag, nog niet goed wakker, vergeet ik dat dus.
Met in de configuratie de regel redirect-gateway def1 zonder hekje (#) werkt het in ieder geval "lokaal"
Ik kan nu mijn lokale IP-adressen gebruiken en de drives en geheugenkaart aanspreken. Dus dat is al heel wat.
Maar we zijn er nog niet helemaal.
"Gewone" internet-pagina's (via de VPN) krijg ik nu niet meer te zien.
Misschien heeft dat dan weer te maken met proxy of DNS-instellingen??
In ieder geval al voor zoverre bijzonder erg bedankt voor de tijd en het geduld wat je aan de dag hebt gelegd om te helpen.
-
Geeft niets :-)
Ok, dan haal def1 eens weg.
P.S. Het gevolg op Windows kan zijn dat wanneer def1 er niet staat en de VPN verbinding wordt verbroken de default gateway niet direct terug gezet wordt. In dat geval moet je de actieve netwerkverbinding een keer uit en weer aan schakelen.
Edit:
In de config file van de OpenVPN GUI kun je nog een DNS server opgeven met de regel:
dhcp-option DNS dns.van.het.lan <-- Het LAN waar de router staat
Wil je meerdere DNS servers opgeven kun je meerdere regels plaatsen.
-
Daar ga ik straks nog maar eens mee aan de gang, eerst wat eten.
Reuze bedankt voor zover.
In ieder geval heb ik met de OPEN-VPN tevens hetzelfde bestand binnen gehaald als eerder met de andere VPN protocollen.
Als totaal-overzicht. (Vanuit upload aan de server-kant via een glasvezel 50/50 account. Download via Ziggo).
Bestand van 150 MB
PPTP Tussen circa 4,5 - 5 MB/s ofwel in Mbps uitgedrukt circa 36 - 40 Mbps
L2TP/IPSec Tussen circa 4,5 - 6 MB/s ofwel in Mbps uitgedrukt circa 36 - 48 Mbps vanaf USB-drive
L2TP/IPSec Tussen circa 5 - 6 MB/s ofwel in Mbps uitgedrukt circa 40 - 48 Mbps vanaf SD geheugenkaart
OPEN-VPN - UDP Tussen circa 5,2 - 5,5 MB/s ofwel in Mbps uitgedrukt circa 42 - 44 Mbps vanaf SD geheugenkaart
OPEN-VPN - TCP Tussen circa 2 - 2,6 MB/s ofwel in Mbps uitgedrukt circa 8 - 21 Mbps vanaf SD geheugenkaart
Die laatste test met TCP-protocol op verzoek van @falcone75 is duidelijk minder efficiënt (wat door @Ben(V) reeds eerder (http://www.synology-forum.nl/synology-router/vpn-verbinding-met-rt1900ac-als-vpn-server/msg173093/#msg173093) was opgemerkt).
Verder als opmerking erbij dat de OPEN-VPN server op de router is ingesteld met ingeschakelde compressie op de VPN-koppeling.
Compressie even uitschakelen werkte niet, mogelijk dat het VPN-configuratie-bestand daarop moet worden aangepast. Liet het dan maar zo.
Download zonder VPN met File Station binnen de SRM gebruiksinterface van de router geeft 6 MB/s ofwel 48 Mbps
-
In de config file van de OpenVPN GUI kun je nog een DNS server opgeven met de regel:
dhcp-option DNS dns.van.het.lan <-- Het LAN waar de router staat
Wil je meerdere DNS servers opgeven kun je meerdere regels plaatsen.
Dat maakt het plaatje compleet.
Als resumé voor een goed werkende OPEN-VPN verbinding met de Synology RT1900ac als VPN-server ingesteld.
Activeer Open-VPN server en koppel in de router de gebruikers die je via Open VPN toegang wilt verschaffen.
- Exporteer van de router onder OPEN-VPN het certificaat en configuratiebestand vanuit een aangeboden ZIP-bestand.
De inhoud bevat de volgende bestanden: ca.crt - openvpn.ovpn - README.txt
- Verander het openvpn.ovpn configuratiebestand met de volgende opties:
(Wat origineel is is doorstreept, de verandering staat er in kleur onder):
------------------------------------------------------------------------------------------------------------------------------
dev tun
tls-client
remote YOUR_SERVER_IP 1194
remote [ Vul hier je WAN internet account IP-adres in, domein of DDNS domein ] 1194
# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)
#float EDIT: m.b.t. float zie uitleg elders op het forum (http://www.synology-forum.nl/overige-software/nas-van-intern-netwerk-benaderen-wanneer-deze-met-vpn-client-is-verbonden/msg176058/#msg176058) + de reactie ervoor.
Ik gebruik het om geen connectie te verliezen vanuit een rijdende trein met een smartphone
# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)
#redirect-gateway def1
redirect-gateway def1
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
#dhcp-option DNS DNS_IP_ADDRESS
dhcp-option DNS 208.67.220.220 <-------- 1e DNS server die ik gebruik (Open DNS)
dhcp-option DNS 8.8.8.8 <-------- 2e DNS server (Google DNS)
pull
# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp
script-security 2
ca ca.crt
comp-lzo
reneg-sec 0
# WARNING: this configuration may cache passwords in memory <---- waarschuwing komt terug
# -- use the "auth-nocache" option to prevent this <---- in de logfiles van OpenVPN Client
auth-nocache <----------- zou men nog extra kunnen aanvullen, zie < UITLEG > (http://www.surfbouncer.com/auth-nocache.htm)
auth-user-pass
------------------------------------------------------------------------------------------------------------------------------
Bij een Windows PC installeer OPEN-VPN (https://openvpn.net/index.php/open-source/downloads.html)
{Utility wat in de werkbalk onderin komt + een extra "TAP Windows Adapter V9" wat een extra (virtuele) netwerkadapter is}.
Plaats de eerder genoemde (aangepaste) Open-VPN bestandjes in de configuratiemap van OpenVPN binnen de directory van de Windows-programma's.
Om OpenVPN op te starten, doe dat dan in ieder geval via de rechtermuisknop met de mode "Als administrator uitvoeren" :!:
(Anders werkt het niet goed zoals we eerder hebben gemerkt).
Na connectie volgt er een pop-up scherm waarbij je de (admin) gebruikersgegevens van je Synology router invult, of net van welke andere gebruiker je tevens VPN-rechten hebt gegeven (maar geen admin rechten).
Daarna kun je via een webbrowser inloggen in de Synology router door de lokale netwerk IP-gegevens in te voeren zoals je ze zelf thuis ook gebruikt + poortnummer. Ikzelf gebruik een IP in de range 192.168.xxx.1:8000 (of :8001 https)
Van daaruit kun je bijv. "File Station gebruiken" en de aangesloten USB-drive en SD-kaart benaderen.
Via de verkenner in de PC onder "Netwerk" kun je rechtstreeks de drive en SD-kaart benaderen door het IP van de router in te geven:
\\192.168.xxx.1
Op soortgelijke wijze de achterliggende connectie van een aangesloten NAS (met ander lokaal IP-nummer).
Als opmerking voor connectie via de andere VPN protocollen PPTP en L2TP/IPSec
Bij mijn eerste bericht in de draad < HIER > (http://www.synology-forum.nl/synology-router/vpn-verbinding-met-rt1900ac-als-vpn-server/msg172702/#msg172702) ging ik uit van een handmatige keuze van de instellingen onder de Windows set-up.
Een en ander om onderscheid te maken voor de VPN-server waar de twee opties alle twee aanstonden voor de test.
De juiste handmatige vervolginstellingen bij die Windos set-up heb ik echter dan ergens toch niet goed ingesteld, want met een test vanmiddag hier "op afstand" ging dat niet.
Door echter de instellingen gewoon op "automatisch" te laten staan (is ook de makkelijkste methode omdat het standaard daar op staat), werkte het direct. De keus welk VPN-protocol maak je dan op basis van wel of niet inschakelen van de betreffende methode in de Synology router zelf.
Dus je laat alles staan zoals in dit plaatje:
(https://www.synology-forum.nl/synology-router/vpn-verbinding-met-rt1900ac-als-vpn-server/?action=dlattach;attach=20823;image)
Succes met VPN-verbindingen met de Synology router, Babylonia@
-
@Babylonia: hoe heb jij je Synology router ingesteld: als draadloos router, draadloos ap of draadloze client?
Rede voor deze vraag is dat ik VPN niet aan de praat krijg op de router. Alle settings 'tig' keer nagelopen. PPTP verbindt wel met de router (openVPN en L2TPe niet) maar vervolgens kan ik niks (browsen van websites etc).
Op mijn Synology NAS werken nu PPTP en OpenVPN ook ineens niet meer nu de Synology router achter mijn KPN Experiabox v8 is gezet!
-
Ik heb de RT1900ac in router mode gezet.
Maar als VPN-connecties niet werken, test je van buiten uit, of van binnen uit?
En heb je in de Experiabox v8 zelf daarbij de juiste instellingen gebruikt?
De Experiabox v8 staat bij mij niet in bridge, ook niet in DMZ mode, maar heb wel bij port forwarding de betreffende poorten doorgestuurd naar het IP wat ik aan de Synology Router daarvoor heb gereserveerd. (NAT achter NAT). Verder de juiste Firewall-regels in de RT1900ac gebruiken.
De truc is dat als je de RT1900ac als VPN-server gebruikt, je de achterliggende apparaten achter de router daarmee ook via VPN kunt benaderen. Je benadert de NAS als zijnde "in je lokale netwerk", ook al ben je ergens ver weg op een andere plek.
In de Experiabox V8
Inloggen -----> START -----> links onder het menu START kies je LAN
Iets verder naar beneden in het rechtse scherm leg je bij Static DHCP een IP-adres vast wat naar de WAN-poort van de RT1900ac gaat,
op basis van MAC-adres van de RT1900ac. Bijvoorbeeld 192.168.2.10
Erna zou je de RT1900ac in DMZ kunnen zetten onder het menu:
Hoofdmenu bovenaan DATA -----> in linker menu FIREWALL -----> DMZ
-----> Enable DMZ Function, en vul het eerder voor de RT1900ac gereserveerde IP-adres in. (In ons voorbeeld 192.168.2.10).
In dat geval worden alle services van buiten zonder restricties doorgezet naar de de RT1900ac.
Je moet dan de beveiliging erg goed regelen in de RT1900ac.
Om de eerste beveiligingsbuffer reeds in de Experiabox in te zetten, heb ik zelf gekozen om DMZ niet te gebruiken, maar alleen de gebruikte services als portforwarding in te stellen. Kies je voor die weg, zijn hier een aantal Port forwarding regels die ik heb ingesteld onder:
Hoofdmenu bovenaan DATA -----> in linker menu NAT -----> Port Mapping
[attach=1]
Afhankelijk of je op een achterliggende NAS verder in het traject achter de RT1900ac nog andere services gebruikt zoals een mail-server e.d., moet je daarvoor de betreffende poorten bij Port forfarding er nog extra bijzetten, en allemaal naar het IP-adres van de RT1900ac router.
In de RT1900ac heb je dan verder het ritueel om opnieuw van daaruit weer alles in te stellen met een ander LAN IP gateway en port forwarding naar erachter liggende apparaten zoals bijv. een NAS.
Ook hier eerst een aantal apparaten (waaronder de NAS) eerst een vast IP-adres geven op basis van Mac-adres.
Dat doe je vanuit de RT1900ac Netwerkcenter -----> Lokaal netwerk -----> DHCP reservering
Bijvoorbeeld 192.168.0.20 voor de erachter aangesloten NAS.
Van daaruit kunt je poorten dan weer doorsturen onder: Netwerkcenter -----> Internet -----> Poort doorsturen
[attach=2]
Dan is het zaak om de Firewall regels in te stellen in de RT1900ac.
Zelf heb ik meteen rekening gehouden dat ik tevens vanuit het lokale LAN van de Experiabox eventueel nog steeds toegang heb naar de RT1900ac, in het geval ik op van de Experiabox, daar toch een PC op aansluit in plaats van op de RT1900ac router.
Tenslotte is het LAN van de Experiabox V8 in mijn geval nog steeds actief werkend. (Niet in bridge-mode gezet).
Verder nog een "reserve" IP-gateway, om eventueel de router van een ander IP gateway te voorzien. Die regel is nu uitgeschakeld.
Niet onbelangrijk, Firewall-regels instellen voor de lokale virtuele VPN-IP ranges. :!: :!:
Firewall regel voor benadering van buiten in mijn geval voor de regio Nederland.
In het menu van de RT1900ac staan daar standaard echter niet de poorten bij die een NAS gebruikt. Dus die heb ik er als laatste regel onderaan maar bijgezet. In dit geval is de NAS dan niet van buitenaf te benaderen "rechtstreeks" omdat de Firewall regel niet actief is aangevinkt. Maar ik kan er dan via VPN-connectie bij, omdat je dan vanuit het "lokale LAN IP-bereik" werkt.
[attach=3]
Wat eigenlijk nog ontbreekt, maar is een wat "vaag" gebied, omdat de Synology router informatie daar niets over weergeeft, hoe om te gaan met het virtueel extra aanwezige VLAN van de router, wat tevens ook aanwezig is. Niet alleen als je een WiFi gastnetwerk instelt, maar ook in het LAN kun je de router bijvoorbeeld tevens benaderen met een IP subnet één nummertje hoger.
Dus in dit voorbeeld van IP-ranges hierboven 192.168.0.1 -----> 192.168.1.1
Ik heb er in de Firewall-regels echter geen rekening mee gehouden, maar ik kan er wel mee in de router.
Zou eigenlijk dan niet mogen, omdat alles wat buiten de Firewallregels geldt, geblokt zou moeten worden.
Succes, Babylonia@
-
Bedankt voor de snelle info.
Ik heb van buiten getest (WiFi en 4G). Alles zo ingesteld zoals op mijn NAS waarbij het werkte.
De Synology router heb ik ook ingesteld als draadloos router.
Het verschil met jouw is mijn Experia Box. Die heb ik ingesteld in DMZ.
Ik zal hem hier weer eens uithalen en desbetreffende poorten forwarden naar het IP wat ik aan mijn Synology router heb toegekend.
-
Vorige reactie aangevuld met plaatjes, zodat alles meer duidelijk is.
-
Hartstikke bedankt voor de heldere uitleg. Alle VPN varianten werken volop :)
-
Bedankt voor de instructies.
Ik heb eindelijk tijd gevonden ook me te verdiepen in VPN server op de RT1900ac.
Het werkt, ook via UDP (althans: Waar ik nu zit. De andere locatie test ik nog een keer).
Tot dusver was ik gewend aan VPN server op de Syno nas. In de server settings had ik daar via putty push route 192.168.xxx.xxx opgenomen (NB VPN server 10.8.0.1). Dan kon ik zowel via verkenner als via browser na VPN connectie op de NAS komen.
Bij de RT1900ac lukte dat in eerste instantie niet. Daarna opnieuw OPENVPN gestart als admin en "redirect-gateway def1" toegevoegd. Vreemde is dat ik toen wel via verkenner op de nas kon komen (192.168.xxx.xxx range) maar dat dat via de browser niet lukt. Na tracert 192.168.xxx.xxx kreeg ik een lokale alias met android in de naam. IPconfig lijkt er op te duiden dat mijn NAS ip adres al gebruikt wordt in het WIFI netwerk waar ik op zit. Toevallig maar waar?
Moet ik daarom ook in het server script van de RT1900ac push route toevoegen (net zoals ik op de NAS had gedaan)? Of heeft iemand een praktischer oplossing?
-
Wat zijn de settings in jouw config? Kun je die eens laten zien?
-
update: Met WinSCP ingelogd op RT1900ac als admin en push route 192.168.xxx.xxx (range lokaal ip adress NAS) toegevoegd zoals ik ook op de NAS OPENVPN server ooit had gedaan. Helpt niets.
Wat ik wel vreemd vond: Er stond al een extra push route regel maar dat was de range van het externe IP adres dat de RT1900ac heeft (dus in zelfde IP range als ziggo modem). En jawel hoor: Via de browser kan ik wel bij het ziggo modem komen.
Vreemd dus... ik kan wel inloggen via OPENVPN server via NAS, maar via RT1900ac werkt dit niet. Als dat te maken heeft met hetzelfde ip adres in het wifi netwerk zou ik dat probleem ook bij inloggen op de OPENVPN server vd nas verwachten.
@mchp92: Welke settings wil je hebben? OpenVPN login of de settings op de RT1900ac, openvpn package.
-
De settings die je in je openvpn config file tbv de client hebt
Ik heb zo n file uit de vpn server van mn linksys router, maar dat lijkt niet goed te werken
Wil eens kijken welke settings jij hebt staan in de ovpn file
-
Zie onderstaand de OPENVPN config file. NB: Deze is dezelfde als de config file die ik gebruik voor m'n NAS (behalve dan dat die voor mijn nas een andere externe poort gebruikt en TCP)
dev tun
tls-client
remote extern_ip_adress 1194
# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)
#float
# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)
redirect-gateway def1
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
#dhcp-option DNS DNS_IP_ADDRESS
pull
# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp
script-security 2
ca naam_ca_file.crt
comp-lzo
reneg-sec 0
auth-user-pass
-
Aanvulling:
Ik snap er niets van maar heb zojuist een keer ingelogd met aanpassing config file naar
# redirect-gateway def1 (had ik in mijn nas ook niet)
Hielp niet.
Vervolgens weer teruggezet naar
redirect-gateway def1
en opnieuw ingelogd. Nu werkt het wel!
Ik kan zowel via verkenner als via browser bij mij NAS local IP komen.... :?: :?: :?:
-
Thx, ga dat proberen
Mijn probleem is dat ik met de standaard ivpn die ik gegenereerd uit router haal, wel kan connecten, maar mijn ip niet verandert feitelijk. Ik kan ook niet aan de interne lan adressen (via mijn nas lukt dat wel).
Omdat ik een eigenwijze vogel ben wil ik dat t via mijn router ook werkt (bij voorkeur zelfs) maar alle edits die ik aan de ovpn file probeerde, maken dat ik geen internet toegang meer heb (kan wel connecten)
Vreemd
Maar dank voor de input iig
-
@falcone75
Dat de ene keer niet werkt, de andere keer wel.
Als je een edit doet van het openvpn.ovpn bestand, schakel je toch wel eerst de VPN-connectie uit, en na vervanging van dat openvpn.ovpn bestand weer opnieuw inschakelen, om op die wijze van de nieuwe veranderde configuratie gebruik te maken.
Laat je de VPN-connectie open staan, en zet je een veranderd bestand terug, is de oude situatie nog van kracht.
-
@Baylonia: Klopt. Had ik ook gedaan uiteraard.
Vandaag lukt het weer niet. Raar is dat ik dus wel:
- kan connecten naar de OPENVPN server op m'n NAS en daarbij de interne ip adressen van mijn lan thuis kan gebruiken en
- ook kan connecten naar de OPENVPN server op de RT1900ac maar daarbij dus niet meer de interne ip adressen van mijn lan thuis kan gebruiken.
Opvallend is dat het netwerk hier dezelfde IP range gebruikt. Maar als dat een probleem oplevert zou ik verwachten dat ik dit probleem ook bij connectie naar de OPENVPN server op de NAS zou krijgen.
- Vanavond ga ik op de RT1900ac de server config file nog eens editen zodat deze gelijk is aan die van de NAS.
- Vanmiddag moet ik naar een andere locatie. Ook vanaf daar zal ik het eens proberen.
Ik laat mijn vorderingen weten!
Als iemand nog ideen heeft waar het in kan zitten hoor ik het graag!
-
Zelf kan ik vanuit het eigen LAN met aangesloten PC's helemaal niet connecten als VPN, alleen vanuit een locatie elders.
Enige uitzondering binnen het LAN is met WiFi en een smartphone. Die pikt dat wel op.
VPN binnen het eigen netwerk lijkt me eerlijk gezegd ook wat onzinnig om dat te gebruiken.
-
VPN binnen het eigen netwerk lijkt me eerlijk gezegd ook wat onzinnig om dat te gebruiken.
Eens
-
Connecten met VPN vanuit eigen lan bedoel ik niet.
Ik bedoel: Connecten met VPN server (NAS / RT1900ac) vanaf externe locatie en op die locatie het interne IP adres gebruiken om op interne lan te komen. Lukt dus wel met NAS als OpenVPN server, nog niet met RT1900ac.
-
In het begin lukte het me ook niet om OpenVPN/PPTP etc aan de praat te krijgen.
Toen ik een UN-INSTALL deed van VPN op mijn NAS, werkte het.
@falcone75: Heb jij toevallig nog VPN aanstaan op je NAS?
-
OpenVPN wil hier ook niet werken extern, intern lukt het wel. Op NAS ook VPN verwijdert maar nog steeds zelfde probleem.
-
Poort 1194 (UDP) moet toch open gezet worden naar het local gateway IP in dit geval, toch ? Op de NAS draait de OpenVPN en heb ik poort 1194 open gezet naar het IP van de NAS. Nu OpenVPN op de router staan dan moet toch 1194 open gezet worden op IP 192.168.1.1 (gateway van de router) ? Of ben ik nu helemaal aan het doordraaien ? :D
-
Ik heb niet alles gelezen in deze topic maar, het is geen poort openzetten maar doorsturen.
Dus, UDP poort 1194 stuur je door in de router naar het ip-adres van je NAS waarop dus OpenVPN server draait.
-
Nu staat ie op de router zelf dus dacht dan naar het IP van de router, in dit geval 192.168.1.1
Toch wil de OpenVPN maar niet werken, op de NAS zelf geen probleem.
-
Oh ok, dan moet die poort niet doorgestuurd worden omdat je router de VPN server is.
Dus, haal dat doorsturen van die poort uit de router.
-
MOD: Onnodige citaat is verwijderd, lees even. (http://www.synology-forum.nl/vragen-en-opmerkingen-over-het-forum/gebruik-de-citaatknop-met-mate-17838/)
:oops: Nu werkt het idd, bedankt Birdy. Ben best wel beschaamd voor deze domme actie, hoe in godsnaam kom ik erbij om die poort te willen doorsturen naar de router. :S
-
Mooi zo 8)
-
Goeiemorgen allen,
Intussen OpenVPN dus werkend maar loop tegen een nieuw probleem aan. Als ik verbonden ben met VPN krijg ik het WAN IP van thuis te zien en de DNS server van mijn ISP. Nu zou ik graag lokaal access willen hebben en dus de DNS van het LAN subnet thuis willen verkrijgen. Indien ik de DNS van het LAN subnet aan de Openvpn.ovpn file toevoeg heb ik geen internet toegang meer. Op US forum zie ik onderstaande oplossing maar toch bizar dat je via SSH connectie aanpassingen moet doen alvorens dit werkend te krijgen. Indien iemand de oplossing heeft gevonden voor dit issue. :)
1. Add a firewall rule to allow traffic from OpenVPN subnet to LAN subnet.
Code: Select all
Ports: all
Source IP: Subnet 10.8.0.0/255.255.255.0
Destination IP: SRM
Action: allow
2.Add a line in OpenVPN's server config file to push route to the client.
Edit the following file:
Code: Select all
/usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf
And add this line at the top of the file (adjust to match your subnet range):
Code: Select all
push "route 192.168.1.0 255.255.255.0"
Reboot the VPN server.
-
push "route 192.168.1.0 255.255.255.0"
Dit zou niet nodig moeten zijn als je in de OVPN server de optie, clients toegang geven tot het LAN, hebt aangevinkt.
Die optie pushed namelijk de route naar de client zodat deze weet hoe die daar komen moet.
Als dat niet werkt, ticket maken.
Nu zou ik graag lokaal access willen hebben en dus de DNS van het LAN subnet thuis willen verkrijgen
Lokaal access staat los van DNS, zie mijn push route verhaaltje.
Als je de DNS aanvragen van je client ook over de VPN wil laten gaan dan moet in de config van de server:
push "dhcp-option DNS ip.van.dns.in.lan"of aan de config van de client:
dhcp-option DNS ip.van.dns.in.lantoevoegen.
-
Heb al verschillende settings getest maar bv. Sonos bereiken via OpenVPN verbinding is onmogelijk. Ook het lokaal subnet scannen is onmogelijk met welke instelling dan ook. Clients toegang geven tot het LAN staat netjes aangevinkt bij de OpenVPN instellingen op de RT1900ac.
Met onderstaande instellingen in de openvpn.ovpn file krijg ik via OpenVPN op iPhone het WAN IP van mijn router + DNS van ISP. Lokaal Subnet is dus niet bereikbaar.
redirect-gateway def1
dhcp-option DNS (hier staat DNS van mijn ISP)
Met onderstaande instellingen in de openvpn.ovpn file krijg ik via OpenVPN op iPhone het WAN IP van mijn 4G connectie + DNS van lokaal subnet. Toch heb ik nog steeds geen toegang tot bv. Sonos netwerk van thuis.
#redirect-gateway def1
#dhcp-option DNS (niets ingevuld)
Met onderstaande instellingen in de openvpn.ovpn file krijg ik via OpenVPN op iPhone geen WAN IP + DNS van lokaal subnet. Nu heb ik geen toegang meer tot internet alsook geen toegang tot het lokaal subnet.
redirect-gateway def1
dhcp-option DNS (DNS van LAN subnet thuis)
-
Zo'n Sonos, werkt dat normaal niet via DLNA ?
Weet niet of zoiets via VPN wordt doorgegeven. Kan het hier niet controleren want heb geen apparaten die van DLNA gebruik maken.
Verder kan ik vanuit mijn smartphone via het 3G netwerk, via het lokale LAN IP-adres zowel mijn router als een erachter aangesloten NAS benaderen. Met een webbrowser het internet op, via de connectie "thuis" en web-pagina's bekijken.
mijn-ip-adres.nl (http://mijn-ip-adres.nl/) geeft het WAN IP-adres van thuis weer.
Ik heb mijn instellingen zoals eerder in de draad weergegeven < HIER > (http://www.synology-forum.nl/synology-router/vpn-verbinding-met-rt1900ac-als-vpn-server/msg173529/#msg173529)
(met uitzondering van "float" wat voor mijn smartphone tevens is geactiveerd).
Die configuratie werkt ook als zodanig correct vanuit mijn andere locatie 35 km verderop, en dan VPN opgebouwd vanuit een laptop.
(Dezelfde aangepaste openvpn.ovpn configuratie, "float" daarbij niet geactiveerd zoals aangegeven).
Instellingen die ik eerder nog niet heb benoemd, maar mogelijk verschil kunnen maken:
[attach=1]
De volgende instellingen worden niet benoemd voor Open VPN, maar geef ik toch maar weer.
Lijken me meer bedoeld als je achter de router een VPN-server hebt draaien (bijv. op een NAS).
Ik merkte geen verschil met die opties aan- of uit gevinkt. Liet het maar aangevinkt.
[attach=2]
De help-file wat die erover weergeeft:
[attach=3]
-
Ik hoop dat de experts hier me kunnen helpen want ik snap er even niks meer van. :o
Hierbij mijn situatie:
ZIGGO modem, IP = 192.168.1.1 (geen DHCP)
Port forward in ziggo modem van 443 naar 1194 (TCP, zie opm laterop)
RT1900ac, WAN IP = 192.168.1.99 (kabel tussen Ziggo modem en WAN poort)
RT1900ac, DHCP in range 192.168.2.10-50; intern IP: 192.168.2.1
OpenVPN server uninstalled en reinstalled. Bij reinstall kreeg ik melding dat Firewall regels moesten worden aangemaakt. Geaccepteerd. In VPN server settings: TCP protocol (zie verderop), poort 1194 en intern netwerk gebruiken aangevinkt
OpenVPN client script als volgt en gestart als administrator:
dev tun
tls-client
remote ziggo-wan-ip-adress 443
#float
redirect-gateway def1
dhcp-option DNS 8.8.8.8
pull
proto tcp-client
script-security 2
ca ca.crt
comp-lzo
reneg-sec 0
auth-user-pass
(NB: Dat ik TCP connectie op 443 verkies heeft te maken dat UDP connectie niet werkt vanuit mijn bedrijfsnetwerk, TCP connectie op 443 wel)
Resultaat: Ik kan OPENVPN connectie maken.
Ik kan bij mijn NAS komen via IP 192.168.2.100 (= intern IP adress NAS).
Tevens kan ik -vreemd genoeg imho- mijn ziggo modem benaderen door 192.168.1.1 in te tikken
Wat me echter niet meer lukt (vreemd genoeg lukte me dat eerder wel):
Inloggen op de RT1900ac als ik via VPN connected ben.
Ik heb geprobeerd: 10.8.0.1; 192.168.2.1; 192.168.1.99.
Lukt niet, reactie = Deze webpagina is niet beschikbaar. ERR_CONNECTION_TIMED_OUT
(NB: ik heb deze adressen ook ingetikt met :8000 erachter, zelfde resultaat)
Ook via verkenner \\10.8.0.1; \\192.168.2.1; \\192.168.1.99 time-outs.
Iemand enig idee hoe ik in kan loggen op mijn RT1900ac als ik via VPN connected ben?
Als er nog settings ter toelichting nodig zijn let me know.
-
Verder neem ik aan dat je in de Ziggo modem niet alleen de poorten hebt doorgestuurd, maar de Synology router ook een fixed IP-adres hebt gegeven op basis van het MAC-adres ? (IP 192.168.1.99).
Je geeft aan dat je niet met UDP kunt werken onder poort 1394 1194, maar kun je via poort 443 vanuit je bedrijfsnetwerk dat wel onder UDP?
In dat geval zou je in plaats van TCP, UDP kunnen gebruiken.
Als dat niet het geval is, waarom gebruik je dan niet gewoon poort 1394 1194 vanuit je bedrijfsnetwerk onder TCP, en stuurt dat normaal door naar 1394 1194 binnen je eigen netwerk?
Door juist typisch voor poort 443 te kiezen vraag ik me af of het dan niet een "versleutelde verbinding - binnen een versleutelde VPN verbinding gaat worden"?
Dubbel-op. Dat lijkt me vragen om moeilijkheden. Waarom niet gewoon van de standaard instellingen gebruik maken?
En als het dan niet gaat onder UDP, alleen het protocol kiezen voor TCP (inclusief de instelling in de Synology router zelf daarvoor).
Dat je het Ziggo modem kunt benaderen is niet vreemd, want dat kun je thuis als je in je eigen thuisnetwerk zit ook.
VPN is niet meer dan een verlengstuk van het netwerk thuis. Dus wat je thuis kunt, kun je elders dan ook.
Als de tunnel dan correct werkt, de router benaderen met 192.168.1.99:8000
Kun je een schermafdruk geven van je Firewall settings?
-
Bedankt voor je snelle reactie Babylonia. De antwoorden op je vragen:
- Klopt, RT1900ac heeft fixed adres
- Nee, meermaals geprobeerd. Met UDP kan ik, ook via 443, geen connectie leggen. MVP gaf aan dat ik het niet snapte, maar ik heb dit echt geprobeerd en werkt niet. De 443-TCP combo heb ik juist via internet als oplossing gevonden, zie https://www.bestvpn.com/blog/5919/how-to-hide-openvpn-traffic-an-introduction/
- Via poort 1194 (je geeft aan 1394, maar ik denk dat je 1194 openvpn bedoeld) kan ik geen verbinding vanuit bedrijfsnetwerk opzetten. wordt geblocked denk ik. Proxy? Firewall? Hoe weet ik niet.
- De OpenVPN verbinding die ik nu heb werkt dus wel: Ik krijg verbinding en kan nas (en ziggo modem) via intern ip adressen benaderen. De RT1900ac synology router dus alleen niet!
- Firewall RT1900AC:
-
Heb in mijn vorige reactie even het poortnummer gecorrigeerd (inderdaad een vergissing).
Dat van die verwijzing in gebruik van poort 443 voor VPN m.b.t. tot landen die sensuur plegen, is een goeie!
Zo steek ik er ook nog iets van op ;)
Ik denk dat je Firewall te beperkt zijn ingesteld.
Bovendien de poort die je apart hebt ingesteld in je 2e regel zit reeds in de 1e regel besloten.
Hieronder even de Firewall regels voor de situatie even aangepast zoals het voor jou van toepassing zou kunnen zijn.
(Geen rekening houdend met andere services die je van buiten uit zou willen benaderen).
[attach=1]
[attach=2]
-
Fixed it!
AndyVR had onderstaande al gepost
[attach=1]
dus gisteren had ik die firewall regel toegevoegd:
[attach=2]
Net ingelogd en ja hoor, nu werkt het !
Kortom: Wil je SRM ook bereiken via OPENVPN dan ook in firewall dit toestaan (precies zoals je aangeeft Babylonia!)
Wat betreft die 443-TCP. Ik werk niet in China ;-) Toch heeft de bedrijfsproxy / firewall eea goed dichtgetimmert.