Synology-Forum.nl
Packages => Officiële Packages => VPN Server => Topic gestart door: Dungeon op 22 maart 2023, 20:42:15
-
Hi,
Voorheen maakte ik gebruik van de optie LTP2 maar voor veiligheid (op advies) ben ik overgestapt naar open VPN.
Als ik verbinding maak met openvpn connect gaat dat goed, mijn laptop maakt gewoon verbinding met de NAS.
Maar hoe kom ik bij mij mappen op de NAS.
Met de LTP2 maakte ik gewoon een snelkoppeling op mijn bureaublad van mijn laptop thuis even verbinden op een andere locatie via de VPN instellingen van Windows en hup snelkoppeling aanklikken en ik was in de map.
Maar blijkbaar werkt het anders met openvpn connect.
Hoe benader ik mijn mappen op de NAS via open VPN connect
-
Met openvpn gaat dat normaal gesproken op dezelfde manier maar...
Heb in de openvpn configuratie een vinkje gezet bij de optie "Clients toegang geven tot de LAN-server".
Deze optie zorgt ervoor dat je thuis lan bereikbaar is via de VPN verbinding.
-
Hi,
Het vinkje staat gewoon aan.
Maar ik zie ook dat er geen logs worden bijgehouden in het logboek van de VPN server.
Ik heb ook ingesteld bij de taakplanner om de server dagelijks aan te zetten en in de avond weer uit te zetten.
-
Je kunt wel inloggen op je NAS via een web browser?
En hoe maak je die snelkoppeling aan?
-
Ik maak een de snelkoppeling via zie plaatje, en dan sleep ik het naar mijn bureaublad.
Misschien een keer opnieuw proberen.
Verder is alles gewoon lokaal te benaderen.
-
Ander dingetje waar je mogelijk aan denken moet:
In welk subnet wordt de OpenVPN client gezet en in welk subnet werkt jouw LAN?
Als je OpenVPN instelt kun je een Dynamisch subnet invullen (zie plaatje onderaan)
Kies je voor 10.x.y.z in OpenVPN en je LAN zit in 192.168.x.y dan wil dit nog wel eens wat gedoe geven.
Volgend puntje: controleer je firewall, als je alleen je LAN toegang gegeven hebt (middels subnet keuze) en je OpenVPN zit in een ander subnet kom je er ook niet in. (voor zover ik weet)
[attach=1]
-
Hi,
Wat moet ik nu doen om het wel werkend te krijgen. Zal een aantal bestanden delen.
Ook het VPN config bestand, uiteraard het IP adres gemaskeerd met met XX XXX XXXX
Verbinding met de VPN server maken via laptop lukt wel zie plaatje
-
Nogmaals:
1) wat is je LAN IP subnet??? (192.168.x.y, of toch 10.x.y.z...?) M.a.w. zit de VPN client in de zelfde subnet als jouw LAN clients?
2) Hoe staat de firewall in je NAS (IP-blokkade/IP-toegang, is 10.8.0.y geblokkeerd dan wel toegestaan?)
3) in je VPN-config: DNS de DNS van jouw LAN invullen
-
Hi
Even bekijken of ik alles kan vinden
Heb inmiddels een regel aangemaakt bij mijn firewall VPN server stond daar nog niet bij
1) wat is je LAN IP subnet??? (192.168.x.y, of toch 10.x.y.z...?) M.a.w. zit de VPN client in de zelfde subnet als jouw LAN clients?
Zie even bestand weet niet wat je bedoelt.
2) Hoe staat de firewall in je NAS (IP-blokkade/IP-toegang, is 10.8.0.y geblokkeerd dan wel toegestaan?)
Heb inmiddels een regel aangemaakt bij mijn firewall VPN server stond daar nog niet bij
3) in je VPN-config: DNS de DNS van jouw LAN invullen
Deze heb ik inmiddels ingevuld 192.135.2.254
Nu moet ik weer even alles testen via een andere verbinding op het werk of bij de buren
-
Je hoeft niet perse naar je buren of op je werk te testen... Even je mobiel als hotspot instellen (wel eerst even van je WiFi disconnecten), en je laptop daarmee verbinden voor de test.
Trouwens 192.135.2.y vind ik er vreemd uitzien, 192.168.x.y wordt vaker gebruikt, maar het valt wel in class-C subnet.
Even terug naar je VPN instelling.... Daarin kun je ook Dynamisch IP adres invullen (bovenste regel/invul veld)
Als je dat eens veranderd naar 192.135.3.1 en dan je VPN connectie opnieuw opbouwt....?
Zie het plaatje dat ik al had geupload.
-
Voorheen gebruikte ik LTP2 en heb ik thuis alles veranderd in 192.135. x x omdat ik op mijn werk dezelfde range had (KPN) en dan met inloggen steeds een IP conflict kreeg.
Maar
Even terug naar je VPN instelling.... Daarin kun je ook Dynamisch IP adres invullen (bovenste regel/invul veld)
Als je dat eens veranderd naar 192.135.3.1 en dan je VPN connectie opnieuw opbouwt....?
Dat lukt niet zie afbeelding
-
Probeer eens 192.135.160.1??
"verder weg" van je LAN IP-range....
Ik kan hier probleemloos 192.135.3.1 invullen....
-
De VPN adres reeks moet je gewoon laten staan op de default 10.x.x.x. Dat mag in iedergeval niet gelijk zijn aan de IP range op de BRON en Source kant.
Deze adressen zijn alleen voor de tunnel die je opzet.
Het vinkje bij "Client toegang geven tot LAN" zorgt ervoor dat er een routering wordt opgezet tusen de OVPN Client en je lokale LAN.
Hoe ziet jou client config eruit?
-
Hi
Hoe ziet jou client config eruit?
Zie bestand
-
Probeer eens 192.135.160.1??
"verder weg" van je LAN IP-range....
Ik kan hier probleemloos 192.135.3.1 invullen....
Nee kan ook niet
-
Het door @Dungeon gebruikte LAN netwerk *dit plaatje* (https://www.synology-forum.nl/vpn-server/mappen-benaderen-open-vpn/?action=dlattach;ts=1679852564;attach=59097;image) uit een eerdere reactie (https://www.synology-forum.nl/vpn-server/mappen-benaderen-open-vpn/msg320299/#msg320299).
LAN netwerken in een IP bereik van 192.135.xx.yy zou je helemaal niet moeten inzetten.
Ook al zou je ze kunnen instellen. Het zijn geen officiële bereiken die voor een LAN netwerk worden gebruikt.
Houd je gewoon aan vastgelegde conventies, wil je vroeg of laat geen onverklaarbare veiligheid- of netwerk problemen krijgen.
Zie de indelingen die voor LAN netwerken gebruikt kunnen worden: https://en.wikipedia.org/wiki/Private_network
Hoewel binnen de conventies voor een LAN netwerk, zou je het beste wel een afwijkend "NIET standaard" IP netwerkbereik kiezen.
Om niet in conflict te komen als je vanuit een externe WiFi locatie toevallig ook daar eenzelfde "standaard" netwerk zou tegenkomen.
Uitleg waarom een afwijkend netwerk IP-bereik, zie < DIT onderwerp > (https://www.synology-forum.nl/synology-router/rt6600ax-router-setup-en-zijn-mogelijkheden/msg313195/#msg313195)
(Is wel uitleg voor de VPN Server bij een router, maar maakt voor de basis principes van een VPN-verbinding niet uit).
Waarom afwijkende IP-bereiken voor standaard netwerken?
Verder de instellingen voor Firewallregels.
Firewall regels worden van boven naar beneden doorlopen.
Poorten Protocol Bron-IP Actie
1. Toegang voor het eigen complete LAN netwerk ( Bijv. 192.168.35.1 t/m 192.168.35.255
Alles - Alles - LAN netwerk - Toestaan of beschreven als: 192.168.35.0 subnet mask 255.255.255.0 )
2. Toegang voor het virtueel gebruikte VPN netwerk ( 10.8.0.1 t/m 10.8.0.255 ---> *dit plaatje* (https://www.synology-forum.nl/vpn-server/mappen-benaderen-open-vpn/?action=dlattach;ts=1679604857;attach=59074;image) uit deze reactie (https://www.synology-forum.nl/vpn-server/mappen-benaderen-open-vpn/msg320237/#msg320237) )
Alles - Alles - VPN netwerk - Toestaan
3. Toegang van buitenaf (met regio filtering) voor de VPN-server (dus de applicatie) met het OpenVPN protocol
OpenVPN - UDP - Nederland - Toestaan
4. Eind firewall regel om verder alles te blokkeren wat niet aan het voorgaande voldoet.
Alles - Alles - Alles - Weigeren
En in de router port forwarding van poort 1194 naar het vaste LAN IP van de NAS voor gebruik van OpenVPN.
-
Van wat ik begrepen heb wil @Dungeon dezelfde subnet gebruiken als dat op zijn werkplek is ingesteld.
Of dit nu zo handig is kan ik geen antwoord op geven. Kans hierbij is denk ik wel dat hij een IP-conflict kan krijgen omdat het IP adres dat zijn VPN-server (en eventueel LAN thuis) geen controle heeft over de uitgegeven IP-adressen op zijn werk-LAN
Andersom idem, de DHCP server in zijn werk-LAN heeft geen controle over de IP-adressen bij hem thuis (of in zijn VPN verbinding).
Nog afgezien of zijn werkgever er wel zo blij mee is dat er vanaf zijn computers/netwerk een VPN naar een privé server opgebouwd wordt. Iets met LAN-security en zuks. (voor zover de systeembeheerder dit niet afgeschermd heeft).
Ik zou het als beheerder/eigenaar van een bedrijfs-LAN in ieder geval niet toestaan, maar dit terzijde.
-
Hi,
Wat ik al eerder aangaf toen ik LTP2 gebruikte had ik thuis de standaard range omgezet omdat ik niet kon verbinden met 2x KPN provider, thuis en ook in mijn winkel. Toen ik het had veranderd heb ik jaren gebruik gemaakt van LTP2..
Maar stap ik over naar openVPN. Dan lijkt mij het dat de range gewoon kan blijven staan.
Alleen kom ik niet bij mijn mappen. openvpn maakt wel gewoon verbinding.
Ik ga later deze dag mijn firewall in de nas eens uitzetten misschien zit daar het probleem.
-
LAN netwerken in een IP bereik van 192.135.xx.yy zou je helemaal niet moeten inzetten.
Sterker: Het is een bug van de router dat hij toelaat deze range te kiezen.
-
Oke ik lees dat ik de range thuis dus terug moet gaan zetten naar standaard.
Komt er dan geen ip conflict meer zoals met LTP2
-
IP conflicten krijg je nog steeds bij dezelfde range. Maar de xx waarde kun je wel aanpassen en daar kun je nog steeds 256 verschillende, niet conflicterende, netwerken instellen.
-
Inderdaad. Beter niet een "standaard" netwerk.
Zoals eerder aangegeven (https://www.synology-forum.nl/vpn-server/mappen-benaderen-open-vpn/msg320310/#msg320310) is de kans op conflicten dan erg groot, als je elders dan hetzelfde sub-net treft (zoals 2x KPN).
De uitleg in het achterliggende onderwerp (https://www.synology-forum.nl/synology-router/rt6600ax-router-setup-en-zijn-mogelijkheden/msg313195/#msg313195) waar ik naar verwijs, lijkt me toch duidelijk genoeg om de achtergrond ervan te snappen?
(Met daarbij ook weer nieuwe verwijzing (https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/msg135813/#msg135813) naar een lijst met netwerk-bereiken die vaak worden gebruikt, om beter ook niet te kiezen).
-
Hi,
Hoe krijgen jullie mij gek LOL
Het wil maar niet lukken ik doe echt iets niet goed.
Inmiddels overweeg ik om maar weer vertestappen naar LPT2
-
Gezien de plaatjes van je laatste reactie hiervoor,
trek je kennelijk geen enkele lering over gegeven opmerkingen voor wat er aan eerdere instellingen verkeerd aan was.
Zowel wat betreft ongeldige LAN IP-bereiken als Firewall regels.
Zolang dat niet op orde wordt gebracht, is het maar de vraag of het ooit goed komt?
-
Hi,
Voor een niet netwerk specialist is het maar spook taal subnet dit Lan dat, de een zegt range zo laten anders krijg je een conflict de ander zegt terug zetten naar de KPN standaard instellingen .
Kunnen we dit misschien even per stap doen wil het graag weten en stap voor stap doornemen omdat ik de VPN veilig wil hebben.
-
Spooktaal? Als je enkele instellingen weet te vinden weet je toch enigszins wat je aan het doen bent gok ik....
LAN -> Local Area Network, alle hardware bij jouw thuis is daar op aan gesloten. (en een andere LAN is op je werk)
IP-range -> een bereik van IP-adressen. Voor thuis: 192.168.x.y (dus NIET 192.135.x.y!!). Korter beschreven: subnet; 192.168.2.0/24 (voorbeeld)
Een ander IP-bereik kan zijn 10.x.y.z... zie https://nl.wikipedia.org/wiki/RFC_1918
10.x.y.z = Class A subnet,
172.16.x.y <-> 172.31.x.y = Class B subnet
192.168.x.y = Class C subnet (voor zover ik weet het meest gekozen subnet voor thuis)
Hoe stel je dat in... Kijk het plaatje wat ik gepost heb en stoei daarmee. Je Syno laat denk ik ook geen IP adressen toe die buiten de subnetten valt die ik hierboven genoemd heb.
Mijn advies: duvel 192.135.x.y aan de kant, zowel op je werk als thuis en kiest een IP bereik dat wel in het 'prive-IP adres' plaatje past, 192.168.x.y bijvoorbeeld.
Suggestie:
Thuis => 192.168.2.x
Werk => 192.168.3.x
VPN => 192.168.160.x
IP conflicten zijn daarmee uitgesloten tussen beide LAN-netwerken en VPN subnet.
Er is denk ik ergens een tik-fout gemaakt in de config op je werk.
135 en 168 lijken kwa vinger-beweging het zelfde op het numeriek toetsenbord, de 5 onder de 8, de 3 onder de 6.
Zeer waarschijnlijk is dit ook jouw probleem dat je geen (werkende) OpenVPN verbinding kunt opbouwen.
-
Voor een niet netwerk specialist is het maar spook taal subnet dit Lan dat, de een zegt range zo laten anders krijg je een conflict de ander zegt terug zetten naar de KPN standaard instellingen
Heb je dan al eens verder gelezen bij de achterliggende informatie, iets uitgeprobeerd naar aanleiding van suggesties die worden gedaan ??
Ik vermoed van niet. Anders was je beslist tot andere instellingen en resultaten gekomen.
Zo niet? Tot andersoortige vervolg vraagstellingen.
Zover je dat nog steeds te ver gaat qua netwerk "technisch niveau" (ieder het zijne - beslist geen verwijt),
ben dan reëel en schakel beter een handige buurman in met enige kennis in computer thuisnetwerken, die het wel begrijpt,
of huur een ICT specialist in.
-
De PPTP VPN verbinding was 5 jaar geleden zo opgezet maar open VPN blijkt niet zo simpel te zijn. heb ook een nieuwe NAS draaien
-
Hi @André PE1PQX
Mooi project voor mij.
ik zal de KPN router terug zetten naar standaard. Geloof zelfs dat ze een nieuwe box hebben probeer deze te bestellen.
daarna kom ik hier op terug want het zal me lukken.
Ik maak gebruik van https://openvpn.net/client-connect-vpn-for-windows/ op mijn laptop mocht ik wat ander moeten gebruiken hoor ik dan graag.
Daarnaast zeg jij dat er misschien een tikfout is gemaakt op het werk, Als ik mijn laptop via mijn hotspot mobile verbind kom ik ook niet in de NAS via open VPN
-
Het wordt steeds erger.
Het onnodig compleet (dubbel) aanhalen van voorgaande berichten (welke nota bene erboven staan), wordt hier op dit forum absoluut niet geapprecieerd (zie de forum huisregels (https://www.synology-forum.nl/vragen-en-opmerkingen-over-het-forum/gebruik-de-citaatknop-met-mate-17838/) op dit punt). Zou zeggen stop beter met elke opvolgende reactie op deze wijze.
Het staat elke serieuze beantwoording alleen maar in de weg!! (Ofwel houd het voor mezelf wel voor gezien).
[ EDIT ] - Inmiddels deze (dubbel) aanhalingen van berichten door moderator verwijderd.
-
Woow Prima,
Ik zoek wel elders naar een oplossing.
Lekker sluiten deze topic zou ik zeggen
-
Prima, veel succes :thumbup:
Ben benieuwd of je daar ook nog steeds aan de bak komt, als je goed bedoelde adviezen volledig naast je neerlegt,
(waardoor geen verbetering is te verwachten in resultaat) en dan nog steeds schouder ophalend afvraagt waardoor dat komt? :geek:
-
Het wordt steeds erger.
Het onnodig compleet (dubbel) aanhalen van voorgaande berichten (welke nota bene erboven staan)...........
Heb ze al verwijderd. ;)