Synology-Forum.nl
Packages => Officiële Packages => VPN Server => Topic gestart door: apache2021 op 29 januari 2021, 11:21:33
-
Hallo,
Ik heb succesvol een VPN verbinding opgezet van mijn NAS via openvpn. Werkt prima.
Getest met laptop met openvpn -> hotspot telefoon -> NAS
De volgende stap is een netwerkshare maken in de verkenner naar een gedeelde map op de nas.
Als ik mijn NAS ip gebruik dan werkt het niet. Gebruik ik het tunneladres dan werkt het wel.
Wat doe ik fout? Het tunneladres gebruiken lijkt me niet zoals het hoort toch?
Alvast bedankt voor tijd en moeite,
Peter
-
De bedoeling is, dat je het IP-adres of de naam van de NAS gebruikt.
Dus, idd niet het virtuele adres.
Wat is de foutmelding?
-
Hallo Birdy,
Bedankt voor je snelle reactie.
De foutmelding is : kan het netwerkpad niet vinden.
Peter
-
Kan je het IP-adres van de NAS wel pingen ?
-
Nee, dat lukt niet.
-
Ik weet niet welk OS je gebruikt, maar op de mac moet je volgens mij de VPN verbinding een hogere prioriteit geven dan de Ethernet verbinding. Bij de netwerk voorkeuren de VPN omhoog slepen totdat hij boven ethernet (Of Wifi) staat.
-
Dat had ik direct even moeten melden : ik gebruik W10
-
Gisteren nog een paar testjes gedaan :
1) Het 'meerdere gateways aan/uit zetten' bij de geavanceerde netwerkinstellingen van de DS220+ maakt geen verschil.
Daar had ik iets over gelezen maar helaas.
2) Firewall van de NAS is uit.
3) Aan mijn modem kan het niet liggen. Met het tunneladres kan ik verbinding maken maar met lokaal IP van de NAS niet.
Pingen naar het lokale adres werkt niet.
Het moet iets simpels zijn....maar wat?
-
In de geëxporteerde file VPNConfig.ovpn staat: #redirect-gateway def1
Verwijder # save en importeer de file weer in je telefoon (maak een nieuwe connectie in de app).
-
Het werkt !
Bedankt !
Peter
-
8)
-
Hallo,
Nog een aanvullend vraagje : is het mogelijk om de VPN alleen naar (het lokale IP van) mijn NAS te laten gaan?
Ik kan nu ook naar mijn andere aangesloten apparaten zoals laptop en printer.
De VPN is bedoeld om iemand toegang te geven tot bestanden op mijn nas. Toegang tot mijn hele LAN is niet gewenst.
In openvpn config op de nas staat 'cleints toegang geven tot lan server uit' (als dat er iets mee te maken heeft.
Ik denk dat ik iets in mijn router moet doen?
Peter
-
Daar is VPN voor bedoeld, het verlengen van je netwerk.
Dat is hetzelfde voor iemand thuis werkt en een VPN opzet naar z'n werkgever, dan heeft die thuiswerker toegang tot alles (als gebruiker/wachtwoord bekend is, tenminste), alsof hij/zij op kantoor werkt.
Maar goed, als die persoon alleen naar je NAS mag gaan, dan zou ik geen VPN laten gebruiken.
Lees dan dit artikel: Hoe maak ik mijn Synology NAS toegankelijk via internet? (https://www.synology.com/nl-nl/knowledgebase/DSM/tutorial/Network/How_to_make_Synology_NAS_accessible_over_the_Internet)
Je moet alleen het hoofdstuk Gebruik EZ-Internet om Synology NAS toegankelijk te maken via internet overslaan en Configureer uw router handmatig lezen.
Als er op het bovenstaande advies vragen zijn, dan graag een nieuw Topic maken.
-
Ik had gedacht dat ik de VPN alleen aan mijn NAS zou kunnen ´koppelen´.
De reden dat ik voor VPN heb gekozen is de snelheid en het gemak tov Quickconnect, Webdav een ddns.
Quickconnect is ook nog eens afhankelijk van een synology server.
Er gaan grote bestanden heen en weer en een dagelijkse backup.
Is er geen mogelijkheid om een gebruiker via de VPN alleen de NAS te laten zien?
-
VPN staat voor "Virtual Private Network".
De N uit de naam zegt het eigenlijk al.
-
Dat begrijp ik :)
Ik dacht dat er misschien met de firewall / statische routing in de NAS iets te bereiken viel.
-
Volgens mij, moet je hier wezen (https://openvpn.net/community-resources/configuring-client-specific-rules-and-access-policies/) en/of hier (https://openvpn.net/community-resources/how-to/#expanding-the-scope-of-the-vpn-to-include-additional-machines-on-either-the-client-or-server-subnet), maar ik ga me er niet in verdiepen. ;)
Wel snel gelezen, het moet kunnen wat je wilt.
Maar @Pippin is DE specialist op het gebied van OpenVPN.
-
De reden dat ik voor VPN heb gekozen is de snelheid en het gemak tov Quickconnect, Webdav een ddns.
Om de snelheid hoef je het niet te doen.
VPN heeft altijd een meer remmende werking door de mate van versleuteling en ontsleuteling.
De ene VPN methode, en de andere , daar kan ook nog verschil in zitten. Idem de mate van encryptie die is ingesteld.
Zie ook: https://nordvpn.com/nl/blog/vpn-protocollen/
WebDAV is een sneller connectie protocol dan OpenVPN, en biedt je een hogere mate van efficiency, als het om de snelheid gaat.
Je vergelijkt het overigens ook met verkeerde instrumenten. "QuickConnect is niet bedoeld als alternatief voor VPN of webDAV,
maar enkel een instrument om zonder port forwarding te hoeven instellen ALTIJD connectie met de NAS contact te kunnen leggen.
Dat loopt dan via een omweg met Synology servers.
DDNS, alleen het eerste moment als contact om je WAN IP-adres met de domeinnaam te koppelen, gaat via de Synology server.
Omdat je bij gebruik van DDNS wel port forwarding hebt moeten instellen. Loopt al het verkeer erna buiten die omweg om.
Probeer het eens uit door in de plaats van een DDNS-naam, je WAN IP-adres zelf in de configuratie te gebruiken.
Is er geen mogelijkheid om een gebruiker via de VPN alleen de NAS te laten zien?
Door in het menu van de VPN server bij de OpenVPN géén vinkje te plaatsen bij de optie:
"Clients toegang geven tot de LAN-server" Zie ook info van Synology < HIER > (https://www.synology.com/nl-nl/knowledgebase/DSM/help/VPNCenter/vpn_setup)
Verder zou zoiets nog aangevuld kunnen worden met firewall regels in een router.
Maar dat is afhankelijk van de mogelijkheden van het merk/type router wat je daarin kunt instellen.
Weet niet of de firewall in de NAS zelf daarin nog voldoende mogelijkheden biedt? Heb ikzelf niet geprobeerd.
(Ik gebruik een VPN-server in de router, niet die van de NAS).
-
Door in het menu van de VPN server bij de OpenVPN géén vinkje te plaatsen bij de optie:
"Clients toegang geven tot de LAN-server"
In het Engels vind ik het wat duidelijker:
Tick Allow clients to access server's LAN to permit clients to access the server's LAN.
Dus, dat zou betekenen dat je de NAS wel kunt benaderen en de rest niet?
Zo ja, dan geldt dat ook voor @apache2021 mocht hij/zij ook OpenVPN willen gebruiken.
Wil je dat niet, dan is Configuring client-specific rules and access policies (https://openvpn.net/community-resources/configuring-client-specific-rules-and-access-policies/) een betere oplossing, in mijn ogen.
Je kunt dan onderscheid maken, wie wat mag op het netwerk.
-
Bedankt beiden voor de uitgebreide uitleg :thumbup:
Ik ga het eens even laten bezinken. Ik zag op een gegeven moment door de poorten de router niet meer.
Het vinkje 'clients toegang geven tot LAN' gebruiken om de rest van het netwerk te blokkeren werkt alleen als 'redirect-gateway def1'in de ovpn config file uit is(# ervoor)
Er wordt dan contact gemaakt op het tunneladres. Niet op het lokale adres van de NAS / standaard gateway.
Een driveletter in de verkenner maak je dan door : \\tunneladres\share
Zodra het hekje wordt weggehaald (save, importeren in OVPN etc) dan kan de nas via vpn op zijn lokale IP worden gevonden maar werkt het vinkje niet meer.
-
Je haalt twee dingen door elkaar.
- Instellingen enerzijds in het configuratiebestand van OpenVPN zelf waar @Birdy naar verwijst.
- En een simpel vinkje in het menu van de VPN server app in de NAS.
Dat vinkje kun je toch gewoon in- of uitschakelen, zonder dat je ook maar iets extra verandert in het configuratiebestand van OpenVPN?
Dan weet je toch of het werkt ja- of nee?
Door elkaar die instellingen gebruiken lijkt me niet de juiste insteek.
Overigens heeft dat 'redirect-gateway def1' een heel andere functie.
Het bepaalt of je als "VPN Client" alleen toegang hebt tot de VPN-server (vaak gebruikt voor alleen bestand verkenner/niveau).
Of dat je ALLE internetverkeer waar je als "Client" connectie maakt met de VPN-server dat ook via VPN laat lopen.
#redirect-gateway def1 = connectie tot de VPN-server (vaak gebruikt voor alleen bestand verkenner/niveau).
De rest van het internetverkeer (met webbrowser) gaat via het sub-net en WAN IP-adres van de locatie waar je je zelf bevindt,
en als je dan van het WiFi-netwerk / internetverbinding van die specifieke locatie gebruik maakt.
Of bijv. het WAN IP-adres van een mobiele verbinding, mocht je van de WiFi hotspot van een smartphone gebruik maken.
https://www.watismijnip.nl/ Geeft dan het WAN IP-adres van de internetconnectie van die locatie of je WiFi hotspot.
redirect-gateway def1 = ALLE internetverkeer van de VPN Client gaat via het WAN IP-adres van de internetconnectie bij je thuis.
https://www.watismijnip.nl/ Geeft dan het WAN IP-adres van je internet thuis-adres.
Maar die functie zegt niets over de bereikbaarheid van andere apparaten in je thuisnetwerk.
Met beide instellingen -met of zonder hekje- voor die redirect-gateway def1 zijn die bereikbaar.
Als het vinkje in het menu van de VPN-server app is aangevinkt om het hele thuisnetwerk te kunnen bereiken.
-
nu ik mezelf even terug lees klopt er inderdaad niet veel van. Ik heb het niet goed weergegeven :
Als 'redirect-gateway def1' 'uit' staat en ik probeer in de verkenner een netwerkverbinding aan te maken op het lokale IP adres van NAS dan krijg ik de melding dat deze niet gevonden kan worden.
Gebruik ik het tunneladres om deze aan te maken dan werkt het. De rest van het netwerk is, onafhankelijk van het vinkje 'Clients toegang geven tot de LAN-server', onzichtbaar.
Als 'redirect-gateway def1' 'aan' staat dan kan ik in de verkenner een netwerkschijf maken op het lokale adres van de NAS. Helemaal goed maar onafhankelijk van het vinkje 'Clients toegang geven tot de LAN-server' blijft de rest van het netwerk zichtbaar.
Ik kan met vinkje aan of uit pingen naar verschillende apparaten of via een browser naar bijvoorbeeld de config pagina van mijn printer.
Ook als ik de VPN server even stop en weer herstart.
Ik weet dat er nog meer mogelijkheden zijn die zeker niet uit beeld zijn maar toch nieuwsgierig wat er dan niet goed gaat.
-
Gebruik ik het tunneladres om deze aan te maken dan werkt het.
Daar zit nu net de kern waar het om gaat. Ergens heb je verkeerde instellingen gebruikt,
want je zou helemaal dat tunneladres niet hoeven te gebruiken, maar gewoon de lokale LAN IP-adressen.
In jou geval doet het zijdelings ook iets met die 'redirect-gateway def1' functie, maar staat er eigenlijk los van.
Het is een functie zoals uitgelegd waar die voor dient.
Eerst zul je de basis goed moeten instellen, dat je geen tunneladres hoeft te gebruiken.
-
Ik ga het nog een keer van niks opbouwen.
Is er ergens een tutorial te vinden die al met succes is gebruikt?
-
Kom je er helemaal niet uit, zouden we misschien een "teamviewer" (https://www.teamviewer.com/nl/) sessie kunnen doen?
Zou je een persoonlijk bericht kunnen sturen met aanvullende contactgegevens (telefoonnummer).
-
Bedankt voor je aanbod. Echter super dat er op dat er zelfs persoonlijk hulp wordt geboden. Dat ga ik zeker even onthouden.
Een update : gisteren alles opnieuw opgebouwd met de nieuwste versie van openvnc.
Het bleek namelijk dat ik een oudere (niet-opensource) variant gebruikte.
Alles geinstalleerd maar het vinkje 'client toegang geven tot LAN' werkt nog steeds niet....
Ik zag op verschillende fora dat ook vaak de VPN in de router wordt gebruikt. Ik heb een Netgear R7000 die VPN ondersteund.
Dus dat ga ik nu proberen.
Het opzetten van de VPN zal geen probleem zijn maar wat ik moet ik daarna doen om het VPN verkeer van de router alleen bij mijn nas uit te laten komen?
-
Switchen van een VPN-server in de NAS naar een server in de router, het kan natuurlijk, maar je blijft met dezelfde problematiek zitten.
Lijkt me eigenlijk niet de juiste insteek om naar een oplossing van het probleem toe te werken?
Is eerder "hopen" in dat geval op een dan toevallig wel goede werking, dan begrip in de materie?
Maar goed, je bent het aan het testen, dus horen we wel waar je op uitkomt.
Bij een VPN-server in de Netgear, en je komt er niet uit, zou een ander zich moeten verdiepen in de werking van een Netgear router.
Want dat staat dan helemaal los met het benaderen van een NAS (is geen functie van de NAS meer), maar willekeurig elk ander apparaat in je netwerk waar je een exclusieve benadering voor wilt hebben. (Zou dan meer een onderwerp zijn voor "Netwerk in zijn algemeen",
maar vraag me af of het dan überhaupt dan nog wel een onderwerp is voor op een Synology forum?)
-
Bedankt voor je reactie. Ik ga het testen en laat van me horen
-
Het opzetten van de VPN zal geen probleem zijn maar wat ik moet ik daarna doen om het VPN verkeer van de router alleen bij mijn nas uit te laten komen?
Een VPN is een Virtueel Privé Netwerk. Dit zorgt ervoor dat het lijkt alsof je op die locatie zit. Als je wilt dat die persoon slechts een apparaat kan gebruiken, moet je dezelfde maatregelen nemen als voor iemand die fysiek op jouw netwerk zit.:
Goede wachtwoorden op de apparaten op je lan of thuis met vlan's gaan werken.
-
Het opzetten van de VPN zal geen probleem zijn maar wat ik moet ik daarna doen om het VPN verkeer van de router alleen bij mijn nas uit te laten komen?
Geen idee wat die router kan, maar
1. als je vaste tunnel adressen aan VPN clients kunt toewijzen
EN
2. firewall regels op de VPN (tun) interface kunt maken
kun je middels die regels bepalen welke VPN client toegang heeft tot hosts/poorten op het LAN.
Als 1 niet kan maar 2 wel dan gelden de regels voor alle VPN clients (i.p.v. per client).
-
Bedankt voor je uitleg. Goed om te weten dat er eventueel een mogelijkheid is.Dat ga ik verder bekijken..
Na wat speurwerk kwam ik op onderstaande site :
https://www.synology.com/cgi/knowledgebase/findHelpFile/dsm/VPNCenter/1.2/enu/5.2-5644/synology_avoton_415+/100/vpn_setup.html
Bij de openvpv notes staat :
When Allow clients to access server's LAN is not ticked, VPN clients will still be able to access your server's LAN in the following situations:
- VPN server is set as the default gateway at the client side.
- Related routing rules are added manually at the client side.
Dit zal het probleem zijn, vermoed ik.......
De client heeft er dus ook invloed op?
-
Sorry dat ik wat hak op de tak overkom. De materie is nieuw voor me (en misschien wel wat te lastig.. :) :?:)
Ik laat de VPN even voor wat het is. Gisteren een testje gedaan met webdav en raidrive en dat werkt best goed.