Synology-Forum.nl
Packages => Officiële Packages => VPN Server => Topic gestart door: GravityRZ op 09 februari 2022, 11:38:56
-
Zijn er mensen die de vpn functionaliteti al hebben draaien onder DSM 7.0
ik gebruikt nog steeds DSM 6.2 met de wat oudere package omdat de nieuwste package niet meer werkt
ik kan mij voorstellen dat als je naar DSM7 gaat je automatisch een hogere package krijgt(die niet meer werkt)
-
Bij één net nieuw geïnstalleerde NAS die hier nog even staat als "test" met DSM 7 erop kan ik daar de komende dagen wel een test aan wagen, omdat die functionaliteit waarschijnlijk toch nodig is, voor beheer op afstand als die router naar een andere locatie wordt verplaatst, en ik evt. ook terug zou moeten kunnen kijken in de router vastgelegde instellingen van die locatie.
Daar kom ik dan later nog wel op terug.
Overigens wel met de standaard OpenVPN instellingen van Synology, zonder vreemde aanpassingen erin.
(Zie nu eigenlijk pas in welk forum onderwerp het bericht staat).
-
Bij één net nieuw geïnstalleerde NAS die hier nog even staat als "test" met DSM 7 erop kan ik daar de komende dagen wel een test aan wagen,....
Daar kom ik dan later nog wel op terug.
Nu inmiddels de VPN-server geïnstalleerd (versie 1.4.4-2855).
Alle instellingen gemaakt, extra port forwarder met afwijkende poort 1294, omdat 1194 al op ander niveau actief is.
Firewall instellingen aangepast in zowel router als NAS.
Eerste test direct vanuit de laptop via "NAT loopback" (in het OpenVPN profiel staat mijn NL-domein - geen WAN IP-adres).
En..... Meteen de allereerste poging om een VPN-connectie te leggen was succesvol !!
Vanuit twee achterliggende routers ook.
Toen via een mobiele hotspot, dat lukte helaas NIET !
Ander APN toegangspunt ingesteld KPN "advancedinternet" --> NIET !
Bij bestudering van de connectie log, bleek dat via mobiel internet, kennelijk poort 1194 werd verwacht.
Binnen de mobiele specificaties schijnbaar een hard vastgelegde poort??
Dan maar even de andere VPN-server met poort 1194 op mijn router uitschakelen, en alsnog deze voor de NAS met DSM 7 inzetten.
(En andere instellingen OpenVPN configuratiebestand + firewall etc. aanpassen).
Opnieuw even via NAT loopback getest en werkt !!
Maar helaas niet via de WiFi-hotspot functie van mijn Mobiele telefoon. Kom er later weer op terug (nu te laat in de nacht :wtf: ).
-
Inmiddels weer extra testen gedaan vanuit het thuisnetwerk bij een kennis via diens WiFi achter een vast glasvezel internetconnectie.
Geen resultaat !!
Weer thuis:
Het OpenVPN profiel geïmporteerd in de VPN Client Pro (https://play.google.com/store/apps/details?id=it.colucciweb.vpnclientpro&hl=nl&gl=US) app van mijn Andoid smartphone (Android 11),
die ik normaal ook inzet voor allerlei "andere" OpenVPN verbindingen. Om te zien of het onder een ander OS dan Windows wel werkt.
Dezelfde ervaringen ook hier als met de OpenVPN Client op een laptop. Als zijnde:
- Ingelogd op het eigen WiFi van het thuis Netwerk:
Via "NAT loopback" (in het OpenVPN profiel staat mijn NL-domein - geen WAN IP-adres). VPN-connectie succesvol !!
- Met dezelfde inloggegevens nu via mobiel netwerk. Dat lukt helaas NIET !
Ander APN toegangspunt ingesteld KPN "advancedinternet" ---> WERKT NIET !
Ander NAS gebruikers account aangemaakt (als admin) met meer "simpele" opzet van gebruikersnaam en wachtwoord,
om eventueel onvoorziene oorzaken van "TE" afwijkende speciale karakters te vermijden,
zoals eerder op ander terrein m.b.t. VPN ondervonden. (Zie eerder onderwerp (https://www.synology-forum.nl/synology-router/bug-in-laatste-versie-vpn-plus-1-4-2-0533/msg306531/#msg306531) vanaf "Waar komt het uiteindelijk op neer?" ).
Maakt niet uit. Precies dezelfde resultaten als reeds hier voorgaand reeds ondervonden.
- Succesvol binnen het eigen LAN netwerk.
- Géén resultaat via een mobiele connectie.
"Zucht". Vanaf dit punt maar weer een nieuwe pauze.
[ Edit ] Ik laat het voorlopig hierbij. Het is op dit moment geen functioneel werkende optie.
-
Als ik lees dat als je op je eigen LAN zit het wel lukt maar als je vanaf extern probeert niet dan is het eerste waar ik aan denk dat je port forwarding instellingen op je router niet goed staan.
Of je gebruikte WAN-IP adres is niet het goede adres.
Heb je als een geprobeert om vanaf een externe lokatie je WAN-IP adres te pingen?
Hoe ziet jou internet connectie eruit?
-
Nee m.b.t verschillen LAN / WAN IP-adres daar ligt het niet aan.
in het OpenVPN profiel staat mijn NL-domein - geen WAN IP-adres
Dus ook vanuit het "LAN" wordt er eerst via NAT loopback "naar buiten toe" verbinding gelegd, om dan weer terug te komen.
Bij terugkomst doorloopt het ook de route via port forwarding. (De computer zit achter een 2e router - dubbel NAT).
Dat stuk werkt.
Via de mobiele hotspot. (Of bij een kennis vanuit diens netwerk), loopt het fout.
Ik vermoed toch iets in controle van ergens een mismatch van TLS versie ??
In de logfiles van mijn OpenVPN client komt er na een aantal correct gegeven regels verder helemaal "niets".
Het stopt gewoon. Het loopt vast. Normaal zouden er foutregels komen bij een mislukte poging.
De regels die er nog wel staan geven wel een juist WAN IP-adres aan waar het uiteindelijk uitkomt.
De geïnstalleerde VPN Client versie zou ook moeten voldoen.
Domein - SSL certificaten - Reverse Proxy e.d. werken gewoon met alle andere functies die worden ingezet.
(Connectie van buitenaf naar 3 stuks NAS-apparaten plus nog een extra USB-drive als data-server achter mijn router).
Misschien is het een simpel dingetje? Maar vooralsnog kom ik er niet uit.
Ook ander "eenvoudige" gebruiksnaam en wachtwoord geprobeerd n.a.v. van eerdere discrepanties m.b.t. speciale karakters.
Zie eerder onderwerp (https://www.synology-forum.nl/synology-router/bug-in-laatste-versie-vpn-plus-1-4-2-0533/msg305776/#msg305776) daarover en vervolgreacties.
Configuratiebestand ook met mijn andere VPN Client profielen vergeleken, daarin geen vreemde dingen in opgemerkt.
-
Misschien is het een simpel dingetje? Maar vooralsnog kom ik er niet uit.
Tjonge jonge, ik ben er inmiddels uit - en inderdaad een erg simpel dingetje.
Kwam er achter door nog eens te testen....
In de logfiles van mijn OpenVPN client komt er na een aantal correct gegeven regels verder helemaal "niets".
Het stopt gewoon. Het loopt vast. Normaal zouden er foutregels komen bij een mislukte poging.
Tja, te ongeduldig. Er gebeurt de eerste minuut NIETS. (Zolang had ik niet afgewacht).
Toen kwamen er alsnog foutmeldingen. En na een tweede minuut nogmaals.
[attach=1]
Van daaruit even de foutmelding checken op de website van OpenVPN (https://openvpn.net/faq/tls-error-tls-key-negotiation-failed-to-occur-within-60-seconds-check-your-network-connectivity/).
Dan even punt voor punt nalopen.
Met alle apparaten hier met achterliggende services is het een wirwar van instellingen en firewall regels.
Had om het "snel" ( :evil: ) te kunnen testen en de lijst aan firewall regels in de router te beperken,
de OpenVPN 1194 poort voor de NAS om die reden maar bij de andere reeds ingevulde poorten erbij gezet.
Stom, stom, stom. Die stonden op het TCP protocol. OpenVPN is (standaard) UDP
Aangepast (nu met een aparte firewall regel erbij), en het werkte erna direct !! :o :oops: :geek:
Daarna alsnog poort 1294 ingesteld omdat ik "normaal" reeds een OpenVPN actief heb op router niveau met poort 1194.
Dat werkte erna ook. Het OpenVPN configuratiebestand aangepast ook op mijn smartphone. Werkt ook !!
Daarmee lijkt alles correct te werken, inclusief de keus van VPN-connecties op verschillende niveaus.- Op router niveau zijn hier ingesteld: OpenVPN (poort 1194) - L2TP/IPSec - Synology SSL
- Op NAS niveau DSM 7: OpenVPN (poort 1294)
@GravityRZ
Als je zou willen overstappen naar DSM 7 en het gaat je om een OpenVPN verbinding, functioneert het dus.
Daarbij gaat het VPN-server pakket inderdaad naar een hoger niveau, met bovendien extra beveiligingsopties erin.
De instellingen die ik daarvoor heb ingezet zal ik je hierbij met enkele schermafdrukken geven. Let daarbij op de extra info.
(In mijn geval geen compressie ingesteld, en toegang binnen het LAN naar andere apparaten).
[attach=2] [attach=3]
M.b.t. DSM 7, oriënteer je beslist ook of je andere nu gebruikte pakketten onder DSM 6.2 erna ook nog kunt inzetten.
Er zijn bijv. nogal wat restricties op gebied van domotica en third party packages,
maar ook de vervanger van Photo Station ---> Photos, daar zitten ook nogal wat manco's in.
(De reden dat ik voor een in te zetten "hoofd-NAS" juist weer van DSM 7 ben terug gegaan naar DSM 6.2)
-
Top dat het je gelukt is. 8)
En ook de manier waarop: terug naar af en beginnen bij het begin........
Het had dus uit eindelijk toch met de portforwarding te maken ;)
-
Nee, niet met de port forwarding, die stond correct, maar met de firewall regels in de router voor toegang van VPN.
(Zoals in mijn vorige reactie als zodanig beschreven).
Dat is dan ook zo verwarrend, bij het testen vanuit het eigen LAN, of zelfs vanachter een 2e router daarachter (ook weer LAN).
Daarbij werkte het eerder namelijk al wel mee.
En dat zit hem dan kennelijk in de NAT loopback functie in combinatie met het gegeven,
dat de firewall regels binnen het LAN -of het LAN van de tweede router- ik daarvoor geen restricties heb ingesteld.
(De firewall regels staan daar voor beide LAN sub-netwerken open voor alle protocollen, zowel TCP als UDP).
Benadering echt van buitenaf is vanuit WAN (met regio filtering voor alleen toegang vanuit Nederland).
De firewall regel daarvoor stond eerder alleen op TCP.
-
Als ik dit draadje goed begrijp: werken de aanpassingen van "OpenVPN #1: Beter beveiligen" (https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/) nu ook onder DSM7 met de meest recente package versie?
Zo ja, dan houd niets mij nog tegen mijn laatste thuis NAS ook te gaan upgraden naar DSM7.
Extra beveiligen is nooit verkeerd... Mits niet te veel.
Er waren nog al dingetjes loos met VPN package nieuwer dan 1.3.11-2777 onder DSM6 waardoor die aanpassingen niet meer werkten.
-
Dat onderwerp "OpenVPN #1: Beter beveiligen" (https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/) bevat zoveel reacties. Heb ik altijd min of meer gelaten voor wat het was.
Hieronder het configuratieschema voor OpenVPN zoals bij mij in DSM 7 toegepast, en nog persoonlijk op enkele punten aangepast.
Zodat je mogelijk kunt vergelijken of het aansluit bij eerdere extra aanpassingen binnen dat onderwerp "Beter beveiligen" ?
De # uitleg-regels van wat een functie inhoudt, heb ik grotendeels weggelaten.
Persoonlijke gegevens "cryptisch" tussen rechte haken [] en certicaten / key met xxx
Certicaten op basis van mijn NL domein.
dev tun
tls-client
remote [ NL domein ] 1194
float Eigen toevoeging
redirect-gateway def1
dhcp-option DNS 8.8.4.4
dhcp-option DNS 1.1.1.1
pull
proto udp
script-security 2
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-nocache Eigen toevoeging
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxx
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxx
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
xxxxxxxxxxxxxxx
-----END OpenVPN Static key V1-----
</tls-auth>
verify-x509-name '[ NL domein ]' name Nieuwe extra beveiligingsfunctie = Verifieer server CN
-
Aanvulling als vergelijk met de instellingen van de OpenVPN-server van het Synology router VPN Plus Server pakket.
Hoewel de OpenVPN configuratie van een VPN Plus Server pakket op de router die extra menu-instellingen van DSM 7 niet heeft,
is het reeds vergaand vergelijkbaar met de extra aanvullingen van de DSM 7 - VPN-server (met o.a. een extra key certificaat).
Die minieme verschillen die er in de configuratie bij de router OpenVPN set-up nog zitten in volgorde van opgenomen commando's.
Heb ik handmatig nog eens aangepast of toegevoegd aan het configuratiebestand voor OpenVPN m.b.t. de router.
(Zoals toevoeging van de laatste regel ----> verify-x509-name '[ NL domein ]' name ).
Daarmee werkt VPN Plus Server helemaal vergelijkbaar, zonder enige discrepanties met de VPN server onder DSM 7.
-
Dat onderwerp "OpenVPN #1: Beter beveiligen" (https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/) bevat zoveel reacties. Heb ik altijd min of meer gelaten voor wat het was.
Hieronder het configuratieschema voor OpenVPN zoals bij mij in DSM 7 toegepast, en nog persoonlijk op enkele punten aangepast.
Zodat je mogelijk kunt vergelijken of het aansluit bij eerdere extra aanpassingen binnen dat onderwerp "Beter beveiligen" ?
De # uitleg-regels van wat een functie inhoudt, heb ik grotendeels weggelaten.
Persoonlijke gegevens "cryptisch" tussen rechte haken [] en certicaten / key met xxx
Certicaten op basis van mijn NL domein.
dev tun
tls-client
remote [ NL domein ] 1194
float Eigen toevoeging
redirect-gateway def1
dhcp-option DNS 8.8.4.4
dhcp-option DNS 1.1.1.1
pull
proto udp
script-security 2
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-nocache Eigen toevoeging
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxx
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxx
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
xxxxxxxxxxxxxxx
-----END OpenVPN Static key V1-----
</tls-auth>
verify-x509-name '[ NL domein ]' name Nieuwe extra beveiligingsfunctie = Verifieer server CN
Ik heb min of meer dit overgenomen en alleen bij
dhcp-option DNS 8.8.4.4
dhcp-option DNS 1.1.1.1
Heb ik staan:
dhcp-option DNS 192.168.3.1
(IP adres van de router)
Verder heb ik :
remote [DDNS van de remote Synology] 58743
En in de VPN app op de remote Syno heb ik de poort aangepast naar 58743
Deze externe poort 58743 wordt in de router geforward naar interne poort 1723
En daar (ergens) ga ik denk ik de mist in want ik krijg maar geen verbinding. Wat doe ik verkeerd?
Edit: met een portchecker zie ik dat poort 58743 remote dicht staat?
-
En in de VPN app op de remote Syno heb ik de poort aangepast naar 58743
Deze externe poort 58743 wordt in de router geforward naar interne poort 1723
En waarom naar een interne poort 1723 ??
De standaard poort van OpenVPN is 1194
-
My bad, ik dacht "handig" te zijn en een andere poort te kunnen kiezen. Zo heb ik in het verleden ook een andere poort gekozen en dat werkte. Ik zal het met de standaard poort proberen.
Zie je nog andere dingen die niet in orde zijn in de setup?
-
My bad, ik dacht "handig" te zijn en een andere poort te kunnen kiezen.
Maar poort 1723 is de standaard poort voor het VPN PPTP protocol. (Overigens een verouderd, niet veilig protocol).
Lijkt me niet handig poorten te gebruiken die associaties hebben met andere VPN protocollen.
Temeer daar het ook onderdeel is van het VPN server pakket van Synology.
(Die poort is achterliggend mogelijk al gereserveerd?? Ook al heb je PPTP niet geactiveerd).
De andere aanpassing die je hebt uitgevoerd, met verwijzing naar de eigen router heb ik zelf geen ervaring mee. Ik benut het niet.
(Dat je indirect met de "eigen router" contact hebt waarachter de web-server zich bevindt geloof ik wel, anders was er geen VPN).
dhcp-option DNS 192.168.3.1 (IP adres van de router)
Ik gebruik juist openbare DNS servers voor evt. verdere connectie met internet via het VPN WAN IP adres, waar ik contact mee heb.
Benut bijv. ook wel VPN connecties naar VPN servers bij familie en kennissen.
Overigens gaat het daar doorgaans juist om data op een NAS, (of beheer andere apparaten) en niet zozeer het internet via die VPN server.
Maar voor "testen" verder naar internet toe kies ik dan mijn eigen keus DNS servers, en niet de "provider" DNS server
waarmee mogelijk de standaard router van familie of kennis op is ingespeeld. Benut dat al jaren zo. Geen problemen mee.
Mocht correctie naar een meer "werkbare" poort voor OpenVPN (of anders simpel de standaard poort), nog steeds problemen opleveren.
Heb bij een ander onderwerp wel eens een hele lijst aan suggesties benoemd waar op te letten bij VPN problemen.
< VPN Marathon test > (https://www.synology-forum.nl/synology-router/bug-in-laatste-versie-vpn-plus-1-4-2-0533/msg305776/#msg305776) en vervolgreacties.
-
Poort 1194 gebruikt en dat werkt inderdaad wel. Dank voor dit zetje in de goede richting, ik bleef maar volhouden in dat het me ooit was gelukt met een andere - niet zo voor de hand liggende - poort.