Synology-Forum.nl
Packages => Officiële Packages => VPN Server => Topic gestart door: HenkGroen op 07 februari 2021, 13:52:59
-
Omdat er met de sneeuw buiten voor mijn weinig te doen viel, heb ik me maar eens verdiept in de VPN omgeving. Temeer omdat QuickConnect niet altijd lekker werkt, had ik diversen poorten opengezet op mijn router. Maar vanuit de veiligheid toch maar eens verdiept in VPN
(Je zou verwachten dat als je QC gebruikt, je niets qua poorten etc. hoeft open te zetten. Maar, omdat ik alleen toegang vanuit NL openzet, dan QC dus niet altijd lekker werken. Volgens mij heeft Synology QC vanuit verschillende landen.)
VPN vragen:
Op zich heb ik alles ingesteld en kan ik connecten via de 4G, maar heb ik toch de volgende vragen:
(kunnen jullie per punt reageren a.u.b.)
1)
Er wordt verwezen voor OpenVPN naar de client die je moet downloaden.
Alleen lees ik OpenVPN-client en andere verwijzen weer naar OpenVPN Connect ?
Wat is het verschil/beter/handiger ?
2)
Wat moet ik nu instellen op de laptops van de kids in de Synology Drive-Client ?. (geldt automatisch voor DS-Audio en DS-File)
Nu staat er nog mijn QC-naam of xxx.Synology.me
Want, soms zijn de laptops binnen, maar soms ook buiten aan het werk.
Mijn interne IP-Adres plaatsen van mijn eigen LAN 192.168.x.x is geen optie, want hoe werkt het dan als ze extern zijn ?.
Ik kan ze dan moeilijk vragen om even de VPN te starten, want dat gaan ze vergeten….
Ik zie ook in sommige filmpjes dat je VPN niet kunt gebruiken vanuit je eigen huis naar communicatie in je eigen huis. (of is dit onzin)
3)
En hoe ga ik daarnaast connecten naar mijn 2e Synology nas die extern staat voor backups
Nu doe ik dat via DDNS van Synology. Kan dat ook via de VPN, of moet ik dan ook op de externe NAS een VPN opzetten. ?
Als het antwoord Ja is, hoe connecten deze 2 dan onderling qua VPN met elkaar ?
(eigenlijk een beetje dezelfde vraag als puntje 2)
4)
Ik zie ook in de uitleg van filmpjes dat sommige in de OpenVPN file 2 parameters extra aanpassen
Is dit nodig ?
Parameter : DHCP option DNS (laten ze verwijzen naar Google)
Parameter : Regenerate van 0 naar 3600
5)
Sommige zeggen voor OpenVPN dat je poort 1194 moet openzetten o.b.v. TCP, maar andere weer over UDP. Waarom praten sommige over TCP ?
6)
En voor gebruikers die ik een link gestuurd hebt (voor bv. downloaden van een file). Die hebben toch niets nodig, en kunnen gewoon de file downloaden zonder dat ze iets nodig hebben qua VPN
Alvast bedankt voor jullie reactie ‘s.
Ik hoop dat ik op deze manier nog maar 1 poort in mijn router hoeft open te zetten. (en 1 poort in de DSM firewall m.b.t. NL)
-
Punt 2
Ik zie ook in sommige filmpjes dat je VPN niet kunt gebruiken vanuit je eigen huis naar communicatie in je eigen huis. (of is dit onzin)
Kan wel, dus is het onzin. Maar volgens mij ondersteunen de meeste routers geen nat-loopback voor VPN waardoor het mis gaat vanuit huis. Vandaar dat sommigen onterecht beweren dat het niet kan.
VPN thuis werkt wel als je de nas rechtstreeks benaderd via het interne IP. Ik gebruik b.v. een eigen DNS server. Als ik extern verbind met "mijndomein.nl" verbind ik via het wan-ip van de router Als ik intern verbind met "mijndomein.nl", dan verbind ik rechtstreeks met de nas.
Onder die condities werkt VPN ook intern. Je kunt dan met één setting werken op je telefoon/laptop en altijd VPN aan laten. Thuis VPN gebruiken is natuurlijk onzinnig maar als je met vaste settings voor thuis/buiten wilt werken, gebeurd dat soms.
Punt 6
Ligt aan de link. Voor een QuickConnect link is verder niets nodig. Anders heb je forwarding nodig. (Voor een link via VPN zul je waarschijnlijk handmatig de IP adressen moeten aanpassen. Of een eigen DNS server gebruiken die de domeinnamen omzet in locale IP adressen.
-
Dus, m.b.t. Puntje 2 begrijp ik dus dat ik voor de laptops die ook buitenshuis werken altijd VPN moet gebruiken voor zowel intern als extern, en dan gewoon naar mijn interne LAN IP-Adres 192.168.x.x moet verwijzen binnen de Drive-client op de laptop.
Ik wacht nog even de evt. andere reactie 's af, op mijn andere punten.
En als ik dan al mijn punten verzamelt hebt, ga ik er maar eens aan beginnen en testen.
-
Punt 1
Voor zover ik het begrijp:
OpenVPN-client: Is de algemene en meest gebruikte GUI Client voor "gewone gebruikers".
OpenVPN Connect: Wordt aanbevolen indien gebruik wordt gemaakt van OpenVPN Access Server.
Dus het advies is: OpenVPN-client (https://openvpn.net/community-downloads/).
Punt 3
Aangezien je een VPN verbinding maakt met thuis, moet alles werken zoals het thuis werkt zonder VPN.
Dus gewoon DDNS gebruiken voor de 2e (externe) NAS, ook een kwestie van even testen.
Punt 4
Ik ben niet zo'n VPN parameter kenner, maar het enige wat ik ooit heb aangepast (behalve dan remote), is het weghalen van het hekje (#) op de regel "redirect-gateway def1" zodat je je eigen Gateway gebruikt alsof je thuis bent.
Punt 5
Why does OpenVPN use UDP and TCP? (https://openvpn.net/faq/why-does-openvpn-use-udp-and-tcp/)
-
Qua punt 4
- Of het aanpassen werkt ligt ook aan de gebruikte VPN cliënt. b.v. doet TunnelBlick niets met de "redirect-gateway" optie. Die overruled dit met de settings die je via zijn eigen GUI instelt.
-
Ok, dan heb ik het over Windows en Linux Clients. ;)
-
Sorry, vergeten te melden dat ik Windows gebruik.
Probeerde op mijn 2e NAS die extern staat ook de OpenVPN aan te zetten, maar daar krijg ik direct een foutmelding
Heb al de NAS herstart etc., maar geen effect. Alles staat bij mij gewoon onder het standaard Synology.com certificaat.
Kan dus ook niet iets exporteren, want zover kom ik al niet
Iemand een idee waar dat aan zou kunnen liggen ?
Het leek me wel handig om de 2e NAS ook te voorzien van OpenVPN, zodat ook daar wat poorten dan dicht zouden kunnen.
-
Dat is zeer merkwaardig, omdat de VPN Server zelf een Certificaat behoort te maken en deze in de .ovpn file zet, die je exporteert.
Ik heb op dit moment geen idee waarom je die melding krijgt.
-
Het was al zo lang geleden het opzetten van OpenVPN in de VPNServer, dat ik het even heb getest.
Dus EDIT: OpenVPN maakt niet zelf een Certificaat, maar kijkt of er een Certificaat is.
In mijn test, heb ik alleen het standaard Synology Certificaat en VPN Server werd daar netjes aan toegevoegd:
[attachimg=1]
[attachimg=2]
-
@Birdy
Hij voegt hem netjes toe, zoals verwacht.
Zie bijlage.
Echter, geen effect. Je mag nog steeds het vinkje niet aanzetten.
Zelfs als je de VPN Server verwijderd, incl de vraag om de database ook te verwijderen, lijkt het dus alsof hij ergens iets niet verwijderd. Want vanaf een kale NAS zal het standaard wel werken.
-
Reboot de NAS eens.
-
Nogmaals gedaan, maar helaas.
Voordat ik het vinkje aan wilde zetten, nogmaals het certificaat gecontroleerd. En daar staat hij gewoon nog bij.
Echter, geen effect.
Bij poging om het vinkje te plaatsen steeds dezelfde foutmelding.
Zie op google ook niet echt een oplossing. Vaag iets
-
Je kunt natuurlijk ook een DDNS maken, hierop volgt de vraag of je een Certificaat wilt maken, dat gaat dan auto.
Maar, het zou moeten werken met het Synology Certificaat, dus een Ticket inleggen is ook een optie.
-
hierop volgt de vraag of je een Certificaat wilt maken, dat gaat dan auto.
Maar dat wordt dan een Let's Encrypt certificaat. En die wil je niet hebben voor VPN omdat die zich elke 2 maand vernieuwd en je dan ook elke 2 maand je settings moet exporteren omdat VPN na elke wissel stopt met werken.
Je kunt nog wel handmatig een self-signed certificaat bij maken. Misschien dat dat iets helpt. Of probeer bij de certificaat toewijzing te kijken of OpenVPN aan het bestaande certificaat gekoppeld is.
-
Of probeer bij de certificaat toewijzing te kijken of OpenVPN aan het bestaande certificaat gekoppeld is.
OpenVPN is toegevoegd aan het standaard Synology Certificaat, dat is juist het vreemde.
Zou een Ticket inleggen.
-
Ticket is gisteravond aangemaakt, en vanmorgen kreeg ik een melding dat ze er naar gaan kijken.
Even afwachten dus.
Maar toch. Laten we voorop stellen dat OpenVPN het beste is...
(ik heb er gisteravond en vanochtend nog even over nagedacht, n.a.v.. mijn eerdere 8 punten)
Als ze het voor elkaar gaan krijgen, dan ga ik de OpenVPN (denk ik) alleen gebruiken voor de beheerstaken / admins
Voordeel is dan dat ik van buitenaf ook bij mijn router etc. kan
Ik heb namelijk gebruikers (eigen kids :)) en 2 familieleden die voornamelijk verbinding maken voor backups van Drive-Client vanaf een Windows laptop. Familieleden als externe laptops.
Als ik ze via VPN zou laten lopen, dan kunnen de familieleden ook bij mijn interne LAN.
(omdat ik de optie voor LAN toegang openzet bij de OpenVPN)
Dat lijkt me dan weer een gevaar. (ze zouden 'ongewild' bij mijn interne LAN kunnen komen)
Dus, ik denk dat ik dan toch maar de 3 poorten open laat die ik gebruik
Poort 6690 voor DriveServer
Poort 6281 voor Hyperbackup (voor backups naar mijn 2e NAS)
Poort 5001 (bij mij anders) (voor o.a. de APPS : DS-Audio en DS-File)
OpenVPN heeft als ‘nadeel’ ook ik dezelfde IP-Reeks gebruik (192.168.8.xxx) als op mijn 2e locatie.
Als ik vervolgens dus connect naar een .111, dan krijg ik niet de externe router, maar mijn eigen router die ook op .111 zit
Ik gebruik verder geen webservers / mailservers op mijn NAS, dus ben ik minder vatbaar (hoop en vermoed ik)
Ik heb al eens een test gedaan via tools als : nmap & hackertarget.com en die melden geen vulnabilities.)
(oke, ze melden wel dat poorten 8022 (i.p.v.. 22) en 873 open staan)
De NAS wordt dus meer gebruikt voor de standaard dingen, en geen mailservers / webservers etc.
Dus, ik snap dat de Pro users onder ons daar anders over denken, maar ik hoop dat ik het een beetje juist verwoordt.
(Allemaal positief, en lof over jullie.)
Ik ben dan (als Synology Support) alvast qua admintaken wel over op de VPN verbinding, omdat ik de enige ben die dat doet. Dus toch al wel weer een stukje veiliger lijkt me. En mijn wachtwoorden zijn erg conplex met 2FA dus dat is in ieder geval goed, incl. toegang alleen vanuit NL
Uiteraard laat ik het weten als het Synology Support een oplossing heeft.
-
OpenVPN heeft als ‘nadeel’ ook ik dezelfde IP-Reeks gebruik (192.168.8.xxx) als op mijn 2e locatie.
Dat is niet een nadeel van OpenVPN. Dat geldt voor elke VPN methode.
Geen "zelfde" IP sub-net reeksen gebruiken.
Op andere plekken kun je vaak niets eens iets aan het sub-net doen (omdat je er geen admin toegang toe hebt).
Gebruik dus zelf een sub-net thuis wat beslist anders is, in een andere reeks, dan wat "voor de hand ligt"
met vaak standaard gebruikte sub-net reeksen. Zodat de kans op mogelijke conflicten bijna nihil zal zijn.
-
Maar toch. Laten we voorop stellen dat OpenVPN het beste is...
Het is wel het beste, maar L2TP is ook goed en heeft het voordeel dat veel OS-en dit standaard kennen. Niet iedereen wil van alle op de telefoon/PC installeren.
-
Maar toch. Laten we voorop stellen dat OpenVPN het beste is...
Die claim zou ik niet willen maken. Er zijn tegenwoordig meer VPN protocollen die beslist sneller en efficiënter werken dan OpenVPN,
met toch een uitermate hoge mate van veiligheid. Echter dat soort VPN protocollen wordt (nog) niet ondersteunt door Synology.
-
Even een tussentijdse update:
I have escalated your message to our developers for further analysis.
If any update, I will inform you as soon as possible.
Thank you for your patience.
Our office will be closed from 2/10 - 2/16, 2021 due to the National Holidays.
De oplossing is dus (gelukkig) niet zo simpel, als het wordt doorgestuurd naar de ontwikkelaars.
Ze nemen er zelfs een paar dagen vakantie voor om er goed over na te denken. :lol:
-
:lol: :thumbup:
Ben wel benieuwd wat ze gaan vinden.
-
Nou, Het is een bekend probleem bij ze.
wachten op de volgende update.....
Thank you for your patience.
After confirmed by developers, this is a known issue that we are currently working on.
We will soon roll out updates/patches addressing this particular issue.
We apologize for any inconvenience caused.
-
Nou, Het is een bekend probleem bij ze.
wachten op de volgende update.....
Of de volgende, of de volgende, of ... etcetera ...
Het feit dat een probleem bekend is, betekent nog niet dat het met de (eerst)volgende update opgelost is.
Of zelfs dat het ooit opgelost wordt.
Het hangt er maar net vanaf waar men de prioriteit legt:
bij het implementeren van fancy ogende nieuwe features, waarmee men goede sier denkt te kunnen maken
of bij het oplossen van bestaande problemen, een doorgaans ondankbare taak ...