Synology-Forum.nl
Packages => Officiële Packages => VPN Server => Topic gestart door: Arjan1981 op 14 januari 2024, 14:28:52
-
Ik ben bezig met twee dezelfde nassen, de DS220+ om via open vpn verbinding te leggen.
Bij de ene nas werkt het perfect ik kom ervanaf buiten in maar bij de andere krijg ik maar geen verbinding.
Portforwarding in de modem is ingesteld en de bewuste poort is vanaf buitenaf bereikbaar.
Dit gebeurt er:
Sun Jan 14 14:21:56 2024 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set.
Sun Jan 14 14:21:56 2024 DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores --cipher for cipher negotiations.
Sun Jan 14 14:21:56 2024 OpenVPN 2.6.8 [git:v2.6.8/3b0d9489cc423da3] Windows [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] [DCO] built on Nov 17 2023
Sun Jan 14 14:21:56 2024 Windows version 10.0 (Windows 10 or greater), amd64 executable
Sun Jan 14 14:21:56 2024 library versions: OpenSSL 3.1.4 24 Oct 2023, LZO 2.10
Sun Jan 14 14:21:56 2024 DCO version: 1.0.0
Sun Jan 14 14:21:57 2024 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Jan 14 14:21:57 2024 TCP/UDP: Preserving recently used remote address: [AF_INET]-------:8543
Sun Jan 14 14:21:57 2024 UDPv4 link local: (not bound)
Sun Jan 14 14:21:57 2024 UDPv4 link remote: [AF_INET]-------:8543
Sun Jan 14 14:22:57 2024 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Jan 14 14:22:57 2024 TLS Error: TLS handshake failed
Sun Jan 14 14:22:57 2024 SIGUSR1[soft,tls-error] received, process restarting
Sun Jan 14 14:22:58 2024 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Jan 14 14:22:58 2024 TCP/UDP: Preserving recently used remote address: [AF_INET]------:8543
Sun Jan 14 14:22:58 2024 UDPv4 link local: (not bound)
Sun Jan 14 14:22:58 2024 UDPv4 link remote: [AF_INET]--------:8543
Sun Jan 14 14:23:58 2024 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Jan 14 14:23:58 2024 TLS Error: TLS handshake failed
Sun Jan 14 14:23:58 2024 SIGUSR1[soft,tls-error] received, process restarting
Sun Jan 14 14:23:59 2024 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Jan 14 14:23:59 2024 TCP/UDP: Preserving recently used remote address: [AF_INET]------:8543
Sun Jan 14 14:23:59 2024 UDPv4 link local: (not bound)
Sun Jan 14 14:23:59 2024 UDPv4 link remote: [AF_INET]-------:8543
-
Buiten het feit dat er wat fout gaat, staan die 2 NASsen op 1 locatie ?
Zo ja, dan is een verbinding met 1 NAS voldoende om ook bij je 2e NAS te kunnen komen.
-
Ik neem aan twee NAS'sen in hetzelfde netwerk? Vandaar gebruik van een alternatieve poort.
Dit stuk van je log:
Sun Jan 14 14:21:56 2024 WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption.
Sent packets are not compressed unless "allow-compression yes" is also set.
Sun Jan 14 14:21:56 2024 DEPRECATED OPTION: --cipher set to 'AES-256-CBC'
but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305).
OpenVPN ignores --cipher for cipher negotiations.
Wat er mis gaat zijn kennelijk verschillende instellingen Client versus Server aangaande "wel compressie" / "geen compressie".
En instellingen m.b.t. de gebruikte versleutelingsmethode / code komen niet overeen.
Ofwel instellingen die je hebt ingesteld in de OpenVPN configuratie, en wat er daadwerkelijk aan de serverkant is ingesteld.
Ik vermoed dat -om het gemakkelijk te maken- je van één NAS het OpenVPN configuratiebestand hebt aangepast,
met gebruik van een ander poortnummer, en dat op die wijze denkt dat te laten samenwerken met de andere NAS?
Maar niet daadwerkelijk het voor de NAS geldende OpenVPN configuratiebestand -met afwijkende instellingen-
hebt geëxporteerd om dat in te zetten?
Verder is zoals @Birdy aangeeft het met één VPN verbinding mogelijk om ook de andere NAS te bereiken, (en andere apparaten in je netwerk). Maar als "reserve" kun je het natuurlijk altijd instellen. (Heb zelf een stuk of 4 VPN methoden actief).
-
De nassen staan op twee locaties.
Ik heb bij allebei de nassen apart het configuratie bestand eruit gehaald.
Bij de ene nas werkt die bij importeren in open VPN goed maar van de andere nas wil het maar niet werken.
ik heb bij beide alleen het server adres in het configuratie bestand aangepast.
Wat ook raar is dat als ik bepaalde poorten in de zyxel router open wil zetten deze niet open gaan.
Poort 8543 is te benaderen dit heb ik getest.
-
Nou ja, twee locaties, maakt op zichzelf niet uit.
Waar het om gaat, foutmeldingen m.b.t. verschillen in compressie en gebruikte versleutelingsmethode / code komen niet uit de lucht vallen.
Dus controleer simpelweg de instellingen wat in de VPN-server is ingesteld, en wat in het configuratiebestand is vastgelegd.
Dat moet met elkaar overeenkomen.
Wat ik verder nog zie, is dat je zowel UDP als TCP in de log is opgenomen. Beperk de port forwarding (en instellingen in de configuratie),
tot slechts één protocol (standaard wordt voor OpenVPN UDP gebruikt).
Of zomaar elke willekeurige poort is in te zetten voor OpenVPN is ook maar de vraag?
Dat zou je bij de website van OpenVPN kunnen nalopen. (Misschien dat een aantal IP bereiken niet kunnen??)
Of zet de instellingen als test eens gewoon terug op poort 1194, zowel VPN server als in het configuratiebestand van de VPN Client.
(Ook de poort die wordt doorgestuurd). En kijk of je dan wel een verbinding kunt opbouwen
LAN IP netwerk:
Wat voor IP netwerk gebruik je op de plek waar de NAS staat waar je nu problemen mee hebt.
En welk IP netwerk, vanaf de locatie waar je nu probeert een connectie te leggen, met de NAS?
Die mogen niet hetzelfde zijn.
-
Die gegevens komen toch uit het configuratie bestand van VPN server?
Hier heb ik bij de verbinding op de NAS waarbij het werkt ook niets in veranderd.
Lokaal staat die ip op 192.168.1.1
Subnet MASK op 255.255.255.0
op 1194 ben ik begonnen maar dat wil ook niet werken.
Bij port forwarding check via internet zegt die dat deze port dicht is.
Dit zegt die echter ook bij de verbinding waarbij het wel werkt.
-
Heb de poort weer op 1194.
Nu lijkt het weer te werken.
Wel raar eerst wilde het met deze config ook niet werken.
-
Bij port forwarding check via internet zegt die dat deze port dicht is.
Dit zegt die echter ook bij de verbinding waarbij het wel werkt.
Bijna alle port check controle websites, controleren alleen op verbindingen via het TCP protocol, NIET UDP.
Dus het heeft niet zoveel zin om dat soort websites te gebruiken, bij VPN verbindingen die UDP gebruiken.
Gewoon ouderwets controleren via een externe verbinding (bijv. je smartphone met data ingeschakeld, WiFi uitgeschakeld).
Lokaal (waar de NAS staat) een netwerk in een IP bereik 192.168.1.xx
Dat gaat gemakkelijk voor problemen zorgen, omdat die IP-reeks erg veel "standaard" in routers wordt gebruikt.
Als je dan op een locatie zit van waaruit je een verbinding wilt opzetten, en ook daar een WiFi netwerk in hetzelfde IP netwerk wordt gebruikt.
In het waarom, < zie een ander onderwerp > (https://www.synology-forum.nl/mac-os-x/netwerkschijf-niet-te-benaderen-via-vpn/msg326779/#msg326779) met dezelfde strekking in advies wat toevallig nu ook aan de orde is.