Synology-Forum.nl
Packages => Officiële Packages => VPN Server => Topic gestart door: JSD1985 op 31 augustus 2014, 10:01:00
-
Goedendag,
Ik heb zojuist VPN Server geïnstalleerd op mijn Synology. Netjes port 1723 opengezet en ik kan een VPN verbinding opzetten vanaf mijn iPhone/iPad en Windows 8.1 PC.
Nu vroeg ik mij af wanneer het verkeer naar de NAS nou via VPN loopt.
Ik heb in Windows Verkenner wat netwerkverbindingen gemaakt naar mappen op mijn NAS. In Windows zijn deze als netwerkschijf gekoppeld bijvoorbeeld home (\\10.10.10.10) (D:)
Voorheen kon ik hier gewoon direct een verbinding naartoe maken. Gaat deze verbinding nu automatisch via VPN nu een VPN netwerkconnectie met mijn Synology heb opgezet in Windows?
Of moet ik hier nog extra handelingen voor doen? Als ik de VPN verbinding uitzet kan ik deze netwerkverbindingen ook gewoon nog benaderen namelijk.
Hetzelfde geld voor mijn iPhone/iPad. Ook hier kan ik een VPN verbinding opzetten met mijn NAS, maar de apps zoals DS Audio en DS Video kan ik gewoon gebruiken ongeacht of de VPN verbinding aan- of uit staat.
Is er een manier om te forceren dat de communicatie altijd via VPN moet verlopen? Kan ik ergens zien wanneer de data over een VPN verbinding gaat?
-
Binnen je vpn verbinding krijg je een apart ip adres. Die moet je gebruiken om te verbinden over de vpn verbinding.
-
Bij VPN Server staat bij dynamisch adres 10.0.0.0
Moet ik dan naar dat adres verbinden? Het lijkt wel te werken als ik een netwerkverbinding opzet daar naartoe.
Vul ik dat adres dan ook in bij DS Audio?
-
Als je vanaf een externe locatie een VPN verbinding opzet naar je Synology thuis maak je feitelijk een eigen "prive tunnel" naar thuis en bent dan feitelijk onderdeel van je eigen thuis netwerk.
Je kunt vanaf dat moment dan ook doen alsof je thuis bent. Dat betekend dan ook dat je jezelfde ip-adressen kunt gebruiken als die je thuis gebruikt.
-
Dat zou ik ook verwachten echter, heb, hier en daar gelezen op dit Forum, dat dit niet het geval zou zijn.
Aan de andere kant is dit wel het geval als ik thuis werk, dan krijg ik gewoon een IP adres toegewezen binnen het subnet van kantoor en kan op alle locaties komen die we hebben in de gehele wereld alsof ik gewoon op kantoor ben en dat is de bedoeling ook natuurlijk.
-
Dat zou ik ook verwachten echter, heb, hier en daar gelezen op dit Forum, dat dit niet het geval zou zijn.
Zo zou het wel moeten zijn. Je krijgt problemen als de ip-range op kantoor dezelfde is dan de ip-range die je thuis gebruikt. Dan kun je dubbele adressen en routering problemen krijgen.
-
Bij VPN Server staat bij dynamisch adres 10.0.0.0
Moet ik dan naar dat adres verbinden? Het lijkt wel te werken als ik een netwerkverbinding opzet daar naartoe.
Vul ik dat adres dan ook in bij DS Audio?
Dat adres vul je, volgens mij dan, niet in bij DS Audio.
In DS Audio vul je het externe ip adres van jouw aansluiting in, of een domeinnaam als je die hebt.
Je zet in de iPhone eerst de VPN verbinding op en dan start je DS Audio.
Een VPN verbinding forceren, kan dat wel op een iPhone? Ik weet het niet, denk van niet.
-
Je start je vpn verbinden op en daarna kun je inloggen met 192.168.1.x met ds audio/video enz.
-
Mits dat 192.168.1.x adres de NAS is binnen VPN toch?
Mijn VPN server ligt namelijk in een andere range.
Met een laptop heb ik een drive mapping naar een schijf via VPN, geen VPN opgezet geen drive mapping.
-
Nee niet dat ik weet.
Maar misschien begrijp ik je verkeerd.
-
Als je via vpn inlogt krijg je een ip uit de 10 range. Toch is het dan mogelijk om via je 'normale' ip range dus 192.168.x.x je Synology en bijhorende apps te benaderen. Zo doe ik het al een geruime tijd en dat werkt perfect.
Meer zelfs alle poorten buiten vpn en cloudstation zijn geblokkeerd bij mij :-)
-
Maar van buiten je eigen netwerk via VPN naar je gewone interne ip adres van NAS?
Ga ik eens even testen, kijken of mij dat lukt.
-
Ben benieuwd @Robert
Mijn nas staat in de 192.168.2.x range.
Niet dat dat wat uitmaakt, maar meld het maar even.
-
Wifi uit, 3G aan.
VPN verbinding aangezet.
DS Video gestart, standaard log ik in via domeinnaam, werkt gewoon.
uitloggen in DS Video en inloggen naar mijn interne ip adres van de NAS 192.168.1.2 en verdraaid het werkt gewoon!
Die zag ik niet aankomen....
Uitloggen en inloggen op 192.168.101.0 (NAS in VPN omgeving) en die werkt ook, wat ik zou verwachten.
-
Weet niet of het nog uitmaakt welk vpn protocol je gebruikt.
Ik gebruik het lp2t of hoe heet het ook al weer
-
Heb net even VPN Server geïnstalleerd.
- PPTP opgezet met IP 10.0.0.0.
- Poort in Router forwarded.
- M'n Android telefoon een PPTP VPN opgezet.
- WiFi op Android uitgezet, zit op 4G.
- VPN verbinding gemaakt.
- Browser: <Interne IP van NAS>:5000
En ik krijg verbinding met m'n NAS.
- X-Plore gestart op telefoon.
- Server toegevoegd: <Intern IP van PC>
- Klik op Server PC
- Inloggen
- En zie wat ik mag zien op m'n PC.
- Zelfde gedaan in X-Plore voor m'n NAS
- Ik kan browsen op m'n NAS
Dus, geen enkel probleem met Dynamisch IP-adres in VPN-Server: 10.0.0.0...... en interne LAN adressen, werkt als een speer. ;D
-
Ik gebruik het lp2t of hoe heet het ook al weer
L2TP en PPTP kan ik gebruiken.
Test ging via L2TP.
-
Voor de snelle test alleen PPTP gebruikt, maar goed, ik lees dat L2TP ook gewoon werkt ;)
-
Overigens, je kunt als "Dynamisch IP-adres" ook een interne range opgeven als je dat makkelijker vindt echter, je moet er dan wel voor zorgen dat je boven de vaste en DHCP range blijft, b.v.:
192.168.1.2 beginnen je vaste IP's
192.168.1.50 - 192.168.1.100 DHCP
Dus voor VPN "Dynamisch IP-adres" starten met 192.168.1.101.
Getest en werkt. ;)
M.a.w. je kunt eigenlijk gewoon opgeven wat je wilt in "Dynamisch IP-adres" zolang je maar geen conflict krijgt met je LAN adressen. ;D
-
Maar van buiten je eigen netwerk via VPN naar je gewone interne ip adres van NAS?
Ga ik eens even testen, kijken of mij dat lukt.
Yup, dat is correct!
-
Voor de snelle test alleen PPTP gebruikt, maar goed, ik lees dat L2TP ook gewoon werkt ;)
Ik gebruik bijna altijd OpenVPN en dat werkt perfect. Ook op iOS en zelfs als het toestel uit 'sluimerstand' komt gebeurt er automatisch een reconnect van OpenVPN.
Via OpenVPN en VNC neem ik mijn Macs en RaspberryPi op afstand over zonder de toestellen direct via poort 5900 (welke overigens gesloten is op de router!) aan het internet bloot te stellen :-)
-
OpenVPN ook eens een keertje geprobeerd op Android, wel een tijdje geleden, maar dat kreeg ik niet voor elkaar :lol:
Herinner me wel dat het een gedoe was met certificaten e.d. maar goed, misschien dat ik dit weer eens ga oppakken en serieus ga gebruiken ook. 8)
-
Werkt heel simpel Birdy! Exporteer uw certificaat uit vpn server. Pas het .ovpn aan door uw servernaam in te vullen en verwijder de # bij "redirect gateway" zodat al uw verkeer via die vervinding gaat. Open vervolgens de poort 1104 udp in de firewall en forward ze ook in je router. Upload je bestanden nr je synology of copy/paste ze op een sd card. Via ds file importeer je het certificaat vd openvpn app en klaar is kees :-)
-
Nou....dat ga ik natuurlijk even testen. Thanks!
-
Graag gedaan... voor een keertje dat ik jou eens kan helpen ;-)
-
…Exporteer uw certificaat uit vpn server. Pas het .ovpn aan door uw servernaam in te vullen en verwijder de # bij "redirect gateway" zodat al uw verkeer via die vervinding gaat. …
Ik wilde het ook eens proberen. Je moet inderdaad op de nas beginnen met OpenVPN aan te zetten en de exporteren button aanklikken. Daarin zit een readme file met uitleg en downloadlocatie van een OpenVPN client voor windows, Mac en Linux.
Voor mac laten ze je Tunnelblick downloaden. Ook dat programma geeft aanwijzingen als je het niet goed doet.
Het enige probleem is het aanpassen van de configuratiefile. Omdat hij van de nas gedownload is, ziet hij dat als een onveilige internetdownload en weigert hij hem te openen. Je kunt dan, òf de firewall settings even lager zetten, òf hem even via een ctrl-click openen, waarna je de beheerders credentials van je mac even moet intikken.
De handleiding schrijft dat je het IP van deserver moet intikken. Een url wordt niet genoemd. (Kan dat ook?)
Je vermeld dat je de # bij "redirect gateway" moet verwijderen. Maar dat is natuurlijk optioneel. Als je het laat staan is de verbinding veel sneller omdat dan alleen het verkeer naar je eigen netwerk via de VPN loopt.
In elk geval heb ik het nu werkend en type ik dit nu via de vpn. En het werkt zelfs over de Ziggo WifiSpots waarmee ik nu verbonden ben. :D
PPTP heeft nooit via de WifiSpots gewerkt en L2TP heeft in het begin van de WifiSpots wel gewekt, maar nu ook niet meer. (Ik denk dat Ziggo dat nu blokkeert).
-
Nog één vraagje (verder werkt het super!)
Als ik connectie heb opgezet via VPN, gaat al het verkeer dan via de VPN poort? Kan ik dus met andere woorden alle andere poorten m.u.v. de VPN poort dicht zetten?
-
Open VPN is het veiligste en ook snelste VPN protocol.
Zie onderstaande link.
http://nl.giganews.com/vyprvpn/compare-vpn-protocols.html
Wat betreft dat # wel of niet weghalen het volgende.
Je hebt dan wel of niet een split tunnel.
Voordeel van een split tunnel is dat je overige verkeer (zoals internet browsen) niet over de VPN gaat en dus sneller is.
Nadeel is dat je via die split tunnel je internet weer aan je lokale netwerk koppelt en dus onveiliger wordt.
-
Nog één vraagje (verder werkt het super!)
Als ik connectie heb opgezet via VPN, gaat al het verkeer dan via de VPN poort? Kan ik dus met andere woorden alle andere poorten m.u.v. de VPN poort dicht zetten?
Dat is juist. Daarom is VPN zo veilig
-
Voor mac laten ze je Tunnelblick downloaden. Ook dat programma geeft aanwijzingen als je het niet goed doet.
Ik gebruik Viscosity op de Mac. Er is ook een Windows versie. Onder Linux gebruik de cli versie van OpenVPN.
https://www.sparklabs.com/viscosity (https://www.sparklabs.com/viscosity)
Het enige probleem is het aanpassen van de configuratiefile. Omdat hij van de nas gedownload is, ziet hij dat als een onveilige internetdownload en weigert hij hem te openen. Je kunt dan, òf de firewall settings even lager zetten, òf hem even via een ctrl-click openen, waarna je de beheerders credentials van je mac even moet intikken.
Heb ik geen melding van/over gekregen :-)
De handleiding schrijft dat je het IP van de server moet intikken. Een url wordt niet genoemd. (Kan dat ook?)
Yup, ik gebruik hiervoor mijn Synology ddns adres.
Je vermeld dat je de # bij "redirect gateway" moet verwijderen. Maar dat is natuurlijk optioneel. Als je het laat staan is de verbinding veel sneller omdat dan alleen het verkeer naar je eigen netwerk via de VPN
Zie antwoord van Ben hierboven maar mijn ervaring is dat zonder het perfect werkt en AL je verkeer over die verbinding gaat. Op die manier kijk ik via 3G met de app van mijn isp naar tv. Daar waar mijn isp verlangt om enkel via hun eigen netwerk tv te kijken.
-
Nog één vraagje (verder werkt het super!)
Als ik connectie heb opgezet via VPN, gaat al het verkeer dan via de VPN poort? Kan ik dus met andere woorden alle andere poorten m.u.v. de VPN poort dicht zetten?
Welk protocol gebruik je? Let zeker op mijn vorige post en indien gebruik maakt van die optie (#) dan zou ik er - net zoals bij mij - ervoor kiezen om enkel de poorten voor vpn open te zetten.
-
Ik maak gebruik van PPTP
-
Daar kan je in de voorkeuren van de verbinding aangeven om alle verkeer over de vpn te sturen.
-
Via 3/4 g werkt het wel.
Ben ik bij een ander en dan via de wifi lukt het niet ..... ?
Wat zie ik over het hoofd?
-
Ik gebruik Viscosity op de Mac.
Ik denk dat het weinig uitmaakt of je Viscosity of TunnelBlick gebruikt. De interface zal verschillend zijn, maar onder de motorkap gebruiken ze dezelfde OpenVPN code.
-
Via 3/4 g werkt het wel.
Ben ik bij een ander en dan via de wifi lukt het niet ..... ?
Wat zie ik over het hoofd?
Het kan zijn dat VPN verkeer geblokkeerd wordt op een Wifi netwerk. Dat heb je veel bij wifi hotspots en dergelijke meer. Je kunt proberen via een ander VPN protocol dan OpenVPN om verbinding te maken.
De ultieme oplossing is OpenVPN op je Synology laten draaien over poort 443 TCP (https) in plaats van 1194 UDP want die wordt eigenlijk zo goed als nergens geblokkeerd. In mijn geval is dat geen oplossing want de ISP's in BE blokkeren alle poorten onder de 1024 :-(
Meer info om deze aanpassingen te maken: http://www.hugonline.nl/ict/vpn-standaard-https-poort-met-synology-nas/
-
Ik denk dat het weinig uitmaakt of je Viscosity of TunnelBlick gebruikt. De interface zal verschillend zijn, maar onder de motorkap gebruiken ze dezelfde OpenVPN code.
Jazeker hoor Briolet maar ik wou het maar meegeven ter info. Ik vind Viscosity veel prettiger werken dan TunnelBlick maar dat is persoonlijk hé. :-)
-
Wat betreft dat # wel of niet weghalen het volgende.
Je hebt dan wel of niet een split tunnel.…
Ik zie dat het bij Tunnelbrlck niet echt uitmaakt of je de # voor 'redirect-gateway' weghaalt. Na importeren van de setting file in Tunnelblick, kun je de instelling nog via het voorkeur menu van Tunnelblick aanpassen. :P
-
Graag gedaan... voor een keertje dat ik jou eens kan helpen ;-)
Nou....het werkt als een speer hoor, maar zie dat deze Topic aardig is uitgegroeid, ff doorlezen :lol:
-
Misschien een idee als iemand hier een duidelijke verhaal van kan maken.
Een kort verslag met wat afbeeldingen?
Mocht iemand zich geroepen voelen, dan zie ik het graag tegemoet.
-
Nog één vraagje (verder werkt het super!)
Als ik connectie heb opgezet via VPN, gaat al het verkeer dan via de VPN poort? Kan ik dus met andere woorden alle andere poorten m.u.v. de VPN poort dicht zetten?
Dat is juist. Daarom is VPN zo veilig
Geld dat ook voor poort 5000/5001 die voor Web Station gebruikt worden?
Als ik m'n VPN verbinding aanzet en ik ga na naar 10.0.0.0 dan zie ik dat dit nog steeds via poort 5000 gaat. Dat staat achter de URL. Als ik poort 5000 dicht zet, kan ik dan nog steeds webstation benaderen?
-
Ja die port forwarding kan je met een gerust hart uitzetten. Via VPN zit je immers effectief op je eigen netwerk, zolang je intern 5000/5001 niet dicht heb gezet kan je er gewoon bij. Werkt bij mij uitstekend.