VPN-verbinding met RT1900ac als VPN-server

[Pippin]

Bij de  RT1900ac  is me dat echter niet gelukt. Mogelijk omdat de firmware hierbij intern in flashgeheugen zit ??

Dat meen ik al min of meer uit een eerdere reactie op te maken en als dat echt zo is dan zou voor mij de router afvallen en ga ik maar eens kijken voor een zelfbouw router.
Was je dan wel als root met wachtwoord van admin ingelogd?

Mijn lieve hemel wat een gedoe om op die wijze certificaten aan te maken?

Als je dat op de command line moet doen wordt het nog "erger" 
Maar als je het een paar keer gedaan hebt valt het wel mee.
In XCA heb ik Templates gemaakt, dat werkt een stuk sneller.

[Ben(V)]

Het gebruik van TCP over een vpn in plaats van udp is ook niet zo zinvol en geeft alleen maar extra overhead.
De vpn verbinding garandeert al de aflevering van data dus daarom wordt standaard upd over vpn gebruikt.

[Babylonia]

@MMD
Ik had inderdaad met root en het wachtwoord van admin proberen in te loggen.

Het vreemde is echter wel dat bij de betreffende poort 22 een info-knopje zit die aangeeft:
"Schakel de SSH-service in om u aan te melden en uw Synology router te beheren.
 Het wachtwoord via aanmelden in SSH is hetzelfde als uw admin-accountwachtwoord."
Vandaar dat ik er nog eens opnieuw naar gekeken had.

Maar eerlijk gezegd voel ik niet zo sterk de behoefte om dat op die wijze op te lossen.
Gewoon de standaard functies wat de router zelf biedt aan certificering vind ik prima.

@Ben(V)
Zelf had ik inderdaad ook al de info gelezen dat TCP meer overhead heeft, en UDP efficiënter is.
Had het alleen gedaan op verzoek van  @falcone75  omdat zijn werkgever UDP in zijn geheel afblokt, en TCP zijn enige keus is.

[Ben(V)]

Vrees dat @falcone75 het niet begrijpt.
Het udp protocol zit in de tunnel en daar valt niets te blokken.
Het probleem zal wel zijn dat de standaard vpn poorten geblocked worden.

Hij zou kunnen proberen om VPN over de https poort (433) te gebruiken, die wordt zelden geblokkeerd en VPN verkeer is niet te onderscheiden van https verkeer.

[falcone75]

MOD: Onnodige citaat is verwijderd, lees even.

Hij zou kunnen proberen om VPN over de https poort (433) te gebruiken

uhhh waarschijnlijk bedoel je poort 443...of je begrijp je het niet goed 

en ik gebruik inderdaad een andere poort maar dan wel TCP want UDP ging het niet mee (ik heb dat natuurlijk niet voor niets gewijzigd, maar dat betekent uiteraard niet dat dat gelijk voor iedereen geldt...).
 

[Ben(V)]

Dat udp niet zou werken heeft niets met blokeren door een firewall of het niet toelaten van udp te maken kan hebben.
Dat udp of tcp gaat door de tunnel heen en komt helemaal niet op het netwerk terecht waar de pc staat.
Dus ondanks het feit dat je het vervelend vind begrijp je het echt niet.

[Babylonia]

In een reactie eerder aangegeven heb ik via een smartphone VPN kunnen opzetten voor alle VPN-protocollen.

Omdat ik nu elders ben, probeer ik dat nu ook met een PC in te stellen en dan gebruik te maken van de OPEN-VPN methode.
Hoewel ik volgens de gegevens van zowel het icoontje rechts onderin de statusbalk van de PC VPN-verbinding heb, en ook via de status in mijn router 35km hier vandaan die ik op afstand kan bekijken, kan ik er verder "niets" mee.

Daar waar ik bij een VPN-connectie op een smartphone de "lokale IP-adressen" kan gebruiken van mijn netwerk thuis, en op die wijze bijv. de aangesloten USB-drive of gebruiksinterface van de router kan benaderen, lukt dat via een PC vooralsnog niet.
Ter info: Op een smartphone als ik in een webbrowser intik "mijn IP-adres" met de achterliggende web-service van die webpagina, dan krijg ik het WAN internet IP-adres te zien wat ik thuis als internet account heb.
Dus via de "tunnel" de situatie thuis.

De webbrowser hier op de PC werkt echter nog steeds onder de status van een "gewone" connectie.
(Mijn IP, geeft hier het IP-adres van het internet account wat hier voorhanden is, op de plek waar ik nu ben, en niet dat van mij thuis).

Wat zie ik over het hoofd?

(Ik gebruik dezelfde certificaat of openvn sleutelbestanden die ik eerder ook op de smartphone gebruik).

Ter verdere info met aanvullende testen met de andere VPN-protocollen via  PPTP  en  L2TP/IPSec
Dat werkt allemaal wel zoals verwacht (idem het IP-adres van "thuis" in een webbrowser)
Vanuit mijn glasvezel abbo 50/50 thuis en elders (waar ik nu ben) circa max 65 Mbps download via het netwerk, kom ik aan onderstaande snelheid.  (De upload vanuit mijn glasvezel abbo is de referentie).

Bestand van 150 MB

PPTP             Tussen circa 4,5 - 5 MB/s   ofwel in Mbps uitgedrukt circa  36 - 40 Mbps
L2TP/IPSec   Tussen circa 4,5 - 6 MB/s   ofwel in Mbps uitgedrukt circa  36 - 48 Mbps vanaf USB-drive
L2TP/IPSec   Tussen circa   5 - 6  MB/s   ofwel in Mbps uitgedrukt circa  40 - 48 Mbps vanaf SD geheugenkaart

Download zonder VPN met File Station binnen de SRM gebruiksinterface van de router geeft  6 MB/s  ofwel  48 Mbps

[Pippin]

Ervan uitgaande dat je op Windows zit, is de OpenVPN GUI client als Administrator gestart?
Er worden anders geen routes gezet die o.a. naar het LAN achter je router wijzen.

[Babylonia]

Ook als administrator maakt niets uit.
De verbinding hoeft in principe voor deze test ook maar te komen tot aan de VPN-server op de router.
Aan de router zit een USB-schijfje en SD-kaart. Die zitten op de router, delen hetzelfde IP als de router zelf.
En tot zover komt het ook, want in de router zelf wordt de verbinding als actief gezien.

Ik heb in de log-data van de VPN-connectie wel een vreemde melding.

WARNING: No server certificate verification method has been enabled.
See  http://openvpn.net/howto.html#mitm  for more info.

Het is me dan echter nog niet duidelijk hoe te handelen.
Aan het certificaat aan de  VPN-server-zijde  bij de router kan ik niets doen. Die maakt een certificaat op de achtergrond wat ik alleen maar kan exporteren.
Het enige wat ik handmatig erna moet doen is in het  openvpn.ovpn  bestand, het IP-adres van mijn internet-connectie opgeven, en mogelijk wat andere zaken, met hetgeen in het bestand wordt beschreven.

Ik heb geprobeerd op goed geluk (snappen doe ik niet) die losse stukjes tekst in te voegen wat bij die hyperlink vermeld staat:
remote-cert-tls server
ns-cert-type server

Maar het hoe en waarom weet ik niet. Het geeft bovendien ook geen resultaat.
Misschien geeft het jou wat aanwijzingen?

[Pippin]

Daar waar ik bij een VPN-connectie op een smartphone de "lokale IP-adressen" kan gebruiken van mijn netwerk thuis, en op die wijze bijv. de aangesloten USB-drive of gebruiksinterface van de router kan benaderen, lukt dat via een PC vooralsnog niet.

Dit is wat mij doet vermoeden dat er geen routes gezet worden. Met Android lukt het wel maar met Windows niet, die er min of meer om bekend staat. Omdat het met Android wel lukt kan ik ervan uitgaan dat in de VPN Server de optie: "Clients toegang geven de LAN server" aanwezig is en aangevinkt?

Is er respons op pings naar IP`s op het LAN/tunnel IP`s/Gateway?
Als het goed is vindt je die (LAN/tunnel IP`s/Gateway) terug in het log als je verb 3 wijzigt in verb 4.

WARNING: No server certificate verification method has been enabled.

Dit op zich is geen vreemde melding, die melding krijgt men ook op de NAS in het log maar staat los van dit probleem.
Standaard controleert de server of de client over een geldig certificaat beschikt.
Echter, de client controleert standaard niet het certificaat van de server en dat is wat die logmelding betekent.
Als men dat wil komt men bij het eerder genoemde topic: OpenVPN: Beter beveiligen want dan zijn er eigen certificaten nodig.

[Babylonia]

..... kan ik ervan uitgaan dat in de VPN Server de optie: "Clients toegang geven de LAN server" aanwezig is en aangevinkt?

Is inderdaad aanwezig en aangevinkt.

Is er respons op pings naar IP`s op het LAN/tunnel IP`s/Gateway?
Als het goed is vindt je die (LAN/tunnel IP`s/Gateway) terug in het log als je verb 3 wijzigt in verb 4.

Ik kan (nog steeds) inloggen in de RT1900ac router via remote en intikken van de WAN IP internet aansluiting bij mij thuis 35km verderop waar de "server" actief is.  (Dus de webbrowser zit "buiten" de VPN-tunnel, waar ik eigenlijk het "lokale" LAN IP-adres van mij thuis zou willen gebruiken).
In de  RT1900ac vind ik binnen het menu van de VPN-server dat er contact is met de PC van waar ik nu zit "als VPN". In de log-bestanden van de VPN-server zie ik het WAN-IP van waar ik nu zit + het VPN IP-adres wat aan de PC hier is toegekend uit de 10.8.0.x reeks.
Bij de ene test of de andere test verandert daarbij het IP-nummer enigszins. Dan is het 10.8.0.6  de keer erop 10.8.0.10.

In de Windows werkbalk onderin, zo gauw een VPN-connectie actief is, komt er even een klein tekst-ballonnetje met "VPN-connectie verbonden" en daarbij het VPN IP nummer vernoemd (dus bijv. 10.8.0.6 ).
Door met de muisknop even boven dat Open-VPN icoontje te staan krijg ik ook diezelfde gegevens.

Bij het configuratiescherm netwerk-adapters, geeft de "TAP Windows Adapter V9" (het stukje software van Open VPN), een actieve verbinding met "een onbekend netwerk".

Pingen in een DOS-box naar de gateway van 10.8.0.1 levert niets op.
4x Request timed out en ook 4 stuks lost.
Pingen in een DOS-box naar de het toegekende PC IP  10.8.0.6  levert 4x respons op en 0% verloren.

Alles zou bij mijn weten moet aangeven dat er gewoon connectie is als zijnde VPN, maar kan er niets mee.
Zowel een webbrowser als het netwerk om connectie te leggen met drive en SD-kaartje pikken geen "lokale" IP-adressen op zoals het aan de VPN-serverkant bij mij thuis als LAN gebruikt wordt.

Weet niet wat je bedoelt met "verb 3 wijzigt in verb 4" (verbinding 3 wijzigen in verbinding 4 ??)

Dezelfde situatie heb ik ook vanuit een oude Windows XP computer, waar ik een oudere versie van Open VPN op heb geïnstalleerd.

[Pippin]

Dus de webbrowser zit "buiten" de VPN-tunnel, wat eigenlijk niet zou moeten

In de config het hekje voor #redirect-gateway weghalen zorgt ervoor dat alle verkeer door de tunnel gaat.

Dan is het 10.8.0.6  de keer erop 10.8.0.10

Dat is nieuw voor mij, dat de server begint met uitdelen met 10.8.0.6 i.p.v. 10.8.0.5
Hoeft verder niets te betekenen hoewel het dan mogelijk is dat de server zich op 10.8.0.2 bevindt i.p.v. 10.8.0.1

"een onbekend netwerk"

Dat is normaal.

"In de  RT1900ac vind ik binnen het menu van de VPN-server dat er contact is met de PC van waar ik nu zit "als VPN""

Dat kan misleidend zijn omdat UDP gebruikt wordt ("communicatieloos"). Om direct een signaal naar de server te sturen dat de verbinding verbroken is/wordt kan men explicit-exit-notify aan de config toevoegen. Lijkt mij in dit geval niet echt nodig.

Edit: Vergeten
Als je verb 4 aan de config toevoegt laat het log wat meer zien.

[Babylonia]

Ik heb het hekje # weggehaald bij:    #redirect-gateway def1
Maar moet ik ook nog iets doen met het aanvullende commando  def1 ??
Want ondanks hekje weg heb ik nog steeds hetzelfde resultaat.

Vind op dit moment alleen aanpassingen om het juist NIET te "redirecten":
https://community.openvpn.net/openvpn/wiki/IgnoreRedirectGateway

(Het is nog een hele bevalling voordat het werkt    )

[Pippin]

Als test kun je def1 weghalen. Op een NAS is def1 niet aanwezig dus er zijn wat dingen anders dan anders

[Pippin]

De link die je aanhaalt geldt alleen als de VPN server redirect-gateway pushed.
Op een NAS wordt het niet gepushed maar op de router weet ik niet.
Zonder log files van de server/client is dat nauwelijks te achterhalen.