VPN-verbinding met RT1900ac als VPN-server

[Babylonia]

Het status window van Open VPN laat meer zien dan het log-bestand. Heb daar een screendump van gemaakt.
Er zitten nogal wat foutmeldingen in.
Ik heb het zodanig gekropt dat mogelijk meer MAC-adres achtige gegevens niet te zien zijn.

De regel als:
redirect-gateway




De regel als:
redirect-gateway def1



Het logboek van de VPN-server op de router geeft geen foutmeldingen. Alleen dat een connectie is opgestart of beëindigd.
Het lijkt me ook een Client gerelateerd probleem, en niet aan de server-kant?

[Pippin]

Het had er al alle schijn van dat de routes niet gezet worden.
Dat zie je dus nu ook in het log staan.
Welke Windows versie was het?
Het lijkt er echt op dat OpenVPN niet als Administrator gestart wordt.

[Babylonia]

 

Gisteren had ik dat wel gedaan en merkte geen verschil, maar toen hadden we bij die ene regel ook dat hekje nog niet weg gehaald.

Vandaag nieuwe dag, nog niet goed wakker, vergeet ik dat dus.

Met in de configuratie de regel    redirect-gateway def1   zonder hekje (#) werkt het in ieder geval "lokaal"
Ik kan nu mijn lokale IP-adressen gebruiken en de drives en geheugenkaart aanspreken. Dus dat is al heel wat.

Maar we zijn er nog niet helemaal.
"Gewone" internet-pagina's (via de VPN) krijg ik nu niet meer te zien.
Misschien heeft dat dan weer te maken met proxy of DNS-instellingen??

In ieder geval al voor zoverre bijzonder erg bedankt voor de tijd en het geduld wat je aan de dag hebt gelegd om te helpen.

[Pippin]

Geeft niets :-)
Ok, dan haal def1 eens weg.

P.S. Het gevolg op Windows kan zijn dat wanneer def1 er niet staat en de VPN verbinding wordt verbroken de default gateway niet direct terug gezet wordt. In dat geval moet je de actieve netwerkverbinding een keer uit en weer aan schakelen.

Edit:
In de config file van de OpenVPN GUI kun je nog een DNS server opgeven met de regel:
dhcp-option DNS dns.van.het.lan   <-- Het LAN waar de router staat

Wil je meerdere DNS servers opgeven kun je meerdere regels plaatsen.

[Babylonia]

Daar ga ik straks nog maar eens mee aan de gang, eerst wat eten.
Reuze bedankt voor zover.

In ieder geval heb ik met de OPEN-VPN tevens hetzelfde bestand binnen gehaald als eerder met de andere VPN protocollen.
Als totaal-overzicht. (Vanuit upload aan de server-kant via een glasvezel 50/50 account. Download via Ziggo).

Bestand van 150 MB

PPTP                    Tussen circa   4,5 - 5    MB/s   ofwel in Mbps uitgedrukt circa  36 - 40 Mbps
L2TP/IPSec           Tussen circa   4,5 - 6    MB/s   ofwel in Mbps uitgedrukt circa  36 - 48 Mbps vanaf USB-drive
L2TP/IPSec           Tussen circa      5 - 6    MB/s   ofwel in Mbps uitgedrukt circa  40 - 48 Mbps vanaf SD geheugenkaart
OPEN-VPN - UDP   Tussen circa  5,2 - 5,5  MB/s   ofwel in Mbps uitgedrukt circa  42 - 44 Mbps vanaf SD geheugenkaart
OPEN-VPN - TCP   Tussen circa     2 - 2,6  MB/s   ofwel in Mbps uitgedrukt circa    8 - 21 Mbps vanaf SD geheugenkaart

Die laatste test met TCP-protocol op verzoek van @falcone75 is duidelijk minder efficiënt (wat door @Ben(V) reeds eerder was opgemerkt).
Verder als opmerking erbij dat de OPEN-VPN server op de router is ingesteld met ingeschakelde compressie op de VPN-koppeling.
Compressie even uitschakelen werkte niet, mogelijk dat het VPN-configuratie-bestand daarop moet worden aangepast. Liet het dan maar zo.

Download zonder VPN met File Station binnen de SRM gebruiksinterface van de router geeft  6 MB/s  ofwel  48 Mbps

[Babylonia]

In de config file van de OpenVPN GUI kun je nog een DNS server opgeven met de regel:
dhcp-option DNS dns.van.het.lan   <-- Het LAN waar de router staat

Wil je meerdere DNS servers opgeven kun je meerdere regels plaatsen.

Dat maakt het plaatje compleet.
Als resumé voor een goed werkende OPEN-VPN verbinding met de Synology RT1900ac als VPN-server ingesteld.
Activeer Open-VPN server en koppel in de router de gebruikers die je via Open VPN toegang wilt verschaffen.
- Exporteer van de router onder OPEN-VPN het certificaat en configuratiebestand vanuit een aangeboden ZIP-bestand.
  De inhoud bevat de volgende bestanden:  ca.crt   -   openvpn.ovpn   -   README.txt
- Verander het openvpn.ovpn configuratiebestand met de volgende opties:
  (Wat origineel is is doorstreept, de verandering staat er in kleur onder):

------------------------------------------------------------------------------------------------------------------------------
dev tun
tls-client

remote YOUR_SERVER_IP 1194
remote [ Vul hier je WAN internet account IP-adres in, domein of DDNS domein ] 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float        EDIT: m.b.t. float  zie uitleg elders op het forum + de reactie ervoor.
                 Ik gebruik het om geen connectie te verliezen vanuit een rijdende trein met een smartphone

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1
redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS
dhcp-option DNS 208.67.220.220     <-------- 1e DNS server die ik gebruik (Open DNS)
dhcp-option DNS 8.8.8.8                   <-------- 2e DNS server (Google DNS)

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

# WARNING: this configuration may cache passwords in memory           <---- waarschuwing komt terug
#       -- use the "auth-nocache" option to prevent this                          <---- in de logfiles van OpenVPN Client
auth-nocache            <----------- zou men nog extra kunnen aanvullen,  zie < UITLEG >

auth-user-pass

------------------------------------------------------------------------------------------------------------------------------

Bij een Windows PC installeer OPEN-VPN
{Utility wat in de werkbalk onderin komt + een extra "TAP Windows Adapter V9" wat een extra (virtuele) netwerkadapter is}.

Plaats de eerder genoemde (aangepaste) Open-VPN bestandjes in de configuratiemap van OpenVPN binnen de directory van de Windows-programma's.

Om OpenVPN op te starten, doe dat dan in ieder geval via de rechtermuisknop met de mode "Als administrator uitvoeren" 
(Anders werkt het niet goed zoals we eerder hebben gemerkt).

Na connectie volgt er een pop-up scherm waarbij je de (admin) gebruikersgegevens van je Synology router invult, of net van welke andere gebruiker je tevens VPN-rechten hebt gegeven (maar geen admin rechten).
Daarna kun je via een webbrowser inloggen in de Synology router door de lokale netwerk IP-gegevens in te voeren zoals je ze zelf thuis ook gebruikt + poortnummer.  Ikzelf gebruik een IP in de range 192.168.xxx.1:8000 (of :8001 https)
Van daaruit kun je bijv. "File Station gebruiken" en de aangesloten USB-drive en SD-kaart benaderen.

Via de verkenner in de PC onder "Netwerk" kun je rechtstreeks de drive en SD-kaart benaderen door het IP van de router in te geven:
\\192.168.xxx.1

Op soortgelijke wijze de achterliggende connectie van een aangesloten NAS (met ander lokaal IP-nummer).


Als opmerking voor connectie via de andere VPN protocollen  PPTP  en  L2TP/IPSec
Bij mijn eerste bericht in de draad < HIER > ging ik uit van een handmatige keuze van de instellingen onder de Windows set-up.
Een en ander om onderscheid te maken voor de VPN-server waar de twee opties alle twee aanstonden voor de test.
De juiste handmatige vervolginstellingen bij die Windos set-up heb ik echter dan ergens toch niet goed ingesteld, want met een test vanmiddag hier "op afstand" ging dat niet.
Door echter de instellingen gewoon op "automatisch" te laten staan (is ook de makkelijkste methode omdat het standaard daar op staat), werkte het direct. De keus welk VPN-protocol maak je dan op basis van wel of niet inschakelen van de betreffende methode in de Synology router zelf.

Dus je laat alles staan zoals in dit plaatje:



Succes met VPN-verbindingen met de Synology router,  Babylonia@

[MaVeWeb]

@Babylonia: hoe heb jij je Synology router ingesteld: als draadloos router, draadloos ap of draadloze client?

Rede voor deze vraag is dat ik VPN niet aan de praat krijg op de router. Alle settings 'tig' keer nagelopen. PPTP verbindt wel met de router (openVPN en L2TPe niet) maar vervolgens kan ik niks (browsen van websites etc).

Op mijn Synology NAS werken nu PPTP en OpenVPN ook ineens niet meer nu de Synology router achter mijn KPN Experiabox v8 is gezet!

[Babylonia]

Ik heb de RT1900ac in router mode gezet.
Maar als VPN-connecties niet werken, test je van buiten uit, of van binnen uit?
En heb je in de Experiabox v8 zelf daarbij de juiste instellingen gebruikt?
De Experiabox v8 staat bij mij  niet in bridge, ook niet in DMZ mode, maar heb wel bij port forwarding de betreffende poorten doorgestuurd naar het IP wat ik aan de Synology Router daarvoor heb gereserveerd. (NAT achter NAT). Verder de juiste Firewall-regels in de RT1900ac gebruiken.

De truc is dat als je de RT1900ac als VPN-server gebruikt, je de achterliggende apparaten achter de router daarmee ook via VPN kunt benaderen.  Je benadert de NAS als zijnde "in je lokale netwerk", ook al ben je ergens ver weg op een andere plek.


In de Experiabox V8
Inloggen -----> START -----> links onder het menu START kies je LAN
Iets verder naar beneden in het rechtse scherm leg je bij  Static DHCP  een IP-adres vast wat naar de WAN-poort van de RT1900ac gaat,
op basis van MAC-adres van de RT1900ac.  Bijvoorbeeld  192.168.2.10

Erna zou je de  RT1900ac  in DMZ kunnen zetten onder het menu:
Hoofdmenu bovenaan DATA -----> in linker menu FIREWALL -----> DMZ
-----> Enable DMZ Function, en vul het eerder voor de  RT1900ac  gereserveerde IP-adres in. (In ons voorbeeld 192.168.2.10).
In dat geval worden alle services van buiten zonder restricties doorgezet naar de de RT1900ac.
Je moet dan de beveiliging erg goed regelen in de RT1900ac.

Om de eerste beveiligingsbuffer reeds in de Experiabox in te zetten, heb ik zelf gekozen om DMZ niet te gebruiken, maar alleen de gebruikte services als portforwarding in te stellen. Kies je voor die weg, zijn hier een aantal Port forwarding regels die ik heb ingesteld onder:
Hoofdmenu bovenaan DATA -----> in linker menu NAT -----> Port Mapping



Afhankelijk of je op een achterliggende NAS verder in het traject achter de RT1900ac nog andere services gebruikt zoals een mail-server e.d., moet je daarvoor de betreffende poorten bij Port forfarding er nog extra bijzetten, en allemaal naar het IP-adres van de RT1900ac router.

In de RT1900ac heb je dan verder het ritueel om opnieuw van daaruit weer alles in te stellen met een ander LAN IP gateway en port forwarding naar erachter liggende apparaten zoals bijv. een NAS.
Ook hier eerst een aantal apparaten (waaronder de NAS) eerst een vast IP-adres geven op basis van Mac-adres.
Dat doe je vanuit de  RT1900ac     Netwerkcenter -----> Lokaal netwerk -----> DHCP reservering
Bijvoorbeeld  192.168.0.20 voor de erachter aangesloten NAS.
Van daaruit kunt je poorten dan weer doorsturen onder:   Netwerkcenter -----> Internet -----> Poort doorsturen



Dan is het zaak om de Firewall regels in te stellen in de RT1900ac.
Zelf heb ik meteen rekening gehouden dat ik tevens vanuit het lokale LAN van de Experiabox eventueel nog steeds toegang heb naar de RT1900ac, in het geval ik op van de Experiabox, daar toch een PC op aansluit in plaats van op de RT1900ac router.
Tenslotte is het LAN van de Experiabox V8 in mijn geval nog steeds actief werkend. (Niet in bridge-mode gezet).
Verder nog een "reserve" IP-gateway, om eventueel de router van een ander IP gateway te voorzien. Die regel is nu uitgeschakeld.

Niet onbelangrijk, Firewall-regels instellen voor de lokale virtuele VPN-IP ranges. 

Firewall regel voor benadering van buiten in mijn geval voor de regio Nederland.
In het menu van de RT1900ac staan daar standaard echter niet de poorten bij die een NAS gebruikt. Dus die heb ik er als laatste regel onderaan maar bijgezet. In dit geval is de NAS dan niet van buitenaf te benaderen "rechtstreeks" omdat de Firewall regel niet actief is aangevinkt. Maar ik kan er dan via VPN-connectie bij, omdat je dan vanuit het "lokale LAN IP-bereik" werkt.



Wat eigenlijk nog ontbreekt, maar is een wat "vaag" gebied, omdat de Synology router informatie daar niets over weergeeft, hoe om te gaan met het virtueel extra aanwezige VLAN van de router, wat tevens ook aanwezig is. Niet alleen als je een WiFi gastnetwerk instelt, maar ook in het LAN kun je de router bijvoorbeeld tevens benaderen met een IP subnet één nummertje hoger.
Dus in dit voorbeeld van IP-ranges hierboven   192.168.0.1   ----->   192.168.1.1

Ik heb er in de Firewall-regels echter geen rekening mee gehouden, maar ik kan er wel mee in de router.
Zou eigenlijk dan niet mogen, omdat alles wat buiten de Firewallregels geldt, geblokt zou moeten worden.

Succes, Babylonia@

[MaVeWeb]

Bedankt voor de snelle info.
Ik heb van buiten getest (WiFi en 4G). Alles zo ingesteld zoals op mijn NAS waarbij het werkte.
De Synology router heb ik ook ingesteld als draadloos router.

Het verschil met jouw is mijn Experia Box. Die heb ik ingesteld in DMZ.
Ik zal hem hier weer eens uithalen en desbetreffende poorten forwarden naar het IP wat ik aan mijn Synology router heb toegekend.

[Babylonia]

Vorige reactie aangevuld met plaatjes, zodat alles meer duidelijk is.

[MaVeWeb]

Hartstikke bedankt voor de heldere uitleg. Alle VPN varianten werken volop 

[falcone75]

Bedankt voor de instructies.
Ik heb eindelijk tijd gevonden ook me te verdiepen in VPN server op de RT1900ac.
Het werkt, ook via UDP (althans: Waar ik nu zit. De andere locatie test ik nog een keer).

Tot dusver was ik gewend aan VPN server op de Syno nas. In de server settings had ik daar via putty push route 192.168.xxx.xxx opgenomen (NB VPN server 10.8.0.1). Dan kon ik zowel via verkenner als via browser na VPN connectie op de NAS komen.

Bij de RT1900ac lukte dat in eerste instantie niet. Daarna opnieuw OPENVPN gestart als admin en "redirect-gateway def1" toegevoegd. Vreemde is dat ik toen wel via verkenner op de nas kon komen (192.168.xxx.xxx range) maar dat dat via de browser niet lukt. Na tracert 192.168.xxx.xxx kreeg ik een lokale alias met android in de naam. IPconfig lijkt er op te duiden dat mijn NAS ip adres al gebruikt wordt in het WIFI netwerk waar ik op zit. Toevallig maar waar?

Moet ik daarom ook in het server script van de RT1900ac push route toevoegen (net zoals ik op de NAS had gedaan)? Of heeft iemand een praktischer oplossing?

[mchp92]

Wat zijn de settings in jouw config? Kun je die eens laten zien?

[falcone75]

update: Met WinSCP ingelogd op RT1900ac als admin en push route 192.168.xxx.xxx (range lokaal ip adress NAS) toegevoegd zoals ik ook op de NAS OPENVPN server ooit had gedaan. Helpt niets.
Wat ik wel vreemd vond: Er stond al een extra push route regel maar dat was de range van het externe IP adres dat de RT1900ac heeft  (dus in zelfde IP range als ziggo modem). En jawel hoor: Via de browser kan ik wel bij het ziggo modem komen.

Vreemd dus... ik kan wel inloggen via OPENVPN server via NAS, maar via RT1900ac werkt dit niet. Als dat te maken heeft met hetzelfde ip adres in het wifi netwerk zou ik dat probleem ook bij inloggen op de OPENVPN server vd nas verwachten.

@mchp92: Welke settings wil je hebben? OpenVPN login of de settings op de RT1900ac, openvpn package.

[mchp92]

De settings die je in je openvpn config file tbv de client hebt
Ik heb zo n file uit de vpn server van mn linksys router, maar dat lijkt niet goed te werken
Wil eens kijken welke settings jij hebt staan in de ovpn file