VPN - L2TP/IPSEC werkt niet meer sinds DSM 6.0

[Babylonia]

De Firewall zoals we die eerder kennen vanuit  DSM 5.2  zit nu met  DSM 6.0  één stap "verder".
Je kunt nu verschillende profielen aanmaken voor (tijdelijk) anders in te stellen Firewall-regels.
Hoef je niet telkens aparte regels aan- of uit te vinken.
In mijn geval gebruik ik doorgaans de VPN-server in mijn Synology router, dan kan ik met de keuze van één profiel de rest intact houden.
(De scherm lay-out in DSM 6.0 klopt nog niet helemaal met te selecteren opties. Delen vallen weg ---> zie rechts naast de knop "Klonen").




Even een "LEEG" profiel aangemaakt (wat actief is) en waarbij de Firewall is ingeschakeld.
(Schermpje even nogal wat klein van afmeting geschoven voor het overzicht).




In de veronderstelling dat alle poorten correct zijn geforward in de router die naar de NAS verwijst.
Controleer specifiek op VPN-poorten met:   https://www.grc.com/shieldsup   (het volgende scherm nadat men op "proceed" heeft gedrukt).




Vul handmatig de betreffende poorten in onder       "User Specified Custom Port Probe"
Bijvoorbeeld de volgende reeks (kopieer en plak):   80, 443, 500, 1194, 1701, 1723, 4500, 5000, 5001

[Pippin]

Ik neem aan dat men bij de LAN1, LAN2, Bond1 interfaces etc., (dus niet "Alle interfaces") "If no rules are matched: Allow access - Deny access" kan invullen?

[Briolet]

Heb geen DSM 6 maar hoe zet je daar de Firwall aan/uit?

Net als in dsm 5.x: met de checkbox "Firewall inschakelen" 

Nieuw is in 6.0 dat je meerdere sets met firewall regels kunt aanmaken. Als je dan wilt experimenteren, clone je eerste de goede set, maakt die aktief en ga daarin lopen 'knoeien'. Als het dan allemaal niet werkt zoals gepland. zet je simpel de oude firewall terug.

[Babylonia]

Ik neem aan dat men bij de LAN1, LAN2, Bond1 interfaces etc., (dus niet "Alle interfaces") "If no rules are matched: Allow access - Deny access" kan invullen?

Zelf gebruik ik de  (standaard)  "Alle interfaces"  zoals die feitelijk na update was overgenomen uit  DSM 5.2

In mijn geval met twee routers NAT achter NAT, in ieder geval twee afwijkende sub-netwerken,
plus het standaard sub-net als ik mijn 2e router een fabriek-reset zou geven. (Dan kan ik tenminste nog steeds in de NAS).
Aanvullend de door de VPN gebruikte sub-nets,  plus andere gebruikte applicaties.
In dit geval als "applicatie" de VPN uitgeschakeld, omdat ik standaard de VPN-server gebruik van mijn 2e router.

Let op de twee verschillende benaderingswijzen onderaan het scherm van "Alle interfaces"......




......tegenover de apart te gebruiken interfaces. (Er zit zelfs een VPN interface bij ---> bij mij niet separaat gebruikt).
Het maakt het allemaal wel complexer wat er uiteindelijk als resultaat uit zal komen als men per interface alles gaat instellen.




Die rood omkaderde  benadering is fundamenteel verschillend bij "Alle interfaces" en apart "per interface".
Door een laatste extra regel toe te voegen bij het eerste plaatje hierboven, met  Alles - Alles - Alles ---> Weigeren,
krijg ik daarmee dezelfde functionaliteit, als het rondje aan de rechterkant aanvinken helemaal onderaan bij de optie apart per interface.

[Pippin]

Net als in dsm 5.x: met de checkbox "Firewall inschakelen"

Uit de post van @Babylonia blijkt nu dat "Firewall inschakelen" niet hetzelfde doet als "If no rules are matched: Allow access - Deny access"

In DSM 6, zo blijkt nu, zorgt "Firewall inschakelen/uitschakelen" er dus voor dat die ook echt uit/aan is, ook al heb je "If no rules are matched: Allow access - Deny access" in/uitgeschakeld.
Dat is op DSM 5 niet zo, op DSM 5 kan men, technisch correct gesproken, de Firewall niet uitschakelen.

[Erwin1]

Ik heb precies hetzelfde probleem met VPN. Ik krijg wel verbinding, maar de internet toevoer geblokkeerd na een paar tellen. Hierdoor blijf ik verbinding houden maar ik kan niets. Gisteren openvpn ingesteld en die lijkt vooralsnog prima te werken.
Ik denk dat ik voorlopig deze maar gebruik.

[Babylonia]

Het is toch echt een kwestie van alle settings goed nalopen.  Een klein miniem foutje wordt makkelijk over het hoofd gezien.
Dat is "des mens eigen". Dat overkomt mij zo vaak, als ik ten behoeve van wat "tests" even wat wat zaken omgooi in de set-up.
Het zijn steevast mijn eigen fouten die tot problemen leiden, die ik aanvankelijk over het hoofd zie.
Bij grondig nalopen merk ik ze alsnog op en kan ze herstellen.  (In het geval van de update werkte in mijn geval alles direct m.b.t. VPN).

Heb je bij de Firewall regels wel het virtuele VPN-subnet erbij staan van de betreffende VPN-methode?
Zie als voorbeeld het eerste plaatje van < DEZE REACTIE > wat hoger in de draad.

[rolfie]

hmmm, alle poortem geven stealth aan, ook poorten die ik niet heb toegevoegd. Alles opnieuw toegevoegd maar dit veranderd niets.

Firewall in de Synology staat nu hopelijk ook goed, blijf het raar vinden dat ik vanaf windows 10 wel kan verbinden maar geen IP adressen kan benaderen. Android maakt helemaal geen verbinding. Wat doe ik fout dan?

@Babylonia : Dat de software van mijn android tussentijds niet is bijgewerkt bedoel ik mee dat hij in de tijd dat ik de problemen kreeg geen update heeft gedaan, hij draait op de recentste versie die er is (6.0)

[Babylonia]

Ik moet even wat zaken nuanceren en corrigeren m.b.t. die "Shield's Up" website.
Die had ik er bijgehaald als test als een Firewall  "LEEG" is, dat er dan nog steeds zaken "open" staan of worden opgemerkt.

Die website gebruik ik met name om te proberen mijn netwerk set-up zodanig in te regelen dat ik voor het grootste deel van de wereld zoveel als mogelijk "onzichtbaar" en "anoniem" ben, en ik op die wijze het minste last heb van onbevoegden die bij mij aan de poorten "rammelen" of anderszins proberen onbevoegd connectie te maken, waarbij ik toch een aantal services gebruik om van buiten uit te kunnen benaderen.

Met name bij testen met Firewall regels op "Regio" kan men zaken testen, omdat die website zelf in Amerika gevestigd is, en men dus kan testen of regio's "buiten Nederland" worden afgeblokt.
Een voorbeeld in de achterliggende problematiek, zie bijv. de volgende reactie elders op het forum < HIER >

Ten aanzien van VPN kan men er echter niet zoveel mee, omdat bij VPN gebruik gemaakt wordt van certificaten en versleutelde verbindingen waar die testwebsite eigenlijk niet goed op reageert. Daar waar men met uitgeschakelde Firewall mogelijk een "positieve melding" verwacht in de poorten die worden gescand. Blijkt dat toch een "Stealth" melding op te leveren.

Dus dat zet mensen op het verkeerde been als men hoofdzakelijk die test als referentie aanhoudt in de werking van VPN en de instellingen die men heeft gemaakt. Mijn excuses.

Terug naar de instellingen met betrekking tot VPN waar dan wel op gelet moet worden:
- Vast IP-adres voor de NAS en correcte port forwarding van de gebruikte poorten in gebruikte netwerk routers.
- Bij die port forwarding de juiste protocollen ten aanzien van TCP/UDP  (PPTP = TCP, de andere VPN-protocollen = UDP).
- Voor de 3 gebruikte netwerken moet men acht nemen op de juist gekozen IP-Gateways om geen conflicten te hebben.
   Zie meer uitgebreid antwoord < HIER >
- Firewall regels moeten rekening houden met zowel toegang tot het LAN subnet alsook de virtuele VPN subnets. (Zie bovenste plaatje).
- Kijk bij de Firewall regels of er met de update naar DSM 6.0 geen "verborgen" tegenstrijdige regels zijn opgenomen
   in de achterliggende aparte interfaces zoals aangestipt in < deze reactie > met enkele schermafdrukken.
- Overtuig je ervan dat de NAS van buiten uit benaderbaar is, als test, via een "normale connectie" (dus niet via VPN).
  Als men overtuigd is dat connectie via een WAN IP werkt, eventueel een Synology DDNS-domein, dan pas testen met VPN.
- VPN testen per definitie vanuit een ander extern netwerk. Dus niet vanuit het eigen LAN een connectie naar de NAS in het LAN.
   Makkelijkste in eerste instantie door een smartphone te gebruiken en dan het 3G mobiele netwerk te gebruiken.
   Dan kun je thuis "interactief" verkeerde instellingen snel en makkelijk corrigeren, zonder dat het je veel tijd kost.
   Als dat dan werkt kan men bij buren of familie proberen een VPN-connectie te maken met een Laptop vanuit het LAN-netwerk daar.
- Begin met de makkelijkste VPN-protocollen. Als die werken, dan pas OpenVPN.

Dan hebben we nog niet eens gehad over de specifieke instellingen als "twee-eenheid"  VPN-Client  en  VPN-Server.
Daar is elders op het forum reeds enorm veel info over te vinden.

De diverse VPN set-ups die door mezelf correct werkend zijn getest zie < HIER >
Waarbij inmiddels met update van de NAS naar DSM versie 6.0  geen conflicten zijn voorgekomen.  Niet alle configuraties zoals daar vermeld zijn met DSM 6.0 getest, maar als er geen conflicten zijn met VPN-connectie via WiFi in de trein, via het LAN vanuit locatie elders, of met smartphone 3G netwerk, verwacht ik niet dat het ineens niet zou werken met de andere set-ups.

Babylonia@

[rolfie]

Bedankt voor dit zeer uitgebreide antwoord!!!

Ik heb alles na gelopen, en het moet allemaal goed staan wat jij hebt vermeld.

Ik kan nog steeds vanaf me mobiel (Android 6.0 welke al sinds februari niet is geüpdatet) via 4G geen connectie maken. Krijg gewoon de melding mislukt. (L2TP/IPSEC)

Via de laptop in een open Wi-Fi netwerk raak ik wel verbonden, maar ik kan geen interne IP-adressen bereiken.

Dit is allemaal gekomen na de update van DSM 6.0. Ik beschik nog over een ander VPN netwerk via een Fritz box. Met deze VPN kan ik mobiel, en via laptop gewoon verbinding maken en alle apparatuur benaderen.

De DSM e.d. en andere apparatuur in huis is wel gewoon bereikbaar via de DDNS service en Wan-IP met poort nummer. Ik lig er nu dus wel aardig uit, en wil liever niet me OpenVPN op de router gaan gebruiken aangezien ik nu alles ingebouwd connectie met VPN zou moeten kunnen maken.

[Babylonia]

Ik kan nog steeds vanaf me mobiel (Android 6.0 welke al sinds februari niet is geüpdatet) via 4G geen connectie maken. Krijg gewoon de melding mislukt. (L2TP/IPSEC)

Test ook eens onder het PPTP protocol. (Nieuw profiel aanmaken).
Oude profiel  L2TP/IPSEC  verwijderen en volledig opnieuw aanmaken. (Neem acht op "Vooraf gedeelde sleutel" ).

Via de laptop in een open Wi-Fi netwerk raak ik wel verbonden, maar ik kan geen interne IP-adressen bereiken.

En als je als test de volledige Firewall uitschakelt?

Ik beschik nog over een ander VPN netwerk via een Fritz box.
Met deze VPN kan ik mobiel, en via laptop gewoon verbinding maken en alle apparatuur benaderen.

Maar dat kan dus ook conflicteren met de VPN-server op de NAS opleveren als instellingen niet goed met elkaar zijn afgestemd.

- Indien de VPN-server op de Fritz!box gebruikt, dan geen port forwarders voor de VPN-poorten naar de NAS
  en mogelijk ook geen *"VPN pass-through" instellen.

- Indien de VPN-server op de NAS gebruikt, dan die op de Fritz!box uitschakelen,
  plus port forwarders voor de VPN-poorten naar de NAS en *"VPN pass-through" inschakelen.

  *"VPN pass-through" ---> indien als instelling aanwezig.

Overigens als je een goedwerkende VPN-server op de Fritz!box hebt, waarom zou je die van de NAS dan nog willen gebruiken?
Een VPN-server in de router is per definitie beter afgestemd voor connectie met apparaten in de rest van het netwerk.

[rolfie]

Test ook eens onder het PPTP protocol. (Nieuw profiel aanmaken).
Oude profiel  L2TP/IPSEC  verwijderen en volledig opnieuw aanmaken. (Neem acht op "Vooraf gedeelde sleutel" ).

PPTP in iedergeval op de mobiel geprobeerd, ook verbinding mislukt. Net als OpenVPN. Al verschillende keren de VPN package zelfs verwijderd en opnieuw ingesteld.

En als je als test de volledige Firewall uitschakelt?

Ook geen succes.

Maar dat kan dus ook conflicteren met de VPN-server op de NAS opleveren als instellingen niet goed met elkaar zijn afgestemd.

- Indien de VPN-server op de Fritz!box gebruikt, dan geen port forwarders voor de VPN-poorten
  naar de NAS en *"VPN pass-through" instellen.

- Indien de VPN-server op de NAS gebruikt, dan die op de Fritz!box uitschakelen, plus port forwarders voor de VPN-poorten
  naar de NAS en *"VPN pass-through" inschakelen.

  *"VPN pass-through" ---> indien als instelling aanwezig.

Overigens als je een goedwerkende VPN-server op de Fritz!box hebt, waarom zou je die van de NAS nog willen gebruiken?

De andere VPN is van mijn vrijwilligers werk. Een Filmhuis, waarvan ik de apparatuur vanuit thuis moet benaderen. Heeft dus niets met mijn thuis netwerk te maken. Deze hebben ook nooit in de clinch gelegen, en ik maar er alleen verbinding naar. Ik heb hier dus niets van poorten of firewall instellingen voor gemaakt.

Nogmaals, alles werkte volledig voor de DSM6 update, er moet dus wel iets aangepast zijn in de DSM update. En zoals ik eerder vermelde was dat je in DSM5 bij app machtigingen de app VPN-server hebt. Deze is nu volledig verdwenen in DSM6, dit is het enigste verschil die ik nu nog kon vinden.

[Briolet]

En zoals ik eerder vermelde was dat je in DSM5 bij app machtigingen de app VPN-server hebt. Deze is nu volledig verdwenen in DSM6, dit is het enigste verschil die ik nu nog kon vinden.

Die optie is er nog steeds. En op dezelfde plek als bij dsm 5: in vpn server zelf:

[rolfie]

En zoals ik eerder vermelde was dat je in DSM5 bij app machtigingen de app VPN-server hebt. Deze is nu volledig verdwenen in DSM6, dit is het enigste verschil die ik nu nog kon vinden.

Die optie is er nog steeds. En op dezelfde plek als bij dsm 5: in vpn server zelf:

(Link naar bijlage)

Bedoelde bij gebruiker, zie:

[Pippin]

In DSM 5.x wordt dat toch echt in de VPN Server zelf ingesteld.