Synology-Forum.nl
Packages => Officiële Packages => VPN Server => Topic gestart door: Lipo op 13 mei 2024, 18:34:38
-
MOD: Dit Topic is het vervolg op deze (https://www.synology-forum.nl/android-apps/openvpn-servers-van-twee-verschillende-nas-systemen-op-android/msg328486/#msg328486).
Dank je wel.
Ik ga in de nabije toekomst ook veel vpn profielen onderbrengen. Dus ik hoop dat het goed gaat komen.
In het logboek van mijn android openvpn connect krijg ik het volgende:
Connecting to [mijn ddns naam]: 1194 [mijn wan ip] via UDP
Server poll timeout, trying next remote entry…
Het bovenstaande herhaalt zich continu.
Ik heb de poorten 1194 en 5001 in de router doorgestuurd. Dus deze poorten staan open voor nas2.
De openvpn client voor mijn oude nas doet het met dezelfde configuratie van dsm wel. Of zou er toch iets anders ingesteld zijn in dsm van mijn nieuwe nas? Maar waar zit het hem in?
In lijst toestaan/blokkeren van dsm staan geen ip’s geblokkeerd.
Ik heb een screenshot van mijn dsm vpn firewall regels toegevoegd aan dit bericht.
Vpnconfig2.ovpn staat goed ingesteld en volgens mij ook met goede certificaten.
-
Voor OpenVPN heb je alleen poort 1194 nodig.
Firewall regel, maar goed dat je niet meer poorten hebt doorgestuurd (of bijv. DMZ).
Want zou anders betekenen dat je "alle" poorten naar je NAS open zet.
Voor een betere set-up van de Firewall regels m.b.t. OpenVPN en thuisnetwerk:
https://www.synology-forum.nl/vpn-server/mappen-benaderen-open-vpn/msg320310/#msg320310
-
Het is dus een conflict met het ip bereik. Dank je wel Babylonia. Ik ga het bestuderen. En mijn firewall ook anders instellen.
TCP 5001 moet ik ook doorsturen in de router, anders doet surveillance station van dsm en dscam op mijn mobiel het niet.
-
OK. Die andere functies voor externe toegang had je eerder nog niet benoemd. ;)
Wil je meer achterliggende informatie m.b.t. Firewall regels, is daar een meer uitgebreid onderwerp aan gewijd.
Wel afgestemd op een "Synology router" oude stijl (SRM 1.2.5), maar principe staat het dichtste bij die van een Synology NAS.
(Vandaar dat ik je eerder maar direct naar een "NAS" voorbeeld firewall regel voorbeeld verwees).
https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/
-
Voor de synology plus server heb je een synology router nodig. Deze laatste heb ik niet. Ik heb alleen twee verschillende synology nas systemen.
Dan lijkt het mij dat ik moet blijven bij de gewone synology vpn server? Deze heeft wel minder mogelijkheden m.b.t. instellingen.
-
Ik geef je alleen een hint in het gebruik van firewall regels, waarvan de basis gewoon vergelijkbaar is met de firewall van een NAS.
(Dat wordt bij die beschrijving ook uitgelegd). Om meer begrip daarin te krijgen hoe een en ander functioneert.
OpenVPN voor een Synology router, werkt niet anders als OpenVPN voor een NAS.
Eerder (https://www.synology-forum.nl/android-apps/openvpn-servers-van-twee-verschillende-nas-systemen-op-android/msg329031/#msg329031) heb ik je al expliciet verwezen naar de regels die voor een NAS gelden m.b.t. OpenVPN.
https://www.synology-forum.nl/vpn-server/mappen-benaderen-open-vpn/msg320310/#msg320310
Daarin is alleen niet opgenomen een firewall voor wat betreft poort 5001 (Beheer NAS gebruiksinterface / Surveillance Station...)
Die zul je er dan nog extra tussen moeten zetten (tussen 2e en 3e regel in). Dan zou het verder moeten kloppen.
-
Ik gebruik op dit moment 4 LAN netwerken.
Bij VPN 1194 en 5001 heb ik gekoppeld aan de applicatie en Nederland. Ik denk dat het nu goed is. Een nieuwe screenshot toegevoegd.
Ik ben een relatieve leek die het probeert te snappen / te leren, dus ik vraag het toch even.
Ik heb screenshots toegevoegd van mijn firewall instellingen.
-
4 netwerken??
Je schrijft dat je een relatieve leek bent op netwerkgebied. Hoe kom je dan aan 4 netwerken?
Want daar zou je juist meer uitgebreide kennis voor moeten hebben om daar mee te kunnen werken.
Ik zie twee plaatjes waarvan het eerste plaatje (https://www.synology-forum.nl/android-apps/openvpn-servers-van-twee-verschillende-nas-systemen-op-android/?action=dlattach;ts=1715689426;attach=61867;image) met een 10.8.0.x netwerk (ik vermoed het virtuele OpenVPN netwerk).
Wat is bij die firewall instellingen dan het "gewone" LAN netwerk?? Want dat moet er ook bij.
(Kun je bij het niet opnemen van het gewone netwerk dan überhaupt nog wel in de NAS komen?)
Tweede plaatje (https://www.synology-forum.nl/android-apps/openvpn-servers-van-twee-verschillende-nas-systemen-op-android/?action=dlattach;ts=1715689427;attach=61869;image) (wat je eerder plaatste) zie ik allemaal half uitgegomde weergaven van netwerken.
Daar kan ik weinig zinnigs iets over zeggen, want geeft mij geen inzicht wat er dan wel staat, maar lijkt mij althans "niet goed".
(Zolang je maar geen externe WAN adressen toont van je internet aansluiting).
-
Het zijn 4 LAN-netwerken met uiteraard dan verschillende subnetten. Ik heb nieuwe screenshots toegevoegd.
Ik maak gebruik van VLAN’s. Dat 4 netwerken maken was inderdaad zweten.
Met gewoon netwerk bedoel je toch LAN-netwerk? Daar heb ik er dus 4 van. Zie screenshot LAN-firewall instelling eerdere bericht van mij.
Ik heb volgens mij geen WAN-adressen getoond.
10.8.0.x dat is inderdaad het virtuele openVPN-netwerk. Ik heb het bereik opgegeven 10.8.0.1 – 10.8.0.255. Maar kun je de screenshots niet uitvergroten? Als ik er thuis op klik, dan wordt het vergroot en duidelijk zichtbaar.
Ik kan vanaf de computer in DSM van de NAS komen.
De vpnconfig.ovpn op mijn android doet het niet. Dat moet een probleem met de nieuw ingestelde firewall zijn. Want het werkte eerst wel. Mijn android zit in hetzelfde subnet als mijn nas. Ik krijg de melding bij openvpn connect op mijn android: Server poll timeout, trying next remote entry…
-
Moet ik niet gewoon ook de bron- en doelpoorten van udp 1194 en tcp 5001 open zetten naar de nas?
Ik heb nu alleen de regiopoorten van 1194 en 5001 open staan. Wat houdt dat trouwens in? Betekent het dat je je alleen uit Nederland kunt aanbieden op die poorten?
-
Sorry, allemaal halve informatie die je nu versnippert doorgeeft.
Dus 4 VLAN netwerken. Hoe een en ander dan met elkaar verbonden is, blijft wederom erg vaag.
Zonder gedegen informatie hoe een thuis netwerk set-up is opgebouwd, kan geen zinnig advies worden gegeven, waarom iets niet werkt.
"Gokken" is er niet bij in deze materie. Het komt aan op exacte informatie, en van daaruit kan men verder de zaken analyseren.
Als basis is al aangegeven waar het bij de firewall aan schort in het geval er slechts één LAN thuisnetwerk in gebruik is.
De vernieuwde screenshot (https://www.synology-forum.nl/vpn-server/vpn-firewall-en-zo/?action=dlattach;ts=1715695049;attach=61877;image) is nog steeds incompleet, want het basis LAN netwerk zit er nog steeds niet bij.
Met 4 netwerken, kan het plaatje er weer heel anders uitzien. Daar ga ik nu niet verder op in.
Ik heb nu alleen de regiopoorten van 1194 en 5001 open staan. Wat houdt dat trouwens in?
Betekent het dat je je alleen uit Nederland kunt aanbieden op die poorten?
Voor wat betreft de Firewall zijn die basis principes terug te lezen in de eerdere verwijzing (https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/) die ik heb gegeven.
Welke poorten een NAS gebruikt:
https://kb.synology.com/nl-nl/DSM/tutorial/What_network_ports_are_used_by_Synology_services
-
Het is een relatief simpel netwerk volgens mij. Graag wil ik straks (in de nabije toekomst) dat alleen veel android telefoons via openvpn van buitenaf moeten kunnen communiceren met mijn beide nassen. Beide nassen hangen uiteindelijk aan een eigen router met switch. Nu wil ik enkel 1 android mobiel aan het werk zien te krijgen met mijn oude nas en oude switch. Verder doen er op dit moment geen andere systemen van buitenaf een beroep op mijn netwerken. Nu enkel 1 android telefoon.
Het basis LAN-netwerk zit er wel bij. Dat is 192.168.2.2. Het basis LAN-netwerk valt toch binnen de eerste firewall regel?
Mijn android mobiel en nas vallen binnen het subnet van de router (192.168.2.2).
De andere thuisnetwerken zijn ook in gebruik. En die werken goed.
Is het dan nog nodig om te weten hoe die andere netwerken eruit zien? Het gaat nu enkel om subnet 2. Daar zit het probleem. Of zie ik hier iets niet goed?
Mijn openvpn bereik van de nas-server gaat van 10.8.0.0 - 10.8.0.255. Moet ik binnen een ander bereik gaan zitten? Bijv. 192.168.160.x zoals in het eerdere forum is genoemd. Maar ik kan binnen mijn eigen netwerk zoals ik het beschrijf toch geen conflict hebben?
Het probleem bij deze communicatie is de communicatie tussen de nas en de android en de router die dat verzorgt.
De vlan's die doen het goed. Ik kan met elk systeem dat aan de managed switch hangt communiceren. Behalve nu dus niet meer van buiten met mijn android mobiel. Gisteren kon ik met mijn oude (niet goede) nas firewall instelling wel een openvpn verbinding opzetten met mijn nas.
Al mijn apparaten hebben een vast IP binnen een dhcp range. Zie screenshot van de router. Ik zie net dat ik voor de LAN-instellingen een ipv6-setup gebruik. Daar heb ik nooit bij stilgestaan.
-
Oh, nu valt me eigenlijk pas iets op bij die firewall regels, waar ik eerder overheen keek. :o
Je maakt verschil voor die regels m.b.t. de "netwerk interfaces" waarvoor die gelden - dat kleine vakje / menu rechtsboven.
- Alle interfaces
- LAN
- VPN
- PPPoE
Zelf gebruik ik daarbij "Alle interfaces", waarop mijn firewall regels op zijn afgestemd (beter overzicht bovendien).
M.b.t. internet en van buitenaf een VPN connectie opbouwen,
geldt in ieder geval dat die regels bij "Alle interfaces" moeten zijn ondergebracht.
M.b.t. je firewall regels bij de "VPN" interface (https://www.synology-forum.nl/vpn-server/vpn-firewall-en-zo/?action=dlattach;ts=1715695049;attach=61877;image) ondergebracht geldt dat alleen voor een "uitgaande" VPN verbinding.
(Maar dat heb je wellicht niet eens in gebruik?) Je ingevulde firewall regels voor die interface opgezet zijn derhalve echt helemaal fout.
Hier twee voorbeelden waar die "interfaces" bij het firewall menu betrekking op hebben:
(Omdat de VPN interface een uitgaande verbinding is, hebben binnenkomende firewall regels voor een VPN interface weinig zin).
1. = NAS DS420j met één "LAN" netwerkpoortje + DSM 7.2.1
met een actieve VPN verbinding vanuit de NAS naar een commerciële VPN service - VPN server gelegen in Berlijn.
2. = NAS DS415+ met twee "LAN" netwerkpoortjes + DSM 6.2.4
met een actieve VPN verbinding vanuit de NAS naar een VPN server van een kennis (vandaar naam afgeschermd).
1. [attach=1] 2. [attach=2]
Bij de LAN interface heb je dan de IP-bereiken voor je 4 VLAN netwerken opgenomen.
Maar het zou kunnen om dat beter onder te brengen bij "alle interfaces"? (Laat het voorlopig maar staan).
Dat komt mogelijk later eens een keer aan de orde bij meer uitgebreide informatie rondom je netwerk set-up.
Zonder verdere informatie over die 4 netwerken die je zou gebruiken, valt ook hier weer weinig zinnigs over te vertellen.
Weet niet welke NAS apparaten je in gebruik hebt?
Maar doorgaans kun je per "ethernet" poort van een NAS slechts één "untagged" VLAN netwerk verbinden.
Heb je NAS modellen met meerdere (bijv. 2 of 4 stuks ??) ethernet poorten in gebruik?
Zou je per ethernet poort met een ander (untagged) VLAN kunnen verbinden.
Evt. via een moeilijke set-up met SSH op "root" niveau kun je "per" ethernet poort wel voor meerdere VLAN's instellen:
https://techblik.nl/2021/02/10/synology-dsm7-vlan/
Verder zie ik een screenshot van een "DrayTek" router (https://www.synology-forum.nl/vpn-server/vpn-firewall-en-zo/?action=dlattach;ts=1715713169;attach=61881;image) - welk model? (Ben zelf ook bekend met DrayTek routers).
Ik zie net dat ik voor de LAN-instellingen een ipv6-setup gebruik. Daar heb ik nooit bij stilgestaan.
Nee, de instellingen van het grote scherm "rechts" gelden nog steeds voor IPv4.
Je zit "actief" bovenaan namelijk links op het tabblad LAN ethernet TCP / IP DHCP Setup
Voor IPv6 zou je bovenaan het rechter tabblad moeten openklappen.
Je gebruikt voor de standaard netwerk indeling (https://www.synology-forum.nl/vpn-server/vpn-firewall-en-zo/?action=dlattach;ts=1715713169;attach=61881;image) voor IPv4 overigens uiterst onhandige (en ongebruikelijke) netwerk instellingen.
Waarbij je voor de gateway 192.168.2.2 gebruikt? Waarom?? Dat is "smeken" om vergissingen.
(De DHCP server is met de gegeven instellingen daarbij nu reeds in conflict / kloppen niet).
Verder:
Voor twee NAS apparaten binnen hetzelfde "thuis netwerk".
Hoef je slechts één VPN verbinding op te zetten om beide NAS-apparaten te kunnen bereiken.
(En elk ander netwerk apparaat in je netwerk).
Dus geen moeilijke set-up voor twee VPN verbindingen (waar je dan een afwijkende poort voor OpenVPN zou moeten configureren).
Overigens afhankelijk van het DrayTek router model zou je ook al direct op de router een VPN server kunnen activeren.
Er zijn diverse VPN protocollen beschikbaar. Maar via een NAS is wellicht wat makkelijker m.b.t. "Synology DDNS" gebruik.
Beide nassen hangen uiteindelijk aan een eigen router met switch....
Waarom wil je uiteindelijk met twee "eigen" routers gaan werken voor iedere aparte NAS??
Waarom extra moeilijke set-ups gaan opzetten, als het eenvoudig kan??
Met al dit soort basis perikelen m.b.t. netwerk instellingen.
Zou ik eigenlijk willen zeggen, koop eens een goed boek "Netwerk voor dummies" of vergelijkbaar.
Het gaat me echt te ver om alle basis beginselen van netwerken hier uitgebreid te moeten gaan behandelen.
Je hele set-up / configuratie rammelt van alle kanten.
-
Ik ga jullie input bestuderen. Dank.
Het ligt wel aan mijn synology nas firewall. Als ik deze uitzet, dan doet vpnconnect op mijn android het wel.
Dus dat mijn setup rammelt is niet geheel waar. Op firewall gebied waarschijnlijk wel. Maar daarvoor heb ik jullie :-)
Het hele vlan-systeem met de vier netwerken werkt correct.
Mijn conclusie is dat ik een firewall moet leren instellen. Dat systeem moet ik nog doorkrijgen / leren snappen. Ik zal mijn best doen.
-
Dus dat mijn setup rammelt is niet geheel waar...
Die rammelt wel, want ik attendeer je telkenmale opnieuw op niet kloppende instellingen, vanuit de gegeven screen shots.
Ook in je DraytTek router.
-
Als het rammelt, dan geloof ik dat :oops:
Jammer dat de voorbeelden van de verbindingen die je aanhaalt geen openVPN-verbinding betreft. Ik heb gelezen dat L2TP niet echt betrouwbaar is.
Ik heb alle NAS-firewall-regels verwijderd. Maar de firewall nog wel ingeschakeld staan.
De android valt binnen het untagged VLAN dat met de ethernetpoort van de NAS verbonden is. Met de android kan ik ook buiten op straat beelden bekijken met surveillance station. Met een actieve openVPN-verbinding. Alleen als ik firewall-regels ga instellen, dan werkt de verbinding van mijn android met de NAS dus niet meer.
Mijn nieuwe NAS heeft twee ethernet-poorten. Of ik die allebei ga gebruiken.... op dit moment niet. Ik denk ook niet dat ik ooit twee ethernetpoorten van die NAS nodig ga hebben. De power van die NAS wel.
Ik heb een vigor 2862 Vac.
Je hebt gelijk inderdaad. Mijn instellingen hebben betrekking op een IPv4-setup. Dat ik dat niet zag.
De beide NAS-apparaten hebben allebei een andere router met managed switch. Twee verschillende systemen die niets met elkaar van doen hebben.
Mij is verteld dat een VPN-server op een NAS beter is dan op een router. Volgens mij had dat met extra belasting van de router te maken.
Zo'n moeilijke setup heeft een bepaald doel. Ik wil computers (netwerken) graag strikt van elkaar scheiden d.m.v. vlan's.
Op welke manier is mijn DHCP-server in conflict? Op welke manier is het smeken om vergissingen? Ik heb aan subnet 2 trouwens meerdere apparaten hangen met een vast IP.
-
Jammer dat de voorbeelden van de verbindingen die je aanhaalt geen openVPN-verbinding betreft.
Ik heb gelezen dat L2TP niet echt betrouwbaar is.
Ik kan je wel verwijzen naar een “marathon” VPN tests (https://www.synology-forum.nl/synology-router/bug-in-laatste-versie-vpn-plus-1-4-2-0533/msg305776/#msg305776) die ik eens heb uitgevoerd, met allerlei verschillende VPN methoden (o.a. OpenVPN)
Het welslagen kan afhangen van condities, gebruikte apparaten en omstandigheden.
Maar of dat je verder helpt?
Mijn nieuwe NAS heeft twee ethernet-poorten. Of ik die allebei ga gebruiken.... op dit moment niet.
Als je maar één poort inzet, kun je een NAS dus alleen maar verbinden met één actief LAN netwerk.
Het heeft dan geen zin om in de NAS firewall regels in te stellen voor andere LAN netwerken dan wat de NAS zelf gebruikt.
(Echter nog wel met inbegrip van de in de NAS gebruikte virtuele VPN netwerken 10.x.x.x).
Het zorgt alleen voor meer verwarring. Tenzij je de NAS geregeld en bewust op een ander (untagged) VLAN gaat koppelen.
De beide NAS-apparaten hebben allebei een andere router met managed switch. Twee verschillende systemen die niets met elkaar van doen hebben.
...........
Zo'n moeilijke setup heeft een bepaald doel. Ik wil computers (netwerken) graag strikt van elkaar scheiden d.m.v. vlan's.
Dat kan direct met één router die meerdere VLAN's ondersteunt.
Of bedoel je twee verschillende locaties?? (Voor iedere locatie een vergelijkbare set-up met één router / VLAN's en één NAS).
De opties van VPN zijn bij een (nieuw model) NAS inderdaad wel krachtiger dan met een Vigor 2862
Op welke manier is mijn DHCP-server in conflict? Op welke manier is het smeken om vergissingen?
Ik heb aan subnet 2 trouwens meerdere apparaten hangen met een vast IP.
Heb je die dan zelf niet kunnen ontdekken met mijn aanwijzingen in mijn vorige reactie (https://www.synology-forum.nl/vpn-server/vpn-firewall-en-zo/msg329048/#msg329048) en bestuderen van het plaatje (https://www.synology-forum.nl/vpn-server/vpn-firewall-en-zo/?action=dlattach;ts=1715713169;attach=61881;image) ??
De DHCP server start bij IP adres 192.168.2.1 (met vervolgens 252 IP pool counts ---> eind IP adres = 192.168.253 )
Het "vaste" router gateway adres 192.168.2.2 en zit daarmee dus ook in het DHCP server IP-bereik van uit te geven IP adressen.
Zeer ongebruikelijk. (Meer toeval dan wijsheid dat er mogelijk nog geen vreemde fouten hebben plaatsgevonden ?)
Advies om je beter direct aan gebruikelijke / gevestigde standaarden te houden. Zeker als je in de toekomst opnieuw support vraagt.
Want zal ongetwijfeld bij andere gebruikers de nodige twijfels en onnodige extra vragen/antwoorden ("ruis") opleveren,
omdat je "tegendraadse" instellingen gebruikt.
Het hoort net andersom te zijn.
Router gateway vast adres 192.168.2.1
DHCP server starten bij 192.168.2.2 met vervolgens 252 hosts (IP pool counts) ---> eind IP adres = 192.168.254
IP adres 192.168.255 is een IP adres wat dan wordt gebruikt voor broadcast / multicast data streams.
Géén conflicten met deze instellingen. Niet mathematisch gezien, of mogelijke "vangnet" beveiligingen van een router.
(Misschien kan een < IP-calculator > (https://www.calculator.net/ip-subnet-calculator.html?cclass=any&csubnet=24&cip=192.168.2.0&ctype=ipv4&x=Calculate) de samenhang van het een en ander verduidelijken ?).
-
Dank je wel.
Ik hoop dat het zo goed is. Zie toegevoegde bijlage's.
De DHCP-pool binnen een LAN wordt wel steeds kleiner naargelang ik meer LAN's aanmaak. Ik weet niet of dat een probleem is?
Ik zie nu op de schema's dat ik DHCPv6 eigenlijk wel kan uitvinken.
:)
-
Ik vergat de firewall. Ik dacht dat ik hier al klaar was. Maar dat ben ik niet.
-
Ik hoop dat het zo goed is.
M.b.t. de instellingen van het eerste "hoofd" netwerk < DIT plaatje > (https://www.synology-forum.nl/vpn-server/vpn-firewall-en-zo/?action=dlattach;ts=1715851560;attach=61897;image) vanuit je vorige reactie.
Voor invulling van de DNS server IP Adresses
Als je daarbij het gewone internet provider gebruikte DNS adres wilt aanhouden, hoef je daarbij niets in te vullen.
(Dan wordt achterliggend in het systeem automatisch die van je internet provider gebruikte adres overgenomen).
Of bij Primary IP Address hetzelfde IP-adres als die van je "Gateway", ofwel 192.168.2.1 (Doet hetzelfde).
De DHCP-pool binnen een LAN wordt wel steeds kleiner naargelang ik meer LAN's aanmaak. Ik weet niet of dat een probleem is?
(Betreft < DIT plaatje > (https://www.synology-forum.nl/vpn-server/vpn-firewall-en-zo/?action=dlattach;ts=1715851560;attach=61895;image) uit je vorige reactie).
Dat is ook niet zo verwonderlijk met opnieuw ook hier weer tegendraadse instellingen die je gebruikt.
(Schijnbaar niets geleerd uit de eerdere reactie (https://www.synology-forum.nl/vpn-server/vpn-firewall-en-zo/msg329053/#msg329053) ?)
Wil je adviseren toch de gebruikelijke regels / conventies van een router als "centraal netwerk regelcentrum" aan te houden.
Het is niet zomaar "een" zelfgekozen IP-adres voor benadering van de router interface waar het om gaat.
Het is de "toegangspoort" (vandaar de naam "Gateway") waar ALLE in dat netwerk gebruikte apparaten en functies aan zijn gerelateerd.
(Achterliggend ook firewall regels in apparaten zoals een NAS, en mogelijk manueel in te stellen functies van zonnepanelen omvormer etc.)
Dus via dat Gateway adres loopt al het dataverkeer van aangesloten apparaten die binnen dat netwerk actief zijn, met internet.
Of via dat Gateway adres wordt administratief bijgehouden wat apparaten aan onderlinge connecties binnen het thuisnetwerk doen.
Daar wordt voor de Gateway in 99,99 % van de gevallen het eerste nummertje van het netwerk adres voor genomen.
Dat is de centrale toegangspoort voor dat netwerk. Elk sub-net dezelfde basis structuur.
Ofwel voor jou situatie:
192.168.2.1
192.168.3.1
192.168.4.1
192.168.5.1
De enige uitzondering die ik ken om in de plaats van het eerste nummertje van een netwerk adres,
het laatste mogelijke nummertje te gebruiken, is KPN, met de door hen uitgeleverde Experia Box routers.
192.168.2.254 ( 192.168.2.255 kan niet, want dat is netwerk technisch gezien gereserveerd voor multicast).
Je kunt daar dus allemaal wel weer zelf verzonnen "tussen" adressen voor gaan gebruiken.
Maar dat gaat je uiteindelijk hopeloos veel problemen opleveren. Niet alleen omdat je voor alle evt. aangepaste instellingen in apparaten
daar rekening mee moet houden met die afwijkende waarden, en vergissingen daarbij dan snel zijn gemaakt.
Maar ook kun je géén hulp verwachten van alle online beschikbare informatie m.b.t. netwerken.
Omdat handleidingen, tutorials, instructiefilmpjes op YouTube etc. uitgaan van het "eerste nummertje" van die netwerken.
Door merken als Cisco, Linksys, Netgear, Asus, TP-Link en weet niet welke andere merken nog meer.
(De voordeur van een woonhuis, is ook niet ergens halverwege in huis tussen badkamer en slaapkamer in geplaatst,
waar bezoekers en postbode zich melden om een pakketje af te leveren).
Waarom gebruik je niet de reeds "voor ingevulde" standaardwaarden van die instellingen van de router?
Makkelijker kunnen ze het niet voor je maken. (Instellingen die je inmiddels al flink hebt vernacheld).
Blz. 146 van de < PDF handleiding (Vigor 2862) > (https://fw.draytek.com.tw/Vigor2862/Manual/DrayTek_UG_Vigor2862_V1.7.pdf) (Zéér uitgebreide handleiding die bij elkaar 1047 pagina's telt).
Online "Demo" uitprobeer tool van de Vigor 2862 http://eu.draytek.com:22862/
Allerlei Nederlandstalige PDF hulp tutorials:
https://www.draytek.nl/support/bonded-vdsl2/vigor-2862b-serie/?tab=documentatie
-
Zoals je in de onderstaande plaatjes kunt zien heb ik gebruik gemaakt van 192.168.0.2 als het serveradres. Dat heb ik gedaan omdat ik anders in conflict kom met iptv. Iptv zit op statisch ip 192.168.3.1. Deze laatste heb ik nu buiten dhcp zitten. Het loopt nu allemaal goed. Dus het lijkt goed.
Ik heb inderdaad een multicast-probleem gehad op subnet 2, want ik zit bij kpn.
Dank.
-
Dat heb ik gedaan omdat ik anders in conflict kom met iptv. Iptv zit op statisch ip 192.168.3.1.
Die zou je dus ook helemaal niet op dat eerste adres moeten zetten, (is bovendien een ander sub netwerk).
En omwille van een "verkeerd" gekozen TV-ontvanger IP-adres, ga je de hele basis structuur van sub netwerken in een router omgooien. Bijzonder.
Wat te doen als je twee of drie TV-ontvangers in gebruik zou hebben. Ga je dan weer de hele netwerk-structuur omgooien?
Zou zeggen, veel succes toegewenst met je netwerken en OpenVPN. Ik geef het op.
-
Ik kan jou gezichtsuitdrukkingen niet zien. Maar het klinkt allemaal niet erg vriendelijk. Terwijl je aan de andere kant ook behulpzaam bent. Ik doe volgens mij aardig mijn best en ik volg instructies zo goed als ik kan op.
Mijn tv-ontvanger zit vast op 192.168.3.1. Ik kan daar niet kiezen. KPN heeft voor dat vaste ip gekozen. Ik moet mijn netwerkstructuur dus wel omgooien door deze aan te passen aan KPN.
Hieronder mijn firewall-instellingen:
-
Mijn tv-ontvanger zit vast op 192.168.3.1. Ik kan daar niet kiezen. KPN heeft voor dat vaste ip gekozen.
Nee, daar heeft KPN helemaal niet voor gekozen.
Die werken niet eens met "DrayTek" routers, laat staan dat ze daar adviezen voor zouden geven, of bemoeienis "welk" LAN IP-adres.
KPN klantenservice heeft bovendien geen enkele kennis in huis van DrayTek.
Hooguit enkele "basis" kennis van de door KPN zelf uitgeleverde modem/router modellen.
Bovendien, een dergelijk IP-adres 192.168.3.1 kan niet eens bij de KPN modem/routers. Want is niet een door KPN gebruikt sub-net.
Dat sub-net is niet eens in te stellen in KPN modem/routers (met uitzondering van de Experia Box V10).
Het kiezen van een vast IP-adres voor een TV-ontvanger doe je helemaal zelf.
(Ook bij KPN ligt het IP-adres niet vast, is naar eigen keus ook daar aan te passen binnen het standaard bij hen gebruikte sub-net).
Enkele basis zaken die ik probeer bij te brengen, lijken totaal aan je voorbij te gaan. Beklijven niet.
Je set-up hangt van toevalligheden aan elkaar, verkeerde aannames, eigen interpretaties, om die reden ondoordacht van opzet.
(Wellicht ook spraakverwarring "vast" IP adres versus dynamisch toegewezen IP-adres vanuit DHCP, door gebrek aan netwerk kennis).
Heb er al < eerder op gewezen > (https://www.synology-forum.nl/vpn-server/vpn-firewall-en-zo/msg329048/#msg329048):
Met al dit soort basis perikelen m.b.t. netwerk instellingen.
Zou ik eigenlijk willen zeggen, koop eens een goed boek "Netwerk voor dummies" of vergelijkbaar.
Het gaat me echt te ver om alle basis beginselen van netwerken hier uitgebreid te moeten gaan behandelen.
Je hele set-up / configuratie rammelt van alle kanten.
Dat geldt nog steeds. Om je op weg te helpen:
https://www.google.nl/search?q=Computernetwerken+voor+Dummies
Het kan best dat het allemaal te hoog voor je is gegrepen. Niet erg, ieder zijn ding.
Schakel dan beter een handige buurman of kennis in met wat netwerk kennis.
Die één op één bij je thuis een "lange" ochtend of middag hulp komt bieden. Lijkt me eens tuk handiger.
Misschien een goed idee om de DrayTek router dan helemaal te resetten naar fabrieksinstellingen, en vanuit de standaard basis instellingen
alles opnieuw op te bouwen, met hulp van de bij DrayTek Nederland beschikbare tutorials, waar ik al eerder (https://www.synology-forum.nl/vpn-server/vpn-firewall-en-zo/msg329073/#msg329073) naar heb verwezen.
(Ben je in ieder geval die "vast geroeste" tegendraadse instellingen kwijt - en correspondeert een set-up met online handleidingen).
https://www.draytek.nl/support/bonded-vdsl2/vigor-2862b-serie/?tab=documentatie
PDF routed IPTV - (KPN): https://www.draytek.nl/storage/Routed-IPTV-3.0.pdf
Als dat dan allemaal in basis werkt, pas erna "minimaal" aanvullende instellingen (niet alles omgooien) voor extra services.
Daarmee blijft het corresponderen, met gebruikelijke netwerk conventies en online handleidingen.
En kun je er ook telkens opnieuw naar teruggrijpen, ter controle van de eigen instellingen.
-
Doe niet zo gek. Alles opnieuw installeren. Maar ik heb toch niet voor mijn eenvoudige netwerkje een handleiding nodig van meer dan 1000 pagina’s? Met jouw hulp draait het nu als een tierelier.
Dat boek ga ik binnenkort kopen.
Mijn netwerk loopt stabiel. Maar waar kan ik problemen verwachten als ik 192.168.0.2 gebruik? Ik heb overigens ooit wel eens een modem van een provider gehad die subnet 0 gebruikte. Maar ik heb de boel alweer omgegooid naar subnet 2 met adres 1 als start.
Mijn tv-ontvanger zit in poort 2 van de router. Poort 2 van de router heb ik ondergebracht bij vlan3. En vlan3 correspondeert met lan4. Lan4 zit nu op subnet 5.
Ik ben soms een verstrooid iemand. Dan ben ik van eenvoudige dingen van de leg. En complexe dingen gaan mijn soms makkelijker. Dat is heel raar. Ik weet het zelf ook niet. Maar ik snap nu waarom de decoder in subnet 3 zat. En inderdaad, dat heb ik zelf ingesteld. Sorry voor mijn verwardheid. Ik ben ook met teveel dingen tegelijk bezig. Dank je wel.
Maar hoe zit dat eigenlijk met dat een tv-ontvanger buiten dhcp een ip-adres krijgt? Hoe kan dat? Komt dat omdat van buiten de poort wordt gescand door de provider, en dat de provider dan het ip-adres aan de de tv-ontvanger uitdeelt?
Afijn, ik ben in ieder geval niet zo handig en vol van kennis met ict als dat jij bent. Daar twijfel ik niet aan. Het boek gaat daar hopelijk verandering in brengen, want er valt nog genoeg te leren. Ik bedoel dan dat ik handiger ga worden. En ik klooi maar wat raak denk ik. Nu moet ik mezelf ook niet teveel naar beneden halen, want ik snap toch wel iets van netwerken. Ik heb bijv. een goed uitgewerkt vlan-systeem.
Wat betreft mijn nas firewall: klopt het dat met mijn firewall-instelling (zoals eerder opgegeven) de communicatie van al mijn apparaten op lan1 via alle poorten met alle protocollen, toegestaan wordt? Ik gooi daarmee toch alle poorten open voor communicatie via alle protocollen betreffende lan1? Is dat wel verstandig?
-
Maar ik heb toch niet voor mijn eenvoudige netwerkje een handleiding nodig van meer dan 1000 pagina’s?.....
Oh, dus je wilt het zonder handleiding doen? (Was me eigenlijk al duidelijk hoor, dat je zo te werk gaat).
Het klinkt net zoiets als: Voor een eenvoudige knie operatie hoeft men geen medische studie te doen. :geek:
Ik zou het anders willen stellen.
Ondanks een Engelstalig „naslagwerk“ van 1000+ pagina’s, waar niet alleen de standaard router instellingen aan bod komen,
die corresponderen met „voor ingevulde“ waarden in de router zelf. (Makkelijker kunnen ze het niet voor je maken).
Komt verder elk denkbaar netwerk scenario aan bod, wat op maat is aan te passen (of tot op „root“ niveau is bij te sturen).
Daar achteraan misschien bij elkaar ook nog 500 pagina’s aan Nederlandse Support pagina’s in diverse PDF-bestanden.
Ofwel bij elkaar pakweg 1500 beschreven pagina’s aan naslagwerk.
Ondanks die hoeveelheid hulp, is dat kennelijk niet genoeg voor je om een goed gestructureerd “eenvoudig netwerkje“ op te zetten.
Had je alleen de betreffende „paar hoofdstukken“ die betrekking hebben voor „een eenvoudig netwerkje“, WEL doorgenomen,
en je „stoïcijns“ aan de standaard instellingen gehouden, die reeds „voor ingevuld“ in de router zijn opgenomen.
(Zeker voor verstrooide en chaotische mensen een welkome hulp om via deze methode gestructureerd te werk te gaan).
Waren alle vragen en reacties die tot nu toe hier in dit onderwerp zijn gepasseerd m.b.t. netwerk set-up, overbodig geweest.
En moeten er alsnog „tig“ extra pagina’s aan te pas komen om jou op weg te helpen.
Want ook nu heb je nog steeds niet de moeite genomen om enkele pagina’s van de DrayTek handleiding / support door te nemen,
en te vergelijken met je eigen instellingen.
Had je dat namelijk wel gedaan had je de volgende vraag zelf kunnen beantwoorden.
Maar hoe zit dat eigenlijk met dat een tv-ontvanger buiten dhcp een ip-adres krijgt? Hoe kan dat? Komt dat omdat van buiten de poort wordt gescand door de provider, en dat de provider dan het ip-adres aan de de tv-ontvanger uitdeelt?
Nog steeds geldt:
Je set-up hangt van toevalligheden aan elkaar, verkeerde aannames, eigen interpretaties, om die reden ondoordacht van opzet.
Ik hoor het wel over een tijdje, als je zo’n netwerk boekje hebt gekocht en bestudeerd.
Hoofdstukken van DrayTek support pagina’s in dat geval dan wel grondig hebt vergeleken, met de eigen set-up.
(Mogelijk uit die vergelijking vragen hebt over de wijze waarop bij DrayTek een aantal standaard instellingen zijn gekozen?)
Verder zoals eerder aangehaald (https://www.synology-forum.nl/vpn-server/vpn-firewall-en-zo/msg329153/#msg329153), de zeer warm aanbevolen hulp van een handige buurman of kennis met wat netwerk kennis.
Hoe het allemaal verder wordt afgestemd.
Aanvullend m.b.t. de netwerk configuratie en gebruik extra services (NAS), waar rekening mee te houden.
- Vast IP adres voor NAS’sen in de router vastgelegd.
- Juiste „port forwarders“ (= doorsturen van poorten) naar de NAS voor VPN,
en andere services die van buitenaf benaderd moeten worden.
Veel succes.
Wat betreft mijn nas firewall: klopt het dat met mijn firewall-instelling (zoals eerder opgegeven) de communicatie van al mijn apparaten op lan1 via alle poorten met alle protocollen, toegestaan wordt? Ik gooi daarmee toch alle poorten open voor communicatie via alle protocollen betreffende lan1? Is dat wel verstandig?
Je hebt al een separatie gemaakt voor 4 aparte netwerken.
Wellicht de bedoeling om „misschien“ minder betrouwbare surveillance camera’s of IoT apparaten apart te houden?
https://nos.nl/artikel/2416279-omstreden-chinese-camera-s-hangen-overal-in-nederland-ook-bij-ministeries
Ik weet niet hoe druk je gezins- of familieleven eruit ziet. Als je die verder ook niet vertrouwt binnen je eigen thuis netwerk.
Kun je services voor die personen evt. ook uitsluiten.
Door een NAS worden alleen poorten gebruikt m.b.t. geactiveerde services, en „thuis“ netwerk protocollen.
(Voor niet gebruikte poorten is er geen toegang).
https://kb.synology.com/nl-nl/DSM/tutorial/What_network_ports_are_used_by_Synology_services
-
Dank je wel.
Een gericht voorbeeld van een complete en juiste firewall-instelling was fijner geweest. Misschien ga ik die hier wel plaatsen. Je heb mij eerder een link gestuurd van een firewall-instelling. Maar deze is heel summier. Het maakt ook niet inzichtelijk hoe een firewall werkt. Gelukkig is het mij nu duidelijk en draait alles puik. Ik heb daar alleen een ander forum voor moeten raadplegen. Dat is wel jammer. Meer gerichte hulp i.p.v. mensen zelf het wiel te laten uitvinden was fijner geweest. En 1000 pagina's is inderdaad overbodig. Ik heb het boek netwerk voor dummies aangeschaft. Zijn toch ook heel wat pagina's. Dank.
En ik heb inderdaad een druk leven. ICT is niet mijn vak, maar een uit de hand gelopen hobby..... die steeds meer uit de hand loopt :-)
-
Een gericht voorbeeld van een complete en juiste firewall-instelling was fijner geweest.
Dat is afhankelijk van de persoonlijke thuis netwerk omstandigheden, aangesloten apparaten (NAS / surveillance camera's)
en gewenste services die je van buiten wilt benaderen. Zolang daar nog allerlei hiaten in zitten en geen sluitende set-up bekend is,
(verder zijn we daarin eigenlijk niet gekomen), kan daar ook geen gericht voorbeeld bij gegeven worden.
Je heb mij eerder een link gestuurd van een firewall-instelling. Maar deze is heel summier.
Dan neem je beter de andere URL's aan informatie door, die ik je óók heb gegeven,
waar meer uitgebreide informatie in "het hoe- en waarom" wordt uitgelegd.
En ik heb inderdaad een druk leven. ICT is niet mijn vak,
Ik heb ook een druk leven, en ICT is ook helemaal niet mijn vak.
Wil best iemand helpen, maar het moet niet te gek worden.
Bij een "forum" staat het ieder vrij antwoorden / reacties op vragen te geven. Maar een "verplichting" is het geenszins.
Ieder bepaalt zelf welke tijd dat die eraan wil spenderen.
-
Bij een "forum" staat het ieder vrij antwoorden / reacties op vragen te geven. Maar een "verplichting" is het geenszins.
Ieder bepaalt zelf welke tijd dat die eraan wil spenderen.
Dat wordt wel eens vergeten, wij zijn allemaal gewone vrijwilligers hier op het Forum.
-
Je hoeft niet een layout te hebben van een persoonlijk netwerk van iemand. Als ik hier mijn NAS-firewall presenteer die op mijn netwerk is aangepast, dan snapt iedereen (of velen hier op het forum) hoe hun eigen firewall zou kunnen werken. Met wat logisch nadenken heb je niet een heel boekwerk nodig en een complete uitdraai van iemands netwerk. Een boek is wel handig wat jij ook schrijft, als naslagwerk, en om je verder te verdiepen in ingewikkeldere zaken. Vandaar heb ik jouw tip opgevolgd om netwerken voor dummies aan te schaffen. Dank :)
Die URL's die jij mij aan informatie hebt gegeven is veel te veel informatie. Daar zit volgens mij niemand op te wachten. Een gericht voorbeeld maakt ook inzichtelijk hoe het een en ander werkt.
Mijn netwerk draait nu perfect. Ik hanteer nu met hulp van jou de juiste dhcp-range / ip-instelling. Dank. Mijn redenering om een tegendraadse instelling te hanteren had een doel. Daar was door mij over nagedacht. Ik heb van jou geleerd dat mijn gedachte alleen niet werkte (en dus niet juist was) zoals ik dacht dat hij werkte. Mijn netwerk hangt niet met toevalligheden aan elkaar. Dat weet ik wel zeker. Ik heb een grafische weergave en tabellen van mijn netwerk uitgewerkt. Die ga ik hier alleen niet delen.
-
Je hoeft niet een layout te hebben van een persoonlijk netwerk van iemand.
Een layout heb ik ook niet gevraagd.
Echter als je bij elke reactie met tegenstrijdige netwerk instellingen komt aanzetten, verkeerde aannames, eigen interpretaties.
Is dat geen basis om daar iets mee op te bouwen.
Als ik hier mijn NAS-firewall presenteer die op mijn netwerk is aangepast, dan snapt iedereen (of velen hier op het forum)
hoe hun eigen firewall zou kunnen werken. Met wat logisch nadenken...
Als je het allemaal zo goed zelf weet, waarom kom je hier dan met vragen??
En nee, niet iedereen kan uit die wir-war aan wissselende informatie die jezelf geeft, daar chocola van maken. Logisch is het allerminst.
Anders hadden er beslist ook andere gebruikers gereageerd. Maar die hebben wijselijk daar maar geen energie in gestoken.
Die zagen de bui al hangen.
Die URL's die jij mij aan informatie hebt gegeven is veel te veel informatie. Daar zit volgens mij niemand op te wachten.
Een gericht voorbeeld maakt ook inzichtelijk hoe het een en ander werkt.
Het is ook nooit goed. Dan vind je het weer te summier, dan weer teveel informatie ? !!
Zowel uitgebreide informatie als gerichte voorbeelden op veel voorkomende netwerk situaties worden expliciet vernoemd.
Kwestie van doornemen - juiste selectie maken - gebruiken - en/of met kleine aanpassingen naar de eigen situatie aanvullen.
"Een kind kan de was doen".
Firewall regels werken overigens alleen goed als de netwerk instellingen als basis correct zijn ingesteld. Dat is de eerste vereiste !!
Dat niemand op die gegeven informatie zit te wachten (voor wat betreft die firewall instellingen), klopt niet met de feiten.
Het zijn zowat de meest gelezen onderwerpen op het forum. Dus voldoet duidelijk in een behoefte.
Naar ik vermoed "begrijpelijke info", anders kwamen er veel meer vragen over firewall instellingen.
En die komen eigenlijk maar erg weinig voor, sinds die informatie gestructureerd als "sticky" online staat.
Online PDF handleidingen van DrayTek routers bevatten verder ook allemaal gestructureerde hoofdstukken.
Waar je gemakkelijk bij het juiste onderwerp komt om netwerk instellingen te vergelijken / controleren.
Besef wel dat jijzelf degene bent die problemen heeft/had. Zul je er dus ook zelf energie in moeten stoppen om het op te lossen,
en er informatie over te vergaren - waar dan ook. Niet andersom dat je jou probleem het probleem van iemand anders gaat maken.
En anderen gaat betichten dat het te weinig of teveel informatie zou zijn die men jou "eigenlijk" op jou situatie gericht zou moeten geven.
Zo werkt dat niet. Je bent verantwoordelijk voor je eigen netwerk, niemand anders.
Nogmaals m.b.t. reacties die ik in dit onderwerp heb gegeven (of elders als "sticky" zijn opgenomen):
...een "verplichting" is het geenszins. Ieder bepaalt zelf welke tijd dat die eraan wil spenderen.