Opzetten OpenVPN tussen 2 Synology NAS

[yvesict]

Hallo iedereen,

ik ben al enkele dagen aan het zoeken op fora e.d. Maar ik slaag er niet in om succesvol een VPN verbinding te maken tussen 2 synology NAS (DS214 play en DS415+)
Ik ben gestart met deze tutorial , maar gebruik liever OpenVPN.

Opzet: backuppen van NAS 1 (DS214play) naar NAS 2 (DS415+)

Wat heb ik gedaan:
1) Op NAS 2 de VPN server geïnstalleerd en bijna standaard ingesteld. Enige wat ik heb veranderd is poort (1195). Vervolgens op dezelfde pagina geklikt op 'export configuration' en deze op harde schijf bewaard. Vervolgens een user aangemaakt die rechten heeft om OpenVPN te gebruiken
Vervolgens bij configuratiescherm -> security -> firewall een rule aangemaakt waarin ik de VPNserver op poort 1195 via UDP allow naar all IP
Vervolgens in mijn router (PFSense firewall) een NAT-rule aangemaakt waar ik hetzelfde doe (poort 1195 forwarden naar intern IP van mijn NAS 2) en een bijbehorende firewall rule aangemaakt.

2) Op NAS 1 (deze zit achter een sonicwall TZ300 firewall) heb ik enkel gegaan naar configuration screen -> network -> network interface -> create -> vpn profile
Daar bij server adress een DDNS naam ingegeven
user name en password genomen van de user die ik heb aangemaakt op NAS 2
port: 1195
protocol: UDP
enable compression
use default gateway on remote network (heb ik al geprobeerd om aan of uit te vinken)
reconnect when the VPN connection is lost
Bij import certificate heb ik het zip bestand van NAS 1 uitgepakt en verwezen naar ca.crt

Vervolgend probeer ik te connecten, maar blijft hij zeggen 'failed to establish network connection
Ik heb op de omgeving van de VPN client (NAS1) niets ingesteld in de firewall van synology of ook niet in de firewall van sonicwall.

Zie ik iets over het hoofd of ben ik iets vergeten? Ik lees vaak hoe eenvoudig dit zou moeten zijn en heb openVPN ook al succesvol ingezet om te connecteren naar mijn firewall (poort 1194), maar dit lukt me niet.

Alvast bedankt voor jullie reacties!

[Pippin]

Kun je met je mobiel aan 4G (WiFi uit!!!) wel naar NAS 2 verbinden?

Indien ja,
Op NAS 1 hoeft niets te gebeuren qua firewall maar op de Sonicwall..? Zou die t.b.v. test toch eens uitzetten.

[yvesict]

Niet helemaal zeker hoe ik dat kan testen.
Normaal krijg ik bij OpenVPN een .ovpn bestand dat ik importeer in de Openvpn app van IOS. Nu heb ik dat ook, maar zegt hij bij het importeren dat hij een .crt bestand mist.
Dat bestand heb ik uiteraard ook (zat erbij in de zip), maar ik krijg dit niet herkend door mijn iphone.

Alvast bedankt voor de snelle reactie van daarnet!

Yves

[mchp92]

Waarom wil je die vpn tussen de nassen?

[yvesict]

De NAS 1 wordt gebruikt om via ISCSI met Veeam backups te maken van virtuele machines. Ik wil deze graag ook offsite backuppen en dit liefst zo veilig mogelijk, daarom leek me een VPN met OpenVPN de manier om dit best aan te pakken.

[Pippin]

@mchp Staat in de OP

poort 1195 via UDP allow naar all IP

Neem aan dat je bedoelt vanaf Source, All IP naar Destination poort 1195 van de NAS.
Schakel t.b.v. test dan ook eens PFS uit.
Vul ook eens het WAN-IP i.p.v. DDNS in, in de VPN client.

Laat Apple dan eerst maar even voor wat het is.

[mchp92]

@yvesict
Het crt bestand (en de ovpn) moet je via itunes (op pc) op je iph sleuren
1) hang je iph aan itunes
2) kies in het apps scherm in itunes, in de box onderaan voor openvpn
3) Sleep uit explorer die twee bestanden op het kader rechtsonder
4) na seconde of wat "verdwijnen" die icons daar en stAn dan als profiel in je app
5) kees is klaar

[mchp92]

@mmd
Ik zie alleen maar dat OP remote will backuppen
Niet wat t probleem is waarvoor dan vpn de oplossing zou moeten zijn

[Pippin]

OpenVPN is een oplossing voor hen die relatief veilig onderweg willen zijn ;-)
En "hen" doen daar zeker niet onverstandig aan :-)

[Pippin]

@yvesict

IP/routeer conflicten voorkomen.
We hebben te maken met drie IP bereiken:
1. Het netwerk waar de VPN Server/DS in staat (local netwerk)
2. Het Dynamisch IP-adres van de VPN (tunnel adres)
3. Het remote netwerk van waaruit je verbind met een VPN cliënt
Deze drie mogen niet in hetzelfde bereik zitten.

Kortom:
Welk LAN-IP heeft NAS 1?
Welk LAN-IP heeft NAS 2?

[yvesict]

@mchp92 Bedankt voor de tip van itunes. Ik heb het profiel kunnen toegevoegen aan OpenVPN het staat er nu onder YOUR_SERVER_IP/openvpn. Als ik dit test  met of zonder wifi: connection timed out bij Looking up DNS name.
Als ik OpenVPN bestand handmatig aanpas naar echt IP adres en dat inlaadt via itunes, dan geeft hij ook connection time out

@MMD ik kan dus niet verbinden met de export die ik van de VPN server van synology heb gehaald
ik denk niet dat het ligt aan LAN-IP, want ik weet dat het belangrijk is om IP te hebben die niet in hetzelfde bereik zitten.
IP NAS 1: 192.168.200.x
IP NAS 2: 192.168.15.x
IP OpenVPN: 10.8.0.x

Source, All IP naar Destination poort 1195 van de NAS.

Dat bedoel ik inderdaad

Ik kan sonicwall en pfsense niet uitschakelen, omdat ze router zijn en dus internet uitdelen.

Als ik trouwens de export even inlaadt op mijn PC binnen OpenVPN, dan krijg ik onderstaand venster. Dat doet me vermoeden dat mijn IP (of DDNS) niet is ingegeven. Waar moet ik dat doen? Ik heb die optie niet gezien bij het opzetten van de VPN server. Ik heb geprobeerd om dit te doen in de OVPN file en als ik IP ingeef:
Sun Feb 07 15:47:56 2016 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sun Feb 07 15:47:56 2016 UDPv4 link local (bound): [undef]
Sun Feb 07 15:47:56 2016 UDPv4 link remote: [AF_INET](hier staat ip adres):1195
Sun Feb 07 15:48:56 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Sun Feb 07 15:48:56 2016 TLS Error: TLS handshake failed
Sun Feb 07 15:48:56 2016 SIGUSR1[soft,tls-error] received, process restarting

Op zich is die OVPN file natuurlijk niet belangrijk voor de NAS1, hier moet ik enkel het certificaat importeren en zelf aangeven wat mijn server adres is waar hij naartoe moet. Maar dit lukt nog steeds niet

[mchp92]

Het IP adres moet het IP van de WAN side van je router zijn, en daar kun je evt het ddns adres invoeren dat je met synology waarschijnlijk hebt gemaakt
Je kubt dan alleen niet meer via die url connecten van buitenaf
Vergeet niet in de router vj provider, de betreffende poort te forwarden naar je nas. Meestal 1194 of 1195

[Pippin]

TLS Error: TLS key negotiation failed to occur within 60 seconds

Dit betekent in de regel dat er helemaal geen verbinding tot stand komt.
En dat, zo blijkt, met drie apparaten.
Ben dus sterk geneigd te denken dat het een firewall is als je tenminste DDNS en/of WAN-IP juist hebt ingevuld.


Ben je bekent met WinSCP?
Log dan eens in op de NAS en voeg

Code: [Selecteer]

log /var/log/openvpn.log
verb 4toe aan

Code: [Selecteer]

openvpn.confdie je vindt in

Code: [Selecteer]

/usr/syno/etc/packages/VPNCenter/openvpn
Herstart VPN en probeer met een client te verbinden.
Open vervolgens

Code: [Selecteer]

/var/log/openvpn.logen post de inhoud hier na verwijderen van je WAN-IP.

[yvesict]

@mchp92 dat zou allemaal juist moeten zijn (IP van WAN en de rule in mijn firewall.

@MMD ik kan inloggen met winscp, maar krijg een permission denied error bij het opslaan van de gemaakte wijzigingen.

[Pippin]

Inloggen met gebruikersnaam root en het wachtwoord van admin.