ddNs werkt niet meer met openvpn tunnel

[mchp92]

Wil je daarmee zeggen dat de port forwards moeten uit staan als ik via lan cq vpn connect?
Lijkt me toch nog steeds onligisch, als was t maar omdat ik al jaren binnen lan connect met port forwards aan. Port nummer moet natuurlijk wel worden gebruikt anders weet nas niet welk proces het verkeer moet oppakken

[Babylonia]

Port Forwarders zijn alleen functioneel voor benadering van "normaal" extern verkeer van buiten uit. Enkel een hulpmiddel om onderscheid te kunnen maken wat het verkeer verder in je LAN moet doen, zonder voor "die buitenstaander" te weten welk intern LAN IP-adres daarvoor wordt gebruikt.
(Je draait bijv. een web-server op je NAS waar gebruikers gewoon je WAN IP-adres van je internet account intikken, of een eraan gekoppelde domeinnaam).
Voor intern LAN-verkeer hoef je ze niet uit te zetten, maar ze zijn op dat moment helemaal niet actief functioneel.
Voor intern LAN-verkeer maak je onderscheid door de LAN-IP adressen op te roepen waar een apparaat achter hangt.

Doe maar eens een test door die Port Forwarders uit te schakelen, en je NAS binnen je eigen LAN, of via VPN te benaderen zonder die Port Forwading. Voor een VPN-server op je 2e router moet uiteraard nog wel de poort in de 1e router zijn doorgestuurd naar de 2e router die wordt gebruikt voor het VPN-protocol (1194),

Wel het poortnummer achter het interne LAN IP-adres invullen voor de juiste service, indien er meerdere services op je NAS actief zijn.

[Pippin]

DDNS laat het IP van ibvpn zien, voor de oplossing zie:

@mchp92
Voor de duidelijkheid, is je Iphone (aan 3G) verbonden met ibvpn?
In dat geval zul je contact op moeten nemen met ibvpn zoals reeds geschreven.

Hoewel mijn vraag niet direct beantwoord werd is het antwoord waarschijnlijk toch gekomen:

dat als ik via de tunnel binnenkom in mijn nas

Dus nogmaals zie:

@mchp92
Voor de duidelijkheid, is je Iphone (aan 3G) verbonden met ibvpn?
In dat geval zul je contact op moeten nemen met ibvpn zoals reeds geschreven.

[mchp92]

Heb tickets ingeschoten bii zowel ibvpn als synology
Hoopte even dat iemand hier zoiets al had opgezet en wist hoe t precies zit om t aan de praat te krijgen

[Pippin]

Als je met je Iphone over 3G zonder VPN je NAS wilt bereiken, kun je meerdere gateways inschakelen.

In dit geval moeten natuurlijk wel de poorten openstaan voor de betreffende Apps.

[mchp92]

Zonder vpn werkt alles als een zonnetje
Kan zelfs op kantoor over wifi aldaar, met dsvideo mijn films van thuis af streamen
3g idem (langzamer alleen)
Het is de vpn van buitenaf (wan) naar binnen (lan) waar t mis ging

[Pippin]

Kunnen we uit "ging" afleiden dat het nu opgelost is?

[Babylonia]

Het is de vpn van buitenaf (wan) naar binnen (lan) waar t mis ging

Mogelijk moet je wel in de Firewall de achterliggende virtuele IP-gateway open zetten om toegang te hebben tot de applicaties in je "normale" LAN IP-range??
Voor de Open VPN server op mijn Synology router is de virtuele VPN IP-range standaard in het   10.8.0.xxx   bereik,
terwijl de "normale" LAN IP-range van mijn router in het   192.168.10.xxxx   bereik ligt.

Update:
Ik heb het net even bekeken voor mijn situatie met een Synology router. Daar moest ik inderdaad in de Firewall voor Open VPN de virtuele IP-range (in het 10.8.0.xxx bereik) openstellen om connectie te kunnen maken met de router zelf via het eigen LAN IP-adres (in het 192.168.10.xxxx bereik).
Is bij mij eigenlijk standaard ingesteld, maar heb gekeken wat het doet als ik die juist uitschakel.

Voor de NAS was dat evenwel niet nodig, maar dat komt mogelijk door het specifieke beleid van de Synology router waar Port Forwarders vóór Firewall regels gaan, en daarmee settings van de Firewall overrulen. Voor een andere router, zoals dat van de TS, kan dat mogelijk anders uitpakken, afhankelijk van het beleid van die firmware ten aanzien van een Firewall.

(Op afstand met twee computers kan ik via de "normale" niet VPN-verbinding mijn router op afstand bereiken en instellingen veranderen, en op de andere computer via de VPN-connectie testen hoe het uitpakt).

[mchp92]

Let op - het probleem met mijn nas staat los van mijn vpn server op mijn router
Ook als die uit staat, heb ik het probleem met ibvpn. Server is natuurljk extern, mijn nas is vpn client

[mchp92]

Het lijkt erop dat ik een werkende oplossing heb, na tips vd vpn helpdesk
Remote connect aan nas moet bij vpn gebruik niet meer via syn ddns (die wijst naar een server waar je geen routing / firwarding kunt inregelen), maar via QuickConnect
Dan werkt t allemaal

[Babylonia]

Vind ik toch een "vreemde" oplossing waarom dit wel zou werken en een DDNS domeinnaam niet, tenzij je ten behoeve van een DDNS domeinnaam de benodigde Port Forwarders voor je thuissituatie niet helemaal correct hebt ingesteld.

Het verschil van QuickConnect tegenover het gebruik van een DDNS domeinnaam is feitelijk alleen het stukje thuisnetwerk waar je bij QuickConnect geen Portforwarders hoeft in te stellen.

Of met andere woorden, er zit mogelijk een discrepantie in je ingestelde Port Forwarders, als het met een DDNS domein niet werkt?
Iemand met meer technische kennis daar nog een gedachte over?

[Pippin]

Eigenlijk wou ik niet meer reageren omdat er op bepaalde vragen geen antwoord kwam, maar goed.

In dit geval werkt DDNS niet omdat:
DS is verbonden met een VPN provider en dat betekent dat de DDNS het IP van het exit-point (ibvpn) laat zien.
Dus als je van buiten wilt verbinden met DDNS wordt er verbonden met ibvpn en gaat dus zo niet werken.

De antwoorden om dat op te lossen staan in het topic maar worden niet gelezen.
Lang leve QC 

[mchp92]

Ja mijn hypothese is ditzelfde. ddns wijst naar vpn exit. Verkeer dat van binnenuit mijn lan start en via vpn naar buiten gaat, ziet de respons op "natuurlijke wijze" door de vpn terugkomen
Als ik vanaf buiten naar binnenwil, komt mijn request bij het vpn server point. Maar die server heeft "geen idee" waar t verkeer binnen het vpn heen moet
Dus ondanks dat de forwards binnen mijn router goed staan, heb ik er niets aan.
Vervolghypothese: als ik van buitenaf rechtstreeks op mijn IP van mijn isp's router connect (mijn meterkast, zeg maar), zou t alsnog moeten werken
Lijkt me te prefereren boven qc, dat loopt nl via relays van synology

@mmd: vraag: ik heb een vpn server op mijn binnenste router. Als ik via zo n tunnel verkeer naar mijn router stuur, zou het dan theoretisch moeten werken? Mijn buitenste router heeft dns entry op mijn persoonlijke url die naar binnen toe resolvet, en niet via de synology ddns

[Babylonia]

Het is wel een interessant gegeven. Moeilijk om je voor te stellen wat er allemaal gebeurt en hoe de datastromen lopen.

ik heb een vpn server op mijn binnenste router. Als ik via zo n tunnel verkeer naar mijn router stuur, zou het dan theoretisch moeten werken? Mijn buitenste router heeft dns entry op mijn persoonlijke url die naar binnen toe resolvet, en niet via de synology ddns

In het geval van een VPN-server op de 2e router, en je wilt als Client van buitenaf de VPN-server benaderen.
Eenmaal een tunnel actief, bij connectie van buitenaf gebruik je feitelijk daarna gewoon een intern LAN IP-adres.
Wil je naar de NAS, gebruik je het intern LAN IP-adres waar de NAS achter zit.

Maar ik heb even wat gespeeld of er ook andere scenario's' werken.
VPN-server op de 2e router (Synology RT1900ac) +  gebruik van het 3G netwerk (smartphone).

Test 1
Vanuit de 1e router alleen de VPN-poort doorgestuurd naar de 2e router. Op de 2e router draait de VPN-server.
Expliciet alleen heb ik dan toegang extern via VPN. Eenmaal de VPN-tunnel actief, kan ik alleen met een intern LAN IP-adres de erachter hangende NAS benaderen.
Zowel een QuickConnect als DDNS-domein werken in dat geval niet.

Test 2
Vanuit de 1e router is niet alleen de VPN-poort doorgestuurd naar de 2e router, maar ook de reguliere poorten voor een "normale" verbinding. Op de 2e router draait de VPN-server.
- Gebruik van LAN IP-adres kan ik contact maken met de erachter hangende NAS.
- Gebruik van het WAN IP-adres van mijn internet account kan ik contact maken met de erachter hangende NAS.
Volgens mij heb ik in dit geval eerst contact via de tunnel tot aan de VPN-server, gaat vervolgens de connectie weer "naar buiten", om dan via de "reguliere" connectie weer terug te komen op mijn internet-aansluiting, via Port Forwarding dan verder te gaan naar de 2e router, en verder via Port Forwarding op de 2e router connectie met de erachter hangende NAS. (Zonder die 2e Port Forwarding werkt het ook niet).

Op die wijze, werken bij mij tevens QuickConnect en de DDNS domeinnaam.
Hoe dat dan werkt met "loop backs" e.d. is mij niet bekend. Maar dat er sprake is van een "loop back" wordt dadelijk duidelijk.

Dat ik eerst echt connectie via de VPN-tunnel heb tot aan mijn VPN-server thuis, heb ik gecheckt door op de smartphone een webbrowser op te klikken en bij  "watismijnip.nl"  het IP-adres te controleren van waaruit ik connectie heb. Die geeft het IP-adres weer van mijn internetconnectie thuis en niet van mijn connectie via 3G.

Tevens heb ik even in de logbestanden gekeken van de NAS. Die geeft op de bewuste tijdstippen ook enkel een connectie weer vanuit mijn eigen WAN-IP adres thuis, niet vanuit een mobiel 3G netwerk IP-adres. (En ervoor vanuit een LAN IP-adres bij test 1).

[mchp92]

Ga ik eens rustig bestuderen
Dank voor je experimenten