Synology-Forum.nl
Overige software => DDNS / Quick Connect / EZ-Internet / Portforwarding => Topic gestart door: BCMascha op 12 januari 2016, 09:01:45
-
Hallo allemaal,
Ik heb mijn DS215j ingesteld zodat ik het overal ter wereld kan bereiken. Er draait een Wordpress site en een Cloud Station op, en uiteraard de DSM. Het probleem is nu echter dat ik op school mijn DSM + Cloud Station niet kan bereiken, omdat de poorten dicht staan. WP wel, omdat dit poorten 80, 443 en 3306 zijn. Daar gaat het hele Cloud idee (En main-reason waarvoor ik het kocht)! WP draait op 80, 443 en 3306, DSM op 5001 en Cloud Station op 6690 (Deze kan niet verandert worden). Mijn vraag is nu hoe ik in ieder geval mijn Cloud Station kan laten werken op school. Iemand enig idee? Ik las iets over het instellen in de router, dat als je connect met poort 80 dat hij in de router dan naar 6690 gaat, maar is er nog een andere oplossing (Behalve VPN)?
Alvast bedankt!
PS: Mocht er geen andere oplossing zijn dan poort 80 naar 6690 omlussen, neem ik aan dat WP niet meer gaat werken?
-
Poort 8080 staat vaak ook open
Welicht kun je die omlussen
-
Twee opmerkingen:
- Het is naar mijn mening zeer onverstandig om DSM (5001) open te zetten naar het internet.
- Installeer de VPN server op je NAS. Dan kun je via een VPN tunnel je NAS thuis benaderen op een veilige manier. Dan kun je via die tunnel DSM benaderen en CloudStation gebruiken. Als je die tunnel via 443 laat lopen, kan WP op 80 blijven werken.
-
Ik las iets over het instellen in de router, dat als je connect met poort 80 dat hij in de router dan naar 6690 gaat
Dat heet Port forwarding !
Log in op je router, en zoek naar Port Forwarding.
Daar aangekomen, kun je 'regels' invoeren waarnaar je router gaat luisteren.
Je router wilt weten : poort nummer binnenkomst, IP adres van device welke aan je router hangt die moet worden aangesproken en eventueel het poort nummer wat gebruikt moeten worden op dat device.
-
Poort 8080 staat vaak ook open
Welicht kun je die omlussen
Thanks, die gaat dus op Cloud Station!
- Het is naar mijn mening zeer onverstandig om DSM (5001) open te zetten naar het internet.
Wil ik wel uitzetten, maar heb een SSL certificaat. Het lokale IP adres (192.168.x.x) geeft aan dat de verbinding onveilig is (Omdat de SSL op mijn domein staat), maakt dit uit? Zo niet, dan gaat poort 5001 eruit, ja.
Dat heet Port forwarding !
Poorten die ik vanaf buitenaf wil bereiken, staan allemaal al in poort forwarding. (Is getest en werkt) Het was meer iets van target poort.
-
Poorten die ik vanaf buitenaf wil bereiken, staan allemaal al in poort forwarding. (Is getest en werkt) Het was meer iets van target poort.
Target poort is dus het poort nummer op je device in jouw netwerk.
Je kunt dus iets binnen laten komen op poort 12345, en wat dan doorgezet wordt naar poort 8080 op IP 192.168.x.x.
[attachimg=1]
-
Ik heb zojuist de poort 8080 gebruikt om naar poort 5001 te leiden (om te testen) en dit werkt. Nu echter het probleempje dat de poort van Cloud Station niet verandert kan worden, dus aan deze manier heb ik eigenlijk vrij weinig voor Cloud Station.
Twee opmerkingen:
- Het is naar mijn mening zeer onverstandig om DSM (5001) open te zetten naar het internet.
- Installeer de VPN server op je NAS. Dan kun je via een VPN tunnel je NAS thuis benaderen op een veilige manier. Dan kun je via die tunnel DSM benaderen en CloudStation gebruiken. Als je die tunnel via 443 laat lopen, kan WP op 80 blijven werken.
Dit is iets wat ik dus ook wou instellen, zodat ik op school ook gewoon elke site op kan. Echter mijn vraag is wat je bedoelt met tunnelen/hoe dat werkt? (VPN staat geïnstalleerd)
Laat ik het in ieder geval zo zeggen: Ik ken een programma genaamd Hideman. Je start het op en connect naar een server en je kan via die server overal op komen, ook wat er op school/werk is geblokkeerd. (Poorten, sites, etc) Ik wil dit met mijn NAS ook kunnen.
-
Als de school of bedrijf poorten blokkeert, is dat niet voor niets. Als je blokkeringen wilt passeren, overleg je dat met de netwerkbeheerder of je blijft er af.
Kon een QuickConnect niet dergelijke poorten omzeilen? Want volgens mij is dat het enige voordeel van CQ dat hij ook vanaf een gesloten netwerk werkt. Als het alleen wat op je eigen netwerk doet, zie ik het voordeel t.o.v. de synology ddns service niet.
-
Als de school of bedrijf poorten blokkeert, is dat niet voor niets. Als je blokkeringen wilt passeren, overleg je dat met de netwerkbeheerder of je blijft er af.
Dat klopt, het is niet voor niets. Het is puur geblokkeerd zodat je niet op vrije-tijds dingetjes kan. Maar in mijn NAS staan ook een hoop nuttige bestanden waar ik graag bij wil kunnen + mijn school bestanden. (Expres op NAS gezet, want ik wordt gek van het overzetten naar thuis computer. Dropbox is weer te klein en Onedrive en andere dingen vind ik weer niet lekker werken) Ook zoek ik vaak informatie op op school, en zijn de meeste sites niet bereikbaar terwijl er wel een hoop informatie op staat. Netwerkbeheerder van school dat wijsmaken? Veel succes...
Kon een QuickConnect niet dergelijke poorten omzeilen? Want volgens mij is dat het enige voordeel van CQ dat hij ook vanaf een gesloten netwerk werkt. Als het alleen wat op je eigen netwerk doet, zie ik het voordeel t.o.v. de synology ddns service niet.
Quickconnect omzeild alleen maar de router waarop de NAS zit aangesloten (tot zo ver ik weet tenminste?).
-
VPN Server installeren en instellen op poort 8080, in router poort 8080 naar 8080 van je NAS doorlussen, OpenVPN Connect op je telefoon/tablet/laptop.
Dan hoeft er maar één poort open en je kunt alles bereiken.
QC maakt overigens ook gebruik van (zeer magere) VPN als één van de manieren om de DS te bereiken.
Is echter naar mijn idee niet een mogelijkheid om verschillende reden.
Liever zelf in de hand nemen, leer je veel van.
Edit:
Heb weer eens de openingspost niet goed gelezen... ::)
Precies zoals @Hofstede aangeeft is de manier voor jouw.
-
Precies zoals @Hofstede aangeeft is de manier voor jouw.
- Installeer de VPN server op je NAS. Dan kun je via een VPN tunnel je NAS thuis benaderen op een veilige manier. Dan kun je via die tunnel DSM benaderen en CloudStation gebruiken. Als je die tunnel via 443 laat lopen, kan WP op 80 blijven werken.
Opmerking over WP op poort 80: WP heeft een https verbinding en wordt dus automatisch naar de https (poort 443) verbinding gegooid. (Heb ik dat goed?) Over de VPN tunnel: Is het dan zo dat je met je laptop met je NAS connect en dus (Om het even makkelijk te maken) op je laptop bij watismijnipadres.nl je thuis IP krijgt te zien, en dus alle blokkeringen omzeild? Dit is namelijk wat ik zoek qua VPN. (Hideman is een voorbeeld hiervoor) Zoja, wat moet ik dan instellen/installeren? ::)
En even los van de VPN: Is er ook een mogelijkheid om gewoon lokaal op je device iets in te stellen dat je Cloud Station ipv 6690 naar 8080 gaat? Als bijvoorbeeld iemand anders van de cloud gebruik wilt maken dat diegene dus niet een VPN hoeft te gebruiken. Las zelf dit om in CMD in te voeren: netsh interface portproxy add v4tov4 listenport=6690 connectaddress='IP/dns of your router' connectport='open port (eg 443)' listenaddress='IP/dns of your router' protocol=tcp Maar is dit wel veilig/slim?
Tot nu toe bedankt voor het geduld en de hulp ^^
-
poort 443
Je kunt ook poort 53 nemen.
je thuis IP krijgt te zien
Ja, mits je in de config van de OpenVPN client 2.3.10 op je laptop het # weghaalt voor #redirect-gateway
wat moet ik dan instellen/installeren?
Op je NAS OpenVPN Server te vinden in het Package Center.
Op je laptop OpenVPN 2.3.10 (https://openvpn.net/index.php/download/community-downloads.html).
Geen idee of je van Cloud Station de poorten kunt wijzigen.
-
Ja, mits je in de config van de OpenVPN client 2.3.10 op je laptop het # weghaalt voor #redirect-gateway
Sidestep - ik heb issues om openvpnd met linksys wrt1900ac als server aan dr praat te krijgen en ik denk dat die redirect-gateway een rol speelt (iphone is client)
Summary:
- zonder die option blijft mijn telefoon t ip adres vd 3g verbinding houden
- met die optie kan ik niet eens meer een site openen om dat te checken (geen enkele site geeft dan nog respons)
Enig idee wat er aan de hand is? Issue ligt al in 2e lijns support van linksys maar die hebben me alleen nog maar 10 dingen laten checken en nog geen oplossing...
-
Even een losse opmerking er tussendoor.
Er bestaat niet zoiets als een uitgaande poort.
Je kunt alleen binnenkomen via een poort.
Die school kan dus helemaal geen poorten blokkeren.
Wat er geblokkeerd wordt is een protocol.
Dus andere poorten gebruiken helpt echt niet.
Je moet een manier vinden om dingen te doen over een wel toegestaan protocol, zoals bijvoorbeeld VPN over http(s).
-
@BCMascha MOD: Onnodige citaat is verwijderd, lees even. (http://www.synology-forum.nl/vragen-en-opmerkingen-over-het-forum/gebruik-de-citaatknop-met-mate-17838/)
Ik weet dan niet hoe je het dan wel noemt, maar als ik bijvoorbeeld 5001 omlus van 8080 naar 5001 dan kan ik op school wel op de DSM.
Ik ga zo de VPN even testen.
-
je thuis IP krijgt te zien
Ja, mits je in de config van de OpenVPN client 2.3.10 op je laptop het # weghaalt voor #redirect-gateway
wat moet ik dan instellen/installeren?
Op je NAS OpenVPN Server te vinden in het Package Center.
Op je laptop OpenVPN 2.3.10 (https://openvpn.net/index.php/download/community-downloads.html).
De client geïnstalleerd, maar ik kom er niet uit. Heb de 3 files server-, client- en sample.ovpn uit sample-config naar config gezet en allemaal geprobeerd in te stellen, maar het lukt gewoon niet. (Het ziet er ook niet erg makkelijk uit) Ik kan niet verbinden. Weet natuurlijk wel zeker dat het hier ergens fout gaat. Is er geen programma dat je gewoon opstart en dan de server in kan vullen? Zeg nou zelf, veel makkelijker?...
Geen idee of je van Cloud Station de poorten kunt wijzigen.
Nee, die poort kan je niet wijzigen. (Al in 2012 over geklaagd door meerdere mensen, maar Synology vertikt het om dit in te voeren. Hoop gezeur omdat 6690 bijna nergens 'open' staat...)
-
Ik weet dan niet hoe je het dan wel noemt, maar als ik bijvoorbeeld 5001 omlus van 8080 naar 5001 dan kan ik op school wel op de DSM.
Er is in dat geval op school een firewall die outbound port filtering doet, wat eigenlijk zinloos is want je kunt toch niet alle outbound poorten blokeren zoals je gezien hebt.
-
Wilde net antwoorden maar @Ben(V) deed het al.
Mijn antwoord zou zijn dat er dan op poort 8080 niet gefilterd wordt wat dan op hetzelfde neerkomt.
In OpenVPN Server moet je de config exporteren en vervolgens aanpassen zoals ik heb aangegeven.
Tevens vul je je publieke IP in en de DNS van je LAN. Die laatste is hoogstwaarschijnlijk het IP van je router.
De config is een *.ovpn en die plaats je dan samen met het ca.crt in c:\Program Files\OpenVPN\config\
Testen doe je van buiten je eigen LAN/WLAN.
B.v. door je laptop te verbinden aan de hotspot van je telefoon waarvan de WiFi uitstaat.
Of een openbare hotspot of bij de buurman....etc.
-
Er bestaat niet zoiets als een uitgaande poort.
Je kunt alleen binnenkomen via een poort.
Waarschijnlijk bedoel je het anders dan je schrijft, maar als mijn mail programma via poort 25 met een externe smtp server praat, is dat in mijn beleving een uitgaande poort op mijn router. En als ik poort 25 op mijn router blokkeer, dan kan ik, geen mail versturen via poort 25. Dat is dan wel in beide richtingen gesloten en niet specifiek uitgaand.
-
In OpenVPN Server moet je de config exporteren en vervolgens aanpassen zoals ik heb aangegeven.
Tevens vul je je publieke IP in en de DNS van je LAN. Die laatste is hoogstwaarschijnlijk het IP van je router.
De config is een *.ovpn en die plaats je dan samen met het ca.crt in c:\Program Files\OpenVPN\config\
Ik denk dat je dit bedoelt zoals in deze tutorial beschreven @ exporteren: https://www.synology.com/en-us/knowledgebase/tutorials/592#t3.1
Als ik het programma installeer en start, krijg ik alleen maar een icoontje in mijn tray met de opties Instellingen en Afsluiten. Ik krijg geen bestanden genaamd *.opvn en *.crt. Ook komt er helemaal geen GUI naar boven, heb alleen het tray icoontje dus. (Ook al compatibiliteit geprobeerd) Ik zou niet weten waar ik deze anders vandaan moet toveren? :s
-
DS:
Je exporteert een zip bestand uit de VPN Server op de NAS.
De twee bestanden in die zip, ca.crt en openvpn.ovpn plaats je in de aangegeven map van de OpenVPN client op je laptop.
openvpn.ovpn aanpassen zoals door mij beschreven en opslaan.
Laptop:
OpenVPN sluiten.
Onder de tab compatibiliteit de optie "Als administrator uitvoeren" aanvinken.
OpenVPN starten.
Nu moet je het profiel "openvpn" kunnen verbinden.
-
Waarschijnlijk bedoel je het anders dan je schrijft, maar als mijn mail programma via poort 25 met een externe smtp server praat, is dat in mijn beleving een uitgaande poort op mijn router. En als ik poort 25 op mijn router blokkeer, dan kan ik, geen mail versturen via poort 25. Dat is dan wel in beide richtingen gesloten en niet specifiek uitgaand.
Ik bedoel precies wat ik zeg.
Als er zoiets als een uitgaande poort bestond zou je die moeten adresseren als je iets zou willen versturen.
Echter je geeft alleen een ipadres en een poort van je target op en niet de poort waar je het dan uit zou willen sturen.
Bij een router lijkt dat misschien zo maar dat komt doordat zo'n ding routeert, ofwel altijd zowel iets erin als eruit.
Daar kun je dus het 'erin' blokeren.
Kijk maar eens met wireshark, dan zie je echt alleen maar verkeer met een ip:poort adressering en echt geen afzenderpoort
-
Ik heb de VPN even snel via mijn hotspot van mijn mobiel getest en hij werkt tot zo ver! Over 3 dagen weet ik ook of dit op school het geval is, maar dat zal vast wel zo zijn. Alleen heb ik nog 1 vraagje: Kan/Gaat de VPN ook werken over de SSL verbinding die op de DS staat ingesteld? Ik wil namelijk niet dat een hackertje straks even doodleuk mijn wachtwoord makkelijk kan zien, mocht dit ooit voorkomen.
-
Ik heb de VPN vandaag op school getest en ben ten einde raad. Ik heb getest en gedaan en ik kom er niet uit. De VPN werkt op mijn mobiele netwerk, maar op school weigert het weer eens. Dit is de log die ik krijg:
Mon Jan 18 09:17:00 2016 OpenVPN 2.3.10 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Jan 4 2016
Mon Jan 18 09:17:00 2016 Windows version 6.2 (Windows 8 or greater)
Mon Jan 18 09:17:00 2016 library versions: OpenSSL 1.0.1q 3 Dec 2015, LZO 2.09
Mon Jan 18 09:17:06 2016 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Mon Jan 18 09:17:06 2016 UDPv4 link local (bound): [undef]
Mon Jan 18 09:17:06 2016 UDPv4 link remote: [AF_INET]xxx.xx.xxx.xx:8080
Mon Jan 18 09:18:06 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Jan 18 09:18:06 2016 TLS Error: TLS handshake failed
Mon Jan 18 09:18:06 2016 SIGUSR1[soft,tls-error] received, process restarting
Iemand?
EDIT: De VPN doet het nu wel opeens. Geen idee hoe het opeens werkt, maar het werkt. Hoewel, ik kan nog steeds niet bij mijn Cloud Staion... (www.watismijnip.nl geeft mijn thuis IP aan) Iemand enig idee hoe dit probleem nu weer verholpen kan worden? >.<
PPS: Alle poorten die geblokkeerd worden door school doen het nog steeds allemaal niet.
-
Je logbestand geeft iets anders aan, met wat er fout is:
WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Op de website bij Opne VPN vind je daar informatie over, met wat er verkeerd loopt.
https://openvpn.net/index.php/open-source/documentation/howto.html#mitm
an authorized client tries to connect to another client Wat dat dan ook moge inhouden. (Twee Clients ???)
Ik neem aan dat je op school van je laptob gebruik maakt en niet van je mobiel.
Heb je wel de juiste software / en certificaat op je laptop gezet? (En start je OpenVPN wel op als "Administrator" ? )
-
Ja, deze opties heb ik allemaal gedaan en ja ik maak gebruik van mijn laptop, niet mobiel. Het oplossen van de error is ook gelukt. Het probleem nu is echter alleen dat ik nog steeds niet op de geblokkeerde poorten kan. (Cloud Station nog steeds blocked) Mobiel wel nogmaals getest, en daarmee kan ik wel op Cloud Station. (Logisch, want deze heeft niks geblokkeerd)
-
Vreemd dat je via VPN niet bij Cloud Station terecht zou kunnen komen. Omdat je via VPN een tunnel hebt naar je interne LAN thuis, heb je verder met "poorten blokkeren" m.b.t. Cloud Station helemaal niets te maken, je zit immers "in je eigen LAN netwerk".
Het enige wat ik dan zou kunnen bedenken is dat je thuis Firewall regels m.b.t. het door de VPN gebruikte virtuele LAN netwerk niet goed hebt staan, of de configuratie van het openvpn.ovpn bestand niet goed hebt uitgevoerd, waardoor je niet verder komt.
Een mobieltje reageert anders als een Windows gebaseerd systeem heb ik eerder ook gemerkt.
Dus dat kun je niet helemaal met elkaar vergelijken.
Mogelijk vind je wat extra info in een ander draadje om de openvpn.ovpn correct te configureren + regels voor Firewall.
- Firewall regels, wat meer onderaan < HIER > (http://www.synology-forum.nl/synology-router/vpn-verbinding-met-rt1900ac-als-vpn-server/msg173632/#msg173632) (wel afgestemd op de situatie zoals daar vermeld = NAT achter NAT).
- Configureren openvpn.ovpn < HIER > (http://www.synology-forum.nl/synology-router/vpn-verbinding-met-rt1900ac-als-vpn-server/msg173529/#msg173529)
-
Ik heb de links bekeken en weer wat gerotzooid. Als ik met de VPN verbind kan ik op alle geblokkeerde sites komen, maar niet op geblokkeerde programma's of poorten. (Cloud Station, Steam, TeamSpeak, etc)
Ik heb de firewall op de DS compleet uitgezet, LAN en PPPoE op Toestaan gezet. Nu kan ik op alle geblokkeerde sites en programma's komen, maar nog steeds niet op Cloud Station. (Ook op xxx.nl:5001 (DSM) kan iki trouwens niet komen). Kijk we komen steeds een stapje dichterbij.
Alle poorten staan wel geforward en ook goed in mijn router. Ik heb de VPN compleet over poort 8080 TCP lopen. (VPN ook ingesteld op 8080, geen omlussen. Zo heb ik die error van eerst ook kunnen verhelpen)
Config can openvpn.ovpn:
dev tun
tls-client
remote www.xxx.nl 8080
# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)
#float
# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)
redirect-gateway def1
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
#dhcp-option DNS DNS_IP_ADDRESS
pull
# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto tcp-client
script-security 2
ca ca_bundle.crt
comp-lzo
reneg-sec 0
auth-user-pass
Zelf ben ik een beetje ten einde raad.
EDIT: Ik heb Cloud Station opnieuw ingesteld, maar nu niet op www.xxx.nl, maar op 192.168.x.x. Nu doet hij het wel. Het kwam toch ineens in mij op toen ik de zin "Je zit eigenlijk op de thuis netwerk" las. Maar dan nog ben ik wel heel nieuwsgierig waarom hij het gewoon niet met mijn public IP + domein doet? Overigens wordt de SSL functie nu ook niet gebruikt/gezien omdat ik op local zit, dus niet veilig. Dus liever heb ik gewoon normaal domein...
-
EDIT: Ik heb Cloud Station opnieuw ingesteld, maar nu niet op www.xxx.nl, maar op 192.168.x.x. Nu doet hij het wel. Het kwam toch ineens in mij op toen ik de zin "Je zit eigenlijk op de thuis netwerk" las. Maar dan nog ben ik wel heel nieuwsgierig waarom hij het gewoon niet met mijn public IP + domein doet?
Tja, dat is nu eenmaal heel het eieren eten bij VPN. Je maakt een "Virtueel Privé Netwerk" connectie.
Het (privé) "LAN thuis-netwerk" wordt virtueel doorgetrokken naar een verbinding elders via die VPN-tunnel.
Je moet als de VPN-tunnel eenmaal tot stand is gekomen, dus je IP-adressen gebruiken van je LAN thuis.
Als je via VPN ook een webbrowser opstart "elders" op school, en je tikt in de adresregel http://www.mijn-ip.net/ in,
krijg je het WAN IP-adres te zien van je thuis internet-aansluiting, en niet dat van de school (als alles goed is ingesteld).
Vraag me af of je dan niet alles veel te moeilijk hebt opgezet, met omlussen van de VPN poorten ?
Ik zou gewoon eens helemaal opnieuw beginnen met de poorten die er normaal voor staan.
Overigens zie ik (misschien om die reden) wel een aantal discrepanties in de configuratie van het openvpn.ovpn bestand,
ten opzichte wat ikzelf eerder als algemene configuratie heb ingesteld. (http://www.synology-forum.nl/synology-router/vpn-verbinding-met-rt1900ac-als-vpn-server/msg173529/#msg173529)
Met dat omlussen (dan dus weer terug gaan naar):
remote [ Vul hier je WAN internet account IP-adres in ] 1194
- Bij jou zijn geen DNS servers ingevuld
dhcp-option DNS DNS_IP_ADDRESS
- Verder heb je voor Open VPN een TCP protocol ingesteld, in plaats van een UDP protocol
proto tcp-client
versus
proto udp
ca ca_bundle.crt ???
De VPN-server van Synology maakt helemaal geen gebruik van een certificaat wat als ca_bundle.crt is benoemd.
gewoon ca.crt
Dat ca_bundle.crt komt o.a. wel voor bij een beveiligingscertificaat wat door Comodo wordt uitgegeven, als je dat wilt koppelen aan een domein. Maar dat heeft helemaal niets met VPN te maken.
Zelf heb ik onlangs een gastles gegeven op de school van mijn dochter.
Ik kon zowel een VPN-verbinding opzetten als rechtstreeks met de hele klas (dus niet in VPN-mode) op mijn server inloggen die in mijn geval voor dit project meteen aan de Synology router is gekoppeld (poort 8000 / 8001).
Het is wat Ben(V) eerder heeft aangegeven, als "aanroepende" (uitgaande) partij, vanuit de school heb je niets te maken met poorten.
Dat is enkel van belang als "inkomende" partij bij je zelf thuis, wat dan doorgestuurd moet worden naar de server die erachter hangt.
Ik kan me wel voorstellen dat men op een school wel filtert op uitgaand verkeer. Dat is meestal gebaseerd op internet web-verkeer ("ouderlijk toezicht" op internet sites), niet op typische services naar achterliggende servers. Ik vermoed dat leerkrachten en directie namelijk zelf ook nog wel eens van VPN-gebruik maken, voor bijv. een achterliggende service ten aanzien van de bestuurlijke organisatie / communicatie van de school zelf. Dus zal men dat niet blokkeren.
-
Op dit moment staat er niets doorgelust naar andere poorten. Ik had eerst 8080 naar 1194 staan in mijn router, maar hierdoor kreeg ik die "TLS key negotiation failed" error. Ik heb toen de VPN zelf in de DS op poort 8080 gezet en ook in de router. Hierdoor werd het opeens TCP en heb ik dat dus ook overal ingesteld. (Ook configuratie opnieuwe geëxporteerd) Op deze manier werd die error verholpen en deed de VPN het wel. Ik kan op mijn laptop wel 1194 instellen, maar met die poort kan ik niets omdat school deze filtert. (Of hoe je het nu exact noemt) Poort 8080 doet het wel, dus gebruikte ik daarom die. Over de DNS server, ik had die van Google gebruikt, maar ook dan kan ik niks met Cloud Station als die ingesteld is op www.xxx.nl of mijn IP. Over het cerificaat: Als ik mijn instellingen exporteer staat er toch echt al standaard ca_bundle.crt in ipv ca.crt. Ik krijg ook beide certificaten.
Zal het nu nog 1 keer proberen in te stellen op jouw manier, en daarna alle mogelijke manieren die ik al geprobeerd had.
-
Misschien kun je eens naar het IP-adres van de school een trace of poortscan doen welke poorten voor hun services "open staan".
Heb je een indicatie wat je wel of niet kan gebruiken. Als zij bepaalde services gebruiken voor hun eigen organisatorische verkeer, zal het andersom (voor uitgaand verkeer) in ieder geval ook niet geblokkeerd zijn.
Scan vanuit een bekend website: "Shields Up" (https://www.grc.com/x/ne.dll?bh0bkyd2) en dan "proceed" om verder te komen.
Maar je zou ook een Port scanner kunnen gebruiken. http://www.advanced-port-scanner.com/nl/
-
Heb het volgende nu geprobeerd:
openvpn.ovpn:
dev tun
tls-client
remote xxx.xx.xxx.xx 1194
# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)
#float
# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)
redirect-gateway def1
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
dhcp-option DNS 8.8.8.8
pull
# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp
script-security 2
ca ca.crt
comp-lzo
reneg-sec 0
auth-user-pass
Firewall staat compleet uit op de DS. In DS poort 1194 ingesteld en configuratie geëxporteerd. (Die hierboven) Poort 1194 geforward in de router. Resultaat: Werkt niet, kan niet verbinden. (Kan NAS niet eens bereiken)
In openvpn.ovpn remote poort naar 8080 gezet en in router 8080 omgeleid naar 1194. Resultaat: Werkt, maar ook weer niet. Kan inloggen, maar blijft daarna hangen op Mon Jan 18 13:29:35 2016 UDPv4 link remote: [AF_INET]xxx.xx.xxx.xx:8080 en krijg vervolgens time-out.
Nu ook in de router poort 8080 gewoon normaal ingesteld zonder omleidingen. In de DS VPN Server poort op 8080 UDP gezet. Resultaat: Zelfde als hierboven.
Alle poorten in TCP veranderd. Resultaat: Zelfde als hierboven, maar dan zonder time-outs. Blijft reconnecten om de 2 seconden.
In openvpn.ovpn "ca ca.crt" naar "ca ca_bundle.crt" veranderd. Resultaat: VPN connect nu compleet. (Dit is dus de reden waarom er bij mij de "ca_bundle.crt" stond)
Dat is stap 1. VPN connecten lukt nu.
Met Cloud Station nieuwe accounts lopen aanmaken, maar alleen het 192.168.x.x IP werkt. Met dit IP wil ik liever niet werken, omdat mijn SSL op www.xxx.nl zit.
Dit was mijn uitleg over hoe ik mijn dingetjes heb getest. De reden waarom ik het niet precies op jouw manier deed, is omdat het gewoon niet lukte. :s Helaas zit mijn tijd er voor vandaag op op school, dus kan ik morgen pas verder. Maar dit is dus waar ik op dit moment zit.
@Babylonia: Thanks, ga ik doen. EDIT: Alle poorten zijn groen, not sure what Stealth is though..
-
Met dit IP wil ik liever niet werken, omdat mijn SSL op www.xxx.nl zit.
Je haalt twee dingen door elkaar.
SSL staat los van OpenVPN.
OpenVPN is een beveiligde tunnel naar je DS waar alleen diegenen gebruik van kunnen maken die een account op je DS hebben en het recht OpenVPN te gebruiken. Diegenen moeten dan uiteraard ook je ca_bundle hebben.
SSL is voor publiek verkeer, b.v. als je een website draait op je DS.
OpenVPN is voor beveiligd privé verkeer.
De ca_bundle.crt:
Op de DS zijn de certificaten voor SSL en OpenVPN niet gescheiden van elkaar.
Omdat je SSL certificaten hebt geïmporteerd in DSM worden die dus ook voor OpenVPN gebruikt en dat is meteen de verklaring dat je een ca_bundle.crt hebt in plaats van een ca.crt.
Al meerdere malen heb ik een verzoek gedaan om dat van elkaar te scheiden omdat OpenVPN naar mijn mening eigen certificaten moet hebben die bij geen enkele instantie bekend mogen zijn.
maar alleen het 192.168.x.x IP werkt
Het doel van OpenVPN is dat je een veilige verbinding naar je DS hebt en eventueel je hele LAN.
Het is dan natuurlijk logisch dat het zo werkt.
Dus als ik goed gelezen heb werkt het nu naar behoren tenzij je eigen certificaten voor de VPN wilt hebben.
Dan kun je hier (http://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/) info vinden :-)
-
Ah, nu valt het kwartje. Ik snap nu de bedoeling van de SSL. Als dit de bedoeling van de VPN is, dan werkt het inderdaad met alleen het lokale IP en neem ik aan dat het veilig is. Ik zal mij gaan verdiepen in jouw link voor een aparte certificaat. Dikke duim voor iedereen!
-
De ca_bundle.crt:
Op de DS zijn de certificaten voor SSL en OpenVPN niet gescheiden van elkaar.
Omdat je SSL certificaten hebt geïmporteerd in DSM worden die dus ook voor OpenVPN gebruikt en dat is meteen de verklaring dat je een ca_bundle.crt hebt in plaats van een ca.crt.
Al meerdere malen heb ik een verzoek gedaan om dat van elkaar te scheiden omdat OpenVPN naar mijn mening eigen certificaten moet hebben die bij geen enkele instantie bekend mogen zijn.
Voor de VPN-server geïnstalleerd op de Synology router is dat wel als zodanig gescheiden.
Althans bij mij is het SSL certificaat geen onderdeel van het Open VPN certificaat.
(Vandaar dat ik het vreemd vond dat er over een "bundle" certificaat bestand wordt gesproken).
Ik vraag me af of dat voor DSM dan niet hetzelfde is, want voor beide apparaten wordt hetzelfde VPN-server package gebruikt.
Overigens onlangs is er wel een update geweest van de VPN-server, misschien is de combinatie als bundle op dat punt inmiddels achterhaalt ook voor DSM?
Overigens als je een SSL als "bundle" aangeleverd krijgt, kun je het wel als "single" certificaat omwerken.
Tenminste zo heb ik dat wel gedaan bij het aanvragen van een SSL cerificaat. Zie reactie elders op het forum (http://www.synology-forum.nl/synology-router/met-router-rsm-beveiligd-verbinden-%28-via-subdomein-%29/msg179056/#msg179056),
de verwijzing van @Birdy erna, en de uiteindelijke "omwerking" beschreven < HIER > (http://www.synology-forum.nl/synology-router/met-router-rsm-beveiligd-verbinden-%28-via-subdomein-%29/msg179063/#msg179063).
-
Als de VPN server of DS herstart wordt, worden de certificaten automatisch gekopieerd vanuit /usr/syno/etc/packages/VPNCenter/etc/openvpn/keys/
Dat kun je op de DS eenvoudig testen. Gewoon de certificaten van de VPN server wissen en herstarten.
Na opstarten staan ze er weer. Als je dan dus je eigen gegenereerde certificaten daar neerzet zijn ze na een herstart weer vervangen met natuurlijk als gevolg dat je niet meer kunt inloggen op je VPN.
Dit kan op de router natuurlijk anders zijn.
-
Bij de router, een reboot (is feitelijk tevens een herstart van de VPN-server), verandert daarbij niet het Open VPN certificaat.
Een fabrieks-herstel (en opnieuw installeren van de VPN-server) wel, en moet je de eerder gebruikte en geïmporteerde certificaten in apparaten die je ermee wilt verbinden vervangen door het nieuw gegenereerde certificaat.