Hoe Services op de NAS benaderen via de VPN server

[misterbean]

Hallo allemaal, ik heb de VPN Sever actief gemaakt op mijn Synology en ik heb vanaf mijn ios telefoon een VPN connectie op kunnen zetten. Dat gaat prima en ik ben connected. Ik gebruik l2tp/ipsec.

In feite heb ik nu in het 10.2.x.x IP subnet (dat bij de VPN Server geconfigureerd is) een IP adres gekregen.

Mijn vraag is nu hoe ik nu bijvoorbeeld via deze VPN connectie het DSM Web Interface van de Synology zelf kan starten...    Deze hangt in een ander intern subnet a la 192.168.x.x:5000.

Als ik dus een browser op mijn telefoon start en dat 192 adres pak dan routered de telefoon me denk ik helemaal niet de VPN tunnel in..  Maar als ik de NAS over een 10.2.x.x adres zou will+e benaderen dan zou er eoa NAT rule op due synology actief moeten zijn...   kortom...   wie heeft wat suggesties war ik wat moet doen om (om te beginnen) het dsm interface te kunnen benaderen (en latert ook de files etc).

De meestte info die ik over vpn server op de synology tegen kom gana erover hoe je de vpn connectie tot stand moet brengen maar beschrijven niet wat je daarna moet doen om er ook wat mee te doen ??

thanks MB

[Birdy]

Je gebruikt gewoon de lokale IP adressen om jouw voorbeeld :  192.168.x.x:5000.
Als je WiFi op je tel uit hebt staan en VPN verbonden, moet op je NAS terecht komen.

[Briolet]

In feite heb ik nu in het 10.2.x.x IP subnet (dat bij de VPN Server geconfigureerd is) een IP adres gekregen.

Dat IP adres is niet erg belangrijk. Je gebruikt gewoon dezelfde adressen die je thuis zou gebruiken. De enige plek waar dat subnet belangrijk wordt is in de firewall (bij all interfaces) omdat de nas denkt dat de verbinding komt van dat subnet.

Maar als je nas in het 192.168.x.x subnet zit, kun je de VPN in het ernaast liggende subnet zetten. b.v. 192.168.x+1.x. Dat werkt met de firewall regels handiger omdat je dan alleen de range wat breder hoeft te maken.

Of je zet de firewall poorten open bij de VPN interface. Dan hoef je niet te kijken welk subnet de firewall gebruikt.

[misterbean]

hi thanks maar zie niet hoe dat gaat werken..(zie het ook niet werken want er gebeurt niks)   

..  mijn vpn connected device hangt na vpn connectie met thuisnetewerk in een apart netwerk ergens op die synology  (of dat nou 10.2.0.x is of 192.168.x+1.x maakt niet zoveel uit lijkt me) ...    en er zal op eoa manier een routering naar het originele interne subnet plaats moeten vinden uit dat 10 netwerkje of er zal een NAT moeten zijn lijkt me warabij ik mijn dsm server via een 10 adres kan benaderen (dat door nat naar het interne 192 adres vertaald wordt )

Of mis ik iets ?

thanks mb

[misterbean]

ps.. ik gebruik l2tp/ipec...         als je b.v. openvpn gebruikt is het wat anders maar ook daar moet je voor zover ik weet dan een routerings regel naar je client pushen waarbij je dus aangeeft dat b.v. 192.168.x.x:5000 door die vpn tunnel gaat en niet een andere kant op (gezien vanuit je client .. i.e. ) ..

gr mb

[Birdy]

Het 10.2.0.x is het virtuele adres voor VPN.
Verder heeft Nat juist niets te maken met VPN connectie.
Het doel van een VPN connectie is om va buiten af op het lokale netwerk te komen en werken alsof je thuis bent.

Zo werken bv werknemers ook thuis, door een VPN connectie te maken met de zaak  en alles kunnen bereiken alsof ze op de zaak aanwezig zijn.

Het zou, "out of the box" moeten werken.

[misterbean]

hi, ja ik snap waar een vpn voor is. Out of the box werkt het niet want ik heb een vpn connectie vanaf mijn mobile device en kan NIET het dsm web interface starten (op 192.168.x.x:5000) mbv de browser op mijn telefoon. Ik heb dus mijn huis connectie (wifi) uitgezet en ben echt "van buitenaf" binnen gekomen...   

als ik de vpn connectie uitzet en mij weer direct met mijn thuis netwerrk verbindt dan kan ik WEL via 192.168.x.x:5000 het dsm web iface benaderen ...

[misterbean]

ps.. op de firewall ook ff alles enabled (eerst stonden aleen de 3 poorten voor ipsec vpn open) maar dat maakte ook niet uit

[mchp92]

Is er niet ergens een vinkje in de stno vpn server van de strekking “allow to reach other devices in network” oid? Kan me zoiets herinneren
Die moet iig aan staan

[misterbean]

ik zie wel bij "openvpn" een optie staan genaamd: "allows clients to access servers lan" ... (ik denk dat dit een routering naar de openvpn client pushed)  ..    dat is idd wat je zou verwachten maar zo iets staat niet op l2tp/ipsec...   

[misterbean]

Hi, nog ideeen ? Via de vpn server kom je in een lokaal subnet op de synology. Maar als je vanaf de client (mijn ios telefoon bijvoorbeeld)  het dsm interface wil benaderen moet je dus het interne lan adres van de nas opgeven (op poort 5k)..  De client weet niet zondermeer dat ie dat adres door die vpn tunnel moet routeren tenzij je dus op je client een route zet lijkt me ?    Vandaar wellicht die optie die je bij openvpn kan gebruiken .. die pushed een route naar de client ..     Maar ik gebruik l2tp/ipsec en daar zie ik niet zo een optie en ook op de ios client is dat niet direct obvious ... hoe lossen jullie dat op ? 

Of heeft de NAS een tegenhanher op een ip adres dat in die vpn server pool zit ? (en doe je in feite NAT) ?

Ik kan natuurlijk wel quickconnect gaan doen maar dat moet je eigenlijk niet willen.

thanks MB

[misterbean]

Found it!. Er is een optie onder iOS bij de L2TP/IPSec VPN configuratie genaamd: "Stuur alle verkeer".  Als je die dus aanzet dan wordt alles door die vpn tunnel gestuurd (dus ook een 192.x adres dat je intern gebruikt) . Heeft dus ook wat nadelen maar werkt iig.

PS.. als je een l2tp/ipsec verbinding vanaf W7 op wil zetten moet je ook een registry update doen. Zie https://www.wijngaard.org/l2tpvpn/           daarmee werkte het

Thanks. MB