firewall blocks openvpn [opgelost]

[v7peer]

Hello, I am a new user
My nas is a DS120J and my dsm version is 7.1
I have installed the package vpn server and configured it (see rules on wundertech site).
On my route I forwarded port 1194 (UDP) to my nas,
The openvpn server works and I can make a connection from the openvpn app on my android 12 phone.
In the firewall I created a rule for the openvpn server by selecting the rule.  I put the rule on top of the list.
See the attachment for the rules.

When I disable the firewall on my nas the full tunnel connection is created and working.
With the firewall enabled the connection is made but I am not able to browse the internet.

So my firewall blocks the communication  although there is a rule that should allow it.
Am I missing something???

[Birdy]

Dit is een Nederlandstalig Forum.

[v7peer]

sorry, maar nederlands is makkelijker natuurlijk.

Ik heb dus de openvpn server geïnstalleerd op mijn nas.

Nu kan ik  een connectie maken van mijn telefoon (openvpn app, android 12) naar de openvpn server.
Als de firewall uit staat dan kan ik gewoon browsen via de server.
Als de firewall aanstaat dan wordt mijn communicatie geblokkeerd

De regel in de firewall heb ik gemaakt door de openvpnserver regel te selecteren en toe te voegen.
En ik heb de regel boven in de lijst van regels gezet.

Ik begrijp niet waarom de firewall de communicatie blokkeert terwijl de regel zegt dat communicatie is toegestann.
Kennelijk mis ik ergens iets.

[v7peer]

met behulp van google de oplossing gevonden.
de openvpn server gebruikt een dynamisch ip adres: 10.8.0.1.
Dynamisch betekent volgens mij dat het adres kan varieren.
Daarom een extra regel gemaakt in de firewall die de hele range van adressen toetsaat.
Deze range is 10.8.0.0 - 10.8.0.255
In de bijlage is deze toegevoegde regel te zien en nu werkt het!!!!

[Briolet]

de openvpn server gebruikt een dynamisch ip adres: 10.8.0.1.
Dynamisch betekent volgens mij dat het adres kan varieren.

Maar daar heb je google niet voor nodig omdat dit duidelijk uitgelegd is in de help file.  Wat hier dynamisch is, verschilt ook nog per type vpn:

Over Dynamisch IP-adres

Afhankelijk van het nummer dat is ingevoerd onder Dynamisch IP-adres, kiest VPN Server een IP-adres uit een reeks virtuele IP-adressen als een IP-adres aan een VPN-client wordt toegekend. Als bijvoorbeeld het dynamische IP-adres van een VPN-server is ingesteld op "10.0.0.0", kan het bereik voor de virtuele IP-adressen voor VPN-clients tussen "10.0.0.1" en "10.0.0.[maximum aantal verbindingen]" liggen voor PPTP, en tussen "10.0.0.2" en "10.0.0.255" voor OpenVPN.

En de reeks stel je zelf in. En als je inlogt, zie je ook op je device dat hij een IP uit deze reeks krijgt. Bij PPTP is de reeks beperkt tot het aantal verbindingen. Bij OpenVPN kan het een IP uit de hele 256 reeks worden.

[fred54]

Dit topic kwam ik tegen in mijn zoektocht waarom ik via OpenVPN mijn lokale netwerk apparaten niet kan benaderen.
Wanneer ik de firewall van mijn Synology DS220+ uitschakel, dan kan ik lokale apparaten in mijn netwerk wel benaderen, het probleem zit dus ergens in de firewall rules.
De VPN Server staat bovenin in de firewall rules, kwam er wel achter dat er wel een vinkje bij L2TP stond maar geen bij OpenVPN. Gelijk de L2TP uitgevinkt en Openvpn aangevinkt.
Daarna geprobeerd een extra firewall regel toe te voegen met daarin de vpn ip range zoals weergegeven in de bijlage
Rules2.png van 10.8.0.0 tot 10.8.0.255
Het lukt mij niet om via Specifieke IP een Subnet aan te maken met IP adres: 10.8.0.0 en als Subnet mask 10.8.0.255 . Dan geeft het aan dat dit geen valide ip range is.
Vul ik bij Subnet mask 255.255.255.0 in, dan wordt dit wel geaccepteerd en kan ik mijn lokale apparaten bereiken.

Iemand een idee waarom ik geen 10.8.0.255 kan invoeren?

[Babylonia]

Het lukt mij niet om via Specifieke IP een Subnet aan te maken met IP adres: 10.8.0.0 en als Subnet mask 10.8.0.255 .
Iemand een idee waarom ik geen 10.8.0.255 kan invoeren?

Simpel omdat dit een niet bestaand / geen geldige notatie is van een sub-net masker.
Gebruik van een  IP sub-net calculator  kan handig zijn om wel  "geldige"  waarden daarvoor te vinden.

De meest gebruikelijke en voor de hand liggende waarde:   255.255.255.0   als sub-net masker
(voor 254 geldige hosts / IP-adressen voor een sub-net)  had jezelf al gevonden.    Dus wat wil je dan nog meer?

Het plaatje eerder in het onderwerp waar je naar verwijst betreft niet een sub-net masker,
maar gewoon het begin- en eind IP adres van het virtuele VPN subnet wat is gedefinieerd.
(De andere optie in het betreffende firewall menu om een IP-bereik af te kunnen stemmen).

[fred54]

Het plaatje eerder in het onderwerp waar je naar verwijst betreft niet een sub-net masker,
maar gewoon het begin- en eind IP adres van het virtuele VPN subnet wat is gedefinieerd.
(De andere optie in het betreffende firewall menu om een IP-bereik af te kunnen stemmen).

@Babylonia
Ik snapte even niet hoe je via een andere optie in het betreffende firewall menu een IP-bereik kunt afstemmen.
Ik heb de radio button IP Range die in het scherm verschijnt onder Create -> Source IP -> Specific IP -> Select over het hoofd gezien (mijn NAS staat in het engels).
Het is nu wel gelukt de range aan te maken.

[Babylonia]

Het betreffende menu lijkt me toch duidelijk genoeg?    Je kiest de ene- of de andere methode om het bereik op te geven.

Ingave met subnet masker          versus           Ingave als IP-bereik

                                   

[fred54]

@Babylonia:
Bedankt voor je reactie!
Ik had mijn tekst in mijn laatste post nog aangepast dat het mij uiteindelijk is gelukt.
Had even de radio button IP Range over het hoofd gezien.

Vraag mij alleen nog af of je deze IP range ook niet meteen als onderdeel van de VPN Server firewall regel kunt aanmaken,
want ik zie dat je daar ook de optie hebt een IP Range op te geven. Of moet dit echt een aparte firewall rule zijn?
Wellicht een kwestie van uitproberen 

[Babylonia]

De functionaliteit van een firewall is echt iets anders dan de set-up van een specifiek "NAT" gerelateerd VPN sub-net.
Dus gewoon apart instellen, afhankelijk met wat je wilt bereiken.

Bijv. ikzelf gebruik in test opstellingen NAT achter NAT set-ups met verschillende VPN methoden met meerdere VPN sub-nets.

In zo'n firewall regel combineer ik daarom een groter IP-bereik welke meerdere netwerken overlapt.
Hoef ik maar één firewall regel aan te maken, in de plaats van meerdere.