Synology-Forum.nl
Hardware ondersteuning => Netwerk algemeen => Topic gestart door: sheppy op 19 juli 2016, 08:00:17
-
Hallo,
Ik heb het volgende probleem:
Na het opzetten van een OpenVPN client met een .ovpn file, en het enablen hiervan (status = connected), kan ik niet meer inloggen op de NAS vanaf mijn locale netwerk. Om weer toegang te krijgen tot mijn NAS moet ik het volgende doen:
- NAS uitzetten (indrukken knop op voorkant)
- Stekker uit de WAN poort van de router trekken
- Opnieuw opstarten van NAS
- login op NAS en VPN connectie disablen
Wat ik graag zou hebben:
- OpenVPN client op NAS
- Enable deze connectie
- ALLEEN het verkeer van Download Station routen via deze OpenVPN tunnel
- Gewoon kunnen inloggen op NAS van local netwerk met local adres
- Alle andere verbindingen zoals ik die nu ook al heb (quickconnect.to onder ander)
Hopelijk kan iemand me hierbij helpen, of in de juiste richting wijzen.
Bij voorbaat dank!
Met vriendelijke groeten,
Sheppy
-
Had jij al een oplossing voor dit probleem gevonden?
-
Als je de NAS een VPN connectie laat opbouwen (als client dus) zal alle verkeer via die VPN-lijn verlopen.
De NAS krijgt van de VPN server een ander IP-adres (zeer waarschijnlijk uit een andere range dan jouw LAN) waar het op 'luistert' en is hierdoor mogelijk onbereikbaar vanaf jouw LAN.
Bij mijn weten is het niet mogelijk om één applicatie (download) via VPN te laten lopen, en de rest via lokaal LAN. Het is óf alles, óf niets... Reden: Een NIC kan maar 1 IP adres aan; of die van je LAN, of die van de VPN.
Wat je wel kunt proberen is LAN1 voor lokaal verkeer, en LAN2 voor VPN, maar of dat mogelijk is weet ik dus niet.
Ik heb mijn NAS als VPN server ingesteld, en dan kan het niet als client werken.
-
Nee, helaas nog niet. Ik ben nu bezig met nieuwe router, en daarin wil ik instellen dat al het Download Station verkeer van het vaste LAN IP adres van de Syno via VPN gaat, en al het andere dus op de standaard manier. Dit lijkt mij nu de enige oplossing, het in de router regelen...
-
Dat lijkt me niet mogelijk maar ik ben benieuwd. Als je VPN op de Synology als client instelt zal alles wat vanuit en naar de Synology gaat via VPN verlopen. Ik kreeg net een soortgelijk antwoord van de VPN helpdesk. Iemand gaf het al aan je kan niet het verkeer op de Synology scheiden als je eenmaal gebruik maakt van VPN. Wat je wel kunt doen is in plaats van Download Station te gebruiken een andere Tor software te gebruiken op een pc of laptop en dan op de PC een VPN client installeren. Maar ook daar zal alles op de PC versleuteld zijn en via de VPN gaan.
-
Heb je in "network Setting", "advanced" het vinkje gezet bij "enable multiple gateways"?
-
Ik ben nu bezig met nieuwe router, en daarin wil ik instellen dat al het Download Station verkeer van het vaste LAN IP adres van de Syno via VPN gaat, en al het andere dus op de standaard manier. Dit lijkt mij nu de enige oplossing, het in de router regelen...
Op router niveau is dat inderdaad wel te regelen. Om bij Synology te blijven, dat is mogelijk met de Synology routers.
Gebruik die optie namelijk zelf om een enkel apparaat op basis van het IP-adres via VPN connectie te leggen met een server elders met de instellingen in de router. Een uitgebreide uitleg met schermafbeeldingen op het Engelstalige forum < HIER > (https://forum.synology.com/enu/viewtopic.php?p=519483#p519483)
en aanvullende instelling < HIER > (https://forum.synology.com/enu/viewtopic.php?p=520042#p520042) voor het geval een internetverbinding wordt verbroken en erna hersteld, om priority niet te veranderen.
Overigens werkt een VPN Client ingesteld op de router (een RT1900ac model) vrij inefficiënt voor wat betreft gebruikte CPU bronnen.
OpenVPN boet nogal wat aan snelheid in. Ik kom dan aan maximaal pakweg 27 Mbps snelheid uit op een 100 Mbps galsvezelverbinding.
VPN op basis van L2TP is in dit geval een stuk efficiënter. Ruim de dubbele snelheid (ongeveer 60 Mbps).
Van wat ik lees zijn andere routermodellen (https://forum.synology.com/enu/viewtopic.php?p=512726#p512726) daarmee ook niet erg efficiënt.
Misschien dat een RT2600ac model beter scoort, omdat die een snellere CPU heeft?
Er zullen beslist ook wel andere routers zijn waarbij je dat zou kunnen instellen.
Met een VPN Client op de NAS ingesteld zou ik juist denken dat het specifiek alleen bedoeld is voor de NAS
en andere apparaten juist hun eigen connectie blijven behouden (niet via de VPN Client van de NAS)?
Ook om binnen het eigen LAN bij de NAS te komen?
-
Volgens mij lees ik iets anders. Sheppy wil alleen het verkeer van Download Station via VPN laten verlopen. Download Station is geen device maar een app draaiende op de Synology NAS. Je kan niet alleen het VPN verkeer alleen voor Download Station laten gelden, en alle andere software ongemoeid laten.
-
Dat las ik ook.
Maar je kunt volgens mij wel alle applicaties die naar buiten willen via de VPN laten lopen, maar de NAS nog wel gewoon lokaal benaderen vanaf bijvoorbeeld je PC zonder eerst naar buiten te moeten en via de VPN van z'n VPN provider.
Als je twee netwerk interfaces hebt kan dat zeker, dan kun je de een voor lokaal verkeer gebruiken en de ander voor de VPN.
-
Nou ik ervaar dat probleem nu. Ik kan de NAS niet meer benaderen via HTTPS[naam nas] of HTTP [naam nas] als ik dat via de FQDN van de NAS doe. Alleen als ik het ipadres van de NAS intik. Van buiten kom ik niet meer in de NAS. Iemand gaf het advies een eigen DNS server aan te maken en te gebruiken. Dat heb ik gedaan maar nog steeds geen toegang als je de domeinnaam van de NAS intik bij gebruik van een VPN client op de NAS.
-
Uiteraard kun je de Nas alleen via z'n IPadres bereiken.
Die naam zit nu gekoppelt aan het VPN ipadres.
En van buiten natuurlijk helemaal niet meer want dan moet je gewoon via de VPN van je provider.
Niet alle VPN provider ondersteunen dat, en bij sommige moet je dat instellen bij je provider.
-
Ik heb een oplossing gevonden.
Als ik gebruik maak van Quick connect kom ik er wel op. Doe ik dat vanaf mijn LAN dan kom ik omgeleid naar het HTTPS IP adres.
Doe ik dat vanaf buiten dan word ik omgeleid naar HTTPS://[NAS naam].fr2.quickconnect.to wat mij brengt op de inlogpagina van mijn NAS. Voor nu is dat voldoende
-
Uiteraard werk dat.
Quickconnect werkt namelijk andersom.
Je NaS zet bij het opstarten (lang voor de VPN software in de lucht komt) een connectie op met de Synology servers en als jij quickconnect gebruikt dan connect je eigenlijk naar de Synology servers die dan de bestaande connectie met je Nas gebruiken om jouw door te zetten.
Nadeel van quickconnect is dat het altijd via de Synology servers gaat en dus performance problemen kan opleveren als is echt data gaat versturen via quickconnect.
-
Bedankt voor de aanvulling / toelichting
Jij schreef het volgende
Nadeel van quickconnect is dat het altijd via de Synology servers gaat en dus performance problemen kan opleveren als is echt data gaat versturen via quickconnect.
Het is of VPN uitzetten dan heb ik overal toegang, betere perfomance en verminderde veiligheid, of VPN activeren op de NAS en genoegen nemen met feit dat als je de NAS van buiten wil bereiken dat via quickconnect zal moeten want via domeinnaam NAS lukt het niet en ook niet als je het WAN ip adres gebruikt met met poortnummer van de NAS kom ik er niet in.
-
Zelf heb ik even een VPN Client op mijn NAS aangemaakt en gekeken of er met volgordes van prioriteit nog iets te regelen valt, om te zien of er dan mogelijk wel van buiten af is in te loggen op het WAN IP-adres van de internetverbinding (zonder gebruik van QuickConnect).
Heb daar een positieve instelling in gevonden !!
Probleem is echter dat ik geen applicaties heb die van de server elders daar iets download. Dus afgezien dat ik kan zien dat de VPN-connectie wel open staat, kan ik niet controleren of ik daar lokaal ook werkelijk iets "kan ophalen" via VPN.
Maar die test is simpel door jezelf te doen.
Met de onderstaande "Servicevolgorde" kun je van buitenuit dus gewoon op de NAS inloggen.
(Gecontroleerd vanaf mij mobiele telefoon, met het NL-domein wat ik op mijn WAN-verbinding heb incl. SSL certificaat).
Kijk dan voor jezelf of datgene wat je via VPN ophaalt gewoon blijft werken.
(Andersom, indien de VPN service bovenaan staat, gaat dat niet).
[attach=1]
-
Ik vroeg me af waarom iemand de servicevolgorde zou willen wijzigen als gebruik maakt van een VPN? Is het niet zo dat als je de service volgorde wijzigt je de VPN oplossing onveilig maakt omdat je het verkeer niet eerst via de VPN laat lopen. Dan kan je net zo goed geen VPN gebruiken. De bedoeling van VPN was toch juist om pottenkijkers buiten de deur te houden?
-
Je schrijft in je vorige reactie dat het een nadeel is dat je via QuickConnect en de hele route terug via de servers van Synology van buiten naar binnen via VPN je NAS bereikt, en je dat liever rechtstreeks zou willen doen zonder gebruik van QuickConnect.
Anderzijds vanuit je NAS naar buiten toe wel die VPN zou willen blijven benutten. Daar probeer ik je nu een methode voor aan te reiken.
Het enige is dat ik "van de NAS uit naar buiten" als VPN Client naar buiten niet zelf heb kunnen testen of het als zodanig werkt, omdat ik geen services binnen de NAS heb om dat op die wijze in te zetten.
Wat wil je dan eigenlijk?
Voor connectie van buiten naar binnen heb je toch geen pottenkijkers? Je komt namelijk bij jezelf uit.
En je kunt het toch gewoon uittesten? Dan weet je of het werkt of niet.
-
Ik denk dat @Syno_Nasje twee dingen door elkaar haalt.
Je kunt je NAS configureren als een VPN server en dat is bedoelt om met een VPN client van buiten je netwerk een veilige connectie naar je Nas te kunnen maken.
Doe hiervan is een beveiligde connectie vanuit het internet te kunnen maken.
De andere optie (en daar heeft @sheppy ) het over is de Nas configureren als een VPN client, waarmee hij een VPN connectie opzet naar een VPN server van een VPN provider.
Deze methode is bedoelt om vanuit je Nas (met bijvoorbeeld Download Station) het internet op te kunnen via die VPN provider zodat het vanaf het internet lijkt of je vanaf die VPN provider komt en niet vanaf je Nas.
Doel daarvan is privacy bescherming.
Het zijn beiden VPN connecties maar met een volkomen andere functionaliteit.
-
Ik denk dat @Syno_Nasje twee dingen door elkaar haalt.
Je kunt je NAS configureren als een VPN server en dat is bedoelt om met een VPN client van buiten je netwerk een veilige connectie naar je Nas te kunnen maken.
Doe hiervan is een beveiligde connectie vanuit het internet te kunnen maken.
De andere optie (en daar heeft @sheppy ) het over is de Nas configureren als een VPN client, waarmee hij een VPN connectie opzet naar een VPN server van een VPN provider.
Deze methode is bedoelt om vanuit je Nas (met bijvoorbeeld Download Station) het internet op te kunnen via die VPN provider zodat het vanaf het internet lijkt of je vanaf die VPN provider komt en niet vanaf je Nas.
Doel daarvan is privacy bescherming.
Het zijn beiden VPN connecties maar met een volkomen andere functionaliteit.
Neen je begrijpt mij niet goed.
Ik wil hetzelfde als Sheppy als het gaat om gebruik van Downloadstation. Echter bij Sheppy is het zo dat hij alleen Download station voor VPN op de NAS wil gebruiken en de overige applicaties op de NAS wil hij niet via de VPN client laten lopen.
Mijn opmerking aangaande connectie van buiten is dat ik voor mijn naam een eigen domeinnaam heb aangemaakt. Tevens is op mijn NAS HTTPS ingeschakeld. Certificaat is gelinked aan mijn domeinnaam. Met gebruik van de VPN client op de NAS kwam ik erachter dat ik de VPN niet meer kan benaderen via de domeinnaam. Ook niet als ik thuis ben op mijn eigen LAN. Uit de reacties hier begreep ik dat dit niet meer mogelijk is als je VPN gebruikt. Na lang zoeken kwam ik erachter dat ik van buiten uit gewoon op mijn NAS kan inloggen door middel van Quick Connect. Van binnen kan ik mijn NAS bereiken via het IP adres .
Om antwoord te geven op Babylonia.
Het was niet bedoeld om jou aan te vallen. Mijn excuses als het zo overkwam. Ik gaf alleen maar aan dat ik die optie die jij aandroeg overwogen heb, maar volgens mij heb ik begrepen dat als je de service volgorde wijzigt je daarmee aangeeft dat de NAS eerst van een IP adres zonder VPN gebruik moet maken en dan als tweede service de VPN.
Wat ik juist wil is dat al het verkeer op mijn NAS via de VPN gaat. Ik ga dit even uittesten en laat weten wat het heeft opgeleverd
-
Leuk hé, alles zeer onnodig citeren ::)
-
Met gebruik van de VPN client op de NAS kwam ik erachter dat ik de VPN niet meer kan benaderen via de domeinnaam.
Een VPN Client en tevens op de NAS een VPN-server draaien is afhankelijk van de VPN protocollen of het lukt.
Dezelfde VPN-protocollen geeft een conflict. Met verschillende VPN-protocollen is het inderdaad mogelijk.
Met die twee mogelijke VPN opties op de NAS heb ik inmiddels ook nog getest.
- OpenVPN als Client
- PPTP als VPN server (Waarbij opgemerkt dat ik normaal dit protocol niet gebruik i.v.m. beperkte veiligheid. Alleen even als test).
Als ik van buiten uit (mijn smartphone) op domein eerst een VPN-verbinding opzet naar de VPN-server op de NAS,
en daarna vanuit de NAS via de Client functie naar een VPN-server elders, zijn beide verbindingen actief.
Andersom eerst een VPN-verbinding vanuit de Client op de NAS naar een VPN-server elders,
en daarna vanuit mijn smartphone via de Client functie naar de VPN-server op de NAS, werkt het niet !!
Ongeacht de Servicevolgorde.
(p.s. ik voel me niet aangevallen hoor ;) ).