OpenVPN en routing setup

[sheppy]

Hallo,

Ik heb het volgende probleem:
Na het opzetten van een OpenVPN client met een .ovpn file, en het enablen hiervan (status = connected), kan ik niet meer inloggen op de NAS vanaf mijn locale netwerk. Om weer toegang te krijgen tot mijn NAS moet ik het volgende doen:
- NAS uitzetten (indrukken knop op voorkant)
- Stekker uit de WAN poort van de router trekken
- Opnieuw opstarten van NAS
- login op NAS en VPN connectie disablen

Wat ik graag zou hebben:
- OpenVPN client op NAS
- Enable deze connectie
- ALLEEN het verkeer van Download Station routen via deze OpenVPN tunnel
- Gewoon kunnen inloggen op NAS van local netwerk met local adres
- Alle andere verbindingen zoals ik die nu ook al heb (quickconnect.to onder ander)

Hopelijk kan iemand me hierbij helpen, of in de juiste richting wijzen.

Bij voorbaat dank!

Met vriendelijke groeten,

Sheppy

[Syno_Nasje]

Had jij al een oplossing voor dit probleem gevonden?

[André PE1PQX]

Als je de NAS een VPN connectie laat opbouwen (als client dus) zal alle verkeer via die VPN-lijn verlopen.
De NAS krijgt van de VPN server een ander IP-adres (zeer waarschijnlijk uit een andere range dan jouw LAN) waar het op 'luistert' en is hierdoor mogelijk onbereikbaar vanaf jouw LAN.

Bij mijn weten is het niet mogelijk om één applicatie (download) via VPN te laten lopen, en de rest via lokaal LAN. Het is óf alles, óf niets... Reden: Een NIC kan maar 1 IP adres aan; of die van je LAN, of die van de VPN.

Wat je wel kunt proberen is LAN1 voor lokaal verkeer, en LAN2 voor VPN, maar of dat mogelijk is weet ik dus niet.
Ik heb mijn NAS als VPN server ingesteld, en dan kan het niet als client werken.

[sheppy]

Nee, helaas nog niet. Ik ben nu bezig met nieuwe router, en daarin wil ik instellen dat al het Download Station verkeer van het vaste LAN IP adres van de Syno via VPN gaat, en al het andere dus op de standaard manier. Dit lijkt mij nu de enige oplossing, het in de router regelen...

[Syno_Nasje]

Dat lijkt me niet mogelijk maar ik ben benieuwd. Als je VPN op de Synology als client instelt zal alles wat vanuit en naar de Synology gaat via VPN verlopen. Ik kreeg net een soortgelijk antwoord van de VPN helpdesk. Iemand gaf het al aan je kan niet het verkeer op de Synology scheiden als je eenmaal gebruik maakt van VPN. Wat je wel kunt doen is in plaats van Download Station te gebruiken een andere Tor software te gebruiken op een pc of laptop en dan op de PC een VPN client installeren. Maar ook daar zal alles op de PC versleuteld zijn en via de VPN gaan.

[Ben(V)]

Heb je in "network Setting", "advanced" het vinkje gezet bij "enable multiple gateways"?

[Babylonia]

Ik ben nu bezig met nieuwe router, en daarin wil ik instellen dat al het Download Station verkeer van het vaste LAN IP adres van de Syno via VPN gaat, en al het andere dus op de standaard manier. Dit lijkt mij nu de enige oplossing, het in de router regelen...

Op router niveau is dat inderdaad wel te regelen.  Om bij Synology te blijven, dat is mogelijk met de Synology routers.
Gebruik die optie namelijk zelf om een enkel apparaat op basis van het IP-adres via VPN connectie te leggen met een server elders met de instellingen in de router. Een uitgebreide uitleg met schermafbeeldingen op het Engelstalige forum < HIER >
en aanvullende instelling < HIER > voor het geval een internetverbinding wordt verbroken en erna hersteld, om priority niet te veranderen.

Overigens werkt een VPN Client ingesteld op de router (een RT1900ac model) vrij inefficiënt voor wat betreft gebruikte CPU bronnen.
OpenVPN boet nogal wat aan snelheid in.  Ik kom dan aan maximaal pakweg 27 Mbps snelheid uit op een 100 Mbps galsvezelverbinding.
VPN op basis van L2TP is in dit geval een stuk efficiënter.  Ruim de dubbele snelheid (ongeveer 60 Mbps).
Van wat ik lees zijn andere routermodellen daarmee ook niet erg efficiënt.

Misschien dat een RT2600ac model beter scoort, omdat die een snellere CPU heeft?

Er zullen beslist ook wel andere routers zijn waarbij je dat zou kunnen instellen.

Met een VPN Client op de NAS ingesteld zou ik juist denken dat het specifiek alleen bedoeld is voor de NAS
en andere apparaten juist hun eigen connectie blijven behouden (niet via de VPN Client van de NAS)?
Ook om binnen het eigen LAN bij de NAS te komen?

[Syno_Nasje]

Volgens mij lees ik iets anders. Sheppy wil alleen het verkeer van Download Station via VPN laten verlopen. Download Station is geen device maar een app draaiende op de Synology NAS. Je kan niet alleen het VPN verkeer alleen voor Download Station laten gelden, en alle andere software ongemoeid laten.

[Ben(V)]

Dat las ik ook.
Maar je kunt volgens mij wel alle applicaties die naar buiten willen via de VPN laten lopen, maar de NAS nog wel gewoon lokaal benaderen vanaf bijvoorbeeld je PC zonder eerst naar buiten te moeten en via de VPN van z'n VPN provider.

Als je twee netwerk interfaces hebt kan dat zeker, dan kun je de een voor lokaal verkeer gebruiken en de ander voor de VPN.

[Syno_Nasje]

Nou ik ervaar dat probleem nu. Ik kan de NAS niet meer benaderen via HTTPS[naam nas] of HTTP [naam nas] als ik dat via de FQDN van de NAS doe. Alleen als ik het ipadres van de NAS intik. Van buiten kom ik niet meer in de NAS. Iemand gaf het advies een eigen DNS server aan te maken en te gebruiken. Dat heb ik gedaan maar nog steeds geen toegang als je de domeinnaam van de NAS intik bij gebruik van een VPN client op de NAS.

[Ben(V)]

Uiteraard kun je de Nas alleen via z'n IPadres bereiken.
Die naam zit nu gekoppelt aan het VPN ipadres.

En van buiten natuurlijk helemaal niet meer want dan moet je gewoon via de VPN van je provider.
Niet alle VPN provider ondersteunen dat, en bij sommige moet je dat instellen bij je provider.

[Syno_Nasje]

Ik heb een oplossing gevonden.

Als ik gebruik maak van Quick connect kom ik er wel op. Doe ik dat vanaf mijn LAN dan kom ik omgeleid naar het HTTPS IP adres.
Doe ik dat vanaf buiten dan word ik omgeleid naar HTTPS://[NAS naam].fr2.quickconnect.to     wat mij brengt op de inlogpagina van mijn NAS. Voor nu is dat voldoende

[Ben(V)]

Uiteraard werk dat.

Quickconnect werkt namelijk andersom.
Je NaS zet bij het opstarten (lang voor de VPN software in de lucht komt) een connectie op met de Synology servers en als jij quickconnect gebruikt dan connect je eigenlijk naar de Synology servers die dan de bestaande connectie met je Nas gebruiken om jouw door te zetten.

Nadeel van quickconnect is dat het altijd via de Synology servers gaat en dus performance problemen kan opleveren als is echt data gaat versturen via quickconnect.

[Syno_Nasje]

Bedankt voor de aanvulling / toelichting

Jij schreef het volgende

Nadeel van quickconnect is dat het altijd via de Synology servers gaat en dus performance problemen kan opleveren als is echt data gaat versturen via quickconnect.

Het is of VPN uitzetten dan heb ik overal toegang, betere perfomance en verminderde veiligheid, of VPN activeren op de NAS en genoegen nemen met feit dat als je de NAS van buiten wil bereiken dat via quickconnect zal moeten want via domeinnaam NAS lukt het niet en ook niet als je  het WAN ip adres gebruikt met met poortnummer van de NAS kom ik er niet in.

[Babylonia]

Zelf heb ik even een VPN Client op mijn NAS aangemaakt en gekeken of er met volgordes van prioriteit nog iets te regelen valt, om te zien of er dan mogelijk wel van buiten af is in te loggen op het WAN IP-adres van de internetverbinding (zonder gebruik van QuickConnect).

Heb daar een positieve instelling in gevonden !!
Probleem is echter dat ik geen applicaties heb die van de server elders daar iets download. Dus afgezien dat ik kan zien dat de VPN-connectie wel open staat, kan ik niet controleren of ik daar lokaal ook werkelijk iets "kan ophalen" via VPN.

Maar die test is simpel door jezelf te doen.

Met de onderstaande "Servicevolgorde" kun je van buitenuit dus gewoon op de NAS inloggen.
(Gecontroleerd vanaf mij mobiele telefoon, met het NL-domein wat ik op mijn WAN-verbinding heb incl. SSL certificaat).
Kijk dan voor jezelf of datgene wat je via VPN ophaalt gewoon blijft werken.
(Andersom, indien de VPN service bovenaan staat, gaat dat niet).