Verbinden van Synology met VPN: "Use default gateway on remote network" vraag

[Babylonia]

Ik weet niet zeker of bovenstaande op mijn situatie van toepassing is?

(Met verwijzing naar reactie #43):    Nee, want jij gebruikt geen meerdere VLAN's in jou netwerk situatie.

Het is alleen een nog meer uitgebreide test  -nu met 2x LAN interface + VPN interface-  met wat ik  al eerder "eenvoudig" heb aangegeven
om verbindingen van "externe" apparaten binnen LAN netwerken, "gecontroleerd" aan te sturen.
Om die via de VPN  te laten lopen, of juist buiten de VPN om.  (Direct via het WAN IP adres van de internet aansluiting).
Zonder daar extra zaken voor in de NAS te hoeven activeren.  En dat functioneert allemaal zoals getest en beschreven (reactie #43).

De volgende stap voor programma's  die op de NAS zelf  draaien, om die gecontroleerd binnen of buiten de VPN te houden,
zijn die extra functies m.b.t. "Externe virtuele switch" waar al eerder (reactie #41) naar is verwezen:
https://kb.synology.com/nl-nl/DSM/help/Virtualization/network?version=7

Waarbij je mogelijk dus een „Virtual machine manager“ moet activeren.

Dat zijn namelijk de functies waarbij je voor op de NAS draaiende pakketten een keus kunt maken
via welke netwerk interfaces je die functies kunt laten lopen. (LAN versus VPN).

De vraag die je al eerder opperde bij reactie #14,  n.a.v. van mijn eerdere "eenvoudig voorbeeld".

"Verwijzingen van applicaties in het netwerk waarbij je specifiek de 2e interface daarbij opneemt, gaan dan wel via VPN."

Hoe doe ik dat? Hoe kan ik binnen Synology applicaties aanmerken die via de 2e interface (VPN) het internet op gaan?

Maar ikzelf heb geen "Roon" of applicaties op mijn eigen NAS geinstalleerd zoals  SABNZBD  die vanuit de NAS zelf naar buiten communiceren.
Ga dat dus ook niet installeren, alleen om uit vissen of zoiets m.b.v. een ook nog te activeren "Virtual machine manager" zou kunnen werken.

Het is hooguit een aanreiking naar jou toe hoe je zoiets zou "kunnen" oplossen.
Met de eerdere voorbeelden, kun je zijdelings bij een ander onderdeel van het forum, daar extra vragen over stellen.
Er zijn namelijk best gebruikers die deze "Virtual Machine" functies inzetten, en er ervaring mee hebben.
Kun je verwijzen naar dit onderwerp en de hiervoor beschreven voorbeelden.

Vraag zou je direct kunnen stellen onder:   https://www.synology-forum.nl/officiele-packages/
                                                               https://www.synology-forum.nl/officiele-packages/?action=post

[svgmr]

Ik heb een klein doorbraakje bereikt  .

Ik heb onlangs nog iets anders aangepast, wat ik helemaal was vergeten. Het leek onbenullig, maar blijkt cruciaal te zijn: ik heb een tijd geleden ipv6 uitgeschakeld in de Synology NAS. Reden: het blijkt dat Synology alleen VPN via ipv4 kan bewerkstelligen en men adviseert om daarom ipv6 uit te schakelen zodat je geen 'ipv6 lek' hebt.

Ik heb ipv6 nu weer aangezet en Roon lijkt het nu weer gewoon te doen (ik moet nog wat langer testen of hij het blijft doen na wat meer dagen, maar het ziet er goed uit). Blijkbaar was ipv6 de manier voor Roon om om de VPN verbinding heen te kunnen. Echter: nu heb ik dus wel kans op een ipv6 lek (feitelijk maakt Roon hiervan al gebruik). Ik heb overigens 'Use default gateway on remote network' gewoon aangezet dus de VPN staat nu wel 'bovenaan'.

Binnen sabnzbd heb ik wat instellingen aangepast zodat hij geen ipv6 zou gebruiken. Echter, ik zie nog steeds in sabnzbd een ipv6 adres. Ik heb met wireshark geprobeerd om m'n netwerkverkeer te analyseren, maar dat lukt niet goed: ik zie helemaal geen verkeer op de vpn connectie (alles loopt via connectie 'ehternet'). Ik heb onvoldoende kennis om de daadwerkelijke capture van wireshark te analyseren en op basis daarvan te zien wat er gebeurt.

Is er een manier om zeker te weten dat sabnzbd (dat op synology draait) ALLEEN ipv4 gebruikt en ik hier geen ipv6 lek heb?

[Babylonia]

Is er een manier om zeker te weten dat sabnzbd (dat op synology draait) ALLEEN ipv4 gebruikt en ik hier geen ipv6 lek heb?

Ik weet niet wat je met een IPv6 "lek" bedoelt?
Als de inrichting van je netwerk, zowel via WAN en LAN, op IPv4 alsook IPv6 "correct" is ingeregeld,
zouden connecties "transparant" via de ene of de andere verbinding moeten kunnen werken.
Omdat zeker niet bij alle verbindingen of websites, deze ook onder IPv6 draaien, zou dat "automatisch" via IPv4 moeten worden omgeleid.
En andersom, websites die alleen onder IPv6 zijn te bereiken (relatief een klein percentage), de verbinding via IPv6 moeten lopen.

Echter in zijn algemeenheid geeft IPv6 op allerlei niveaus nog erg vaak problemen,
dat foutloze transparantie in functionaliteit absoluut niet is gegarandeerd.

Met name commerciële VPN-diensten (verbinding via een VPN Client op de NAS naar een VPN-server toe elders).
Zijn op dit moment doorgaans uitsluitend "nog" enkel op "IPv4 only" georiënteerde diensten.
(Zie reactie in een ander onderwerp m.b.t. "Privado" als VPN-service).

Dat het omwille van de betrouwbaarheid van bepaalde functies misschien handiger kan zijn, IPv6 voorlopig maar helemaal uit te schakelen?


Maar goed, om Roon correct te laten werken maak jij nu kennelijk  "gebruik" of "misbruik",  net hoe dat je het bekijkt,
van die "niet transparante" functionaliteit rondom IPv4 / IPv6 ?

[svgmr]

Met het 'ipv6 lek' bedoel ik dat synology alleen een vpn verbinding heeft op ipv4. Dus als synology ipv6 gebruikt om contact te leggen met de buitenwereld gaat dat per definitie buiten de VPN om. Overigens, leer ik van mijn vpn provider ook dat deze alleen ipv4 ondersteunt en dat alles dat via ipv6 komt buiten de vpn om gaat.
https://www.perfect-privacy.com/en/manuals/synology_openvpn

Sommige VPN providers zoals NordVPN blokkeren ipv6 content om ipv6 leakage te voorkomen, maar Privado doet dit helaas niet.

Ik kan ipv6 niet uitzetten omdat Roon dan niet meer werkt.

Mogelijk dat Sabnzbd alleen gebruik maakt van ipv4. Ik heb dit getracht zo in te stellen. Is er een manier om dit met zekerheid vast te kunnen stellen?

Ik vind het opvallend dat dit zo moeilijk is: je gebruikt VPN om je privacy te beschermen. Het zou toch niet te moeilijk moeten zijn om met zekerheid vast te kunnen stellen dat deze veiligheidsmaatregel ook daadwerkelijk doet wat het moet doen?

[Babylonia]

Er zit inderdaad verschil in mogelijkheden met een VPN Client ingesteld op een NAS,  of de VPN Server op een NAS,
die je zelf van buitenaf benadert met een VPN Client ingesteld op een laptop of Smartphone, om je thuisnetwerk te kunnen benaderen.

Daarbij zijn de mogelijkheden van de VPN Server op een "NAS"  daarbij ook weer wat meer beperkt,
in vergelijking met de mogelijkheden van de VPN "Plus" server op een Synology router, waarbij meer mogelijkheden zijn
in transparantie van zowel IPv4 als IPv6, ook bij VPN verbindingen.

Daar ben ik < elders op het forum > mee bezig, om dat verder uit te zoeken, want ook daar zitten nog steeds hiaten.
Staat op een laag pitje, want kost erg veel tijd om daar met Synology verder over te sparren.  Prioriteit voor mij ligt niet zo hoog.
Misschien vlotter door bij het  Synology Event  in november in de jaarbeurshal in Utrecht daar kritische vragen over te stellen.

Er is dus nogal wat werk aan de winkel op netwerk gebied, omdat zaken aangaande IPv6 en IPv4 "niet transparant" op alle niveaus draait.

Vandaar het advies om IPv6 voorlopig maar helemaal niet in te stellen bij dit soort "gemengde" connecties die zouden gelden.

Voor "Roon" en Sabnzbd zou mijn insteek dan ook zijn, eerder de mogelijkheden te activeren van een "Virtual Machine".
En dat alles onder IPv4,   dan te vertrouwen op "half" functionerende IPv6 functionaliteit.
Tenzij je merkt dat "met ingeschakelde IPv6"  je met dat Roon (voorlopig)  daarmee geen problemen hebt.
Die keus is aan jezelf.  (Het is wel het meest makkelijk om het zo te doen).

Of dat Sabnzbd met ingeschakelde IPv6 dan via IPv6 of IPv4 loopt kan ik niet beoordelen, want ik gebruik het niet.

Ik vind het opvallend dat dit zo moeilijk is: je gebruikt VPN om je privacy te beschermen. Het zou toch niet te moeilijk moeten zijn om met zekerheid vast te kunnen stellen dat deze veiligheidsmaatregel ook daadwerkelijk doet wat het moet doen?

Het lijkt me dat de connectiegegevens met Sabnzbd via de log-gegevens (Logboekcentrum) van de NAS uit te lezen zouden moeten zijn.
En mogelijk ook wat dieper op SSH  "root"  niveau via WinSCP / Putty ??
https://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty/

Misschien zijn die connecties en de controle erover makkelijker te beoordelen met een geactiveerde "Virtual Machine"??
Gewoon via de gegevens die in menu's terug te vinden zijn?


Dat zaken met IPv4  met tevens IPv6  ingeschakeld zo moeizaam verlopen, is omdat de hele materie een stuk complexer wordt.
Wil je dat verder bestuderen,  kijk dan eens bij de volgende reactie:
https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg328011/#msg328011

En dan met name het eerste stuk met algemene informatie tot aan de dubbele dunne lijn over de gehele breedte.
Met name bestudering van de volgende informatie geeft je enig inzicht in de opbouw van IPv6 vanaf provider tot aan gebruikersniveau.

https://wiki.surfnet.nl/display/SURFnetnetwerkWiki/Whitepaper+IPv6-nummerplan+opstellen

        Deze whitepaper (PDF) bevat een handleiding voor het opstellen van een goed nummerplan bij de overgang naar IPv6.
        Een goed nummerplan is een systeem waarmee u de IPv6-adressen toekent aan locaties en/of gebruikerstypen.

[svgmr]

Wederom dank voor je uitgebreide reactie. Ik wil proberen om niet naar de 'virtuel machine' optie te gaan omdat ik er weinig vertrouwen in heb dat me dit gaat lukken. Dan kom ik bijna op het punt dat ik beter een extra NAS kan kopen speciaal voor Roon zonder VPN.

Maar ik maak nog steeds vorderingen.

Ik heb nu IPv6 op Synology aan staan, een VPN verbinding gemaakt, in SABNZBD heb ik kunnen verifieren dat alleen IPv4 wordt gebruikt (dat is grote winst!). Ik blijk daar zelfs de gebruikte IP adressen te kunnen zien.

Daar zit nog wel iets vreemd in:
- Het publiek IPv4 adres is keurig van mijn VPN provider en de locatie klopt met wat ik heb gekozen (even voor Zurich gekozen)
- Het gebruikte IP adres om een verbinding met de nieuwgroepen te maken is echter een ander IP adres. Dit adres is van Eweka en gelocaliseerd in Nederland.
- Ik heb een internet abonnement van Ziggo.

Waar komt Eweka ineens vandaan??? Ik had eigenlijk verwacht dat het gebruikte IP adres OF het adres zou zijn van de VPN provider gelocaliseerd in Zurich (dan zou het goed zijn). OF het publieke adres wat ik van Ziggo heb in Amsterdam (dan zou het niet goed zijn). Maar nu heb ik ineens een verbinding met een IP adres dat van weer iemand anders is (Eweka) maar wel in Amsterdam.

Hoe kan ik dit verklaren en wat betekent dit?

[Babylonia]

- Het gebruikte IP adres om een verbinding met de nieuwgroepen te maken is echter een ander IP adres.
   Dit adres is van Eweka en gelocaliseerd in Nederland.

Waar komt Eweka ineens vandaan???

IP van nieuwsgroepen is nooit het WAN IP van een VPN service.  Dat staat gewoon op zichzelf.
Dat zou alleen kunnen als een nieuwsgroep zelf van een VPN service gebruik zou maken, en "anoniem" zou zijn.
Maar dan zouden die nieuwsgroepen niet door gebruikers van buitenaf te bereiken zijn.

Standaard gebruikte DNS servers van Privado zijn die van Eweka.

Bij reactie #47 schreef en verwees ik naar een ander onderwerp m.b.t. Privado

        (Zie reactie in een ander onderwerp m.b.t. "Privado" als VPN-service).


In de daarbij < getoonde afbeelding >  worden IP nummers genoemd van DNS servers.

91.148.225.50  komt overeen met die van Eweka   https://www.lookip.net/ip/91.148.225.50
91.148.229.50  komt overeen met die van Eweka   https://www.lookip.net/ip/91.148.229.50

Ofwel connectie naar een nieuwsgroep gaat via de VPN van Privado, met gebruikmaking van de door Privado gebruikte DNS-servers,
met verwijzing, connectie naar het domein / IP van de nieuwsgroep server.

[svgmr]

Okay, dan denk ik dat ik moet concluderen dat momenteel alles goed gaat: de VPN werkt blijkbaar en er is geen IPv6 lek. Het blijft jammer dat het zo moeilijk is om te controleren of alles idd werkt zoals het moet. Als je een alarm systeem hebt in huis test je dat ook een paar keer per jaar en als ik de auto automatisch op slot doe, probeer ik toch even het portier of ie écht niet open gaat. Zo iets is dus niet mogelijk voor VPN. Je kunt niet testen of de VPN die je met Synology hebt aangemaakt daadwerkelijk correct gebruikt wordt en dat je privacy beschermd is. Althans, niet op een eenvoudige manier voor simpele gasten zoals ik :-)

@Babylonia ontzettend bedankt voor je hulp en geduld! Ik heb er in ieder geval veel van geleerd. Thanks!!

[bartmans99]

En dat allemaal voor Roon? Wat is je use-case daarvoor? Je kunt bijvoorbeeld met Airsonic Advanced een prima muziekserver bouwen die gewoon via ipv4 / port forwarding werkt. Oprecht nieuwsgierig wat het verschil is.

[Babylonia]

Beschreven in   eerdere reactie #40
Combinatie van een muziek streaming dienst + muziek-server.
Met audio meet-opties om de klankkleur van muziek te optimaliseren, afgestemd op de akoestiek van de ruimte.

[svgmr]

Precies wat Babylonia aangeeft. En ik heb een 'lifetime subscription' gekocht (dus zit een beetje in een lockin). Roon is een luxe oplossing, maar heeft een aantal voordelen boven andere oplossingen wat het voor audio-fanaten aantrekkelijk maakt.