Synology-Forum.nl
Synology Router => Synology Router => Topic gestart door: Birdy op 17 januari 2018, 23:49:32
-
Als ik OpenVPN gebruik, kan ik m'n Router niet meer (het heeft dus wel gewerkt) bereiken op het locale IP-Adres 192.168.1.1 echter, overige apparatuur wel zoals b.v., m'n DS716+II met adres 192.168.1.23.
- Ik gebruik OpenVPN (VPN Plus Server 1.2.2-0215) en SRM is ook up to date: SRM 1.1.6-6931 Update 1.
- Router Firewall is m.i. n.v.t. omdat ik lokaal werk, met OpenVPN.
Het probleem zou dus de Router moeten zijn, maar wat ?
Tip(s) ?
-
Intern binnen het eigen thuisnetwerk gebruik ik OpenVPN doorgaans niet, maar heb het even uitgeprobeerd met mijn Android smartphone.
- WiFi ingeschakeld van mijn smartphone (en mobiele data uit) zodat ik alleen connectie heb vanuit het eigen thuisnetwerk.
- OpenVPN verbinding opgezet vanuit mijn standaard reeds gebruikelijke openvpn configuratiebestand wat feitelijk is afgestemd als zijnde een connectie vanuit een externe connectie via een domeinnaam op mijn WAN IP-adres.
Indien een positieve OpenVPN verbinding, werkt dat dus vanuit de loopback functie. - Resultaat was een werkende OpenVPN-verbinding (met "sleuteltje" als verificatie van de VPN-verbinding).
Ik kon in mijn router zowel inloggen via mijn externe domein-adres (als functie dat ik die benaderingswijze ook open heb staan).
Alsook via het interne LAN IP-adres waaronder mijn router in mijn thuisnetwerk is te bereiken.
Vanuit mijn Windows PC en het OpenVPN "TAP" adapter programmaatje kon ik vanuit het eigen netwerk helemaal geen OpenVPN verbinding opzetten. Niet met gebruik van een WAN IP-domeinnaam, niet met extern WAN IP-adres van de internet connectie, niet vanuit "intern" netwerk WAN IP-adres vanuit mijn eerste router, niet met intern LAN IP-adres van de Synology router zelf.
Als ik mijn PC aansluit op het netwerk van mijn eerste router, kan ik overigens weer wel een OpenVPN verbinding opzetten.
(En kan ook VPN verbindingen opzetten naar VPN-servers elders. Dus die functie waar het feitelijk voor is bedoeld werkt normaal).
Maar dat is niet de insteek die jezelf gebruikt.
Kijk eens of er mogelijk (virtuele OpenVPN ??) IP-adressen zijn geblokkeerd in de Auto-IP block list ??
-
Voor de duidelijkheid, ik gebruik natuurlijk alleen OpenVPN wanneer ik buiten m'n netwerkwerk ben.
Dus, ik zit thuis en mijn telefoon test is:
- WiFi uit.
- OpenVPN connectie opgezet, zie dus het Sleuteltje.
- Ik kan m'n NAS bereiken op lokaal IP-adres.
- Ik kan m'n (enige) Router niet bereiken op lokaal IP-Adres.
Kijk eens of er mogelijk (virtuele OpenVPN ??) IP-adressen zijn geblokkeerd in de Auto-IP block list ??
Alleen adressen te zien, die ikzelf ooit heb geblokkeerd.
[attach=1]
-
Ik vond het al vreemd dat je thuis voor je thuisnetwerk een OpenVPN zou willen opzetten. ;)
(Dacht dat jij daar misschien dan wel een reden voor had?? Niet dus).
Maar goed, mijn eerste voorbeeld met smartphone net andersom uitgevoerd, WiFi uit en via het mobiele netwerk connectie.
Geeft bij mij ook dan een positieve OpenVPN benadering, plus daarbij dat ik de router zelf kan benaderen met het interne netwerk IP-adres.
Er zitten bij connectie vanuit een smartphone (of een tablet met Android) wel wat dingetjes waar je rekening mee moet houden.
- "Normaal" wordt bij Android een web-pagina getoond om de DS router app te gebruiken.
Je kunt dat omzeilen door bij opties van de browser te kiezen voor "toon desktop versie" (of vergelijkbaar). - Omdat de router web-benadering (bij mij althans) automatisch van http (poort 8000) naar https wordt omgeleid (poort 8001), kom je bij intikken van een intern LAN IP-adres (geen certificaat) met huidige webbrowsers wel aan een "onveilige" webpagina melding. Daar zou je dan een uitzondering voor moeten maken. (Afhankelijk van de browser is dat misschien niet mogelijk?)
- Een dezer dagen is de VPN-server app geüpdate.
Kijk eens of de Firewall regels daarbij toevallig niet zijn aangepast en nu verkeerd zijn ingesteld?
(Dat wil wel eens ooit voorkomen bij een update van packages en/of SRM firmware.)
-
"Normaal" wordt bij Android een web-pagina getoond om de DS router app te gebruiken.
Je kunt dat omzeilen door bij opties van de browser te kiezen voor "toon desktop versie" (of vergelijkbaar).
Zowel via de Browser en DS Router kan ik de Router niet benaderen.
Omdat de router web-benadering (bij mij althans) automatisch van http (poort 8000) naar https wordt omgeleid (poort 8001), kom je bij intikken van een intern LAN IP-adres (geen certificaat) met huidige webbrowsers wel aan een "onveilige" webpagina melding. Daar zou je dan een uitzondering voor moeten maken. (Afhankelijk van de browser is dat misschien niet mogelijk?)
Die uitzondering was al eerder gemaakt echter, wat je ook aangeeft, in feite werd ik door gestuurd naar DS Router (toen het nog werkte).
Een dezer dagen is de VPN-server app geüpdate.
Kijk eens of de Firewall regels daarbij toevallig niet zijn aangepast en nu verkeerd zijn ingesteld?
(Dat wil wel eens ooit voorkomen bij een update van packages en/of SRM firmware.)
Ik heb maar 2 rules omdat ik, alleen OpenVPN gebruik als ik iets wil van buitenaf.
[attachimg=1]
Herstel, 3 rules, NTP natuurlijk ook.
Het vreemde blijft, Router niet bereikbaar, NAS wel bereikbaar m.a.w., de OpenVPN verbinding is oké.
Ik zie vast wel iets over het hoofd, maar wat.
-
Ik heb maar 2 rules omdat ik, alleen OpenVPN gebruik als ik iets wil van buitenaf.
Buiten die OpenVPN toegangs firewall regel (die je vanuit de hele wereld zou willen benaderen), heb je de "gewone" toenadering voor de gebruiksinterface van de router ook open staan voor de hele wereld.
Daarnaast mis ik (tenminste zo heb ik het zelf wel ingesteld) de firewall regels voor de eigen gebruikte LAN netwerken en virtuele VPN netwerk bereiken.
In tegenstelling met firewall regels in een NAS hoeft men bij de router het eigen LAN-bereik voor toegang er niet bij te zetten.
Je kunt de router doorgaans toch wel benaderen via het eigen LAN netwerk.
Maar om inconsequente regels bij de een of de ander te vermijden heb ik er die wel bijgezet.
Het virtuele VPN bereik lijkt me echter toch belangrijk om er wel bij te zetten?
In ieder geval zowel het eigen LAN netwerk als ook het virtueel gebruikte VPN netwerk geven bij mij ook extra hits aan, ten teken dat ze ook werkelijk als zodanig werkend zijn. (Situatie van hits bij andere firewall regel kan anders zijn op andere momenten).
[attach=1]
Voor meer uitleg zie voorbeeld eerder geplaatst < HIER > (https://www.synology-forum.nl/synology-router/hoe-firewall-instellen-in-de-router/msg200596/#msg200596)
Als je dat "netjes" (overzichtelijker en compleet) meer aanvullend aanpast, geeft dat dan wel een positief resultaat?
-
Ik kom er later op terug, kan voorlopig even niets wijzigen en testen.
Maar, het blijft vreemd, dat het eerst wel werkte en nu niet meer, zonder maar iets aangepast te hebben. ;)
-
@Babylonia andere leden mogen natuurlijk ook reageren 8)
Nu ben ik dus niet sterk ( m'n zwakste punt ;D ) in het opzetten van Firewalls (rules werden automatisch toegevoegd door SRM) en, wat ik wilde, werkte dus gewoon, tot voor kort, misschien na de laatste update, maar goed.
Het ENIGE wat ik wil is:
A - OpenVPN verbinding opzetten met de Router >>> WERKT, ik heb verbinding en zie dat ook terug in de Connectie (VPN Plus Server)
B - Wil alle apparatuur kunnen benaderen, met hun lokale IP-adressen dus, ook de Router.
1 - Ik heb nu eerst even de test gedaan, door heel even, de Firewall uit te schakelen:
[attachimg=1]
op Allow gezet.
2 - OpenVPN connectie gemaakt met Smart Phone (zonder WiFi).
3 - Ik kan de Router en NASsen bereiken op hun IP-adressen: 192.168.1.xx
M.a.w.:
Met OpenVPN is helemaal niets mee.
Dus, het moet zitten in de Firewall instelling(en).
Ik wil, als Newbe ;) helemaal blanco starten
Stel, ik heb dus 0 rules, welke basic rules moet ik hebben om punt 3 weer voor elkaar te krijgen ?
Met alle respect, even niet het verfijnen aanhalen (zoals je hebt aangegeven), dat komt later wel, ik moet eerst (weer) "back to the basics" zodat ik (weer) een goed werkend uitgangspunt heb. ;)
-
Ik gebruik zelden VPN, maar ik heb het de eerste keer met LTPT gehad dat ik ook niet met SSH op de nas kon. Ik moest toen ook de IP adressen die de VPN verbinding krijgt volgens de VPN instellingen, toelaten.
Heel logisch natuurlijk. ;)
Maar jij hebt ALL staan als bron, dan zou dit hier niet kunnen spelen.
-
@Babylonia andere leden mogen natuurlijk ook reageren 8)
Kom er later wel op terug. Ik lig nu met griep in bed.
-
Ow.... beterschap. :!:
-
Toch maar even uit bed. ;)
Voor jou situatie waarbij je alleen vanuit buiten enkel een OpenVPN verbinding wilt opzetten. Geen andere services.
- Toegang binnen je eigen thuisnetwerk voor "Alles" voor het "normale" netwerk (in mijn voorbeeld slechts beperkt tot 64 IP-nummers).
- Toegang binnen je eigen thuisnetwerk voor "Alles" voor het "virtuele" netwerk wat je gebruikt voor OpenVPN.
(Kijk bij VPN Plus bij "Object" wat jij daarvoor gebruikt. Zal wellicht een ander gekozen netwerk zijn dan mijn persoonlijk aangepaste versie). - Toegang voor de OpenVPN service zelf. In mijn voorbeeld beperkt tot regio Nederland.
Onderaan alles op "Deny".
[attach=1]
-
Bij mij is het net andersom. Ik kan via OpenVPN, ssl vpn en dergelijke mijn synology router benaderen maar sommige camera's in dezelfde netwerk niet. Andere apparaten in diezelfde range zijn pefect via vpn te benaderen...
-
Toch maar even uit bed. ;)
Dank je @Babylonia :thumbup:
Maar helaas, nog steeds hetzelfde resultaat. :'(
[attachimg=1]
[attachimg=2]
[attachimg=3]
In feite, ik zie met DS Finder geen van mijn NASsen en de Router niet meer.
-
Router Reboot gedaan, nu werkt het :!: :lol:
-
Blij voor je dat het uiteindelijk is opgelost.
Bij upgrades of gebruik met andere instellingen (met name m.b.t. netwerkinstellingen) merk ik dat je er vaak niet aan ontkomt om een reboot te moeten geven. Eigenlijk een slechte zaak, omdat er achterliggend in de cache of anderszins zaken niet goed worden afgehandeld of opgeschoond.
Bij mezelf controleer ik altijd de internetsnelheid, die is na een upgrade of het testen met andere instellingen vaak 20-25% lager.
Na een hardwarematige reboot (powerknop uit, en weer aan), gevolgd met een softwarematige reboot is het dan meestal opgelost.
Maar een 3e keer een reboot moeten geven is ook wel eens voorgekomen.
Statistieken die ik vorig jaar over een periode van 4,5 maanden heb bijgehouden.
[attach=1]
De snelheid van de bovenste strakke lijn (glasvezel 100/100 Mbps), als het goed is globaal 95,52 Mbps download.
[attach=2]
[attach=3]
[attach=4]
-
Bij upgrades of gebruik met andere instellingen (met name m.b.t. netwerkinstellingen) merk ik dat je er vaak niet aan ontkomt om een reboot te moeten geven. Eigenlijk een slechte zaak,
Lijkt me zelfs reden voor een bugmelding richting Synology. Ze moeten er óf de fouten uithalen zodat het zonder reboot werkt, óf een reboot forceren.
Bij mijn Ubee router wordt er alleen een reboot afgedwongen als ik de netwerk range aanpas. De Apple airport maakt het zo bont dat er altijd een reboot komt als je ook maar iets triviaals aanpast. Lui programmeren.
-
Ik moet (vergeten) erbij vermelden, dat ik de router, na het het constateren van he probleem, al 4 x had gereboot, dus niet uit/aan.
Bij de laatste update, werd ook een reboot afgedwongen.
Met de nieuwe instellingen van @Babylonia en reboot, was het probleem verdwenen.
Dus, op de 1 of andere manier was de Firewall kennelijk in de war, zeg maar.
Maar goed, zal het goed in de gaten houden bij elke update van SRM.
Ben het overigens eens met @Briolet dat dit niet zou mogen gebeuren, na een update.
-
Heb dit pakweg al een jaar eerder bij Synology gemeld. Maar kwam toen niet verder en bleef steken bij de eerste lijns hulp.
Omdat ik indertijd de router meermalen naar fabrieksinstellingen heb gereset, kun je dan ook niet meer terugkijken in de logbestanden.
Ik moet dit nog eens opnieuw aankaarten. En de data-gegevens van die snelheidstesten met de logfiles laten vergelijken.
Kunnen ze mogelijk daar meer uithalen. (Router is niet meer opnieuw naar fabrieksinstellingen gereset).