Auteur Topic: OpenVPN UDP gekoppeld aan UDP6 terwijl dit niet eens aan staat in het systeem  (gelezen 773 keer)

Offline dvdmeer

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 4
Gisteren heb ik een Synology router gekocht (RT6600AX) en had mij voorgenomen dan mijn hele netwerk maar eens te herzien en opnieuw in te regelen. Na flink ploeteren is bijna alles ingesteld en ben ik mij gaan focussen op VPN.
Blijkbaar zit er een serieuze bug in deze router waarbij als je een provider gebruikt die een VLAN ID vereist (ik heb KPN glasvezel) dan werkt internet niet meer zodra je de OpenVPN server start. Blijkbaar raakt het systeem de kluts kwijt door deze VLAN ID en kan ik wel internet adressen pingen maar alle het andere verkeer wat naar het internet toe wil gaan komt daar nooit aan. Het moment dat ik de OpenVPN server uit zet werkt alles weer wel.

Maar goed, heel irritant maar niet onoverkomelijk, dus dan zet ik wel een VPN server op op mijn Synology NAS (DS1821 met de laatste patch updates) en stel ik wel een port forward in. Dit is overigens ook beter omdat ik had gelezen dat OpenVPN nogal wat van de cpu van de router vraagt dus de volle snelheid halen zit er sowieso niet in. In een recentelijk verleden had ik wel wat problemen met het opzetten van de VPN server maar goed, dacht dat dit gewoon een firewall issue was.
De firewall stel ik namelijk in met als laatste een deny all rule en dus kan het wel eens voorkomen dat ik wat mis en dan werkt het niet meer.

De settings voor de OpenVPN server staan in de bijlage.
Ik gebruik niet de standaard port en gewoon een random andere port en heb deze ingesteld op UDP. Verify TLS auth key had ik eerst aan staan maar even uitgezet omdat ik dacht dat het misschien hier aan lag. Op zich had ik het wel kunnen weten want dan krijg ik geen connection timeout maar een andere melding.

Omdat ik alles zeker goed ingesteld had op de router firewall en op de NAS ben ik gaan kijken op de commandline in een SSH sessie en heb ik het volgende commando gedraaid:

netstat -an | grep 5513

Dit geeft de volgende output:

udp6       0      0 :::5513                 :::*

Mijn IP instellingen voor mijn enige actieve LAN interface zijn bijgevoegd als bijlage.
Ik heb, zoals je kan zien, geen IPv6 ingesteld.

Desondanks draait de OpenVPN server wel alleen maar op IPv6.

Stel ik deze in op TCP ipv UDP dan werkt het opeens wel, ondanks dat deze wederom alleen maar op IPv6 luistert

tcp6       0      0 :::5513                 :::*                    LISTEN

Is er ergens een instelling die ik vergeten ben waardoor TCP IPv6 verkeer wel wordt doorgeroute naar IPv4 TCP en voor UDP is dit niet?


Mvg,

Dennis
  • Mijn Synology: DS1821

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.950
Re: OpenVPN UDP gekoppeld aan UDP6 terwijl dit niet eens aan staat in het systeem
« Reactie #1 Gepost op: 09 maart 2024, 18:49:10 »
Blijkbaar zit er een serieuze bug in deze router waarbij als je een provider gebruikt die een VLAN ID vereist (ik heb KPN glasvezel) dan werkt internet niet meer zodra je de OpenVPN server start.....

Maar goed, heel irritant maar niet onoverkomelijk, dus dan zet ik wel een VPN server op op mijn Synology NAS (DS1821...

Tja, dat heb je ervan als je een nieuwe router nog niet echt goed hebt doorgrond.
En dan met claims komt dat er een serieuze bug zou zitten m.b.t. inschakelen van een OpenVPN server.

Eerst alles goed doorgronden, online help gebruiken, YouTube, alle zaken nalopen waarom iets niet functioneert zoals je had gehoopt.
Als alle opties zijn uitgeput die je een antwoord hadden kunnen geven. En het nog niet werkt, dan verder doorvragen.

En inderdaad, er zit zeker iets niet goed bij gebruik van KPN glasvezel.
Maar dat heeft op zichzelf niet met de OpenVPN server te maken.   Dat is de functionaliteit van IPv6.
En dat kan dan nog eens afhankelijk zijn van welke achterliggende glasvezel techniek gebruik wordt gemaakt.
(Plekken waar het wel werkt, plekken waar het niet werkt).

Heb in het verleden al zoveel tijd gespendeerd met Synology Support, dat ik dat "toen" voorlopig maar heb laten liggen.
Het staat nog steeds op de rit om er nog eens een keer met Synology over te sparren. Maar mijn leeftijd wordt er ook niet jonger op.

Zolang IPv6 niet goed werkt met KPN,  heb ik het maar uitgeschakeld, en draai verder alles onder IPv4.
Idem met VPN servers - in de router ingeregeld - en dat al jaren zo onder het KPN glasvezel netwerk.
(Heb VPN-servers op NAS'sen om die reden "normaal gezien" hier niet ingeschakeld).

Maar met "nieuw jong bloed" op het forum, kunnen we daar mogelijk eens onderling contact over hebben.   :)
En achterliggende informatie uitwisselen m.b.t. IPv6.  Geeft misschien een nieuwe boost ook naar Synology toe.

..ik had gelezen dat OpenVPN nogal wat van de cpu van de router vraagt dus de volle snelheid halen zit er sowieso niet in.

Met de RT6600ax is dat juist heel aardig geregeld. Beter als bij veel andere routers. Zie < DEZE reactie >
(Wel als VPN Client getest vanuit de router).
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline dvdmeer

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 4
Re: OpenVPN UDP gekoppeld aan UDP6 terwijl dit niet eens aan staat in het systeem
« Reactie #2 Gepost op: 09 maart 2024, 19:35:00 »
Misschien heb ik het niet goed aangegeven, en als dat zo is dan excuses hiervoor.
Voor wat betreft de issue met OpenVPN en internet wat niet meer werkt als OpenVPN Server aangezet wordt, heb ik meerdere posts online gezien van mensen die hier last van hebben dus het is niet iets wat alleen bij mij voorkomt. Van wat ik heb gelezen, en ik ga er vanuit dat die persoon niet liegt, is hij er zelfs met Synology technical support niet uitgekomen en heeft hij het uiteindelijk opgegeven. Youtube staat vol van verschillende reviews van deze router waarbij de issue niet wordt vermeld, dus ik heb zeker wel voorwerk gedaan.
Dit heeft er voor mij voor gezorgd dat ik het probleem niet verder uit ben gaan zoeken voor wat betreft de router.
Bovendien is het irritant maar zeker niet een gigantische issue omdat ik dit ook op mijn NAS kan regelen, die ook een zwaardere CPU heeft dus het verkeer beter af zou moeten kunnen handelen dan de router.
En voor IPv6 op de router kan ik aangeven dat dit niet aan staat: "Internet -> Connection -> IPv6 Setup" staat op Off.
Ik heb ook geen TV en alleen internet dus het instellen van een VLAN ID is voor mij voldoende.
Volgens mij heb ik ook gewoon aangegeven dat IPv6 overal uit staat.

Waar ik wel een vergissing gemaakt heb is aangeven dat het connecten via TCP wel werkt en hierin was ik wat te voorbarig.
Helaas werkt de verbinding totaal niet.
Ik heb de configuratie handmatig op de NAS aangepast voor IPv4 omdat de interface, zonder duidelijke reden zomaar besluit dit naar IPv6 te zetten, terwijl ik dit overal uit heb staan. In /var/packages/VPNCenter/etc/openvpn/openvpn.conf staat: proto tcp-server (handmatig aangepast) en via netstat kan ik zien dat de service nu wel op IPv4 draait:

tcp        0      0 0.0.0.0:1194            0.0.0.0:*               LISTEN

Echter krijg ik nog steeds geen verbinding; niet met UDP en niet met TCP. Firewall op de NAS uitzetten heeft ook geen effect dus het lijkt geen firewall issue (tenzij de firewall op de router vervelend doet). Voor referentie...firewall rule op de router (als 1e rule gezet):

Protocol: TCP/UDP (aangezien ik beide aan het testen ben was dit even het makkelijkste maar heb ze ook individueel gechecked)
Source:
Network Interface: LAN -> Specific Network -> Network 1 - Primary Network
IP Address: Specific IP -> IP Range -> (reeks opgegeven waarin mijn laptop en telefoon zit)
Ports: All

Destination:
Network Interface: LAN -> Specific Network -> Network 1 - Primary Network
IP Address: Specific IP -> Single Host -> (ip address voor mijn NAS)
Ports: Custom -> 1194

Action: Allow

Ik kom er echter niet uit wat de reden is dat de VPN verbinding niet wil werken.

Dus ik heb de volgende vragen:
1. Waarom start mijn OpenVPN server op mijn NAS blijkbaar default in IPv6 terwijl dit nergens enabled lijkt te zijn?
2. Waarom kan ik geen connectie maken naar OpenVPN op mijn NAS (via het LAN om in eerste instantie issues met port forwarding, firewall issues, etc. te vermijden - totdat het iig intern werkt en dan ga ik wel de port forward testen)?

note:
Toch maar alvast de port forward ingesteld en ook getest met een port scan of de port daadwerkelijk open staat en dat is het geval.
En ik krijg de volgende error:
EOF received on TCP network socket: 2 times
General transport error: 2 times

Via mijn LAN krijg ik dit ook (dus zowel intern als extern via mijn telefoon)
Ook nog even geprobeerd via mijn laptop aangezien WiFi wel eens anders kan reageren dan LAN bekabeld en daar krijg ik dezelfde foutmelding.
  • Mijn Synology: DS1821

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.950
Re: OpenVPN UDP gekoppeld aan UDP6 terwijl dit niet eens aan staat in het systeem
« Reactie #3 Gepost op: 09 maart 2024, 19:53:51 »
Er zijn hier op het forum best nog wel gebruikers actief die achter KPN glasvezel zitten, met gebruik van een Synology router,
met draaiende VPN servers op router of een NAS  -  zonder problemen.

Dus als je zelfs ook nog problemen ervaart met de VPN server op de NAS, en dus eigenlijk helemaal geen VPN server kunt draaien.
Zelfs niet eens met uitgeschakelde IPv6.   Weet ik wel zeker dat je ergens iets over het hoofd hebt gezien !

In het verleden heb ik ook nog wel eens wat uitgezocht m.b.t. VPN.
Problemen kunnen soms in heel vreemde zaken zitten, bijv. gebruik van vreemde karakters in Gebruikersnamen of wachtwoorden..
Doorloop eens een eerdere "VPN Marathon test" (ja echt meer dan 42 tests) die ik eens heb doorgevoerd < HIER >  en vervolgreacties.

De info van je laatste reactie om door te nemen.  Kom ik mogelijk later op terug.  (Heb nog niet gegeten).
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline dvdmeer

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 4
Re: OpenVPN UDP gekoppeld aan UDP6 terwijl dit niet eens aan staat in het systeem
« Reactie #4 Gepost op: 09 maart 2024, 20:04:03 »
Eet smakelijk.
Uiteraard kan ik van tijd tot tijd een beetje voorbarig zijn in mijn conclusies dus ik probeer altijd zoveel mogelijk informatie te geven van wat ik al geprobeerd heb en wat mijn settings zijn; vandaar de vrij lange posts.
Ik zal eerst wel zelf nog eens snuffelen want de interface van Synology is wat beperkter met het weergeven van logs dus na wat zoeken heb ik deze uiteindelijk gevonden (/var/log/openvpn.log)

2024-03-09 19:54:42 TCP connection established with [AF_INET]192.168.xx.xx:60176
2024-03-09 19:54:42 192.168.33.14:60176 TLS: Initial packet from [AF_INET]192.168.xx.xx:60176, sid=212ea40e 97996db5
2024-03-09 19:54:42 192.168.33.14:60176 OpenSSL: error:0A0000C7:SSL routines::peer did not return a certificate
2024-03-09 19:54:42 192.168.33.14:60176 TLS_ERROR: BIO read tls_read_plaintext error
2024-03-09 19:54:42 192.168.33.14:60176 TLS Error: TLS object -> incoming plaintext read error
2024-03-09 19:54:42 192.168.33.14:60176 SYNO_ERR_CERT
2024-03-09 19:54:42 192.168.33.14:60176 TLS Error: TLS handshake failed
2024-03-09 19:54:42 192.168.33.14:60176 Fatal TLS error (check_tls_errors_co), restarting
2024-03-09 19:54:42 192.168.33.14:60176 SIGUSR1[soft,tls-error] received, client-instance restarting
2024-03-09 19:54:47 TCP connection established with [AF_INET]192.168.xx.xx:60179
2024-03-09 19:54:47 192.168.33.14:60179 TLS: Initial packet from [AF_INET]192.168.xx.xx:60179, sid=d6772b18 4b1ee912
2024-03-09 19:54:47 192.168.33.14:60179 OpenSSL: error:0A0000C7:SSL routines::peer did not return a certificate
2024-03-09 19:54:47 192.168.33.14:60179 TLS_ERROR: BIO read tls_read_plaintext error
2024-03-09 19:54:47 192.168.33.14:60179 TLS Error: TLS object -> incoming plaintext read error
2024-03-09 19:54:47 192.168.33.14:60179 SYNO_ERR_CERT
2024-03-09 19:54:47 192.168.33.14:60179 TLS Error: TLS handshake failed
2024-03-09 19:54:47 192.168.33.14:60179 Fatal TLS error (check_tls_errors_co), restarting
2024-03-09 19:54:47 192.168.33.14:60179 SIGUSR1[soft,tls-error] received, client-instance restarting

Lijkt een issue met certifcaten te zijn. Wel apart want dacht dat ik de controle hierop uit had staan en de OpenVPN client klaagt hier ook over maar met een Continue wil het meestal wel werken. Certificaten worden meestal ook meegestuurd in de ovpn configuratie file maar goed, denk dat ik ergens wat vergeten ben, wat jij ook al aan gaf :-)

Nogmaals bedankt voor jouw hulp en excuses als ik ietswat te voorbarig over kwam, wat zeker niet mijn bedoeling was.
Het kan soms wat frustrerend zijn om tegen verschillende issues aan te lopen en dan het ene op te lossen en dan weer tegen iets anders aan te lopen (en dan heb ik nog wel aardig wat kennis van Linux enzo dus SSH is allemaal geen probleem).

En overigens is het voor Synology moeilijk om alle scenarios te testen dus dat er bugs in een router zitten is ook niet gek. Het is zeer zeker wel een fijne router en omdat ik al jaren met een Synology NAS werk, kan ik hier snel mijn weg in vinden.


Mvg,

Dennis
  • Mijn Synology: DS1821

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.950
Re: OpenVPN UDP gekoppeld aan UDP6 terwijl dit niet eens aan staat in het systeem
« Reactie #5 Gepost op: 09 maart 2024, 23:40:25 »
M.b.t. certificaten.
Weet niet of je een Synology DDNS domein hebt ingesteld, waarbij certificaten via Synology zelf worden geregeld,
of een eigen domein gebruikt (met SSL certificaat)?   Stel ze in ieder geval al wel direct in.
Tegenwoordige controles bij verbindingen worden steeds strenger doorgevoerd op die punten.

M.b.t. IPv6 wat ik zelf op dit moment niet inzet.  Dat is op twee niveaus uitgeschakeld.
Op binnenkomend WAN niveau, en op LAN niveau per ingesteld LAN subnet.

61326-0          61328-1

Verder heb ik bij Network Center voor alle VPN protocollen + VOIP (SIP) een "Pass-Through" instelling geactiveerd.
Ongeacht of de VPN-server reeds op router niveau is geconfigureerd, of verder weg in het LAN op een 2e router (dubbel NAT) of een NAS.
Het functioneert daarbij naar alle netwerk lagen correct.




Configuratie en instellingen van de RT6600ax uitgebreid behandeld in een "sticky" onderwerp (bij forum "router" sectie).
Veel "ongewone" niet standaard instellingen zijn er in terug te vinden, om naar wens op gebruikersniveau af te stemmen.
Met een aantal basis zaken om "uit" te schakelen (UPnP en automatisch aanmaken van Firewall regels e.d.)
+ uitgebreide informatie m.b.t. Firewall regels:

https://www.synology-forum.nl/synology-router/rt6600ax-router-setup-en-zijn-mogelijkheden/
https://www.synology-forum.nl/synology-router/rt6600ax-router-setup-en-zijn-mogelijkheden/msg312656/#msg312656

Firewall regels m.b.t. een NAS,  en dan bijna onderaan van de eerste reactie, vanaf   Belangrijk !!
4 genummerde voorbeelden.
https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/

M.b.t. de VPN Plus server van de RT6600ax router en informatie m.b.t. certificaten.
VPN protocollen: SSTP  -  OpenVPN  -  L2TP/IPSec  (PPTP niet aan te bevelen i.v.m. veiligheid) - SSL VPN  -  WebVPN.
Functioneren gewoon allemaal zonder problemen met een KPN glasvezel abonnement (IPv6 niet ingeschakeld):
https://www.synology-forum.nl/synology-router/rt6600ax-router-setup-en-zijn-mogelijkheden/msg313195/#msg313195

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.950
Re: OpenVPN UDP gekoppeld aan UDP6 terwijl dit niet eens aan staat in het systeem
« Reactie #6 Gepost op: 13 maart 2024, 17:34:43 »
Dennis  /  @dvdmeer

Ben je sinds de laatste keer (afgelopen zaterdag) met de aanvullende aanwijzingen nog verder gekomen?
(Het is stil geworden rondom je set-up).

Overigens heb ik inmiddels met een volledige reset naar fabrieksinstellingen van de RT6600ax router,
en een volledig nieuwe set-up alsnog een werkende  IPv6  functionaliteit kunnen configureren.
Compleet met functionerende VPN verbindingen.
Waarvan het Synology SSL VPN protocol, zelfs ook het IPv6 VPN verkeer "door de VPN tunnel" via een IPv4 mobiele verbinding.
Meer daarover in een ander onderwerp wat ik ben gestart.  < HIER >  en vervolgreacties.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....


 

Inloggen via OpenVPN met certificaat

Gestart door UhhhBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 2140
Laatste bericht 20 december 2014, 23:42:32
door Uhhh
Foutmelding OpenVPN, waaar probleem te zoeken?

Gestart door BabyloniaBoard VPN Server

Reacties: 4
Gelezen: 1871
Laatste bericht 06 oktober 2018, 12:33:49
door Babylonia
VERPLAATST: Externe toegang openVPN en beveiliging

Gestart door BirdyBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 0
Gelezen: 125
Laatste bericht 19 oktober 2024, 16:47:30
door Birdy
OpenVPN vragen mbt. clients

Gestart door HenkGroenBoard VPN Server

Reacties: 22
Gelezen: 3024
Laatste bericht 12 februari 2021, 17:55:23
door Plerry
OpenVPN: certifcaten en keys in één bestand

Gestart door BartSBoard VPN Server

Reacties: 4
Gelezen: 3146
Laatste bericht 06 maart 2016, 17:29:52
door BartS