RT2600ac OpenVPN toegang tot lokaal netwerk

[MarkH]

Hoi allemaal,

Gelukkig heb ik op dit forum mogen ontdekken dat ik niet de enige ben die moeite heeft met het instellen van OpenVPN binnen VPN Plus Server van SRM. Helaas lijkt de juiste oplossing voor mij niet te worden aangeboden op dit forum. Ik wist niet zeker of ik de vraag hier moest stellen of bij Official Packages, maar aangezien het probleem ook in de firewall rules kan zitten heb ik de vraag toch hier gepost.

Willen jullie met mij meedenken in het volgende probleem:

Als ik vanuit een remote locatie een OpenVPN verbinding opzet naar de router locatie dan ik het locale netwerk achter de RT2600ac niet bereiken, maar de RT2600ac wel. Hetzelfde geld voor pingen. Ik kan de RT2600ac wel pingen, maar alle andere aparatuur achter de RT2600ac niet.

Ik heb de volgende opstelling:

Remote locatie:
- Windows 10 x64 Pro laptop met de Creators Update geinstalleerd.
- Windows 10 x86 Home laptop met de Creators Update geinstalleerd.
- Open VPN client 2.4.1-I601 (uitgevoerd als Administrator).
- Netwerk: 192.168.2.0/24 maar ik heb het ook vanuit andere locaties geprobeerd. Onderandere 4G van Vodafone.

Router locatie:
- RT2600ac met IP 192.168.1.254
- SRM versie: SRM 1.1.4-6509
- Netwerk: 192.168.1.0/24
- DS212+ met IP 192.168.1.110 (deze wil ik o.a. graag kunnen benaderen).
- De DS212+ is de DHCP en DNS server in het netwerk.
- Printer met IP 192.168.1.222 (na VPN ook niet te pingen of te benaderen via de webinterface).

en de volgende instellingen:

RT2600ac:

Control Panel:
- Allow External access to SRM staat uit (hierdoor weet ik zeker dat ik SRM kan benaderen via de VPN verbinding en niet over de normale WAN verbinding).

Network Center:
- Ziggo modem gebrugd naar WAN poort: status: Connected
- DHCP server: uit
- Statische routes: Geen
- DoS protection: Aan
- PPTP, IPSec, L2TP pass-through: Aan.
- Firewall regel voor opzetten VPN verbinding: Protocol: UDP, Source IP: All, Source Port: 443, Destination: SRM, Destination  Ports: VPN Plus Server (Open VPN) 443, Action: Allow
- Firewall regel voor opzetten UDP en TCP verkeer van de VPN pool naar het interne netwerk: Protocol: TCP/UDP Source IP: 10.8.0.0/24, Source Port: All, Destination: 192.168.1.0/24, Destination  Ports: All, Action: Allow
- Firewall regel voor opzetten ICMP verkeer van de VPN pool naar het interne netwerk: Protocol: ICMP, Source IP: 10.8.0.0/24, Source Port: x, Destination: 192.168.1.0/24, Destination  Ports: x, Action: Allow

Als ik die laatste twee regels uitschakel dan kan ik de RT2600ac na het maken van een VPN verbinding niet meer pingen en tevens niet benaderen op de webinterface.

VPN Plus Server:
- Alle VPN verbindingen, behalve OpenVPN staan uit.
- OpenVPN staat aan met de volgende opties:
+ Client IP range 10.8.0.0/24
+ Port 443
+ Protocol: UDP
+ Allow clients to access local network: Aan.

Verder heb ik Intrusion Prevention nog niet geinstalleerd.

OpenVPN server config:
dev tun
syno_vpnplus_sync
management 127.0.0.1 1195
server 10.8.0.0 255.255.255.0
max-clients 5
comp-lzo
cipher AES-256-CBC
auth SHA512
dh /var/packages/VPNPlusServer/target/etc/openvpn/keys/dh3072.pem
ca /var/packages/VPNPlusServer/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNPlusServer/target/etc/openvpn/keys/server.crt
key /var/packages/VPNPlusServer/target/etc/openvpn/keys/server.key
tls-auth /var/packages/VPNPlusServer/target/etc/openvpn/keys/ta.key 0
persist-tun
persist-key
verb 3
#log-append /var/log/openvpn.log
keepalive 10 60
reneg-sec 0
plugin /var/packages/VPNPlusServer/target/lib/radiusplugin.so /var/packages/V
client-cert-not-required
username-as-common-name
duplicate-cn
proto udp6
port 443
status /tmp/ovpn_status_2_result 5
status-version 2
push "route 10.8.0.0 255.255.255.0"
push "route 192.168.1.0 255.255.255.0"

OpenVPN client config:
dev tun
tls-client
remote WANIP 443
pull
proto udp
redirect-gateway def1
dhcp-option DNS 192.168.1.110
dhcp-option DNS 8.8.8.8
script-security 2
comp-lzo
reneg-sec 0
auth SHA512
cipher AES-256-CBC
auth-user-pass
key-direction 1
explicit-exit-notify
<ca>

-----BEGIN CERTIFICATE-----

IPv4 Route Table (via Vodafone 4G mobiele hotspot)
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0     192.168.43.1   192.168.43.156     55
         10.8.0.0    255.255.255.0         10.8.0.9        10.8.0.10     35
         10.8.0.1  255.255.255.255         10.8.0.9        10.8.0.10     35
         10.8.0.8  255.255.255.252         On-link         10.8.0.10    291
        10.8.0.10  255.255.255.255         On-link         10.8.0.10    291
        10.8.0.11  255.255.255.255         On-link         10.8.0.10    291
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      192.168.1.0    255.255.255.0         10.8.0.9        10.8.0.10     35
     192.168.43.0    255.255.255.0         On-link    192.168.43.156    311
   192.168.43.156  255.255.255.255         On-link    192.168.43.156    311
   192.168.43.255  255.255.255.255         On-link    192.168.43.156    311
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link    192.168.43.156    311
        224.0.0.0        240.0.0.0         On-link         10.8.0.10    291
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link    192.168.43.156    311
  255.255.255.255  255.255.255.255         On-link         10.8.0.10    291
===========================================================================

Heeft iemand enig idee wat ik kan proberen?

Alvast hartelijk bedankt!
Met vriendelijke groet,

Mark

[aliazzz]

Heb je uberhaupt sslvpn of webvpn al geprobeerd?

[MarkH]

MOD: @MarkH Niet onnodig citeren.

Zeker. Met SSL VPN gaat het goed. Echter wil ik met meerdere gebruikers gaan verbinden en ben ik niet van plan om licenties aan te schaffen. OpenVPN zou prima moeten werken.

[Babylonia]

Hoewel in jou geval het netwerk NU vanuit de remote wel anders is als van je thuis netwerk, is het gekozen netwerk thuis te algemeen standaard, dat je daar redelijk snel vanuit een of andere locatie problemen mee krijgt. Zie opmerkingen  < HIER >
Verder zou een instelling in de router bij de VPN-server aangevinkt moeten zijn om lokaal de apparaten in je netwerk te kunnen benaderen.
Mogelijk dat Firewall-regels ook nog aangepast moeten worden.

Verder zie ik een discrepantie met wat je in de VPN-server hebt ingesteld:
proto udp6    Wat volgens mij aangeeft dat je IPv6 code gebruikt ??

Tegenover in de Client een IPv4 versie:
proto udp

[MarkH]

Hoi Babylonia,

Bedankt voor je bericht.
Ik heb bij OpenVPN aanstaan dat het lokale LAN benaderd mag worden over de VPN verbinding. Bedoel je dat vinkje?

Heb je enig idee welke firewall regel ik nog aan zou moeten passen?
Ik heb al een keer geprobeerd om alle TCP/UDP poorten van elke bron naar elk doel goed te keuren. Helaas werkt dat ook niet.

UPDATE:
Als ik de 6 weg haal en de openVPN service aan en uit zet, dan komt deze gewoon weer terug. Ik heb de 6 weg gehaald en de router herstart. Dan blijft hij wel weg. Helaas lost dit het probleem niet op. Wel scherp gezien!

[Babylonia]

Ja, dat vinkje bedoel ik.
(Zelf heb ik VPN Plus niet geïnstalleerd, maar vermoed dat het bij het "conventionele" OpenVPN protocol niet anders is als bij de "gewone" VPN-server).

Voor de Firewall, kijk eens of je iets kunt met de volgende aanwijzingen  < HIER >

[Pippin]

M.b.t.

- Netwerk: 192.168.1.0/24
+ Client IP range 10.8.0.0/24

kijk even hier onder "IP/routeer conflicten voorkomen." voor een lijst met bereiken die je best kunt vermijden.

[MarkH]

Ik heb naar aanleiding van jouw firewall artikel mijn regels nog een keer nagelopen. Ik heb de NAS nog als service toegevoegd, maar helaas maakt dat ook geen verschil.

Zo zien mijn firewall regels er nu uit:



@MMD In die toekomst ga ik de range zeker aanpassen. Maar dat is nu het probleem niet.

[Babylonia]

In de firewall zie ik diverse regels waar ik vragen of opmerkingen over heb, en binnen de instellingen een aantal fouten.
Van boven naar beneden.

Regel 1, dat SSH, is zoals het nu is ingesteld bedoeld om vanuit het lokale netwerk een terminal (?) op de router te kunnen benaderen.
Die regel is feitelijk overbodig, omdat bij:
Regel 5, je voor het lokale netwerk reeds vanuit elk lokaal IP-adres voor alle mogelijke services en UDP/TCP reeds toestemming geeft. Dus ook voor SSH.

Regel 2, OpenVPN, de service verwijst naar alle IP's in het netwerk, maar "Destination IP" moet specifiek naar "SRM" verwijzen (daar draait VPN Plus).
En is het de bedeoeling dat die service vanuit elke plek in de wereld aangeroepen moet kunnen worden, of slechts een beperkte regio?  (m.b.t. veiligheid).

Regel 3, geen opmerkingen.   (Je ziet bij het kolommetje "Hits" dat die ook actief wordt gebruikt).

Regel 4, ICMP   Is die ping belangrijk voor een virtueel LAN IP-range van OpenVPN?  Wil je dat inzetten, Source Port en Destination Port zijn niet ingesteld.
Regel 6, ICMP   Idem zelfde opmerkingen voor de gewone LAN IP-range.

Maar feitelijk zijn die regel 4 en 6 niet nodig om binnen je netwerk je apparaten te kunnen pingen.
Zelf heb ik die regels niet ingesteld, en heb zojuist via VPN, met het Netwerktool van de router naar mijn Denon receiver gepingt.  Dat wordt gewoon gezien.

Regel 7,  ICMP voor de NAS.   Dezelfde opmerkingen als voor regel 4 en 6.  Dus haal die ook maar weg.

Regel 8.  Je hebt voor alle verkeer uit de hele wereld toegang verschaft voor alle protocollen en services die er maar te bedenken zijn voor je NAS.
               Als je graag gehackt wilt worden is dit de beste insteling die je hackers kunt geven. (Afgezien van gebruikers inlog info).
               Onvoorziene veiligheidslekken met poorten en services, worden op deze wijze het snelst ingevuld.  Lijkt me niet de bedoeling.
               WEG DIE REGEL 

Die regel heb je ook helemaal niet nodig, omdat je vanuit VPN vanuit een externe locatie juist via de VPN-tunnel met je apparaten in je thuis netwerk gewoon contact kunt leggen. Dus ook met je NAS.

Advies om de eerdere uitleg van de Firewall regels nog eens heel goed door te nemen en voor jezelf te recapituleren wat je wilt en doet.
Wat je nu hebt ingesteld lijkt het er in ieder geval op dat je het helemaal nog niet hebt begrepen.

De basis in mijn eerdere voorbeeld met de Firewall is om intern binnen het eigen thuisnetwerk geen restricties op te leggen.
Voor externe connectie daarentegen, moet je je beperken tot hooguit die services en regio's (of nog beperkter via strikte IP-adressen), om enkel die poorten open te zetten die je minimaal benodigd hebt de services te kunnen bereiken.  Echter beslist niet meer dan noodzakelijk !!

[MarkH]

Hoi Babylonia,

Bedankt voor je opmerkingen, ik waardeer de hulp erg. Ik had het origineel ook anders staan (zie eerste post), maar op een gegeven moment wordt je hopeloos.

Hierbij de antwoorden op je vragen:

Regel 1, deze heeft SRM zelf aangemaakt, ik heb alleen de naam aangepast. Ik heb hem nu verwijderd en het gaat inderdaad nog steeds goed.
Regel 2, nu 1 (OpenVPN): Op dit moment wel, later zal ik specifieke IP's gebruiken. Voor nu even Nederland ingesteld.
Regel 4, nu 2  (OpenVPN Pool ICMP): Poort nummer valt niet in te stellen voor ICMP. Deze regel zal uitschakelen zodra de verbinding goed werkt.

Voor de regel LAN Subnet TCPUDP wil ik later nog poorten gaan specificeren, maar eerst moet de VPN goed werken.

Helaas met de nieuwe instellingen opnieuw hetzelfde resultaat. Ik kan wel de RT2600ac benaderen en niet de andere apparatuur. Hierbij een nieuw overzicht van de regels:

[Babylonia]

Regel 1, deze heeft SRM zelf aangemaakt, ik heb alleen de naam aangepast. Ik heb hem nu verwijderd en het gaat inderdaad nog steeds goed.

SRM maakt wel meer regels aan, maar houdt op dat moment geen rekening met eventueel persoonlijk zelf aangebrachte regels.
Dan kunnen die door SRM aangereikte regels wel eens overbodig worden.  Houd het zo overzichtelijk mogelijk.

Met je nieuw ingeregelde set-up, ben je nog steeds slordig en ben je schijnbaar niet goed bewust van de betekenis van de instellingen.
Je stelt de regels precies verkeerd in.  De aanwijzingen nu dus voor het laatste plaatje hierboven:

Regel 1   Bron IP - Nederland is goed (voor als je nu alleen vanuit Nederland connectie wilt leggen).
                Maar je maakt nog steeds de fout dat je voor het Doel-IP voor de VPN-server daar niet SRM voor kiest, maar feitelijk elk IP-adres in je netwerk.
                De OpenVPN server (vanuit het package VPN Plus) draait op je router, daar moet je de externe connectie feitelijk dus naartoe sturen.
                Maar omdat voor services draaiend op de "eigen router"  feitelijk geen port forwarders nodig zijn hoef je DIE niet in te stellen (in een ander menu),
                maar geeft wel de plek aan waar de service is ondergebracht.  Onder SRM dus.

Regel 2   Is overbodig zoals eerder al aangehaald in de vorige uitleg. (Bovendien is Doel-IP ----> SRM verkeerd).

Regel 3   Hierbij gaat het om connectie onderling in je thuis netwerk zo breed mogelijk open te hebben. Bij deze instelling voor je virtuele VPN netwerk.
               Dus hier is het Doel-IP met verwijzing naar SRM fout.  Dat moet je hier dus juist voor heel het netwerk laten gelden,
               zodat apparaten in je thuis netwerk binnen de VPN-connectie elkaar kunnen zien.  Daar stel je voor Doel-IP dus Alles in.

Regel 4   Is de enige regel die feitelijk goed is beschreven.  Maar let op mijn volgende aanwijzingen.

In de vorige uitleg heb ik het er verder nog niet over gehad, omdat er zoveel regels overbodig waren. Maar de volgorde van regels is belangrijk !!
Toegang tot je netwerk wordt afgehandeld in de volgorde van die firewall regels.

Met die 4e regel wordt feitelijk de basis voor toegang in je thuisnetwerk geregeld.  Maar dat moet feitelijk nog voordat een VPN-connectie actief is.
Die 4e regel moet je daarom hoger in de lijst zetten, feitelijk helemaal bovenaan als eerste regel gebruiken.
Binnen een Windows en Apple OS kun je die verslepen voor een andere volgorde.  (Dat gaat bijv. niet met "desktop vieuw" onder Android op een tablet).

1  -  eerst je eigen fysieke (LAN) netwerk toegang geven
2  -  dan het virtuele VPN netwerk open stellen
3  -  dan pas feitelijk het laatste stuk, de connectie via VPN van buiten uit.  Daarmee heb je met de voorgaande regels direct toegang tot je thuis netwerk.

[MarkH]

Oké, die laatste uitleg is me duidelijk. Ik was me er niet van bewust dat de volgorde van de regels uit maakt. Ik ben van een firewall gewent dat hij de lijst met regels van boven naar beneden doorloopt, totdat hij van een van de regels toegang krijgt. Dan pas, of op het einde van de lijst stopt hij. Dat werkt normaal goed zolang je er geen deny in zet.

Ik ben helaas dinsdag pas in de gelegenheid om de instellingen aan te passen.
Ik zal je zo snel mogelijk een update sturen. Hartelijk bedankt voor zo ver en een prettig weekend gewenst!

[Babylonia]

Ik ben van een firewall gewent dat hij de lijst met regels van boven naar beneden doorloopt,...

Tja, dat is dus een volgorde (van boven naar beneden).  Het maakt dus uit wat je bovenaan zet, of wat beneden om het probleemloos te laten verlopen.
< HIER > nog een verhelderend tastbaar voorbeeld vanuit de werkelijkheid.

[Briolet]

Ik was me er niet van bewust dat de volgorde van de regels uit maakt.…

… Ik ben van een firewall gewent dat hij de lijst met regels van boven naar beneden doorloopt, totdat hij van een van de regels toegang krijgt.…

hier spreek je jezelf tegen.  De hele procedure die je beschrijft, geeft al aan dat de volgorde er toe doet.

[MarkH]

Ik heb de regels aangepast naar:



Helaas precies hetzelfde probleem. Omdat ik de ICMP regel heb uitgeschakeld kan ik nu ook de firewall niet pingen. Als ik deze weer inschakel kan ik de firewall wel pingen.