RT2600ac VPN Plus server - L2TP werkt niet meer

[wideko]

Hoi medestrijders,
Vorig jaar heb ik de L2TP-VPN nog kunnen gebruiken op mijn mobiele telefoon (OnePlus3) Nu met een nieuwe (OnePlus5T) krijg ik het niet voor elkaar.
L2TP is ingesteld met default client IP (10.0.0.0/24) en internet naar mijn WAN IP-adres.
Firewall (2 stuks ... is me niet helemaal duidelijk hoe dat nu echt werkt)
- System rule tcp/udp alles-alles => SRM-VPN poort 500,4500,1701,1194 toestaan
- VPN_vrijgeven tcp/udp range 10.0.0.0-/-10.0.0.255 alles-alles-alles toestaan
Service => VPN Plus Server is ingeschakeld
Pass-through staan ingeschakeld ipsec/l2tp/sip

Poort doorsturen:
privaat-adres van de SRM en de poorten 50,1701,4500,1194
Op de OP5 de gegevens ingevoerd.

Als ik vervolgens de VPN op de OP5 via mobiele data (dus geen wifi) start, zie ik bij de eerste firewall de teller oplopen in stapjes van 2 of 3 .... => wat betekent dit nu? Wordt het nu geblokkeerd??
Na ruim 20 seconde komt er 'mislukt' in het scherm.

Wat heb ik verkeerd gedaan?

Als er meer info nodig is, dan hoor ik het graag.

gr.
Willie

[Birdy]

Maar het heeft toch gewerkt ?
Het enige wat er is gewijzigd, is de Phone, toch ?

Poort doorsturen:
privaat-adres van de SRM en de poorten 50,1701,4500,1194

Check: Is 50 een typo in het bericht of echt 50 doorgestuurd in de router.
Moet natuurlijk 500 zijn.

Overigens, UDP poort 1194 is voor OpenVPN.

[wideko]

Hallo Birdy,
Ja, 50 is 500 in de config (typo).

Klopt, het heeft gewerkt. Maar dat is al lang geleden, normaal heb ik het niet nodig. Binnenkort weer wel, om vanuit China ondermeer mijn gmail te kunnen lezen. Geen idee of een update van VPN Plus Server hier roet in het eten gooit.

VPN Plus server : versie 1.2.5 0226
SRM versie : 1.1.7-6941 Update 1

Ik heb een certificaat op mijn 'web-adres' en dit is ingevoerd in de Router en ook beide NASsen. Mijn kameraad heeft via mijn website een doorverwijzing gemaakt naar mijn DDNS-account bij synology. Dit werkt perfect, de SRM en de DS zijn perfect met https te bereiken. En datzelfde 'adres' heb ik gebruikt voor mijn VPN. Zou daar misschien iets verkeerd gaan?
123.12345.com => 321.synology.me => IP-adres thuis.

Ik benader de SRM en de DS alleen via https en dat gaat dus goed met het certificaat geregistreerd op het eerste adres.

In een aantal plaatjes de settings zoals ze nu zijn, inclusief de telefoon.

Zou het aan (de versie van) VPN Plus Server kunnen liggen?

gr.
Willie

[Birdy]

Mijn uitgangspunt is altijd eerst de standaard:

Plaatje1
Als ik L2TP inschakel, krijg ik de volgende FW regel:

Als je jouw regel eens verwijdert en saven
L2TP uitschakelen en saven
L2TP inschakelen, dan zou je de standaard regel moeten krijgen (wordt ook gevraagd).

Plaatje2
Waarom DHCP reservering op 10 netwerk, werkt dat wel ?
Maar goed, ik gebruik OpenVPN en geen DHCP reservering.

Plaatje3
Ik heb standaard alleen deze 2 ingebouwde toepassingen gekregen:


Plaatje4
Prima extra regel in de FW

Plaatje5
Ok

Plaatje6+7
Ben niet zo goed bekend met L2TP instellingen op een Phone.
Maar, logisch gezien, ziet dat er volgens mij goed uit.

[wideko]

Hoi Birdy,
Helaas....
Plaatje 1 van mij was de poort doorsturen, jij verward het denk ik even met firewall... maar ik zag het.
Ik heb allebei de Firewall-regels verwijderd, L2TP en OpenVPN uitgeschakeld en dat opgeslagen.
Daarna L2TP opnieuw aangezet en ja de popup kwam en nu dus alleen 500,1701 en 4500 open in die system-rule. OpenVPN kwam de vorige keer mee en zelf had ik nog een paar vinkjes gezet... omdat het niet werkt en je probeert wat :-(
DHCP-reservering verwijderd

Maar helaas, nog steeds niet werkend...
Nog iemand een tip?

gr.
Willie

[Birdy]

OpenVPN uitgeschakeld

Waarom niet OpenVPN, werkt out of the box

Heb wel eens een keer met L2TP zitten testen maar, ik werd daar ook niet gelukkig van en niet aan de praat gekregen.

[Babylonia]

Vanuit de getoonde plaatjes.

Ik begrijp de VPN "poorten doorstuur" regels niet die worden gebruikt?
Er wordt gebruik gemaakt van de VPN-server als onderdeel van de router zelf. Dus poorten doorsturen is overbodig.
En je stuurt ze vervolgens door naar IP 192.168.1.200   Welk apparaat zit er achter dat IP-adres??

Verder zitten er naar mijn gevoel nogal wat discrepanties in de Firewall regels waarbij nogal wat zaken voor internet open worden gezet, voor toegang "vanuit de hele wereld" voor bepaalde NAS'sen.  Je hebt wat informatie afgeschermd, dus kan niet alles daaruit opmaken, maar maak me toch zorgen voor bepaalde poorten die hoofdzakelijk intern in een LAN gebruikt worden, voor een bepaalde NAS, die je voor internet hebt open gezet?  (Poorten 137, 138, 13...)

Met het oog op een reis naar China, en afhankelijk per regio zou je in ieder geval rekening kunnen houden met (vanuit overheidswege) opgelegde blokkades van VPN-verbindingen. Zou me dan juist niet richten op gebruik van L2TP. Die werkt met vaste standaard poorten.
Mochten er blokkeringen zijn, dan al gauw juist op dit soort protocollen.

Zou zeker de laatste versie VPN Plus aanraden (zelf gebruik ik de beta versie 1.3.0 - 0319).  En daarbij verschillende methoden VPN-servers inregelen, zodat je altijd kunt uitwijken naar een andere methode, zou de ene of de andere zijn geblokkeerd.

Zelf heb ik standaard als VPN-server in gebruik:
- L2TP
- OpenVPN
- SSL VPN    (Synology's eigen VPN oplossing)

Mocht je voor je WAN-aansluiting op je domein een "wildcard" certificaat hebben,
kun je tevens de volgende VPN-protocollen gebruiken:
- SSTP VPN
- WebVPN    (Synology's eigen VPN oplossing)

[Birdy]

Ik begrijp de VPN "poorten doorstuur" regels niet die worden gebruikt?
Er wordt gebruik gemaakt van de VPN-server als onderdeel van de router zelf. Dus poorten doorsturen is overbodig.

Zie ik nu ook eerste plaatje gaat over poorten doorsturen en niet FW (zo had ik er wel op gereageerd)
Dus die streep ik door.

[wideko]

Hoi Babylonia,
Ik snap er, denk ik, helemaal niks meer van....
Geen idee of ik de plaatjes met interne adressen en namen van de regels zonder risico hier kan vermelden. Indien ja, dan maak ik ze opnieuw.

Her en der wat gevonden en bij elkaar gezet, ook naar aanleiding van informatie van jouw hand.
Zie enkele antwoorden in rood.

Vanuit de getoonde plaatjes.

Ik begrijp de VPN "poorten doorstuur" regels niet die worden gebruikt?
Er wordt gebruik gemaakt van de VPN-server als onderdeel van de router zelf. Dus poorten doorsturen is overbodig.
Dus jij zegt dat het doorsturen naar 192.168.10.200 (RT2600ac) volgens plaatje "01_PoortenDoorsturen" gewoon weg kan ??
En je stuurt ze vervolgens door naar IP 192.168.1.200   Welk apparaat zit er achter dat IP-adres?? => De RT2600ac zelf

Verder zitten er naar mijn gevoel nogal wat discrepanties in de Firewall regels waarbij nogal wat zaken voor internet open worden gezet, voor toegang "vanuit de hele wereld" voor bepaalde NAS'sen. Aangezien de VPN het niet (meer) doet, vroeger had ik het werkend via de NAS DS212+, denk ik dat het nodig is om er zo ook van buiten bij te kunnen. (ook al is dat vanuit China) Je hebt wat informatie afgeschermd, dus kan niet alles daaruit opmaken, maar maak me toch zorgen voor bepaalde poorten die hoofdzakelijk intern in een LAN gebruikt worden, voor een bepaalde NAS, die je voor internet hebt open gezet?  (Poorten 137, 138, 13...)`137,138,139,443,445,5006,8080,500,1701,4500    beslist dat nu je tenen helemaal krom staan 

Met het oog op een reis naar China, en afhankelijk per regio zou je in ieder geval rekening kunnen houden met (vanuit overheidswege) opgelegde blokkades van VPN-verbindingen. Zou me dan juist niet richten op gebruik van L2TP. Die werkt met vaste standaard poorten.
Mochten er blokkeringen zijn, dan al gauw juist op dit soort protocollen.
Ik heb VPN server plus vorig jaar juni geïnstalleerd en wilde daarbij gebruik maken van de standaard L2TP. Sinds die tijd is de versie volgens mij bijgewerkt naar de huidige versie, ik heb gelezen dat er sindsdien meer mensen problemen met VPN hebben. Ik heb (nog) niet de Beta-versie geïnstalleerd.
Vorig jaar VPN werkend en sporadisch gebruikt. En het was verschillend waar ik was met mijn poging voor VPN - of zelfs zonder VPN openen van Gmail. Op een aantal plaatsen in het land kon ik Gmail gewoon openen, bij mijn schoonmoeder in huis dus net niet.

Zou zeker de laatste versie VPN Plus aanraden (zelf gebruik ik de beta versie 1.3.0 - 0319).  En daarbij verschillende methoden VPN-servers inregelen, zodat je altijd kunt uitwijken naar een andere methode, zou de ene of de andere zijn geblokkeerd.
Zoals aangegeven draait bij mij : VPN Plus server : versie 1.2.5 0226 / SRM versie : 1.1.7-6941 Update 1

Zelf heb ik standaard als VPN-server in gebruik:
- L2TP
- OpenVPN
- SSL VPN    (Synology's eigen VPN oplossing)

Mocht je voor je WAN-aansluiting op je domein een "wildcard" certificaat hebben,
kun je tevens de volgende VPN-protocollen gebruiken:
- SSTP VPN
- WebVPN    (Synology's eigen VPN oplossing)
Volgens mij geen 'wildcard', dacht dat ik dat niet nodig had. Alleen met https naar de NASsen en Router..... maar dan komt Synology met deze VPN-protocollen

Zou dus (voor mij) mooi zijn als die configuraties van firewall en poorten doorsturen in een overzichtelijk document uitgelegd zijn en wat de consequentie zijn als je iets selecteert. Een soort invuloefening, waarbij je bijvoorbeeld opgeeft : Router is tevens VPN-server en ik wil die en die VPN-verbinding opzetten. En dat voor meerdere services, ook om bijvoorbeeld de data en andere services op de NAS te kunnen benaderen via VPN of rechtstreeks middels poort doorsturen.... Bij voorkeur met uitleg wat er gebeuren gaat...

gr.
Willie

[wideko]

OpenVPN op de PC lukt me ook niet.

Uit het logbestand:

Code: [Selecteer]

Mon Jul 16 23:52:50 2018 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Mon Jul 16 23:52:50 2018 TCP/UDP: Preserving recently used remote address: [AF_INET]aaa.bbb.ccc.ddd:1194
Mon Jul 16 23:52:50 2018 UDP link local (bound): [AF_INET][undef]:1194
Mon Jul 16 23:52:50 2018 UDP link remote: [AF_INET]aaa.bbb.ccc.ddd:1194
Gewoon gedaan wat er in de 'handleiding' stond, maar iets heb ik verkeerd gedaan ... maar wat ??

Certificaat voor mijn apparaten is geregistreerd op nas.12345.com. Dit 'adres' verwijst naar mijn DDNS bij Synology en dat verwijst dus weer naar de WAN-IP buiten. Daar zit een Ziggo modem in bridge naar de RT2600ac router/switch
Zou dat hier het probleem kunnen zijn??

gr.
Willie

[Babylonia]

Geen idee of ik de plaatjes met interne adressen en namen van de regels zonder risico hier kan vermelden.

Interne adressen kun je rustig tonen, want die zijn voor de meeste gebruikers toch allemaal in een vergelijkbaar standaard bereik.
Zonder internet WAN IP-adres kunnen mensen daar niets mee. (Dat WAN IP-adres moet je dus wel altijd afschermen).
Evt. MAC-adressen ook afschermen, want die zijn uniek voor apparaten.

Poorten doorsturen doe je alleen voor services die op apparaten "achter" een router zijn aangesloten.
Services die op de router zelf draaien, spelen zich af op "router niveau".
De data ervan hoef je dus niet "naar iemand anders" verder door te sturen.

Vergelijk het met postvakjes bij de portiersloge van een bedrijf.
PTT levert post centraal af bij de portier. De portier legt het vervolgens in postvakjes van de verschillende afdelingen.
De postjongen van het bedrijf levert ze vervolgens af bij de verschillende afdelingen.
Post bestemd voor de portier zelf, hoef je natuurlijk niet verder door te sturen.

Uitleg van Firewall regels. Kijk vanaf plaatje 2 (vanaf: EDIT 4 oktober 2016)  < HIER >

Chronologisch misschien wat compacter (omdat het niet tussendoor is veranderd), op het Engelstalige forum < HIER >
Andere "Jip & Janneke" voorbeelden kom je mogelijk tegen via de links in de volgende reactie < HIER >

(Poorten 137, 138, 13...)`137,138,139,443,445,5006,8080,500,1701,4500    beslist dat nu je tenen helemaal krom staan 

Van mij hoeven ze niet krom te staan, want ik heb hier geen problemen, maar ik denk eerder die van jezelf, als je connectie voor bijv. de intern gebruikte harddisk protocollen in je netwerk graag open zet voor benadering vanuit de buitenwereld.
Een lijst van algemeen gebruikte poorten < HIER >.  Specifiek gebruik binnen Synology < HIER >

Je zou er beter aan doen zo min mogelijk poorten open te stellen of door te sturen.
Alleen het hoog nodige wat je van buiten wilt benaderen.
Waarom goede controle op de veiligheid zo belangrijk is, en je zeer precies de juiste Firewall regels instelt, zie < DEZE DRAAD >

ik heb gelezen dat er sindsdien meer mensen problemen met VPN hebben.

Dat ligt in veel gevallen eerder aan de niet sluitende instellingen die mensen in hun netwerk zelf gebruiken?
Ik heb eigenlijk nooit problemen met VPN.
Nu ja in het begin dat VPN Plus uitkwam (indertijd ook een beta versie). Heb toen een tijd de oude versie maar weer gebruikt.
Totdat alle bugs eruit waren gehaald. Draai VPN Plus nu ook al weer erg lang zonder problemen.

Volgens mij geen 'wildcard', dacht dat ik dat niet nodig had. Alleen met https naar de NASsen en Router..... maar dan komt Synology met deze VPN-protocollen

Als je geen wildcard certificaat hebt, gebruik je die laatste twee VPN-opties gewoonweg niet.
Het is slechts een suggestie. Ik draai die twee ook niet bij gebrek ook bij mezelf van een wildcard certificaat.

[Plerry]

... Met het oog op een reis naar China, en afhankelijk per regio zou je in ieder geval rekening kunnen houden met (vanuit overheidswege) opgelegde blokkades van VPN-verbindingen. Zou me dan juist niet richten op gebruik van L2TP. Die werkt met vaste standaard poorten.
Mochten er blokkeringen zijn, dan al gauw juist op dit soort protocollen.

Mijn ervaringen in China zijn dat alle encrypted verkeer, mocht het al lukken een verbinding op te zetten, extreem in bandbreedte wordt afgeknepen zodra je daar enig serieus dataverkeer over probeert te laten lopen.
Zo ook bijv. https verkeer op port 443 (of enig andere port).
Internetbankieren of webmail via https gaat prima, maar probeer je je foto's via FileStation met https naar huis te uploaden, dan wordt halverwege je eerste foto de bandbreedte afgeknepen tot ~1kbit/s.

Er zijn echter hotel-ketens die hun Internet niet via Mainland China maar via Hong Kong hebben lopen.
Dan lukken breedbandige encryted verbindingen (VPN, https) over het algemeen wel.
Ook Google is dan (altijd) beschikbaar, al blijft het de Hong Kong versie (gecensureerd) van Google.