RT6600ax router - setup - en zijn mogelijkheden

[Babylonia]

LET OP !!!
Gelieve door forum-gebruikers GÉÉN reacties te plaatsen in dit onderwerp.
Het is de bedoeling dat ENKEL een introductie en setup hier wordt behandeld van de RT6600ax router (+ leidraad voor WRX560).
Regelmatig volgen nieuwe onderdelen. Zo wordt het onderwerp niet onnodig onderbroken en "vervuild". Graag uw begrip daarvoor.

Mogelijke vragen te stellen in eigen onderwerpen (of aansluitend bij onderwerpen met gelijke vraagstelling en problematiek).
Mocht aanvulling / bijstelling van deze uiteenzetting nodig zijn, kan dat alsnog "netjes" hier worden aangepast / aangevuld.

De onderwerpen gelden ook als leidraad voor set-up van  RT2600ac  en  MR2200ac  indien geüpdatet naar SRM 1.3.1

(Bij verouderde - niet meer werkende verwijzingen naar URL's elders, a.u.b. even een seintje via persoonlijk bericht, voor aanpassing).


Met de komst van de RT6600ax - (t.k.)  is tevens een vernieuwde SRM firmware versie 1.3 geïntroduceerd.
Met aangepaste en aanvullende menu's om de extra mogelijkheden te kunnen ondersteunen.
Om kennis te maken met veranderde functies, worden vooral veel plaatjes getoond, met wat men kan verwachten.

Vanaf november 2022 is het assortiment met een  WRX560 router  uitgebreid.  -  (t.k.)
Onderstaande handleiding kan ook als leidraad worden ingezet voor dat model.

Inhoud en verwijzing naar directe links - in een aantal blokken onderverdeeld:

• Introductie en globale uiteenzetting  van de nieuwe mogelijkheden.
  
  • Historie
  • Functionaliteit naar rato van gebruikersbehoefte.     (Extra VLAN netwerken - WiFi 6)
  • Inzet RT2600ac en MR2200ac met nieuwe functies   (SRM 1.3.1)
• Voorbereiding...  om de router rechtstreeks op internet met de juiste provider gegevens in te stellen.
  
  • VOIP / telefonie   (via ATA-adapter of inzet VOIP telefonie apparatuur).
  • Netwerk functies naar rato van internet structuur.  Coax (kabel) / koper (VDSL) / glasvezel - en evt. work-around.
  • Ziggo  -  KPN  (XS4ALL - Budget - YouFone - Freedom...)  -  Trined  -  Odido (= T-Mobile)  -  Delta/Caiway  -  KabelNoord.
    Met inbegrip van IPTV routed mode (KPN),  of anderszins aangeboden IPTV-diensten.
    
    Na voorbereiding en juiste gegevens bij de hand - zie vervolg onderdelen hoe, wat, waar, bij welke menu's in te vullen.
  
  Info met plaatjes:
  
  De basis set-up:
  
• Basis setup middels gebruik van de mobiele app  DS router  ( Android versie  -  Apple IOS versie )  om de router in te stellen.
• Basis setup middels gebruik van een webbrowser (Windows / MacOS)  om de router in te stellen.
• Ingelogd in de SRM web-interface  -  de eerste kennismaking.
• De verschillende provider instellingen binnen de SRM web-interface in detail.
  
  Uiteenzetting in detail en wisselwerking tussen diverse menu's:
  
• Extra LAN netwerken.  Aangepaste SRM menu's / wat is er anders om gescheiden LAN netwerken op te zetten.
  
  • Set-up
  • IPTV in relatie extra netwerken.
  • "Tussendoor" gebruiksimpressie.
  • Extra netwerken in combinatie met WRX560, RT2600ac en MR2200ac in mesh mode.
  • Inzet managed switches in het doortrekken van extra netwerken.  -Voorbeeld set-up Netgear switch-
• Extra WiFi netwerken / SSID's  -  in relatie tot de hiervoor besproken extra netwerken.
  
  • Gecombineerde WiFi "radio's" / bandbreedtes (2x 5 GHz / 1x 2.4 GHz) om zaken te vereenvoudigen (Smart Connect).
  • Versus opdelen naar aparte SSID's per aangeboden WiFi "radio"  =  maximaal 15 SSID's
    Per SSID / netwerk individueel af te stemmen / tweaken.
• Uitbreidingen Firewall opties      -  in relatie tot de hiervoor besproken extra netwerken.
  
  • Samenhang van diverse "basis" instellingen waarmee netwerk functionaliteiten sterk kunnen veranderen.
  • Aanbevelingen m.b.t op te zetten Firewall regels, hoe deze vorm te geven om tot een efficiënte workflow te komen.
  • Aanvulling info m.b.t. benadering van clients / apparaten vanuit het "eigen" netwerk.
• VPN Client                                -  in relatie tot de hiervoor besproken extra netwerken.
  
  • De VPN-verbinding zelf:          Set-up van de door VPN-providers aangeleverde bronnen en gegevens.
  • Het beheer van de VPN:          Hoe deze in het thuisnetwerk wordt ingezet.
    Opties hoe efficiënt mogelijk  -in de breedste zin van mogelijkheden-  een "VPN Client" op router niveau in te zetten.
  • 1.  ALLE internetverkeer via VPN - met uitzonderingen voor "normaal" gebruikelijke internet connecties.
  • 2.  Versus ALLE internetverkeer via "normaal" gebruikelijke internetconnectie met uitzonderingen voor VPN.
• VPN Plus Server                        -  in relatie tot de hiervoor besproken extra netwerken.
  
  • Inleiding / kennismaking
  • Waarom afwijkende IP-bereiken voor standaard netwerken?
  • Set-up
  • Specifieke kenmerken van enkele VPN protocollen waar op te letten.
  • Download VPN Client software voor verschillende OS systemen (Windows / Android / Apple OS / Apple iOS).
  • VPN Licenties (m.b.t. Synology VPN methoden - en bijv. Site-to-Site VPN).
  • Certificaten   -   Gebruikers "perikelen" functionaliteit rondom domeinen / certificaten.
  • VPN Plus Server  -  vervolg: Praktische zaken m.b.t. (sub) netwerken - firewall regels.
• "Site-to-Site"  VPN verbindingen    Uitgebreide info ---> klein beetje naar beneden scrollen.
• Threat Prevention  in relatie tot benodigd extern geheugen, bij gebruik van één enkele USB-poort (géén SD card-slot).

[Babylonia]

Introductie en globale uiteenzetting van de nieuwe mogelijkheden:

Historie:
Als gebruiker van het eerste uur in 2015 van Synology routers (toen het RT1900ac model).
Heb ik door de jaren heen alle verbeteringen aan firmware en ontwikkelingen gevolgd die Synology heeft uitgebracht.

Ondanks “slechts“ enkele router modellen van Synology door die jaren heen, is de functionaliteit enorm gegroeid.
Vanaf 2015 zijn er meer dan  ~70 firmware updates  gepasseerd en voldoen functies daarmee nog steeds grotendeels aan huidige eisen.

Daar waar men bij andere merken gewoon een nieuwe router moet aanschaffen voor meer functionaliteit,
wordt dat bij Synology reeds afgevangen / gecompenseerd met nieuwe firmware updates.
Rendement van afschrijving in relatie tot functies / tijdsperiode dat men er gebruik van kan maken, is daarmee bijzonder gunstig.

Functionaliteit naar rato van gebruikersbehoefte:
Grootste behoefte / vraag in het algemeen afgelopen jaren van gebruikers globaal was, om meerdere deelnetwerken te kunnen opzetten.

De RT6600ax is helemaal toegespitst op de gebruiker die actief bezig is met IoT (Internet of Things) toepassingen.
Of bijv. de kleine zelfstandige, met thuiskantoor of een winkel, die het zakelijk verkeer wil scheiden van zijn woonhuisgedeelte.
Maar ook de "thuismedewerker" van een bedrijf, die extra veilig het thuiswerk wil scheiden van de andere leden binnen een gezin.
En dat alles transparant binnen de mogelijkheden van zowel bekabelde LAN verbindingen, alsook draadloze WiFi verbindingen.

Ondanks de opzet met aparte netwerken, zijn er toch mogelijkheden om allerlei "kruisverbindingen" op te nemen,
via vergaande instellingen met Firewall regels die zich op LAN niveau afspelen  -  op internet niveau - of beide met in- en uitgaand verkeer.
Met de toenemende complexiteit en problematiek wat er doorgaans bij dit soort "next level" netwerk setup komt kijken,
blijft de SRM gebruiksinterface toch opvallend overzichtelijk en opgeruimd, met hoog gebruiksgemak.
Men rolt eigenlijk ongemerkt in een diepergaande laag, met uitermate uitgebreide functionaliteit en toch heel begrijpelijk van opzet.

Daarnaast de mogelijkheden van snellere WiFi 6 functies, en kan de totale handbreedte tot 2,5 Gb aan data worden benut
op één ethernetpoort, die naar keus voor WAN of LAN ingezet kan worden.

Een uitgebreide mooie marketing introductie van de mogelijkheden is reeds door Synology op het internet voorhanden.
Verder een Nederlandse handleiding als PDF  -  en -  online help-bestanden
Als "kritische" gebruiker kijk ikzelf natuurlijk ook naar wat het werkelijk allemaal oplevert.
Heb al een wensenlijstje aan toe te voegen functies, verbeterpunten, en vraagtekens bij de opzet van enkele onderdelen.

Maar ook direct verbeteringen opgemerkt bij het eerste gebruik, door optimalisatie in programmacode van de nieuwe SRM 1.3 firmware,
waardoor de router aanzienlijk sneller opstart na een reboot, en alles "snappier" reageert.


Inzet RT2600ac en MR2200ac met nieuwe functies:
Met de introductie van de RT6600ax om aan nieuwe functionaliteiten te kunnen voldoen, is de oude apparatuur zeker nog niet afgeschreven.
De jongste firmware versie SRM 1.3  die tot 5 gesepareerde (VLAN) netwerken kan worden geconfigureerd, is er nu ook voor de
RT2600ac en MR2200ac modellen. (Daarmee juist hiermee die gunstige verhouding rentabiliteit aanschaf vs. afschrijving apparatuur).

Vanaf  SRM 1.3.1-x  kunnen die router modellen tevens ook als mesh WiFi-punt worden ingesteld in samenwerking met de RT6600ax.

Topologie welke Synology router modellen met elkaar als mesh WiFi-punt gecombineerd kunnen worden met welke SRM-versies,
is te vinden in  < DIT onderwerp van de Synology knowledge-base >

23-06-2022    "Release candidate"   SRM  1.3.1-9316  voor de RT2600ac en MR2200ac, maar heeft nog onvolkomenheden.
21-07-2022    "Release candidate"   SRM  1.3.1-9346                  (Advies: wacht beter tot de "echte" firmware update).
24-08-2022    "Release candidate"   SRM  1.3.1-9346 - Update 1  (Advies: wacht beter tot de "echte" firmware update).
10-11-2022     SRM  1.3.1-9346 - Update 2      Voor meer praktische zaken omtrent deze update < zie dit onderwerp >.
22-12-2022     SRM  1.3.1-9346 - Update 3      Alleen fix van enkele beveiliging kwetsbaarheden.
23-03-2023     SRM  1.3.1-9346 - Update 4      Gebruikers info omtrent deze update < zie dit onderwerp >.
04-05-2023     SRM  1.3.1-9346 - Update 5      Gebruikers info omtrent deze update < zie dit onderwerp >.
27-07-2023     SRM  1.3.1-9346 - Update 6      Gebruikers info omtrent deze update < zie dit onderwerp >.
21-09-2023     SRM  1.3.1-9346 - Update 7      Gebruikers info omtrent deze update < zie dit onderwerp >.
21-11-2023     SRM  1.3.1-9346 - Update 8      Gebruikers info omtrent deze update < zie dit onderwerp >.
12-03-2024     SRM  1.3.1-9346 - Update 9      Gebruikers info omtrent deze update < zie dit onderwerp >.
09-09-2024     SRM  1.3.1-9346 - Update 10    Gebruikers info omtrent deze update < zie dit onderwerp >.
17-10-2024     SRM  1.3.1-9346 - Update 11    Gebruikers info omtrent deze update < zie dit onderwerp >.

28-10-2024     SRM  1.3.1-9346 - Update 12    Gebruikers info omtrent deze update < zie dit onderwerp >.

[Babylonia]

Voorbereiding om de router rechtstreeks op internet met de juiste provider gegevens in te stellen:

Een nieuwe aanpak / nieuw elan, set-up van de router direct afgestemd naar huidige omstandigheden.
Sinds februari 2022 is internet wetgeving in Nederland zodanig geregeld dat gebruikers volledige vrijheid hebben
om een eigen router te kunnen kiezen, als vervanging van een door een provider verstrekte modem/router.
Makkelijker gezegd dan gedaan.

Specificaties van providers worden wel prijs gegeven, maar eisen waaraan hardware/software moet voldoen,
stemmen vaak niet overeen met de mogelijkheden die onafhankelijke router fabrikanten in hun producten stoppen.

Er is dus een wisselwerking in hetgeen providers aan gebruikelijke netwerk systeem specificaties inzetten, versus daadwerkelijke ondersteuning door onafhankelijke fabrikanten die inspelen op die eisen en met benodigde set-ups en extra functies dat mogelijk (kunnen) maken.

VOIP / telefonie:
Een Synology router heeft geen VOIP ATA-adapter aan boord, om daarmee analoge telefoontoestellen op aan te sluiten.
Maar is prima op andere wijze in te voorzien.  Zelf benut ik VOIP telefonie apparatuur achter het LAN netwerk, en op mijn laptop
een 3CX softphone VOIP Client, in combinatie met enkele onafhankelijke VOIP-providers (CheapConnect / VoipBuster / PowerVoip).
Wil men toch analoge telefoontoestellen inzetten, kan men ook een aparte ATA-adapter aansluiten van  Grandstream  of  Cisco.

Er zijn ook trucjes om de modem/router van de provider separaat in te zetten als VOIP ATA-adapter - zelfs als interface om te faxen!!
Meer informatie en FAX-testen bij een onderwerp  op het KPN-forum   -   vervolgtest,  en verder.


Netwerk functies van een Synology router naar rato van internet structuur:

Koper / coax:
Kort gezegd hebben Synology routers geen functionaliteit om die rechtstreeks - als vervanging in te zetten
van een door een provider verstrekte modem/router bij de volgende situaties:

• Een "koper"  VDSL - ISRA - netwerkverbinding  (Voor zover nog in gebruik / niet afgebouwd).
  Gebruik een  VDSL modem  instellingen Synology router: connectie type "Automatisch IP" (=standaard).
  
  Of werk met een router achter router set-up  =  NAT achter NAT     De Synology router achter de ISP modem/router.
  
  
• Een "Ziggo" (Docsis) coax - netwerkverbinding
  Bridge mode Ziggo modem/router   ---->   instellingen Synology router: connectie type "Automatisch IP" (=standaard).
  Of schaf een eigen modem aan als vervanging van de Ziggo docsis modem/router, en zet daar de Synology router achter.
  (Suggesties voor een niet door Ziggo geleverde kabel-modem).
  

Glasvezel aansluitingen:
Met een maximaal in te zetten 2,5 Gbps ethernet poort voor de RT6600ax wordt feitelijk uitgegaan van een glasvezel connectie.
Waarbij op het glasvezel toegangspunt in de woning, een "NT-kastje"  -  ONT of XGS-PON  media-converter is aangesloten,
die het optisch signaal omzet naar ethernet.  Van daaruit aansluiting met de WAN-poort van de Synology router.

Hoewel met de wetgeving in vrije modemkeus men ook een eigen "NT-kastje", ONT of XGS-PON media-converter zou kunnen kopen.
Is toch aan te bevelen in ieder geval dat onderdeel door de provider of internet netwerkbeheerder te laten verstrekken.
Om conversie problemen met de achterliggende fiber netwerktechniek zoveel mogelijk uit te sluiten.
(Niet in de laatste plaats omdat bij verkeerd gebruik, kosten voor storing / herstel op de gebruiker zullen worden verhaald).

• KPN  -  of aan KPN gelieerde netwerkverbindingen  -  met inbegrip van IPTV routed mode
              XS4ALL - Budget - YouFone - Freedom  (met uitzondering van Helmond glasvezel).
                                                            ( Freedom - bevestiging werkende connectie  + aanvullende handleiding ).
  
  Trined  Zelfstandig draaiende provider - netwerk systeem set-up vergelijkbaar met dat van KPN.
  
  Synology set-up instellingen:
  - Internet aanmelding:  PPPoE - Gebruikersnaam en wachtwoord kunnen willekeurig zijn (bijv. KPN - internet).
                                     (Bij Trined gebruikersnaam / wachtwoord mogelijk op te vragen bij provider).
  - Aanvullend  -  menu:  IPTV & VoIP  -  kies voor XS4ALL of een KPN provider profiel.  (Meer info verderop).
                                     Alleen internet:   Manuele instelling  VLAN 6 op poort 1 & 2,  priority 1
  
  Mocht de aan een KPN gelieerde provider nog niet zijn gemigreerd naar de KPN netwerk structuur,
  kies dan voor een "Automatische IP aanmelding"  (geen PPPoE)  - en het "Telfort" provider profiel.
  
  LET OP !!
       Voor correcte IPTV functionaliteit moet minimaal firmware  SRM  1.3   -  9193 - 1 - of hoger worden geïnstalleerd (RT6600ax).
       (Nadat de eerste basis-setup van de router via de set-up wizard is afgerond).  Met inmiddels hogere versies, zie onderstaande.
  
       Voor de RT2600ac en MR2200ac router modellen, met tevens deze router modellen als mesh punt
       achter een RT6600ax router met functionerende KPN IPTV  SRM  1.3.1 - 9346 - 2 - of hoger.
       M.b.t. hardware gerelateerde zaken die kleine verschillen geven bij IPTV zie o.a.  < dit onderwerp >
  
       Bij gebruik KPN TV ontvanger achter een mesh punt, noodzakelijk een bekabelde mesh backhaul in te zetten!!
  
  Trouble shooting:  Tips bij storing / hapering  KPN IPTV:
  
  De wijze zoals KPN hun IPTV services heeft geïmplementeerd is beslist niet altijd zonder problemen.
  Ook niet met de eigen KPN modem/routers.
  Het "dossier" op het  forum van KPN  telt meer dan 355 pagina's / 8900 reacties / 455.000x gelezen.
  (Dat topic is na één jaar open te zijn geweest - gesloten, anders waren er nog veel meer reacties !!).
  
  Mocht men onverhoopt tegen problemen aanlopen, kijk bij het Synology IPTV onderwerp   < HIER >.
  KPN TV+ (Plus)   -   Juli 2023 :
  Sinds ~febr. 2023 heeft KPN een andere TV-ontvanger op basis van Google "Android TV", met extra streaming mogelijkheden.
  Naast TV-diensten via multicast (en gebruik IGMP proxy server), waarbij een router een apart VLAN 4 gebruikt, ("IPTV routed mode").
  Is het met een simpele set-up van de router (alleen PPPoE en VLAN ID 6) ook mogelijk TV te streamen via unicast (in lagere kwaliteit).
  
  Bij deze nieuwe vorm van TV diensten, zijn afgelopen periode allerlei "kinderziektes" naar boven gekomen, waar rekening mee te houden.
  Bijv. problemen in combinatie met Sonos apparatuur, zonnepanelen e.d.   Houd daarbij het KPN forum in de gaten.
  Een uitgebreid onderwerp met gaandeweg ook verwijzingen naar vergelijkbare problemen, start o.a. < HIER > om terug te lezen.
  
  Enkele geopperde oplossingen zijn met een Synology router standaard mogelijk. Zoals bijv. gebruik van QoS instellingen.
  
  
  
• [ EDIT - september 2023 ]
  Odido  is de nieuwe merknaam  in de samenwerking van T-Mobile en Tele-2.
  Daar waar in de reacties nog  T-Mobile  wordt genoemd - gelden die instellingen nu voor Odido
  (met achterliggend automatische URL doorverwijzingen van forum-content, eerder onder de T-Mobile domeinnaam, nu naar "Odido").
  
  
• Odido  -  In principe gelden handmatige VLAN instellingen die eerder al eens door mij zijn beschreven op het (oude) T-Mobile forum.
                 Interface en instellingen zijn binnen de nieuwe opzet van SRM 1.3 op de RT6600ax daarmee te vergelijken.
  
  Synology set-up instellingen:
  - Internet aanmelding:  Automatisch IP  (vanuit DHCP)
  - Nieuw IPTV platform - „ODF“ netwerk   menu IPTV & VoIP  =  alleen VLAN 300 op poort 1  /  priority 1
  -   Oud IPTV platform - „WBA“ netwerk   menu IPTV & VoIP  =  VLAN 300 poort 1, priority 1  -  VLAN 640 Poort 4, priority 5
      (Meer over priorities - IEEE_P802.1p )               -                IGMP Proxy uitvinken !!   (Niet actief bij Odido)
  
  Afwijkende set-up !!  voor zakelijk abonnement - (of door overname glasvezel infrastructuur door KPN).
  Zie < DIT onderwerp > en vervolgreacties. Waarbij VLAN 32 wordt gebruikt inplaats van VLAN 300 en PPPoE aanmelding.
  Aanmelding PPPoE is vergelijkbaar met instellingen zoals gebruikt bij KPN.  Inlognaam en wachtwoord krijg je van Odido.
  „ODF“ netwerk:  Synology menu - IPTV & VoIP  =   VLAN 32 op poort 1  /  priority 1
  
  
  
• Delta  /  Caiway  -  Handleidingen: Je eigen modem instellen
                                 (Info m.b.t. routering van TV is mogelijk achterhaald / niet meer nodig).
  
  Afhankelijk van de gebruikte techniek  -coax (docsis) of glasvezel-  zijn daar andere opties voor in te zetten.
  
  Makkelijkste optie (zou zijn):  (Daar is berichtgeving niet altijd eenduidig in - bij inzet van XGS-PON zou het niet mogelijk zijn).
  
            Heb je zelf een router gekocht? Dan hoef je geen eigen modem te kopen.
            Als je het DELTA kabel (coax) modem in bridge-modus zet of je DELTA (PtP) glasvezel modem omruilt
            voor een bridged modem, kun je gewoon je eigen router gebruiken.
  
  Wil men de door Delta / Caiway verstrekte modems niet inzetten met bridged modus.
  Geldt voor coax mogelijk een vergelijkbaar aan te schaffen coax-modem zoals bij Ziggo.
  
  Bij glasvezel en gebruik van een optische verbinding met "glasfiber patchkabel",
  zal een aparte media-converter gebruikt moeten worden die de optische data naar ethernet omzet.
  Daar is op fora nog wel wat over te doen met wat men zou kunnen inzetten. (Er loopt een pilot met gebruik Nokia apparatuur).
  
  Om conversie problemen met de achterliggende fiber netwerktechniek zoveel mogelijk uit te sluiten.
  Ook hier toch aan te bevelen in ieder geval dat onderdeel door Delta / Caiway te laten verstrekken.
  (Indien ze daartoe de mogelijkheden bieden?)  Temeer daar glasvezel wordt omgezet naar XGS-PON  (zie ook aanvullende info).
  
  Synology set-up instellingen:
  - Internet aanmelding:  Automatisch IP  (vanuit DHCP)
  - Aanvullend  -  menu:  IPTV & VoIP      manuele instelling  =  VLAN 100 op poort 1  /  priority 1
  
  XGS-PON  -  8 Gbps
  Bij gebruik van XGS-PON en mogelijk af te sluiten internet abonnementen tot praktisch gezien 8 Gbps - zie info,
  overstijgt het de mogelijkheden van een Synology RT6600ax router. Houd daar rekening mee.
  
  Overigens is het de vraag of de door Delta zelf te leveren routers die capaciteit praktisch gezien ook zouden kunnen benutten?
  Die routers met 4 stuks Gigabit LAN poorten, als elke LAN poort maximaal wordt benut,
  leveren bij elkaar een bandbreedte op van 4 Gbps.  Daar komt nog wat WiFi bandbreedte bij.
  Maar of dat bij elkaar ook nog eens tot 4 Gbps bandbreedte zal kunnen vullen voor een totaal van 8 Gbps??
  
  Dus enige terughoudendheid / scepsis met de inzet van nu beschikbare middelen lijkt me voorlopig wel op zijn plaats.
  
  Er komen geregeld nieuwe aanbevelingen en praktische oplossingen voorbij.  Houd de pagina's van Delta / Caiway in de gaten.
  Met wat men op tweakers.net bij de het  Delta - forum  en  Caiway - forum  kan vinden, zijn er nog wel wat hobbels te gaan.
  
  Februari 2023:   Gebruikers experimenteren met aangepaste ONT's welke men in het buitenland heeft gekocht.
                             Handige link daarbij hoe mogelijke aanpassingen worden beschreven:   https://hack-gpon.github.io
  
  Mei 2023:   Bij vooruitschuiven van IPv6 implementatie bij provider Delta, past men sinds kort "CGNAT" toe.
                     Een techniek om IPv4 adressen voor meerdere gebruikers te delen.
  Dat heeft de nodige consequenties in bereikbaarheid van services van buitenaf.
  Zie 2e gedeelte van  een eerder onderwerp  met verwijzingen naar meer informatie.
  Vanaf  4e kwartaal 2023  (en wellicht verder in 2024) gaat Delta in fasen IPv6 implementeren voor hun aansluitingen.
  
  Mochten gebruikers tot verdere oplossingen komen. Ben ik benieuwd naar de gevonden opties.
  
  
  
• KabelNoord   Zie ander onderwerp vanaf < HIER >  en vervolgreacties.
  

Met voorgaande voorbereiding en juiste gegevens bij de hand - zie vervolg onderdelen hoe, wat, waar, bij welke menu's in te vullen.


Verbeterpunt / uitbreiding functies:
Afgezien dat men makkelijk en snel d.m.v. een provider profiel (KPN) een aanzienlijk deel van internetaansluitingen in Nederland kan instellen, waarbij de complexe "IPTV routed mode" problematiek wordt afgedekt. Had ikzelf graag gezien dat Synology voor de WAN aansluiting tevens de mogelijkheid had geboden deze ook handmatig vast te kunnen leggen. Zodat aansluitingen met vergelijkbare IPTV NAT techniek, maar net een andere keuze in VLAN instellingen ook worden ondersteund. Nu vallen "Glasvezel Helmond" en nog een aantal varianten buiten de boot.

Had dat  in 2020  al geopperd bij de samenwerking met Synology voor ondersteuning van "IPTV routed mode".

[Babylonia]

Basis setup middels gebruik van de (vernieuwde) mobiele app  DS router
( Android versie  -  Apple IOS versie )  om de router in te stellen:

In mijn geval direct met connectie op het KPN netwerk door keus te maken voor een KPN / XS4All provider profiel.

Standaard vanaf fabriek zend de RT6600ax reeds een WiFi netwerk uit met tijdelijk te gebruiken SSID gegevens,
wat ingezet kan worden om de router in te stellen met een draadloos apparaat. In dit geval m.b.v. een smartphone.

SSID naam staat op een sticker aan de onderkant van de router Synology_XXXXX
Wachtwoord  =  synology    (Men kan ook de QR code scannen met de smartphone).
Tijdens de installatie wizard komen menu's voorbij om WiFi SSID gegevens / wachtwoord aan te passen.

Aandachtspunt:
Let bij ingave van gegevens op achterliggende extra uit te klappen menu's met opties / lijsten om de juiste keus te kunnen maken.
De kleine verticale driehoekjes / pijltjes rechts van een regel waarachter een extra op te roepen menu zit,
valt niet altijd op door een minimaal kleurverschil.   (Vandaar in mijn afbeeldingen nog even extra aandacht erop waar op te letten).

De belangrijkste hoofdmenu's hieronder weergegeven (niet alle extra menu's met lijstjes waaruit evt. ook nog te kiezen).


5.  Voor providers waar "Automatisch IP" voor geldt (Ziggo - Odido - Delta/Caiway - KabelNoord), staat de bovenste regel al direct goed.
     Indien geen aanvullende VLAN instellingen benodigd zijn (Ziggo en bij een "NAT achter NAT" set-up)   ---->   Toepassen.
     Voor  KPN / XS4ALL  (of daaraan gelieerd) gaat men verder in het menu (gele pijl) om de PPPoE instellingen vast te leggen.

6.  Opvolgend instellingen via het menu "Speciale vereiste van de ISP"

7.  Met het "tussen" menu  IPTV & VoIP  en providers  KPN / XS4ALL  kies het juiste profiel.
     Voor  Odido  Modus Handmatig in de keuze van VLAN opties die bij het onderdeel hiervoor zijn benoemd (IGMP Proxy uitvinken).
     Voor  Delta / Caiway - Handmatig VLAN 100 op poort 1  /  priority 1   (IGMP Proxy uitvinken).
     Voor  KabelNoord   -  Handmatig VLAN 2009 op poort 1  /  priority 1   (IGMP Proxy uitvinken).

8.  Daarna komt men weer terug bij het eerdere menu van de wizard, en gaat men verder (Toepassen).


  1         2         3         4

  5         6         7         8

  9       10       11       12

13       14

In principe heeft men de eerste basis set-up daarmee opgezet met een werkende internetverbinding.

Voor correcte IPTV functionaliteit moet firmware  SRM  1.3   -  9193 - 1 - of hoger worden geïnstalleerd.
(Nadat de eerste basis-setup van de router via de set-up wizard is afgerond).
Voor de RT2600ac en MR2200ac router modellen  SRM  1.3.1 - 9346 - 2 - of hoger.
M.b.t. hardware gerelateerde beperkingen zie o.a.   < dit onderwerp >

(Voordat men de 1e keer de KPN TV-ontvanger aansluit, schakel die volledig uit -geen power, ~10 minuten-. Dan aansluiten en power-up.
 Chronologisch:  Zet de  TV ontvanger al uit vóór set-up RT6600ax - daarna set-up RT6600ax - aansluiten en power-up TV ontvanger).

[Babylonia]

Basis setup middels gebruik van een webbrowser (Windows / MacOS):

In mijn geval direct met connectie op het KPN netwerk door keus te maken van een KPN provider profiel.

Een vergelijkbare set-up zoals hiervoor met de mobiele app, met dezelfde provider gegevens zoals in het vorige onderdeel besproken.
Voor verdere info (voor zover nodig) kijk daarvoor dan ook even in het bericht hierboven.
(Met name m.b.t. benodigde firmware versies en hardware gerelateerde beperkingen).

(Voordat men de 1e keer de KPN TV-ontvanger aansluit, schakel die volledig uit -geen power, ~10 minuten-. Dan aansluiten en power-up).

De onderstaande schermafbeeldingen betreffen de menu's van de eerste 1.3 firmware versie.  Vanaf SRM 1.3.1 zijn die menu's vernieuwd.


                             

                             

                             

         

[Babylonia]

Ingelogd in de SRM web-interface - de eerste kennismaking:
(Webbrowser venster erg klein ingesteld t.b.v. duidelijke web afbeeldingen).

                   

                   

[Babylonia]

De verschillende provider instellingen binnen de SRM web-interface in detail:

De eerdere basis set-up installatie wizard betrof slechts een snelle start om tot een internet connectie te komen.
Eenmaal die wizard afgerond, komt men de stappen van die wizard nooit meer tegen, tot na een reset naar fabrieksinstellingen.

Voor een beter overzicht in mogelijkheden, eventueel pas het later instellen van provider instellingen,
of fijn afstemmingen, hier nog eens de verschillende instellingen per provider in detail weergegeven.

Opmerking:
Diverse instellingen lijken in eerste instantie alleen een "status" weer te geven, omdat er geen rechthoekig veld om de waarde heen zit,
maar enkel de waarde zelf.  Door met de muisknop op de waarde zelf te klikken komt alsnog een veld, en kan men de waarde aanpassen.
Dat is bijv. het geval bij de  IPTV & VoiIP  instellingen.  Hier verder naar beneden te zien bij de VLAN prioriteit instelling van Odido.
Maar ook VLAN instellingen zelf, en "Tagged" of "Untagged" zijn op die wijze aan te passen bij Modus: Handmatig.

Doorgaans de meest gebruikelijke of voor de hand liggende instellingen zijn vaak al vóór ingevuld.
Bijv. KPN met actief provider profiel, naar een handmatige internet instelling zonder IPTV, is VLAN 6 en prioriteit 1 reeds vóór ingevuld.
Alleen de IGMP Proxy is bij die set-up dan nog uit te vinken.  (Die heeft namelijk betrekking op IPTV, en die is dan niet meer actief).

  1 Aanmelding  Automatisch IP  (vanuit DHCP)  -  Ziggo  -  Odido

  1


  2 Aanmelding KPN  PPPoE  Gebruikersnaam + wachtwoord kun je willekeurig kiezen.
    (Bij de knop  ISP-instellingen (IPTV & VoIP) "verhuis" je naar het menu  Lokaal Netwerk)
  3 IPTV & VoIP instellingen  (zowel IGMP Proxy als IGMP Snooping moeten zijn aangevinkt)
  4 Instellingen van alleen internet (voor abonnementen zonder afname IPTV diensten)

  2         3         4


  5 Odido  -  Nieuw IPTV platform - „ODF“ netwerk    Door poorten 3 & 4 niet in te vullen, hebben alle poorten dezelfde functie.
  6 Odido  -   Oud IPTV platform   - „WBA“ netwerk

  5         6

  7 KabelNoord - via apart onderwerp < HIER >

[Babylonia]

Extra LAN netwerken.  Aangepaste SRM menu's  / wat is er anders om gescheiden LAN netwerken op te zetten - (setup):

Basiskennis Synology Knowledgebase m.b.t. extra netwerken / VLAN's.

Afbeeldingen van menu's zijn niet in verhouding. De overzichtsmenu's zijn kleiner gemaakt, de gedetailleerde sub-menu's iets groter.


  1. Basis netwerken.  Een hoofd netwerk en een gast netwerk.
      Door de verschillende test routers en set-ups, heb ik handmatig andere IP bereiken ingesteld dan standaard gebruikelijk.
      (Die zitten standaard in het bereik  192.168.1.1/24  en voor het gast-netwerk een nummertje hoger  192.168.2.1/24  ).

  2. t/m 5.  Alleen een nieuw WiFi netwerk maken voor de "Buurvrouw"  (de keus om geen aparte LAN-poort toe te wijzen).
                 De meest voor de hand liggende zaken worden achterliggend reeds automatisch ingesteld, of als keus voorgeschoteld.
                 Gewoon de wizard doorlopen in enkele stappen en men heeft een extra werkend (VLAN) netwerk.

  6.            Het resultaat van een 3e netwerk.

  1         2         3

  4         5         6



  7. t/m 10.  Een nieuw IoT (Internet of Things) netwerk.  Met tevens toegang tot de router (standaard uitgevinkt).
                  Zowel LAN poort 4 voor een bekabeld netwerk toegewezen, alsook WiFi.

11.             Het resultaat van een 4e netwerk.

12.             Status van de netwerken hoe alles is ingedeeld m.b.t. VLAN instellingen en "Tagged"  of  "Untagged"  toekenning.
                  Aardig te zien hoe achterliggend ook de VLAN ID's op de WAN poort actief zijn m.b.t. het KPN IPTV & VoiP profiel.
                  De "Tagged"  of  "Untagged" toekenningen komen automatisch tot stand op basis van de basis set-up,
                  en wel of niet een LAN-poort toewijzen aan een nieuw netwerk.

  7         8         9

10       11       12


Plaatje 12, extra info:
Wat meer diepgaand op het laatste plaatje (12). Het biedt waardevolle informatie hoe met die VLAN instellingen om te gaan.
Er is eigenlijk geen goede Nederlandse beschrijving met wat een "Tagged" of "Untagged" status inhoud.
Vrij vertaald benoem ik het zelf als "ingepakte" data (binnen een VLAN tunnel), versus "uitgepakte data" die men meteen kan inzetten.
Er is slechts voor één actief netwerk een "Untagged" status mogelijk. (In deze situatie het standaard netwerk op LAN poorten 1 t/m 3).

Het toekennen van een LAN-poort (4) enkel voor één specifiek netwerk, en er is geen andere data op die poort aanwezig,
beperkt al snel de mogelijkheden van een router.  Want men heeft slechts 4 LAN-poortjes.
Dan is het al snel "op" / gedaan als men die niet voor andere netwerken / doeleinden kan inzetten.

De optie om juist géén expliciete LAN-poorten te reserveren is IMO veel interessanter !!

Daarbij blijft op elke LAN-poort in principe ALLE data beschikbaar van elk opgezet extra netwerk.
(Indien achterliggend de LAN-poort op "Trunkpoort" standaard  staat ingesteld). Hoewel in een "ingepakte" / niet leesbare vorm (Tagged).

Door "managed switches" achter de router in te zetten, kan men "per LAN-poort" op een switch alsnog besluiten
om dan pas het ene of andere  Tagged VLAN netwerk  "uit te pakken"  en  "open te stellen" (Untagged).
Net hoe het praktisch uitkomt in de verdeling van netwerken in woning of kantoor, om dat op de meest efficiënte wijze in te zetten.


13. Uitschakelen  "Trunkpoort"  -  haalt de toewijzing van alle extra Tagged netwerken op een LAN-poort weg.
14. De situatie na uitschakelen Trunkpoort op  LAN poort 2 en 3  en vergelijk dat met plaatje 12 (nog even extra erbij gezet).
      Een andere wijze om Tagged netwerken nog een stapje meer verfijnd wel- of niet toe te wijzen per poort is niet mogelijk.

13       14    ter vergelijk met 12


IPTV in relatie extra netwerken:
In de ervaring met KPN IPTV wat vanuit internet als een "IGMP proxy" streaming service wordt aangeboden.
Werkt dat op gelijke wijze ook direct naar de andere netwerken toe, mocht men dat willen inzetten met een extra TV-ontvanger.

Dus niet alleen IPTV via het primaire netwerk, maar ook via de andere netwerken.
Ondanks extra netwerken onderling "op LAN niveau" gescheiden zijn en geen data-uitwisseling met elkaar hebben (standaard instellingen).
Het betreft een streamingdienst van buitenaf (via WAN) aangeboden. (Zoals standaard ook internet op alle netwerken actief is).

Wil men dat juist specifiek uitsluiten, kan men dat met firewall regels alsnog afblokken.   Met huidige SRM versies nog niet mogelijk.

Een uitgebreide praktijktest met gebruik 2 KPN TV-ontvangers via verschillende netwerken + aanvullende streaming van filmdata,
vanaf NAS servers bij familie / kennissen, te vinden bij een onderwerp op het < KPN forum - HIER >.


"Tussendoor" gebruiksimpressie:
Al met al een zeer handige en makkelijke methode om in "no time" met een paar stappen via een wizard extra netwerken op te zetten.
Achter de wizard schuilen doordachte functies om de juiste instellingen m.b.t. VLAN ID's, Tagged of Untagged, automatisch vast te leggen.
Vergissingen worden voorkomen tegenover een proces wat volledig "handmatig" zou moeten worden doorlopen, bij interfaces van andere (professionele) routers, waardoor het vaak een moeizaam en tijdrovend traject is om alles goed en foutvrij te laten functioneren.

Die achterliggende systeemcontrole verhoogd de bedrijfszekerheid, maar legt daarmee ook enkele beperkingen op,
in de keus welke netwerken per LAN poort Tagged of Untagged kunnen worden vastgelegd.  "Alle" netwerken (Trunkpoort) of slechts één.
Instellingen zijn achteraf per LAN poort ook niet verder af te stemmen. De tijd zal leren of gebruikers deze beperking alsnog willen herzien.

Bedenk dat bij een groter netwerksysteem, op de eerstvolgende managed switch reeds een fijnafstemming per uitgaande poort mogelijk is.
Switches komen al snel in beeld bij een groter netwerksysteem (ook bij andere routers). Zeker bij meerdere VLAN netwerken.
Gekozen opties nu met de netwerkinterface binnen SRM 1.3 lijken een prima balans daarin.


Extra netwerken in combinatie met WRX560, RT2600ac en MR2200ac in mesh mode :

Topologie welke Synology router modellen met elkaar als mesh WiFi-punt gecombineerd kunnen worden met welke SRM-versies:
+ aanbevelingen om optimaal een mesh WiFi netwerk set-up op te zetten < DIT onderwerp van de Synology knowledge-base >.
Referenties naar aanvullende adviezen < HIER >

Belangrijke info !!  Beperkingen in set-up m.b.t. extra netwerken vooralsnog t/m SRM versie 1.3.1-9346 - Update xx.

Bij gebruik van een  RT2600ac  en  MR2200ac  ingesteld als extra WiFi mesh punt (als verlengstuk van de RT6600ax),
worden achterliggend de LAN-poorten van deze routers ingesteld als "VLAN Trunkpoort" van alle opgezette extra netwerken.
Ook al is dat in de opzet van extra WiFi mesh-punten nergens via de interface of help functies in menu's terug te zien.
Het functioneert wel als zodanig.
                   Te vergelijken met  het eerdere plaatje 12  - de poorten 1, 2 en 3. 

Door "managed switches" achter die LAN poorten in te zetten van de in "WiFi mesh" functie gebruikte routers,
kan men alsnog van daaruit het ene of andere  Tagged VLAN netwerk  "uitpakken"  en  "open stellen" (Untagged).
En van daaruit weer verder gaan met bekabelde connecties van apparaten.

Verdere differentiatie van de individuele LAN-poorten van in mesh-mode gebruikte Synology routers in het router-menu zelf, kan niet.
Omdat alles vanuit de hoofdrouter wordt ingesteld, en in die functie de mesh routers geen eigen interface meer hebben.

Met name bij gebruik van bijv. een RT2600ac als extra mesh punt, of de nieuwe WRX560 - beide met 4 LAN poorten,
is het gewenst dat men de LAN-poorten expliciet kan inregelen op het ene- of andere netwerk.

"Access Point" mode:
Met achterliggende Synology routers ingesteld in  "Access Point"  mode, kan men de eigen SRM interface van deze routers gebruiken.
Echter ook in deze gebruiksmode, is geen verdere differentiatie van de LAN poorten mogelijk. Elke LAN poort is als "Trunk-poort" ingedeeld.
Dus er is nog wel wat werk aan de winkel in aanpassing van de SRM firmware.  (Synology is daarvan op de hoogte gesteld).
Benadering via WiFi kan men wel kiezen voor het ene of andere netwerk.

Opmerking:  Vanaf  SRM  1.3.1-9346 - Update 2  of hoger, kan KPN IPTV worden ingezet in combinatie met WiFi mesh punten.
                   Gebruik dan beter wel een bekabelde backhaul.  Voor meer info omtrent deze update < zie dit onderwerp >.


Inzet managed switches in het doortrekken van extra netwerken:
Vanuit de voorgaande situatie hierbij info hoe dat bijv. bij een  Netgear GS105Ev2  switch kan worden ingesteld:

Inzet van de verdeling.  "Toevoer" van router-data op LAN poort 5 van de Netgear switch ("Trunk").
Vervolgens per LAN-poort vanaf  LAN 1 t/m LAN 4  de extra netwerken "untagged" beschikbaar in oplopend VLAN nummer.

15. VLAN menu - geavanceerd 802.1Q     -     VLAN 1  is reeds standaard aanwezig  (Primair netwerk).
      Extra aangevuld (add) met VLAN 10 "Buurvrouw"  -  VLAN 20 IoT  -  en...
      VLAN 1733 (= default) Gast netwerk.  (Dus het "WiFi" Gast netwerk kan worden omgezet naar bekabelde verbindingen).
      De verdeling per poort (Port Members) komt pas in zicht als dat in een volgend menu is vastgelegd.

16. Vastleggen  "tagged" = T   en  "untagged" = U  per LAN-poort van de switch.
      Normaal is er maar één regel aan LAN poorten in het menu, en moet men achtereenvolgens per VLAN de poorten vastleggen.
      Heb in deze schermafbeelding de instellingen van 4 plaatjes gecombineerd (blok binnen het lila/paarse kader erbij gezet).

      Let op:  Poort 5 met de "Trunk" indeling  VLAN 1 = untagged  -  de rest van de VLAN's  tagged

17. Toewijzen van het VLAN ID (identificatie) van de LAN poort zelf.

15       16       17

[Babylonia]

Extra WiFi netwerken / SSID's  in relatie tot de hiervoor besproken extra netwerken.

Korte gebruiksimpressie WiFi-6 in zijn algemeenheid:
M.b.t. de nieuwe WiFi-6 standaard, word daar later meer in detail op terug gekomen. (Heb zelf geen 1 Gb internet abo, WiFi-6 smartphone
of andere Wifi-6 apparatuur waarbij de upgrade nu aanzienlijk andere resultaten zou opleveren dan eerder al gebruikelijk was).

Er zijn echter nog wel enkele zaken door Synology bij te sturen (vanaf SRM 1.3-9193-1).
WiFi onder Smart Connect = gecombineerd SSID voor alle WiFi banden tegelijk, pakt onwillekeurig niet altijd de meest snelle verbindingsoptie.
De keus gaat waarschijnlijk uit van het meest sterke signaal, maar hoeft niet per definitie de beste connectie op te leveren met hoogste doorvoer.
Bijv. keuze voor de 2.4 GHz band,  of een van de twee 5 GHz "radio's" waarbij  5 GHz-2  minder snel is dan  5 GHz-1

Smart Connect om die reden voor het Primaire netwerk uitgezet, separeert de WiFi banden in 3 aparte SSID's (3 WiFi "radio's").
Daarbij kan men kiezen uit deze aangeboden WiFi netwerken + aanvullend nog fijnafstellingen met handmatige instelling van kanalen.
(Een instelling die ik overigens ook op de RT2600ac benut). Dat pakt absoluut beter uit en is consistent. Daar wil ik het voor nu even bij laten.

Functionaliteit naar rato van extra aangemaakte netwerken:
Verlengstuk van het onderwerp hier net voorgaand.
Daar zit namelijk de werkelijke kracht en functionaliteit van de extra mogelijkheden die de nieuwe SRM 1.3 firmware nu biedt.
De opzet van extra netwerken wordt ook doorgetrokken op draadloos niveau, met een hoge mate aan individuele aanpassingen,
transparante en flexibele wisselwerking onderling en met elkaar, om een thuisnetwerk op te zetten naar rato van gewenste toepassingen.


  1. Ondanks extra netwerken, een opgeruimd en overzichtelijk WiFi menu.
      De  Smart Connect  instelling om WiFi op te spitsen naar gescheiden SSID's, voorheen prominent bij het hoofdmenu aanwezig,
      is in eerste instantie nu moeilijker terug te vinden.

  2. De 2e tab bovenaan biedt die Smart Connectie ontkoppeling ook niet, maar wel verder belangrijke algemene WiFi instellingen.
      Voor de situatie hier thuis, om WiFi "overlast" zoveel mogelijk te beperken, heb ik zendvermogens voor WiFi een stuk lager gezet.
      Daarmee heb ik hier in huis (een bovenwoning met twee verdiepingen), ruimschoots voldoende WiFi-bereik.

  3. De  Smart Connectie  optie zit nu onopvallend achter een "drie stipjes" icoon dieper "verscholen" in de menu's.  En merkte later op,
      door met de muis te dubbelklikken ergens in het "blok" van de betreffende netwerk SSID info, wordt het menu ook opgeroepen.
      Met daarbij nog een hele rits aan extra instellingen erbij.  Maar LET OP!!  Die hele rits aan instellingen per netwerk / SSID!!   


  1         2         3


  4. Voor het Primaire netwerk is Smart Connect nu uitgeschakeld.
      En heb ik in deze set-up nu alleen  5 GHz-1  ingeschakeld.
      Per WiFi radio / band  (en apart SSID) staat de hele rij aan uit te klappen instellingen eronder weer opnieuw ter beschikking.

  5. Tijdschema waarmee het WiFi signaal voor dit SSID is ingeregeld.

  6. Onderste uit te klappen menu met verdere instellingen.
      (802.11r  voor soepele overgang van het ene naar het andere WiFi-punt, bij gebruik extra mesh WiFi punten).

  7. Met die vorige aangepaste instellingen voor het Primaire netwerk, weer terug naar het WiFi hoofdmenu. (Gast netwerk uitgeschakeld).

  4         5         6         7        


  8. Op vergelijkbare manier aanpassen van het extra aangemaakte  IoT netwerk.  Met hier verbergen van het SSID.

  9. Instellingen van MAC filteringen, waarbij men alleen vooraf bedoelde en bekende apparaten toelaat.
      (Bijv. als extra beveiligingslaag bij een horeca bedrijf die van draadloze pin-betaal opties gebruik maakt).

10. Bij het laatste menu zit een interessante optie  "Smart Connect uitschakelen voor apparaten die 802.11v niet ondersteunen"
      (Standaard ingeschakeld).

      Het is een bekend gegeven dat allerlei randapparatuur zoals printers deurbellen (met camera) die alleen 2.4 GHz Wifi ondersteunen,
      vaak niet goed overweg kunnen met een gezamenlijke mix / aanbod van 2.4 GHz en 5 GHZ met hetzelfde SSID.
      Ondanks in deze situatie een gezamenlijk SSID als WiFi punt heeft (Smart Connect).
      Houdt de router daar schijnbaar ook al rekening mee, en corrigeert dat voor die apparaten. (Ben benieuwd hoe dat in praktijk uitpakt).

      Maar men zou evengoed ook hier de Smart Connect instellingen kunnen uitschakelen en alle IoT apparaten per WiFi band gaan indelen.

  8         9        10


In het meest uitgebreide scenario kan men alle Smart Connect opties uitschakelen. (Niet dat het er overzichtelijker op wordt, maar het kan).
Met maximaal 5 ingeschakelde netwerken staan er dan  15 stuks SSID's  ter beschikking, die men ieder met alle uitgebreide opties
kan afregelen op specifiek gebruik van apparaten.  Bijv. 15 tijdschema's         

[Babylonia]

Uitbreidingen Firewall opties      in relatie tot de hiervoor besproken extra netwerken:

Met alle extra netwerk mogelijkheden, is de Firewall ook verder uitgebreid om alles goed te kunnen beheren en naar wens te "sturen".
Niet alleen m.b.t. intern LAN netwerk versus internet, maar ook binnen de verschillende opties tussen de extra netwerken onderling.

Firewall regels kunnen worden afgestemd op LAN niveau  -  op internet niveau - of beide  in relatie tot in- en uitgaand data-verkeer.
Daarmee zijn allerlei mogelijke "kruisverbindingen" te realiseren - met een "twee richtingsverkeer" sturing.
Door de bredere inzetbaarheid zal men instellingen in andere menu's mogelijk alsnog herzien, om tot een bepaald doel te komen.

Enkele basis instellingen "uitschakelen" :
Om het  "makkelijk te maken"  wordt men op weg geholpen met automatisch aan te maken firewall regels. Extern inloggen op SRM
en als men elders in de menu's "Poort doorsturen" regels instelt. Dat geeft mij althans, niet de expliciete fijnafstemming die ik wens.
Er wordt bijv. geen rekening gehouden met "regio blocking" (of juist het toelaten op regio niveau).
De automatisch aangemaakte regels zijn verder ook niet naar eigen behoefte alsnog aan te passen.

Alle automatisch gegenereerde instellingen heb ik om die reden uitgeschakeld om firewall regels handmatig aan te kunnen maken.
Vanuit veiligheidsoverwegingen is het raadzaam nooit UPnP instellingen ingeschakeld te hebben. (Bemoeienis van Google evenmin  ).

                       

Functionaliteit firewall sterk afhankelijk van enkele "hoofd" instellingen elders:
Misschien meer nog dan voorheen, in de wisselwerking langs welke paden netwerk datastreams zich laten sturen,
is dat tevens afhankelijk van een aantal instellingen die worden vastgelegd bij de eerder besproken netwerk menu's.
Ze werken als "schakelaars" hoe de verdere afhandeling aan data-streams hun beloop zullen volgen. Ben daar zeer van bewust.

Enkele van die eerder bij LAN netwerken "terloops" benoemde functies even nogmaals aangehaald (afbeelding  -2-  en  -7- ).
Maar nu niet binnen de wizard om ze in te stellen, maar als te benaderen menu eenmaal als netwerk ingesteld.
De "standaard waarden" zoals ze vooraf bij elke nieuw netwerk staan afgestemd.

• "Sta het beheer van Synology router toe via dit netwerk"   -   indien WEL geactiveerd.
  De router SRM login pagina is niet alleen te benaderen via het ingestelde extra IoT netwerk 192.168.40.1
  Maar tevens als "uitzondering" via het primair hoofd netwerk IP-adres = in mijn situatie via 192.168.101.1
  
  
• "Netwerk isolatie inschakelen"   -   Men stelt juist extra netwerken in om ze te "separeren".
  Toch zijn er situaties waarbij een wisselwerking met enkele functies vanuit een ander netwerk wenselijk is.
  Men verwijst in het menu rechtstreeks naar achterliggende info hoe bepaalde functies met Firewall regels te combineren.
  
  Binnen mijn eigen situatie wat in het volgende onderdeel uitleg wordt gegeven, waarbij WEL die isolatie van kracht blijft,
  benut ik weer een andere variant om bepaalde functies "kruislings" te combineren. Men kan werkelijk alle kanten uit. 

Voorbeeld eigen netwerk situatie:
De opzet hieronder geldt als voorbeeld zoals het nu "tijdelijk" (als test van de RT6600ax) voor mijn netwerk situatie thuis geldig is.
Mijn volledige netwerk zit (nog) achter een RT2600ac router. Die nu even als 2e router staat ingesteld NAT achter NAT.
Maar geeft toch een aantal interessante opties in het doorgronden en begrip van de instellingen wat je ermee kunt doen.

Op de RT6600ax de netwerk indelingen zoals hiervoor bij de eerdere onderdelen gegeven = extra netwerk "buurvrouw" + IoT

- LAN-poort 1  -  leeg
- LAN-poort 2  -  aansluiting 2e router RT2600ac (op WAN poort)
                         ---> achter die 2e router, o.a. 3x NAS apparaten - USB HD file-servers - zonnepanelen + 3e netwerk buurvrouw...                   
- LAN-poort 3  -  KPN IPTV (TV-ontvanger)
- LAN-poort 4  -  exclusief afgestemd op IoT netwerk  -  Netgear switch (voor nu geen aanvullende "managed" instellingen).
                         ---> achter de switch een LAN aansluiting op 2e netwerk poortje DS415+ NAS.
                         Ofwel de DS415+ zit met één netwerk poortje aangesloten achter de RT6600ax - het andere achter de RT2600ac
                         Via de andere poorten van de Netgear switch kunnen andere IoT apparaten worden aangesloten,
                         of connectie via het IoT WiFi netwerk.

Omdat het Firewall menu een stuk meer velden bevat om alles goed te laten zien, wordt een volledige schermafdruk zodanig breed,
dat details te priegelig klein gaan worden binnen de afbeeldingsmogelijkheden van het forum. Daarom splits ik menu's op in delen.
(Laatste kolom niet eens ingeschakeld om te tonen = een "teller" / Treffer of firewall regels actief worden "aangetikt" in hun functie).

Belangrijk gegeven !!  Firewall regels worden in volgorde van boven naar beneden doorlopen.
(Men kan firewall regels verplaatsen, en daarmee andere functionaliteit geven door aangepaste rangorde van de lijst).

Om firewall regels efficient in te stellen kan men beter het principe aanhouden om zaken hooguit "toe te staan",
waarvoor men toegang wil, en de rest uit te sluiten.  Versus het aanmaken van een hele lijst om zaken te "verbieden".

Totaal overzicht                       Bron-interface...                        Doel-interface...
                                                 Bron-IP                                     Doel-IP
                                                    Bronpoort                                  Doelpoort
                                             (waar data vandaan komt)          (waar data naartoe gaat)

                                   

Globale groepsindeling:

• A t/m D  =  LAN netwerk / netwerk IP-bereiken waar vanaf bronnen toegang gewenst is voor gebruik LAN en internet
• E t/m G  =  toegang van buiten af voor specifiek op de RT6600ax (SRM)  draaiende services
• H           =  toegang van buiten af en specifiek doorsturen van poorten naar 2e router voor services achter de 2e router
• I            =  alles wat niet aan voorgaande firewall regels voldoet voor zowel inkomend als uitgaand data verkeer weigeren
• J            =  toegang van buiten af alleen m.b.t. inkomend data verkeer (weigeren of toestaan) - systeem gegeven regels

Beschrijving in detail:

• A  -  LAN subnet wide1
  Dat "wide" slaat terug op het grote LAN IP-bereik wat ik heb ingesteld.    (192.168.1.1  t/m  192.168.30.255)
  Omdat ik in mijn set-up gebruik maak van een NAT achter NAT opstelling (2 routers achter elkaar) met een ander IP sub-net bereik,
  en ik geregeld ook even wat testen doe met andere routers in een netwerk "erachter", met mogelijk weer ander gebruikte sub-nets.
  Moeten die in in ieder geval wel connectie kunnen hebben met de Gateway (is router IP-adres) van de eerste router.
  Maar wil vanuit die achterliggende routers ook "terug" kunnen inloggen op de 1e router, of mogelijk apparaten in dat 1e netwerk,
  althans die van het primaire hoofd netwerk.  Vandaar ook "alle interfaces".
  
  Met die regel wordt tevens ook het netwerkbereik gedekt van het extra netwerk "buurvrouw" binnen de RT6600ax set-up zelf.
  
  
• B  -  LAN subnet IoT  -  Expliciet voor zowel de  Bron-interface  als  Doel-interface  het IoT netwerk zelf gekozen.
  Het betreft een gesloten intern netwerk - alleen te benutten voor apparaten die op dit specifieke netwerk zijn aangesloten.
  Géén connectie met internet. (Zie melding nieuwe Netgear switch - met laptop via WiFi in zelfde IoT netwerk aangesloten).
  Ook geen connectie vanuit de andere netwerken.
  
             
  
  In deze set-up één LAN poortje van de DS415+ NAS op dit netwerk aangesloten.
  Dus intern gebruikte apparaten binnen dit afgeschermde IoT netwerk - kunnen toch data op de NAS zetten / uitlezen.
  
  De andere NAS LAN-poort zit in deze situatie aangesloten achter de 2e router NAT achter NAT, waarvoor poorten zijn doorgestuurd.
  En vanaf internet te benaderen is (of via het LAN netwerk vanaf de 2e router).
  
  
• C  -  LAN subnet wide2  -  Toegang voor het Primaire Hoofd netwerk en gast netwerk.
  Feitelijk zou men voor het primaire sub-net geen specifieke regel hoeven op te geven voor toegang.
  Vanuit het "eigen" netwerk heeft men altijd toegang.  Men kan zich bij verkeerde instelling niet "buitensluiten".
  (Wat bijv. bij een NAS wel kan).   Zie ook  Aanvulling *1  aan het eind van dit hoofdstuk / reactie over Firewall regels.
  Door de extra "sluitregel"  I  aan het eind, krijgt deze LAN IP bereik regel echter ook zijn functies m.b.t. uitgaand verkeer.
  Het is allemaal wat "strakker" afgeregeld. (Zie bijv. laatste alinea's van oudere versie Firewall instellingen - daar als regel J ).
  
  
• D  -  VPN subnet wide
  Vergelijkbaar met wat is beschreven bij regel A...  maar in dit geval m.b.t. virtuele VPN netwerken, bij ingeschakelde VPN-servers.
  Met een VPN server actief op de 2e router (NAT achter NAT),  en tevens op de  RT6600ax  voor alleen het Synology SSL protocol.
  (Gebruik van een ander virtueel netwerk + ander poortnummer).
  
  
• G  -  VPN SSL RT6600ax
  Omdat regel D direct gerelateerd is aan de inlog / connectie met de VPN-server zelf, beschrijving van regel G hier direct onder.
  Door de wisselwerking van internet - LAN - en mogelijk via de VPN tunnel ook weer internet op, beslist gebruik van "alle interfaces"
  voor zowel Bron-interface als Doel-interface.   Filtering op gebruik van alleen regio Nederland.
  (Alles buiten die regio = géén toegang indien de laatste Firewall regel I in acht wordt genomen).
  
  
• E  -  Remote France Support  -  Remote Taiwan Support
  Toegang voor de support afdelingen van Synology bij ondersteuning van ingediende tickets  -  met regio filteringen.
  Feitelijk zou voor Bron-interface ook "Internet" ingegeven kunnen worden. Maar omdat ik niet weet bij mogelijke inlog,
  wat men nog meer ter ondersteuning nodig heeft voor controles e.d. ruimer gezet op "Alle interfaces".
  Bij "niet gebruik" schakel ik zowel de firewall regels uit (vinkje weg), alsook de-activatie van betreffende services (SSH).
  
  Regio filtering - zoek op land. Tijdens ingave komt er reeds een actieve lijst om uit te kiezen:
  
                                                 Keuze SRM toepassing:
  
             
  
  
• F  -  Remote SRM - NL
  Vergelijkbaar zoals beschreven bij punt  E  hierboven (alleen geen SSH). Hier wel Bron-interface = Internet.
  Voor rechtstreeks inloggen - om de veiligheid te verhogen - kan men ook gebruik maken van "Twee factor autorisatie".
  Daarnaast bijv. functies om teveel inlog pogingen van ongewenste bezoekers een IP-blokkade te geven  -  blocklist vs whitelist.
  
  
• H  -  Een heel rijtje Firewall regels m.b.t. doorgestuurde poorten.   (Doorsturen van poorten zelf in ander menu).
  Het gaat in deze situatie (nog) in het doorsturen van services naar een 2e router (RT2600ac) in een NAT achter NAT set-up.
  Vergelijkbaar kan men dat (uiteraard) ook afstemmen voor apparaten achter de eigen netwerken van de RT6600ax.
  
  Globaal een indeling gemaakt en beschreven per soort services wat wordt doorgestuurd voor externe benadering.
  Omdat betreffende data één op één wordt doorgegeven, Bron-interface = Internet  -  Doel-interface = Primair Netwerk.
  (Bij services gelegen in een van de andere netwerken van de RT6600ax, kan men als Doel-interface een ander netwerk kiezen).
  
  Een van de menu's m.b.t. de firewall:
  
                                                Doorsturen van poorten zelf in een ander menu:
  
             
  
  
• I  -  Block all - end line
  Alles wat niet aan voorgaande firewall regels voldoet voor zowel inkomend als uitgaand data verkeer weigeren.
  
  
• J  -  Systeem gegeven regels.
  Toegang van buiten af alleen m.b.t. inkomend data verkeer (weigeren of toestaan).
  Omdat de zelf aangevulde eind Firewall regel van hiervoor krachtiger is om zaken te blokkeren, heeft dit blok weinig extra waarde.
  (Laat de menu instellingen altijd op weigeren staan, en klap het menu dicht).
  
  

*1    Aanvulling m.b.t. benadering van clients / apparaten vanuit het "eigen" netwerk.
       Bij onderdeel C. is daar een voorzet in gegeven.

       Vanuit het "eigen" netwerk heeft men altijd toegang.  Men kan zich bij verkeerde instelling niet "buitensluiten".

Men heeft niet alleen toegang tot het eigen netwerk van waaruit men als client onderdeel van uit maakt.
Maar in de basis kan men vanuit dat netwerk zoals gebruikelijk ook andere clients / apparaten benaderen in dat specifieke netwerk,
(als men daar de login gegevens van heeft).   Dus in principe kunnen alle clients binnen hetzelfde sub-net elkaar bereiken.
Eigenlijk zou men voor de geactiveerde netwerken zelf niet eens een firewall regel voor dat netwerk hoeven in te stellen,
als men alleen "intern" dataverkeer binnen dat specifieke netwerk wil afstemmen.  Firewall regels hebben altijd betrekking tot
andere (sub) netwerken, binnen de router zelf (met extra ingestelde netwerken), of wat erbuiten gebeurt - internet / WAN.

Voor zelfde sub-nets kan men binnen dat netwerk nauwelijks beperkingen instellen.
Alleen voor WiFi clients binnen datzelfde sub-net zou men nog "AP" isolatie kunnen instellen,
zodat er onderling geen connectie met elkaar gemaakt kan worden. (Zoals standaard voor een WiFi gast netwerk is ingesteld).
Voor bekabelde clients  (of bekabeld naar WiFi)  geldt dat echter niet.

Blokkeren één apparaat binnen hetzelfde sub-net:
Een hele groep wel benaderen of via WiFi niet, kan een situatie zijn die niet aansluit met wat gebruikers misschien wel willen?
Een onderwerp wat bij de Engelse Synology community geregeld voorbij komt:
Het specifiek blokkeren van één client / apparaat met een ander apparaat binnen hetzelfde gebruikte sub-net.

Dat is een fundamenteel verschil met de firewall regels bij een Synology NAS. Daar kan dat namelijk wel !!
Maar bij verkeerde instellingen kan men zichzelf daarmee "per ongeluk" ook buitensluiten.

Andere basis werking functies Firewall router:
Voor de router heeft Synology een "veiligheid", of anders uitgelegd, een "beperking" ingebouwd dat men zichzelf niet kan buitensluiten.
Mogelijk omdat het te prominent voor een heel netwerk geldt en daarmee (onbedoeld) een heel netwerk kan plat leggen.
Met de consequentie in die beperking, dat gemaakte firewall regels binnen hetzelfde sub-net niet geldig zijn / niet werken.
Zou men dat hebben ingesteld, komt men er achter dat zoiets niet functioneert en roept dan vragen op.  Men weet nu waardoor. 
Overigens een door Synology gehanteerde filosofie / werkwijze vanaf de allereerste Synology router in 2015.

          Netwerkverkeer binnen hetzelfde lokale netwerk of tussen de bekabelde en draadloze verbindingen
          is niet onderworpen aan firewallregels.

Met nu mogelijkheden van extra netwerken, gaat men er in die gedachte vanuit dat men clients / apparaten met uitzonderingen,
juist in een ander netwerk plaatst, waarbij dit soort gewenste filteringen met "kruisverbindingen"
men toegang- of blokkeringen van clients voor andere sub-nets, middels die extra netwerken instelt.

Zoals  deze voorbeelden  hoe bepaalde netwerkfuncties met Firewall regels te combineren.


Belangrijk !!

Buiten de instellingen van Firewall regels zelf, instellingen waar nog extra rekening mee te houden / aan te passen.
Aanbevelingen van Synology:   Snelstartgids voor beveiligingsmaatregelen.

Specifieke situatie  beschreven < HIER >  "voor een NAS". Maar geldt vergelijkbaar ook voor een Synology router.

Aanbevelingen voor een NAS:   Wat kan ik doen om de beveiliging van mijn Synology NAS te verbeteren?

[Babylonia]

VPN Client      in relatie tot de hiervoor besproken extra netwerken:

Een  VPN Client  op  router niveau  wordt met name toegepast om internetverkeer voor meerdere apparaten (telt als één) in het LAN netwerk
via een ander WAN IP-adres te laten lopen, in de plaats van "traceerbaar" op het eigen thuis WAN IP internetadres.
Met VPN-diensten zoals aangeboden door bijv.  NordVPN - ExpressVPN - SurfShark - Private Internet Access (PIA) - PrivadoVPN

Individueel en "tijdelijk" gewenste VPN verbindingen kan men beter vanuit een VPN-Client oplossing vanuit een PC / apparaat zelf opzetten.
(Bijv. op mijn  NVIDIA Shield TV  een  VPN Client,  om "Duitse" regio gebonden TV content van  ARD  -  ZDF  en  ARTE  te kunnen bekijken).

Een VPN verbinding voor bijv. data-uitwisseling met een NAS bij familie of vrienden, is meestal op individueel niveau (PC / tablet).
Het zou ook kunnen worden opgezet vanuit de router, maar is niet echt de meest voor de hand liggende optie.
Een permanente VPN-verbinding tussen bedrijfslocaties onderling, komt in een volgend hoofdstuk ter sprake, met gebruik van "VPN Plus".

De set-up van een VPN Client is in twee hoofd onderdelen onder te brengen:

• De VPN-verbinding zelf.  Set-up van de door VPN-providers aangeleverde bronnen en gegevens.
• Het beheer van de VPN.  Hoe deze in het thuisnetwerk wordt ingezet, bijvoorbeeld:
• Alle internetverkeer via VPN.
• VPN individueel afgestemd naar een aantal apparaten.
• VPN expliciet afgestemd voor bepaalde netwerken.
  (Waarbij elk apparaat wat connectie heeft met dat netwerk - automatisch via de VPN loopt).
• Of een combinatie van netwerk + nog enkele individueel afgestemde VPN-connecties.

De RT6600ax (of SRM 1.3.1 voor de andere Synology router modellen), biedt alle functies om dat als zodanig af te stemmen.


De VPN-verbinding zelf:

Mogelijke VPN protocollen om in te zetten   -   PPTP = verouderd / niet veilig genoeg   -   OpenVPN   -   L2TP//IPSec
Persoonlijk zou ik graag nog uitbreidingen willen zien naar het VPN  WireGuard  protocol en  IKEv2  omdat die efficiënter zijn.

Dus voorlopig blijven er maar twee opties over   -   OpenVPN   -   L2TP//IPSec
Echter L2TP//IPSec  wordt door diverse VPN-providers inmiddels niet meer ondersteund.
OpenVPN als "VPN Client" op router niveau is op zichzelf helaas een stuk minder efficiënt dan L2TP/IPSec.
Aparte VPN Client apps geïnstalleerd onder Windows of Android (TV) - onder het WireGuard protocol werken absoluut meer efficiënt.
Overweeg om het op die wijze af te stemmen.  Echter elke Client telt apart mee met een VPN-account. (Beperking in aantal clients).

In de keus van een te kiezen VPN-provider, kijk welke VPN protocollen men aanbiedt.

VPN-provider:
In de opzet van een VPN Client voor mijn situatie thuis maak ik gebruik van  PrivadoVPN
Het installeren op een router gaat omslachtiger in zijn werk, in vergelijk met een apart  VPN Client programma  voor PC of tablet.
Instructies Privado  < algemeen >  -  Kies voor "Manual Setup" en vergelijk routers (bijv. Asus) als "hulp".
Het komt echter neer op uitpakken van een ZIP-bestand met alle OpenVPN server configuratie bestanden < directe download >

De lettercode van OpenVPN configuratie bestanden corresponderen met een vliegveld code in de omgeving van de VPN-server.
Frankfurt (3)  en  Berlijn (2)  uit een totaal van 356 te kiezen servers.  Directe vergelijking met alle servers (via Privado account).
De bestanden  ber-003.default.ovpn  en  ber-003.tcp-scramble.ovpn  als zijnde vliegveld "Berlijn" gelden voor deze locatie.
Heb gekozen voor  ber-003.default.ovpn

LET OP !!
     De huidige (2022)  "Privado"  OpenVPN configuratiebestanden hebben een wat meer uitgebreide en aangepaste codering.
     Bepaalde codering wordt echter niet herkend door de Synology OpenVPN firmware. Het bestand laat zich niet inlezen (foutmelding).
     Met een kleine aanpassing van de code, is het evenwel te corrigeren.

     Vervang de volgende regels in het configuratiebestand:

     auth SHA256                                           met                    auth SHA256
     data-ciphers AES-256-CBC                                                 cipher AES-256-CBC
     data-ciphers-fallback AES-256-CBC

[ EDIT juni 2023 ]   Privado OpenVPN configuratiebestanden gedownload juni 2023 werken wel direct zoals aangeleverd.
Dus aanpassingen zijn daarin niet meer nodig.   Laat de voorgaande cursief beschreven informatie echter nog wel online staan,
als hulp / geheugensteuntje bij mogelijke configuratie van andere VPN providers waar soortgelijke issues mochten spelen.

Op vergelijkbare wijze zijn er ook bij die andere VPN providers  OpenVPN  configuratiebestanden in te zetten "per land / server".
In hoeverre de OpenVPN bestanden daarbij direct werken, wel- of niet aangepast zouden moeten worden is te bezien.
Het is vaak wel wat extra zoeken op de support pagina's.  Bijvoorbeeld:

NordVPN        -    Tutorials    -    keuze land + download  OpenVPN UDP config bestand.
ExpressVPN    -    Tutorial voor Synology NAS  (vergelijkbaar met installatie op de router).
SurfShark       -    Tutorial voor Synology NAS  (vergelijkbaar met installatie op de router).
Private Internet Access (PIA)  -  uitleg bij  www.reddit.com  voor Synology NAS  (idem router).


  1..... (volg de afbeeldingen)

  6. Géén vinkje bij  "Gebruik de standaard gateway op het externe netwerk".
      Dat verplaatst de VPN interface bij "Smart WAN" naar de bovenste positie in de rangorde. Mogelijk ongewenst (uitleg verderop).
      De 2e optie eronder kan men aanvinken als men echt een continue VPN verbinding actief wil houden (herstel na evt. storing).

  1         2         3         4

  5         6         7


Het beheer van de VPN:

LET OP !!  Als opmerking vooraf.    (Bepaalde keuzes in de uitleg verderop zal dan meer duidelijk gaan worden).
                In de keuze voor uitzonderingen, toewijzingen voor aparte IP-adressen of subnet IP-bereiken
                mag NIET het gateway-adres van het netwerk zelf bevatten. Dat functioneert niet.

Dat komt, omdat in de toewijzing / koppeling aan een "interface", achterliggend de gekozen interface zelf al de bijbehorende gateway bevat.
(Anders zou men koppelingen naar twee verschillende gateways maken).

Voor individueel te kiezen apparaten, (met een vast IP-adres / DHCP-reservering) is dat geen probleem,
die hebben altijd al een ander IP-adres dan die van een netwerk gateway.
Indien men slechts een beperkt aantal apparaten wil toewijzen, is dat de eenvoudigste en makkelijkste optie om in te zetten.

Bij afstemmen van één of meerdere complete sub-netten in de opties om VPN toe te wijzen  -of juist NIET-  ligt dat anders.
Zeker als apparaten automatisch een IP-adres krijgen toegewezen op basis van DHCP, en toch aan gewenste criteria moeten voldoen.
Het eerste IP-nummer van een netwerk is doorgaans het gateway adres van het netwerk.... tenminste bij subnet masker 255.255.255.0

Vandaar een "work-around" om daarvan af te wijken.  Dan kunnen we met de toewijzingen daar namelijk WEL gebruik van maken,
zonder in conflict te komen met een netwerk "gateway" IP-adres, met achterliggend de gateway van een toegewezen interface.

Aanpassen netwerk instellingen / voorbereiding  -  voor afstemmen van complete sub netwerken t.b.v. VPN (of juist niet):
We nemen daarvoor het  Gast WiFi netwerk.  Maar evengoed kan elk ander (extra) sub-net worden gekozen.
En veranderen het bereik van het netwerk door aanpassing van de "prefix" - waarmee het subnet masker wordt aangepast.
IP-bereik:  192.168.102.0/23  =  subnet masker 255.255.254.0     Van 254 hosts naar een bereik van 510 hosts.
Gebruik van een  IP sub-net calculator  is dan handig om alles te controleren.

LET OP !!   Houd in de gaten dat IP bereiken niet in conflict zijn met andere netwerken die men al eerder heeft opgezet.
                Controleer en pas zo nodig de Firewall regels aan op de nieuwe situatie.

Feitelijk hebben we nu twee "stukken" als netwerk:
Een IP bereik van   192.168.102.1   t/m   192.168.102.255   waarbij de gateway zelf IP   192.168.102.1  is.
Een IP bereik van   192.168.103.1   t/m   192.168.103.255   dit stuk heeft geen eigen gateway, want het hoort bij dat eerste stuk.

Het DHCP bereik om IP-adressen toe te wijzen, passen we aan, en "verschuiven" het bereik naar het 2e stuk van het netwerk.


  8..... (volg de afbeeldingen)

  8         9        10        11


Door verderop bij "Smart WAN", in de keuzes voor toewijzing / uitzonderingen een sub-net te kiezen,
wat alleen het 2e stuk van het netwerk bereik bevat, voldoen we daarmee aan een bereik, wat NIET het gateway IP-adres bevat.

IP-bereik:  192.168.103.0/24  =  subnet masker 255.255.255.0     255 hosts  zonder een toewijzing gateway IP-adres.



Smart WAN:

Mogelijke opties:

• Eerste optie:
  ALLE internetverkeer via de VPN verbinding.  (Ook die van extra ingestelde VLAN sub-netwerken / WiFi gast netwerk).
  Echter wil men vaak toch enkele apparaten niet via de VPN verbinding laten lopen.  Men "kan" uitzonderingen maken,
  en die koppelen aan een "gewone" internetverbinding. (Voor KPN bijv. aan de PPPoE-WAN interface).
  
  
  • Per apart ingesteld IP-adres van een apparaat binnen het LAN IP sub-net bereik.
    (Met eerder reeds een vast IP-adres / DHCP-reservering ingesteld voor een apparaat).
    
    
  • Voor een kleiner geconfigureerd "deel" sub-netwerk uit een groter netwerk IP-bereik. (255 hosts uit een bereik van 510 hosts).
    Voorbeeld met  "Gast WiFi" netwerk IP-bereik:  192.168.102.0/23  =  subnet masker 255.255.254.0
    Waarbij meerdere apparaten met vaste IP-adressen  -of via DHCP-  worden uitgesloten van VPN,
    en dan worden gekoppeld aan een "gewone" internet connectie. (Voor KPN aan de PPPoE-WAN interface).
  
  In te stellen via "Beleidsroute".   "Deel" sub-netwerk  192.168.103.0/24  bevat niet de gateway (als keus wel het DHCP bereik).
  
   12..... (volg de afbeeldingen)
  
   15. De "uitzonderingen" voor VPN welke worden gekoppeld aan een "gewone" internet connectie.
         De bovenste twee regels als individueel ingestelde IP-adressen in verschillende netwerken.
         (Bedenk dat hetzelfde apparaat voor elk netwerk zijn eigen IP-adres voor dat netwerk kan hebben, als men daar op inlogt).
         De niet ingeschakelde regels, betreffen het  "Buurvrouw"  en  "IoT"  netwerk, welke ik als test tijdelijk heb uitgebreid.
         Functioneert vergelijkbaar indien ingeschakeld.
  
  12        13        14        15
  
  Nadelen van deze "alles" omvattende VPN methode:
  Toegang van buitenaf voor achterliggende diensten "thuis" (remote access, web-server, NAS...) zal dan niet mogelijk zijn.
  Men zou dan eigenlijk via het WAN IP adres van de VPN-dienst gebruik moeten maken. Dat is praktisch geen werkbare optie.
  
  De belasting om alle data via een VPN-verbinding te laten lopen, komt men al snel aan beperkingen van bandbreedte,
  zowel in omvang als in snelheid, afhankelijk van het afgesloten account, en de vaak toch al niet ideale snelheden van VPN servers.
  Maar daarnaast zeker ook vermeld, de beslist niet optimale efficiency van de VPN Client verwerking op de router zelf (OpenVPN).
  
  IPTV services:    Inzet van provider gerelateerde IPTV services geeft ook problemen.
  Bijv. bij KPN kan men wel TV kijken, maar als de TV-ontvanger een keer uit is geweest laat nieuwe software zich niet meer inladen.
  
  
  
• Tweede optie:
  Betere optie / inzet, om bij "Smart WAN" de VPN als "interface" een andere prioriteit te geven.
  Niet de bovenste positie van het menu "Interfaceprioriteit", maar de 2e positie,
  en bovenaan in de rangorde de "normale" internet connectie te plaatsen.  (Voor KPN bovenaan de PPPoE-WAN interface).
  Met de bedoeling om "uitzonderingen" te maken op de "gewone" internet connectie, en die te koppelen aan VPN.
  
  
  • Per apart ingesteld IP-adres van een apparaat binnen het LAN IP sub-net bereik.
    (Met eerder reeds een vast IP-adres / DHCP-reservering ingesteld voor een apparaat).
    
    
  • Voor een kleiner geconfigureerd "deel" sub-netwerk uit een groter netwerk IP-bereik. (255 hosts uit een bereik van 510 hosts).
    Voorbeeld met  "Gast WiFi" netwerk IP-bereik:  192.168.102.0/23  =  subnet masker 255.255.254.0
    Waarbij meerdere apparaten met vaste IP-adressen  -of DHCP-  worden uitgesloten van "internet" (KPN PPPoE-WAN interface),
    en dan worden gekoppeld aan een VPN internet connectie.
  
  In te stellen via "Beleidsroute".   "Deel" sub-netwerk  192.168.103.0/24  bevat niet de gateway (als keus wel het DHCP bereik).
  
   16..... (volg de afbeeldingen)
  
   19. De "uitzonderingen" op een "gewone" internet connectie welke worden gekoppeld aan VPN.
         De bovenste twee regels als individueel ingestelde IP-adressen in verschillende netwerken.
         (Bedenk dat hetzelfde apparaat voor elk netwerk zijn eigen IP-adres voor dat netwerk kan hebben, als men daar op inlogt).
         De niet ingeschakelde regels, betreffen het  "Buurvrouw"  en  "IoT"  netwerk, welke ik als test tijdelijk heb uitgebreid.
         Functioneert vergelijkbaar indien ingeschakeld.
  
  16        17        18        19
  
  Voordelen van deze set-up:  Achterliggende diensten "thuis" kunnen van buitenaf ook benaderd worden.
  Zelfs tevens een VPN Server geïnstalleerd op de router kan tegelijkertijd draaien, als men maar een ander VPN-protocol kiest
  dan welke wordt gebruikt voor een actieve VPN Client verbinding naar buiten toe vanuit de router.
  
  IPTV services  blijven functioneel !!  (Eveneens bij actieve VPN verbindingen als Client en Server).
  
  

Zoals mogelijk opgemerkt hebben beide besproken situaties hetzelfde basis "algoritme" voor een set-up.
Alleen omgewisseld voor een andere interface.  Hoewel gelijkend op elkaar, met sterk afwijkende uitkomst in uitwerking / mogelijkheden.
Als men een klein beetje de materie doorziet, voor- en nadelen afweegt, heeft de 2e methode "met afstand" de voorkeur om in te zetten.

De volgorde in rangorde van de verschillende interfaces / services, wordt van boven naar beneden afgewerkt.
(Vergelijkbare werkwijze zoals ook bij het menu voor Firewall regels).

Bij bespreking van nog verder volgende onderdelen met gebruik van bijv. een 2e internet aansluiting,
of tethered mobiele verbinding met een smartphone....,
zal nog veel sterker de onderlinge samenhang en mogelijkheden van het Smart WAN menu naar boven komen. (= erg "krachtig" menu).

[Babylonia]

VPN Plus Server:

Om een  beveiligde connectie van buitenaf  met het thuisnetwerk te maken kan een extra  VPN Plus Server  pakket worden geïnstalleerd.
Dit pakket is bij gebruik van de "eigen" Synology VPN opties beter geoptimaliseerd in vergelijk met eerdere versies.
(Bij opzoeken naar bronnen m.b.t. "ChaCha" vond ik  < deze URL >  met allerlei handige verwijzingen naar soortgelijke protocollen).
Ook voor andere VPN protocollen is het VPN Server pakket beter geoptimaliseerd dan andersom voor een VPN Client (vorige onderwerp).

Naast de standaard VPN protocollen  SSTP  -  OpenVPN  -  L2TP/IPSec  en  PPTP (de laatste verouderd en niet aan te bevelen i.v.m. veiligheid).
Zijn nog de eigen Synology VPN methoden beschikbaar  SSL VPN  -  WebVPN  + nog hulpmiddelen als  Remote Desktop  en een  VPN portaal.
Daarnaast nog  Site-to-Site  VPN-verbindingen via IKEv2, om verschillende kantoor / bedrijfslocaties onderling met elkaar te verbinden.

Enkele schermafdrukken VPN Plus Server:

  2. Opmerking:  Standaard wordt poort 443 opgegeven.  Omdat die al in gebruik is voor een web-server, veranderd naar 462.

  4. Onder het menu  Object  vind men zowel een lijstje van de normaal opgezette netwerken van de router,
      alsook de voor VPN gebruikte virtuele netwerken.
      Opmerking:  Voor zowel normale netwerken als standaard aangeboden VPN netwerken gebruik ik afwijkende IP-bereiken.
                         (In het waarom zie uitgebreid hoofdstuk beschreven hier verder).

  1         2         3         4


Waarom afwijkende IP-bereiken voor standaard netwerken?

Zoals mogelijk opgemerkt worden vanaf het allereerste begin in deze uitleg over de RT6600ax andere IP-bereiken gebruikt
voor de basis thuis netwerken dan wat normaal gebruikelijk is.  Dat is niet zomaar toevallig, maar een zeer bewuste keuze.

Bij het gebruik van VPN internet verbindingen, heeft men te maken met drie netwerk IP bereiken:

• Het basis netwerk IP-bereik van het thuisnetwerk (waarvoor de VPN Plus server zijn geldigheid heeft).
• Een IP-bereik van het virtueel gebruikte VPN-netwerk waarmee de VPN-tunnel wordt opgezet.
• Het IP-bereik van het netwerk gezien vanuit de VPN Client zijde,  Een WiFi netwerk elders waar men zich bevindt,
  of anders wel het intern gebruikte WiFi hot-spot netwerk van een smartphone.

Die netwerken mogen niet hetzelfde zijn, dat conflicteert met elkaar !!

Op netwerken elders kan men als „gast“ waarvan men de WiFi gebruikt, geen invloed uitoefenen. Dat is maar net zoals het daar is opgezet.
In de praktijk zullen netwerk IP-bereiken vaak de standaard indelingen bevatten van door providers verstrekte modem/routers.

• Bijv. bij KPN   in het   192.168.2.x       IP-bereik     (op een enkel type na, niet eens door een gebruiker aan te passen).
• Bij Ziggo        in het   192.168.178.x   IP-bereik.
• Eigen merk routers    192.168.0.x   of   192.168.1.x
• Ook rekening te houden met WiFi gast netwerk IP-bereiken, die vaak net een sub-net nummertje hoger zitten.
  
  
• Synology routers       192.168.1.x   en   192.168.2.x   voor het gast netwerk

Als men netwerken thuis ook daar „uit gewoonte“ in die „standaard“ bereiken opzet, zal de kans dus erg groot zijn, dat men elders
„hetzelfde“ netwerk treft en dan tegen een conflict aanloopt. Het is dus zaak thuis bewust andere IP-bereiken te kiezen.

Dit is precies de reden dat voor het virtuele VPN IP-bereik, Synology tegenwoordig een standaard bereik kiest in het  172.x.x.x   bereik.
(Enkele jaren terug in het  10.x.x.x  bereik.)

Als hulpmiddel waar men een keus in kan maken:    https://en.wikipedia.org/wiki/Private_network
Aanvullend reactie Engelstalig Synology forum.
Ander hulpmiddel wat mogelijk juist NIET te kiezen, zie uitgebreide lijst bij VPN-onderwerp  @Pippin
Reeds bij allereerste opzet van een netwerk thuis, beter direct al rekening te houden met een later te installeren VPN Plus server.


Set-up:
Inregelen van de verschillende VPN Server opties, zie  online help-functies van Synology.

Men heeft echter ook altijd een VPN Client nodig, om in te zetten op PC, laptop, smartphone....
om daarmee verbinding te kunnen maken met de VPN server.
De ene VPN methode is makkelijker te installeren / uit te voeren dan een andere VPN-methode.
SSTP - L2TP/IPSec zijn standaard beschikbare Clients onder Windows.       Voor Android en Apple OS  -  L2TP/IPSec.

M.b.t. Linux Ubuntu:    OpenVPN   -   L2TP/IPSec   -   MS SSTP

Een van de makkelijkst in te zetten methode is de VPN optie van Synology zelf = SSL VPN, naast L2TP/IPSec.
LET OP !!   Bij gebruik van L2TP/IPSec onder Windows, vergeet niet  een registersleutel aan te passen !!
                   Verder wordt  L2TP/IPSec  (en het onveilige PPTP)  niet meer  ondersteund vanaf Android 12 en hoger (info).


OpenVPN   vraagt de nodige aanpassing van het configuratiebestand en vergt meer technische kennis / inzicht.
Lees de Engelstalige tekst achter het # karakter van het "ovpn" bestand, van wat een functie inhoudt.
Zelf heb ik de functie  float  geactiveerd  en nog extra het commando   auth-nocache   ertussen gevoegd.
(WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this).

LET OP !!   (OpenVPN) Mocht men op locatie een laptop "tethered" via USB aan een smartphone inzetten, voor mobiele connectie.
                  Of via de "WiFi hotspot".   (Gebruikservaring geldt voor het KPN mobiele netwerk - september 2022).
Om wisselingen tussen IPv6 en IPv4 gerelateerde connecties te vermijden waarbij "web-browser" data mogelijk niet via VPN loopt.
Twee alternatieven:
1. Pas de instelling aan van het APN toegangspunt waarbij de IPv4/IPv6 instelling wordt aangepast naar alleen IPv4
2. Of stel "tijdelijk" een ander   APN toegangspunt in. Voor vergelijkbare problematiek zie uitgebreide info  < HIER >.

Waarom "tijdelijk" optie 2 ?    Afgezien dat een "advancedinternet" APN toegangspunt accu-vermogen "vreet" van de smartphone.
Met een ander APN toegangspunt gelden mogelijk minder restricties m.b.t. beveiliging en connectie met internet?
Compenseer dat evt. met een aanvullende extra firewall op de smartphone, mocht men twijfels hebben over standaard voorzieningen.
(Hoewel een geïnstalleerde  “Kaspersky”  -Internet Security-  app  in mijn situatie NIETS verdachts opmerkt tijdens die connecties).
Of maak gebruik van andere VPN methoden.  Daar is vooralsnog (sept. 2022) geen ander APN toegangspunt voor benodigd.

Controle VPN WAN IP-adres:   https://watismijnip.nl   -   https://www.ip-adres.nl   -   https://www.watismijnipadres.nl


Download:

• Synology VPN Plus Client  voor Windows / Apple OS,   kies laatste versie  -  (Release Notes)
• Synology VPN Plus Client  Android OS
• Synology VPN Plus Client  Apple iOS
  
  
• OpenVPN Client  voor Windows
• OpenVPN Client  voor Android (TV)   "VPN Client Pro"  (erg goed, ook andere VPN protocollen)   -   app OpenVPN zelf
• OpenVPN Client  voor Apple  OS   -   "Tunnelblick"
• OpenVPN Client  voor Apple iOS   -   "Passepartout"
  
  
• MS SSTP Client  Windows standaard inbegrepen
• MS SSTP Client  voor Android       -   "VPN Client Pro"
• MS SSTP Client  voor Apple  OS    -   Optie 1 - Github.com   -   Optie 2 - Gitlab.com
• MS SSTP Client  voor Apple iOS
• MS SSTP Client  voor Ubuntu OS

VPN Licenties - (gratis):
Voor de standaard VPN protocollen, zijn deze vrij, zonder een licentie in te hoeven stellen.
Voor de  Synology VPN methoden zijn  VPN licenties te activeren,  die overigens  gratis  ter beschikbaar worden gesteld.

Voor het RT6600ax model zelfs een aantal van 40 licenties (voor 40 gelijktijdige "Synology" VPN verbindingen).
Het dubbele aantal van een RT2600ac model.
(Voor het L2TP/IPSec protocol gelden "officieel" geen limieten voor het aantal VPN verbindingen.
Maar zal praktisch gezien toch de nodige CPU-bronnen en bandbreedte opeisen en daarmee gelimiteerd worden).

Bij aanvraag van het aantal licenties rekening te houden met gebruik van een  "Site-to-Site"  VPN-verbinding (ééntje "per router").
Die zou men sowieso al veilig kunnen stellen. (Betreft een andere licentie dan die voor VPN Clients).
Één VPN Client licentie wordt standaard al bijgeleverd bij levering van de router.  Blijven er nog 38 stuks aan te vragen opties over.

Aan te bevelen die ook direct in één "batch"  -  of anders naar behoefte in twee / drie batches aan te vragen.
Bij telkens "losse" aanvragen (per extra gebruiker) wordt het "administratief" anders een erg lange lijst aan licenties.
In geval van één Site-to-Site licentie en 38 extra Client licenties in één batch. Betreffen het slechts twee regels in het Synology account.
Zie de gebruiksvoorwaarden - en hoe in te zetten.

                   


Certificaten:
Als basis bij externe benadering van de SRM router interface via een beveiligde https webbrowser internetverbinding,
waarbij gebruik wordt gemaakt van een Synology DDNS domein, of een eigen domein, voor het WAN IP-adres.
Kan men kosteloos een "Let's Encrypt" beveiligingscertificaat aanvragen / inzetten. Direct vanuit de menu-opties in de router zelf.
(Voor een  *.nl  *.com  *.net....  domein registratie bij een service provider, kan men ook een gekocht SSL certificaat importeren).

Bij diverse VPN methoden worden diezelfde certificaten gebruikt als verificatie voor de VPN-verbinding.
(In afwijking van het gebruik van certificaten bij een Synology NAS, waar men meerdere certificaten kan onderbrengen,
en afhankelijk van de gebruikte service daar een ander certificaat voor kan kiezen. Bijv. een "zelf ondertekend certificaat").

Gebruikers "perikelen" functionaliteit rondom domeinen / certificaten:
Het lijkt mooi een gratis  Let's Encrypt  certificaat voor een eveneens gratis DDNS "Synology" domein.
Tegenover de keuze van een eigen domein met bijbehorend SSL certificaat waar men voor betaalt via een service provider.
Alles heeft zo zijn prijs.

Let's Encrypt:
Die certificaten zijn slechts 3 maanden geldig, en moeten elke 3 maanden worden vernieuwd.
Met de functionaliteiten in een router lijkt dat allemaal netjes geautomatiseerd plaats te kunnen vinden.
Daarbij moet poort 80 expliciet worden toegewezen aan de service voor een Let's Encrypt certificaat vernieuwing.
Voor de situatie dat een eigen *.nl  *.com  *.net....  domein wordt ingezet. Bij een Synology DDNS domein geldt die beperking niet.
Bij aanmaken van een benodigde Firewall regel is daar reeds in voorzien, waarbij de applicatie direct vanuit een lijst is te kiezen.

Echter heeft een gebruiker van een Synology router in zijn netwerk vaak ook een  Synology NAS,  waar hetzelfde speelt.
Die poort 80 heeft men mogelijk al toegewezen aan een achterliggende web-server op die NAS en daarbij port forwarding toegepast.
Tezamen met poort 443 voor een versleutelde https verbinding, waarbij het SSL certificaat wordt ingezet.

Het meest praktisch is dan elke 3 maanden Let's Encrypt certificaten van een NAS te exporteren en te importeren in de router.
(Hetzelfde domein te gebruiken voor meerdere apparaten in het netwerk. Tenslotte gaat het allen om hetzelfde WAN IP-adres).

Heeft men gekozen voor een "OpenVPN" methode als VPN-optie met de VPN PLus server in de router, moet daarmee ook telkens
het configuratiebestand van OpenVPN elke 3 maanden worden aangepast.  Kortom er zitten nog wel wat haken en ogen aan.

Het enig echte voordeel is de beschikbaarheid van een gratis  Let's Encrypt "wildcard"  certificaat,
wat men kan inzetten voor een Synology "WebVPN" methode gekoppeld aan een Synology DDNS domein.
"WebVPN" gebruikt variabele extra code vóór de domeinnaam. Voor die functionaliteit is dan een wildcard certificaat benodigd.
Bij geen van de andere domeinnaam opties is dat gratis.  (Meer info m.b.t. DDNS en Let's Encrypt zie Synology info).

Eigen domein met bijbehorend SSL certificaat via een service provider:
Om een eigen domein te kunnen gebruiken is een „vast“ IP-adres benodigd op de WAN aansluiting van de internet-aansluiting.
Ondanks met name bij consumenten internet-overeenkomsten sprake is van een "dynamisch" IP-adres, komen wisselingen
van het IP-adres tegenwoordig nauwelijks voor. Alleen bij structurele veranderingen / reorganisatie van systemen bij providers.

Om die reden is het gebruik van een eigen domein op het WAN IP-adres prima in te zetten, en is een DDNS service niet nodig.
(Benaming zonder toevoeging van de DDNS service zelf in de domeinnaam zoals: Synology - STRATO - FreeDNS - No-IP.com).
Voor geringe of te overziene kosten (naar gelang extensie) een *.nl *.com *.net.... domein registratie bij een service provider.

Hoewel men wel voor meerdere jaren met korting domeinen en SSL certificaten kan aankopen.
Is een SSL certificaat als aanvulling op een domein niet langer dan een een jaar geldig. (Eerder kon men 2-3 jaar overbruggen).
Wordt dus een jaarlijks klusje om een certificaat in router of NAS te importeren, maar is aantrekkelijker als 3 maandelijks.

Een SSL wildcard certificaat ten behoeve van WebVPN is voor consumenten vaak net wat te duur.
Om die reden benut ik het als "hobbyist" bijv. op mijn eigen NL domein zelf niet. En daarmee dus ook geen WebVPN.
Een betaalbaar "normaal" SSL certificaat (€ 12,- p/jaar) is voor de andere services (waar benodigd), verder wel prima in te zetten.


Vervolg m.b.t. info  VPN Plus Server,  scroll door naar volgende reactie hieronder:

[Babylonia]

VPN Plus Server  -  vervolg :          (Vorige onderdeel heeft het ~max. bereikt aan in te voeren tekst m.b.t. forum software).

Praktische zaken waar rekening mee te houden in de netwerk indeling m.b.t. VPN:

Connectie van buitenaf naar de VPN-server op de router, en connectie naar andere netwerken dan het primaire hoofdnetwerk,
gaat vergelijkbaar als in het thuis netwerk zelf.  Voor meer info kijk bij het onderdeel  "Uitbreidingen Firewall opties",

                               Functionaliteit firewall sterk afhankelijk van enkele "hoofd" instellingen elders:

En bijna onderaan:   *1    Aanvulling m.b.t. benadering van clients / apparaten vanuit het "eigen" netwerk.

Met o.a.  deze voorbeelden  hoe bepaalde netwerkfuncties met Firewall regels te combineren.


Gevoeligheid voor storingen m.b.t. VPN:    Zie ervaringen waar op te letten bij  "marathon" VPN test.
Controle kwaliteit netwerkkabels, en "interferentie" wat storingen kan veroorzaken. Zie < DEZE reactie >.


"Site-to-Site"  VPN verbindingen:

Een optie die Synology biedt, is om complete LAN thuisnetwerken vanuit verschillende locaties onderling met elkaar te verbinden.
Zodat men onderling "visa versa" data kan uitwisselen alsof men binnen één netwerk met elkaar verbinding heeft.
(Bijv. tussen enkele bedrijfslocaties).

Het klinkt allemaal mooier dan mogelijk door gebruikers wordt verwacht?
Om de uitwisselbaarheid met andere routers en site-to-site systemen te kunnen waarborgen, ligt daar mogelijk ook een beperking?
Het kiezen uit hostnamen van apparaten, is standaard niet aanwezig. Men heeft geen inzicht van de apparaten bij de andere locaties.
Juist bij gezamenlijk gecombineerde netwerken gewenst.  (Men zou voor apparaten daar "favorieten" voor kunnen vastleggen?)

Mogelijk zou men nog een extra pakket erbij moeten installeren om het inzichtelijker te maken, zoals een DNS server ?
Dan wordt het allemaal een stuk complexer, als dat ook nog allemaal ingeregeld moet worden.
Zover wil ik de configuraties voor mezelf "als test" hier niet doorvoeren.  Heb dus geen inzicht in hoeverre dat functioneert.

Wil de functie van een "Site-to-Site" VPN verbinding echter niet onbenoemd laten.

Online bronnen:
Een eerdere uitleg is al eens jaren geleden op  < YouTube > verschenen onder  SRM  1.1.5
Aanvullend wel een up-to-date < Synology gebruiksaanwijzing > om een  Site-to-Site  connectie te configureren.

Sinds  SRM  1.1.5  is er weinig veranderd, en kan men nog steeds die YouTube uitleg als leidraad aanhouden om in te stellen.
Men gaat bij die uitleg alleen uit van vaste  "WAN  IP adressen"  (IPv4 only).
Waar ik in de opzet uitga van "tevens" gebruikte (Synology) DDNS domeinen, en/of  geregistreerde NL (com, org, eu...)  domeinen.
Waarbij de connecties mogelijk "naar buiten toe" op zichzelf tevens IPv6 connecties zouden kunnen omvatten.
Onderlinge VPN  tunnel  "Site-to-Site"  thuisnetwerk verbindingen betreffen echter uitsluitend  IPv4  gebaseerde functies.

Basis voorwaarden waar rekening mee te houden

• Zorg dat u van beide locaties alle netwerk gegevens reeds vooraf bij de hand heeft.
• De privé sub-netwerken van de ene locatie en de andere locatie mogen elkaar niet overlappen
  Voor locatie  A  geldt voor mijn situatie primair netwerk  192.168.101.xx
  Voor locatie  B  geldt voor mijn situatie primair netwerk  192.168.60.xx
  Men heeft de mogelijkheid extra aangemaakte VLAN sub-netwerken, deze ook toe te voegen bij de op te maken VPN profielen.
• Zorg dat voor beide locaties Firewall regels correct staan ingesteld, zowel voor de poorten van de VPN-verbinding zelf,
  alsook die van de privé sub-netwerken van beide locaties.

We beginnen bij locatie  A  om een  "Site-to-Site"  profiel aan te maken:

  1         2         3         4


We importeren bij locatie  B  het geëxporteerde profiel, wat we bij locatie A hebben aangemaakt.
Door het profiel te importeren, worden de basis netwerk gegevens hier "omgewisseld", en worden vergissingen voorkomen
van vastgelegde details, zoals een opgegeven sleutel, encryptie instellingen, e.d.  Die voor beide locaties gelijk moeten zijn.

  5       =  Profiel importeren.
  6       =  Als het profiel eerder correct was ingesteld voor locatie A,
               zien we direct nu een verbonden Site-to-Site verbinding bij locatie B.
  7 / 8  =  Met "Bewerken" kunnen we de instellingen nog een keer apart doornemen / controleren.
  9       =  Daadwerkelijk ophalen van data.

  5         6         7         8

  9


Site-to-Site VPN verbinding, met niet Synology routers aan de andere kant:
Tussen diverse bedrijfslocaties is het maar de vraag of elders een Synology router wordt gebruikt?
< HIER >  een viertal installatievoorbeelden beschreven met andere type routers / firewalls.

[Babylonia]

Threat Prevention in relatie tot benodigd extern geheugen, bij gebruik van één enkele USB-poort (géén SD card-slot):

[ EDIT ]

Zijdelings is een nieuw onderwerp in de maak waarmee een deel van onderstaande problematiek zal worden overgeheveld,
omdat het een te omvangrijk onderdeel gaat vormen voor een "handleiding".  (Hooguit dan enkele details "hier" waar op te letten).


Safe Access en Threat Prevention:

De Synology firmware kent een aantal krachtige gereedschappen om beveiliging van internet dataverkeer op een hoger niveau te brengen.
Om optimaal gebruik te maken van die gereedschappen zijn er een aantal zaken waar rekening mee te houden.
Terloops verkeerde instellingen kan tot onverwachte resultaten leiden. Dus ben er goed van bewust "wat" men inzet en "hoe" men het instelt.

Safe Access:
Één van de mogelijkheden van dit onderdeel,   -blokkeren van bepaalde URL's-   zie deze reactie.
Verder bevat het uitgebreide filter-mogelijkheden m.b.t. ouderlijk toezicht - tijdschema's etc.
Meer daarover in de Knowledgebase van Synology.

Threat Prevention:
Extra optie is het pakket  Threat Prevention  (apart te installeren).
Het biedt extra beveiliging om alle internet data te controleren op "packet" niveau.

Omdat er nogal wat database gerelateerde zaken worden weggeschreven (en ook weer uitgelezen bij bezoeken van websites)
werkt het alleen door extra extern geheugen aan te sluiten op de USB 3.2 poort van de router, zoals een portable HD, flashdrive e.d.
Overigens extra externe data-opslag is sowieso aan te bevelen om in te zetten, voor alle andere extra functies die de router biedt.

De RT6600ax met één USB-poort is daarmee beperkt met het RT2600ac model, die 1x USB 2.0 + 1x USB 3.0 + SD-card slot bevatten.
Maar niet verwonderlijk in de keus, omdat met hogere inzet van snelheden USB 2.0 al helemaal niet meer relevant is om in te zetten.

           (nog aan te vullen - plaatje Control Panel - alle gebruikte databases)

Interferentie op WiFi 2.4 GHz band bij gebruik van USB 3.x - een algemeen bekend verschijnsel :
Leuk en aardig "alleen USB 3.2", maar....
Er is een discrepantie met (super) snel internet (maximaal tot 2.5 Gb) en de wijze hoe data op maximale snelheid extern te verwerken.

Het gebruik van  USB 3.2  veroorzaakt interferentie op het WiFi 2.4 Ghz netwerk.
Men krijgt een waarschuwing op het scherm en (standaard) schakelt de SRM interface van een Synology router terug naar USB 2.0.
De snelheid van USB 2.0 is echter niet voldoende om alle data snel genoeg te kunnen verwerken.  Men kan USB 3.2 wel inzetten,
(automatische terugschakeling USB 2.0 opheffen), maar gaat feitelijk ten koste van de effectiviteit van WiFi op de 2.4 GHz band.

Het betreft overigens géén Synology manco,  maar een algemeen bekend fenomeen  USB 3.x versus WiFi 2.4 Ghz - (niet bij 5 GHz).
Vergelijkbare info vindt men bijv. ook bij andere producten zoals  Apple  en een methode om bekabeling  af te schermen  als remedie.
Bij zelf uitgevoerde testen beïnvloed interferentie omgekeerd ook het USB-signaal, en veroorzaakt onregelmatige data-overdracht.

Er is dus speciale aandacht vereist hoe en op welke wijze die interferentie zoveel mogelijk te beperken.
Maar tevens welk extern geheugen te kiezen, wat snel genoeg is om dataverkeer uit te kunnen wisselen.
De RT6600ax heb ik uitgebreid met de volgende hardware.

USB 3.0 HUB  +  snelle USB flash memory stick:
Om naast "snel" geheugen m.b.t. de opslag van router gerelateerd databases, nog andere USB gerelateerde opties te benutten,
zoals  portable HD-drive  als "mini Nas", en bij storing/uitval van internet, een USB tethered smartphone mobiele 4G connectie.
Aan de router een  "Anker" USB 3 HUB  aangesloten.
Bewust met een langere kabel, zodat gekoppelde hardware wat meer afstand heeft tot de router (beperking interferentie).

HUB test - laptop:
Eerst de snelheid getest van de USB 3.0 HUB aangesloten op mijn laptop.
Om te bepalen of de USB 3.0 HUB praktisch gezien op zichzelf al snel genoeg is, om data met hoge snelheden over te zetten.

- Met Samsung  256 GB  USB 3.0 Flashdrive "Fit Plus" ----> schrijfsnelheid  ~ 108 MB / ps (~   865 Mbps)
- Met Sandisk    1 TB      USB 3.0 SSD                       ----> schrijfsnelheid  ~ 333 MB / ps (~ 2660 Mbps)
  (Hogere leessnelheid niet gemeten).  Deze laatste optie met Sandisk SSID zou kunnen voldoen aan een 2.5 Gbit glasvezelverbinding,
  waarbij data m.b.t. Threat Prevention "bijgehouden" zou kunnen worden.  (Afgezien processing mogelijkheden van de RT6600ax).

HUB test - RT6600ax :
USB 3.0 HUB aangesloten op de RT6600ax   -en de terugschakeling naar USB 2.0-   in het menu van SRM uitgevinkt,
router herstart zodat onder USB 3.0 verder wordt gegaan.

- Met Samsung  256 GB  USB 3.0 Flashdrive "Fit Plus" ----> standaard als exFAT geformatteerd - wordt niet ondersteund
  Geformatteerd naar EXT 4 en video bestand overgezet nu met een bekabelde netwerkverbinding met mijn laptop.
   ----> schrijfsnelheid  ~ 95 - 100 MB / ps (~   780 Mbps)
- Mijn Sandisk 1 TB = ook in exFAT formaat NIET opnieuw geformatteerd naar EXT 4 (ik wil die ook achter een PC gebruiken),
  zou ik in principe wat hoger in snelheid uit moeten komen met een 1 Gbit netwerkverbinding.
  Vorig jaar bij Synology al aangedrongen op ondersteuning van exFAT. Lijkt me nu nog meer relevant.
  Testen op 2.5 Gbit heb ik verder nu geen middelen / opties voorhanden.

Ook testen van wat praktisch werkelijk mogelijk is met Threat Prevention met bijv. een 1 GB internet-verbinding,
ook niet voorhanden. (Heb namelijk geen 1 Gb internet abonnement).

Inzet van M2 NVME SSD geheugen + next level Synology router modellen (! ?) :
Wil men de RT6600ax met de hoogste internet snelheid = 2.5 Gbps (LAN 1 poort als WAN connectie inzetten),
en tevens de functionaliteiten van Threat Prevention op de hoogste maximum snelheid willen laten controleren,
is er al snel behoefte de snelst beschikbare opties in te zetten aan extern geheugen.

Op het Engelstalige forum heeft een gebruiker reeds op een RT2600ac model via M2 behuizing een M2 NVME SSD aangesloten.
Vervolg onderwerp van dezelfde gebruiker als uitbreiding bij een ander model RT2600ac router.

Iets voor Synology als optie om mee te nemen bij de opvolger van de RT6600ax router.     
Aan de onderkant van de router, achter een klepje de mogelijkheid te bieden direct een M2 slot te implementeren op het moederbord,
waar M2 NVME SSD geheugen ingeprikt kan worden, vergelijkbaar zoals enkele Synology NAS modellen daar ook in voorzien.

Dat biedt bovendien reeds opties om dat deel van het moederbord goed af te schermen om elektromagnetische interferentie te beperken.
(De RT6600ax voldoet reeds in hoge mate, omdat het moederbord over de volle breedte is afgedekt met een aluminium heatsink
 Scroll via de link wat verder naar beneden).


ABC.....          Nog verder aan te vullen

MOD: En niet in dit Topic reageren a.u.b., zie eerste bericht.