VPN Plus Server:Om een
beveiligde connectie van buitenaf met het thuisnetwerk te maken kan een extra
VPN Plus Server pakket worden geïnstalleerd.
Dit pakket is bij gebruik van de "eigen" Synology VPN opties
beter geoptimaliseerd in vergelijk met eerdere versies.
(Bij opzoeken naar bronnen m.b.t. "ChaCha" vond ik
< deze URL > met allerlei handige verwijzingen naar soortgelijke protocollen).
Ook voor andere VPN protocollen is het VPN Server pakket beter geoptimaliseerd dan andersom voor een VPN Client (
vorige onderwerp).
Naast de standaard VPN protocollen
SSTP -
OpenVPN -
L2TP/IPSec en
PPTP (de laatste verouderd en niet aan te bevelen i.v.m. veiligheid).
Zijn nog de eigen Synology VPN methoden beschikbaar
SSL VPN -
WebVPN + nog hulpmiddelen als
Remote Desktop en een
VPN portaal.
Daarnaast nog
Site-to-Site VPN-verbindingen via
IKEv2, om verschillende kantoor / bedrijfslocaties onderling met elkaar te verbinden.
Enkele schermafdrukken VPN Plus Server:
2. Opmerking: Standaard wordt poort 443 opgegeven. Omdat die al in gebruik is voor een web-server, veranderd naar 462.
4. Onder het menu
Object vind men zowel een lijstje van de normaal opgezette netwerken van de router,
alsook de voor VPN gebruikte virtuele netwerken.
Opmerking: Voor zowel normale netwerken als standaard aangeboden VPN netwerken gebruik ik
afwijkende IP-bereiken.
(In het waarom zie uitgebreid hoofdstuk beschreven hier verder).
1
2
3
4
Waarom afwijkende IP-bereiken voor standaard netwerken?Zoals mogelijk opgemerkt worden vanaf het allereerste begin in deze uitleg over de RT6600ax andere IP-bereiken gebruikt
voor de basis thuis netwerken dan wat normaal gebruikelijk is. Dat is niet zomaar toevallig, maar een zeer bewuste keuze.
Bij het gebruik van VPN internet verbindingen, heeft men te maken met drie netwerk IP bereiken:
- Het basis netwerk IP-bereik van het thuisnetwerk (waarvoor de VPN Plus server zijn geldigheid heeft).
- Een IP-bereik van het virtueel gebruikte VPN-netwerk waarmee de VPN-tunnel wordt opgezet.
- Het IP-bereik van het netwerk gezien vanuit de VPN Client zijde, Een WiFi netwerk elders waar men zich bevindt,
of anders wel het intern gebruikte WiFi hot-spot netwerk van een smartphone.
Die netwerken mogen
niet hetzelfde zijn, dat conflicteert met elkaar !!
Op netwerken elders kan men als „gast“ waarvan men de WiFi gebruikt, geen invloed uitoefenen. Dat is maar net zoals het daar is opgezet.
In de praktijk zullen netwerk IP-bereiken vaak de standaard indelingen bevatten van door providers verstrekte modem/routers.
- Bijv. bij KPN in het 192.168.2.x IP-bereik (op een enkel type na, niet eens door een gebruiker aan te passen).
- Bij Ziggo in het 192.168.178.x IP-bereik.
- Eigen merk routers 192.168.0.x of 192.168.1.x
- Ook rekening te houden met WiFi gast netwerk IP-bereiken, die vaak net een sub-net nummertje hoger zitten.
- Synology routers 192.168.1.x en 192.168.2.x voor het gast netwerk
Als men netwerken thuis ook daar „uit gewoonte“ in die „standaard“ bereiken opzet, zal de kans dus erg groot zijn, dat men elders
„hetzelfde“ netwerk treft en dan tegen een conflict aanloopt. Het is dus zaak
thuis bewust
andere IP-bereiken te kiezen.
Dit is precies de reden dat voor het virtuele VPN IP-bereik, Synology tegenwoordig een standaard bereik kiest in het
172.x.x.x bereik.
(Enkele jaren terug in het
10.x.x.x bereik.)
Als hulpmiddel waar men een keus in kan maken:
https://en.wikipedia.org/wiki/Private_networkAanvullend reactie
Engelstalig Synology forum.
Ander hulpmiddel wat mogelijk juist
NIET te kiezen,
zie uitgebreide lijst bij VPN-onderwerp
@Pippin Reeds bij allereerste opzet van een netwerk thuis, beter direct al rekening te houden met een later te installeren VPN Plus server.
Set-up:Inregelen van de verschillende
VPN Server opties, zie
online help-functies van Synology.Men heeft echter ook altijd een
VPN Client nodig, om in te zetten op PC, laptop, smartphone....
om daarmee verbinding te kunnen maken met de VPN server.
De ene VPN methode is makkelijker te installeren / uit te voeren dan een andere VPN-methode.
SSTP - L2TP/IPSec zijn standaard beschikbare Clients onder
Windows. Voor Android en
Apple OS -
L2TP/IPSec.
M.b.t. Linux Ubuntu:
OpenVPN -
L2TP/IPSec -
MS SSTPEen van de makkelijkst in te zetten methode is de VPN optie van Synology zelf =
SSL VPN, naast L2TP/IPSec.
LET OP !! Bij gebruik van
L2TP/IPSec onder Windows, vergeet niet
een registersleutel aan te passen !! Verder wordt L2TP/IPSec (en het onveilige PPTP)
niet meer ondersteund vanaf Android 12 en hoger (
info).
OpenVPN vraagt de nodige aanpassing van het configuratiebestand en vergt meer technische kennis / inzicht.
Lees de Engelstalige tekst achter het # karakter van het "ovpn" bestand, van wat een functie inhoudt.
Zelf heb ik de functie
float geactiveerd en nog extra het commando
auth-nocache ertussen gevoegd.
(WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this).LET OP !! (OpenVPN) Mocht men op locatie een laptop "tethered" via USB aan een smartphone inzetten, voor mobiele connectie.
Of via de "WiFi hotspot". (Gebruikservaring geldt voor het
KPN mobiele netwerk - september 2022).
Om wisselingen tussen IPv6 en IPv4 gerelateerde connecties te vermijden waarbij "web-browser" data mogelijk
niet via VPN loopt.
Twee alternatieven:1. Pas de instelling aan van het
APN toegangspunt waarbij de
IPv4/IPv6 instelling wordt aangepast naar alleen
IPv42. Of stel "tijdelijk" een ander
APN toegangspunt in. Voor vergelijkbare problematiek zie uitgebreide info
< HIER >.
Waarom "tijdelijk" optie 2 ? Afgezien dat een "advancedinternet" APN toegangspunt accu-vermogen "vreet" van de smartphone.
Met een ander APN toegangspunt gelden mogelijk
minder restricties m.b.t. beveiliging en connectie met internet?
Compenseer dat evt. met een aanvullende
extra firewall op de smartphone, mocht men twijfels hebben over standaard voorzieningen.
(Hoewel een geïnstalleerde
“Kaspersky” -Internet Security- app in mijn situatie
NIETS verdachts opmerkt tijdens die connecties).
Of maak gebruik van andere VPN methoden. Daar is vooralsnog (sept. 2022) geen ander APN toegangspunt voor benodigd.
Controle VPN WAN IP-adres:
https://watismijnip.nl -
https://www.ip-adres.nl -
https://www.watismijnipadres.nl
Download:
VPN Licenties - (gratis):Voor de standaard VPN protocollen, zijn deze vrij, zonder een licentie in te hoeven stellen.
Voor de
Synology VPN methoden zijn
VPN licenties te activeren, die overigens
gratis ter beschikbaar worden gesteld.
Voor het RT6600ax model zelfs een aantal van
40 licenties (voor 40 gelijktijdige "Synology" VPN verbindingen).
Het dubbele aantal van een RT2600ac model.
(Voor het L2TP/IPSec protocol gelden "officieel" geen limieten voor het aantal VPN verbindingen.
Maar zal praktisch gezien toch de nodige CPU-bronnen en bandbreedte opeisen en daarmee gelimiteerd worden).
Bij aanvraag van het aantal licenties rekening te houden met gebruik van een
"Site-to-Site" VPN-verbinding (ééntje "per router").
Die zou men sowieso al veilig kunnen stellen. (Betreft een andere licentie dan die voor VPN Clients).
Één VPN Client licentie wordt standaard al bijgeleverd bij levering van de router. Blijven er nog 38 stuks aan te vragen opties over.
Aan te bevelen die ook direct in één "batch" - of anders naar behoefte in twee / drie batches aan te vragen.
Bij telkens "losse" aanvragen (per extra gebruiker) wordt het "administratief" anders een erg lange lijst aan licenties.
In geval van één Site-to-Site licentie en 38 extra Client licenties in één batch. Betreffen het slechts twee regels in het Synology account.
Zie de gebruiksvoorwaarden - en hoe in te zetten.
Certificaten:Als basis bij externe benadering van de SRM router interface via een beveiligde
https webbrowser internetverbinding,
waarbij gebruik wordt gemaakt van een Synology DDNS domein, of een eigen domein, voor het WAN IP-adres.
Kan men kosteloos een
"Let's Encrypt" beveiligingscertificaat aanvragen / inzetten. Direct vanuit de menu-opties in de router zelf.
(Voor een *.nl *.com *.net.... domein registratie bij een
service provider, kan men ook
een gekocht SSL certificaat importeren).
Bij diverse VPN methoden worden
diezelfde certificaten gebruikt als verificatie voor de VPN-verbinding.
(In afwijking van het gebruik van certificaten bij een Synology NAS, waar men meerdere certificaten kan onderbrengen,
en afhankelijk van de gebruikte service daar een ander certificaat voor kan kiezen. Bijv. een "zelf ondertekend certificaat").
Gebruikers "perikelen" functionaliteit rondom domeinen / certificaten:Het lijkt mooi een gratis
Let's Encrypt certificaat voor een eveneens gratis DDNS "Synology" domein.
Tegenover de keuze van een eigen domein met bijbehorend SSL certificaat waar men voor betaalt via een service provider.
Alles heeft zo zijn prijs.
Let's Encrypt:Die certificaten zijn slechts
3 maanden geldig, en moeten elke 3 maanden worden vernieuwd.
Met de functionaliteiten in een router lijkt dat allemaal netjes geautomatiseerd plaats te kunnen vinden.
Daarbij moet poort 80 expliciet worden toegewezen aan de service voor een Let's Encrypt
certificaat vernieuwing.Voor de situatie dat een eigen *.nl *.com *.net.... domein wordt ingezet. Bij een
Synology DDNS domein geldt die beperking niet.
Bij aanmaken van een benodigde Firewall regel is daar reeds in voorzien, waarbij de applicatie direct vanuit een lijst is te kiezen.
Echter heeft een gebruiker van een Synology router in zijn netwerk vaak ook een
Synology NAS, waar hetzelfde speelt.
Die poort 80 heeft men mogelijk al toegewezen aan een achterliggende
web-server op die NAS en daarbij port forwarding toegepast.
Tezamen met poort 443 voor een versleutelde
https verbinding, waarbij het SSL certificaat wordt ingezet.
Het meest praktisch is dan elke 3 maanden Let's Encrypt certificaten van een NAS te exporteren en te importeren in de router.
(Hetzelfde domein te gebruiken voor meerdere apparaten in het netwerk. Tenslotte gaat het allen om hetzelfde WAN IP-adres).
Heeft men gekozen voor een "OpenVPN" methode als VPN-optie met de VPN PLus server in de router, moet daarmee ook telkens
het configuratiebestand van OpenVPN elke 3 maanden worden aangepast. Kortom er zitten nog wel wat haken en ogen aan.
Het enig echte voordeel is de beschikbaarheid van een
gratis Let's Encrypt "wildcard" certificaat,
wat men kan inzetten voor een
Synology "WebVPN" methode gekoppeld aan een
Synology DDNS domein.
"WebVPN" gebruikt variabele extra code vóór de domeinnaam. Voor die functionaliteit is dan een wildcard certificaat benodigd.
Bij geen van de andere domeinnaam opties is dat gratis. (Meer info m.b.t. DDNS en Let's Encrypt zie
Synology info).
Eigen domein met bijbehorend SSL certificaat via een service provider:Om een eigen domein te kunnen gebruiken is een „vast“ IP-adres benodigd op de WAN aansluiting van de internet-aansluiting.
Ondanks met name bij consumenten internet-overeenkomsten sprake is van een "dynamisch" IP-adres, komen wisselingen
van het IP-adres tegenwoordig nauwelijks voor. Alleen bij structurele veranderingen / reorganisatie van systemen bij providers.
Om die reden is het gebruik van een eigen domein op het WAN IP-adres prima in te zetten, en is een DDNS service niet nodig.
(Benaming zonder toevoeging van de DDNS service zelf in de domeinnaam zoals: Synology - STRATO - FreeDNS - No-IP.com).
Voor geringe of te overziene kosten (naar gelang extensie) een *.nl *.com *.net.... domein registratie bij een
service provider.Hoewel men wel voor meerdere jaren met korting domeinen en SSL certificaten kan aankopen.
Is een SSL certificaat als aanvulling op een domein niet langer dan een
een jaar geldig. (Eerder kon men 2-3 jaar overbruggen).
Wordt dus een jaarlijks klusje om een certificaat in router of NAS te importeren, maar is aantrekkelijker als 3 maandelijks.
Een SSL
wildcard certificaat ten behoeve van
WebVPN is voor consumenten vaak
net wat te duur.Om die reden benut ik het als "hobbyist" bijv. op mijn eigen NL domein zelf niet. En daarmee dus ook geen WebVPN.
Een betaalbaar "normaal" SSL certificaat (
€ 12,- p/jaar) is voor de andere services (waar benodigd), verder wel prima in te zetten.
Vervolg m.b.t. info
VPN Plus Server, scroll door naar volgende reactie hieronder: