Synology-Forum.nl
Synology Router => Synology Router => Topic gestart door: reinos op 01 september 2021, 20:50:04
-
Hi,
Sinds de laatste update van VPN Plus werkt mijn OpenVPN verbinding niet meer naar behoren. Hij connect wel maar vervolgens kan ik niet meer bij het lokale netwerk en visa versa.
Situatie:
Thuis
RT2600 (met OpenVpn)
Remote
DS214
Voorheen kon ik in mijn Thuis netwerk, de DS214 die Remote staat benaderen via het IP van de DS214. Nu werkt dat niet meer.
Ik heb op mijn RT2600 OpenVPN ingesteld met de volgende instellingen (zie bijlage). Ik heb via de "Export configuration" de settings geëxporteerd en in de export mijn IP aangepast. Daarna geïmporteerd op mijn DS214 en geconnect. Dat werkt zoals te zien is in de bijlage, ik krijg netjes een IP en ik kan in de RT2600 ook zien dat er een user online is. Als ik dan naar het IP ga vanuit mijn thuis netwerk werkt het dus niet meer. Dit heeft dus gewerkt (gebruik het voor het maken van backups middels Hperbackup omdat ik op Remote geen port forwarding kan gebruiken.)
Is dit bekend probleem, mis ik wat na de laatste update, moet ik nog wat extra in de Export configuratie aanpassen dan alleen mijn IP?
(Ik heb het ook met L2TP geprobeerd, dat werkt wel. Probleem daarbij is dat het IP per half uur veranderd. Niet werkbaar in mijn situatie)
-
[ EDIT ] Reactie aangepast.
(Zat er in mijn eerdere vervolgvragen zelf even langs in het begrip van hetgeen toch duidelijk is beschreven. Kwartje moest even vallen).
Ik heb via de "Export configuration" de settings geëxporteerd en in de export mijn IP aangepast. Daarna geïmporteerd op mijn DS214....
- Heb je dat na de update van de VPN Plus server package alsnog opnieuw geëxporteerd (en geïmporteerd in de NAS)?
De opgenomen data m.b.t. certificaten / key is met die update namelijk aangepast,
en moet worden doorgetrokken tot aan Client niveau om correct te kunnen werken.
- Heb je in de Firewall regels voor toegang van beide kanten zowel de virtuele VPN IP-bereiken als gewone LAN IP-bereiken opgenomen?
(Met name omdat je "andersom" een connectie legt voor Hyper back-up vanuit een opgebouwde VPN connectie van server naar client toe.)
- Controleer of het LAN sub-net van je remote locatie in een andere IP-bereik zit dan van je thuis-basis.
(Dus twee verschillende LAN sub-nets. Zelfde sub-net bereiken kunnen conflicten opleveren).
(Ik heb het ook met L2TP geprobeerd, dat werkt wel. Probleem daarbij is dat het IP per half uur veranderd. Niet werkbaar in mijn situatie)
Ik vermoed het "virtuele" IP-adres van de VPN-connectie zelf? (NIET het WAN IP-adres van de remote locatie ?)
Indien bedoeld het "virtuele" IP-adres ----> beperk het Virtuele IP-bereik bij de server tot slechts één IP-adres / één Client.
Indien bedoeld het WAN IP-adres van de remote locatie ----> kijk of je van de Synology DDNS service gebruik kunt maken.
-
Hi Babylonia,
Thanks voor je reactie. (haha blij dat het kwartje gevallen is, is volgens mij niet zo een gebruikelijke opzet vermoed ik).
1. Heb je dat na de update van de VPN Plus server package alsnog opnieuw geëxporteerd (en geïmporteerd in de NAS)?
De opgenomen data m.b.t. certificaten / key is met die update namelijk aangepast,
en moet worden doorgetrokken tot aan Client niveau om correct te kunnen werken.
Ja, dit heb ik gedaan. Daarvoor kon ik geen verbinding maken en nu wel.
2. Heb je in de Firewall regels voor toegang van beide kanten zowel de virtuele VPN IP-bereiken als gewone LAN IP-bereiken opgenomen?
(Met name omdat je "andersom" een connectie legt voor Hyper back-up vanuit een opgebouwde VPN connectie van server naar client toe.)
Dan moet ik nog wel uitleggen dan Hyperbackup vanaf mijn lokale netwerk naar de remote gaat. In principe kan je Hyperbackup vergeten want ik zou vanuit mijn Thuis netwerk de Remote Nas moeten kunnen bereiken. Heb je dan nog wel een Firewall nodig?
Kortom, ik ga vanuit mijn thuis netwerk (20.0.0.x) naar de remote nas (10.0.0.x)
Indien bedoeld het "virtuele" IP-adres ----> beperk het Virtuele IP-bereik bij de server tot slechts één IP-adres / één Client.
Ik heb het inderdaad over de virtuele IP ja.
Ah, ja dat is een goede! In de bijlage een screenshot, is dat correct? En "assign virtueel IP...." uitgevinkt laten? (wat doet dat eigenlijk precies?)
-
Kortom, ik ga vanuit mijn thuis netwerk (20.0.0.x) naar de remote nas (10.0.0.x)
Met deze info en nog eens verder gekeken naar je schermafdrukken DEZE (https://www.synology-forum.nl/synology-router/vpn-plus-openvpn-connect-wel-maar-is-niet-benaderbaar-in-het-lokale-netwerk/?action=dlattach;ts=1630522204;attach=53877;image) en DEZE (https://www.synology-forum.nl/synology-router/vpn-plus-openvpn-connect-wel-maar-is-niet-benaderbaar-in-het-lokale-netwerk/?action=dlattach;ts=1630583653;attach=53892;image), zie ik inmiddels wat addertjes onder het gras.
Je gebruikt een virtueel VPN IP-bereik van 30.10.0.x en voor L2TP/IPSec een IP-bereik van 40.10.0.x
Verder dan nog thuis een LAN sub-net van 20.0.0.x
Dat zijn officieel helemaal geen te gebruiken IP-subnet bereiken om in een LAN thuisnetwerk in te zetten !!
Voor LAN thuis netwerken worden uitsluitend de volgende IP bereiken gebruikt: https://nl.wikipedia.org/wiki/RFC_1918
Om te beginnen start met de officieel toelaatbare IP bereiken die thuis ingezet kunnen worden.
(En pas de firewall regels aan voor die nieuwe bereiken).
Met het gebruik van "openbaar" gebruikte IP-bereiken voor je thuisnetwerk vergroot je de veiligheidsrisico's enorm,
omdat systemen die met hun openbare WAN IP-adres toevallig starten in hetzelfde IP-bereik
gewoon toegang zouden kunnen hebben tot je thuisnetwerk.
-
Thanks, dan ga ik eerst mijn netwerk omzetten naar de 10.x reeks.
Wat moet ik hanteren voor de VPN connecties, staan daar ook vaste IP reeksen voor?
Ik meld me spoedig weer :-)
-
Er zijn geen vaste reeksen voor VPN, maar om een duidelijk onderscheid te maken, gebruikt Synology zelf "standaard" voor hun routers:
Voor het "gewone" LAN IP, reeksen beginnend met 192.168.x.x Voor VPN IP-reeksen beginnend dacht met 172.16.x.x
IP-reeksen beginnen met 10.x was vroeger typisch een "Apple" dingetje voor de routers die zij leverden.
Maar ook de allereerste routers van Synology indertijd (RT1900ac) met de toenmalige VPN-server begon ook in die 10.x reeks.
-
Inmiddels alles omgegooid naar een lokaal IP 10.0.0.x (was ff een werk met alle devices haha) - Bedankt voor de suggestie en de tips hierover!
Huidige situatie:
- Lokaal netwerk draait op 10.0.0.x
- OpenVpn heb ik draaien op 10.10.0.x
- Firewall rule aangemaakt voor de openVPN 10.10.0.x (al moet je me uitleggen waarom ik die zou moeten maken als er een optie bij OpenVPN is voor "Allow client to access local network")
Verbinding vanaf de remote NAS via OpenVPN werkt, krijg nu netjes een IP 10.10.0.6. Echter als ik vanaf mijn lokaal netwerk dat IP benader krijg ik geen response.
Heb je nog suggesties wat ik aan instellingen kan aanpassen?
(nogmaals, voor de update van VPN Plus werkt dit gewoon ;) )
-
- Firewall rule aangemaakt voor de openVPN 10.10.0.x
(al moet je me uitleggen waarom ik die zou moeten maken als er een optie bij OpenVPN is voor "Allow client to access local network")
"Router" technisch gerelateerde functies om via OpenVPN andere apparaten in je netwerk te kunnen benaderen,
staat op zichzelf los van een beveiliging / firewall om data-streams wel of niet door te laten. Zijn twee verschillende functies.
(nogmaals, voor de update van VPN Plus werkt dit gewoon ;) )
Daar heb ik weinig boodschap aan. Misschien voorheen wel een beveiligingslek??
Juist in het licht dat je eerder verkeerde, niet officieel daarvoor erkende LAN sub-net IP-bereiken gebruikte,
zou je allerlei mogelijk "onofficieel" en ongecontroleerde "wel" werkende connecties kunnen creëren?
Meer geluk dan wijsheid? Dat is een te slechte basis om daarop je netwerk op te bouwen en erop te kunnen vertrouwen.
Als vertrekpunt altijd uitgaan van in basis correcte instellingen die bij de betreffende functies horen.
Verbinding vanaf de remote NAS via OpenVPN werkt, krijg nu netjes een IP 10.10.0.6.
Echter als ik vanaf mijn lokaal netwerk dat IP benader krijg ik geen response.
Niet het virtuele VPN IP-adres daarvoor gebruiken, maar het locale IP-adres van de NAS van het LAN sub-net.
Op de NAS van de remote zou je in de firewall regels tevens het LAN sub-net bij je thuis moeten meenemen voor toegang.
-
Hierbij een terugkoppeling op de bovenstaande issue.
Het bleek uiteindelijk een configuratie probleem te zijn op mijn Remote NAS. De instelling "use default gateway on remote network" stond uit. Deze instelling is echter wel nodig om een stabiele connectie te hebben.
Wellicht heb ik deze instelling niet opnieuw ingesteld bij het opnieuw (ivm VPN Plus update) aanmaken van het VPN profiel en stond dit voorheen wel aan.
Nogmaals dank voor de hulp!
-
Foutjes zitten vaak in kleine "vergeten" instellingen.
Als je problemen treft, is het echt een kwestie van de hele mik-mak aan mogelijke instellingen doorlopen.
(Waarbij je ook weer de nodige vergissingen kunt maken).
Het proces tot alles weer werkt zoals bedoeld / gehoopt, kan soms best wat tijd in beslag nemen.