VPN Plus Server ervaringen

[Babylonia]

Zoals ik eerder zei, ik geloof niet dat WebVPN een vervanger is, maar het biedt wel extra mogelijkheden die nuttig gebruikt kunnen worden.

Zeker, ieder plukt er wat zaken uit die voor de ene of andere situatie nuttig kan zijn.
Deze wat meer uitvoerige uiteenzetting met voor- en nadelen is mogelijk een goede leidraad voor potentiële gebruikers waar op te letten.
Weten ze waar ze aan toe zijn.

[aliazzz]

Ik sluit mij aan bij jouw redenering Dutchy. Ook ik heb welleens geen beschikking tot eigen hardware, dus dan is de remote desktop variant zeer zeer handig. De router is hiervoor een soort thin client aan de rand van het LAN netwerk. Via het WAN log je in de router, (2pass auth aan mensen!) en vervolgens gebruik je je router als "kijkpijp" voor een RDP/VNC sessie naar een machine in je thuisnetwerk. Voordeel is dat je dus alleen een webbrowser nodig hebt waar ook ter wereld.
Dezelfde werking biedt Guacemole ook (zij het met meer protocollen en beheersopties), die werd bij mij gehost op m'n DS415+ in Docker. Doordat deze client niet in mijn LAN, maar aan de rand van het LAN ligt, is dit mijn ogen net een mooiere plaats en het kost me geen docker container meer.  Beheer binnen VPN Plus Server is ook een peulenschil, dus ook hier was de overstap makkelijk gemaakt.
 
Ik maak zelf  gebruik van optie 1 en 2. Vooral SSL VPN is handig om ergens anoniem te kunnen zijn via een public wifi adres, precies zoals wat ik al deed met OpenVPN, alleen nu net even wat "eenvoudiger" in beheer vergeleken met mijn voorgaande OpenVPN setup. 
Hieronder nog even duidelijk de onerscheid in  "smaken" die beschikbaar zijn volgens synology;

DING DING reclame 

VPN Plus Server tovert uw Synology Router om in een geavanceerde VPN-server (virtual private network). Dit pakket geeft u toegang tot internetbronnen en bronnen in lokale netwerken achter uw Synology Router via een VPN client of een webbrowser.

VPN Plus Server beschikt over de volgende functies;

    Synology-exclusieve VPN-services: Synology SSL VPN, clientloze WebVPN en Remote Desktop
    Site-to-Site VPN-service: biedt veilige verbindingen tussen netwerken op meerdere vaste locaties via het internet.
    Standaard VPN-services: SSTP VPN, OpenVPN, L2TP/IPSec VPN en PPTP VPN
    Beheer: Gebruiker/groepmachtigingen, VPN-verkeersmonitor en -beheer en beheer/verbindingslogboeken


betreffende de Synology-exclusieve VPN-services
1) Synology SSL VPN;
Stel Synology SSL VPN in een maak een verbinding via de Synology-exclusieve client voor veilige en vlotte VPN-toegang tot webpagina's, bestanden en toepassingen. Synology SSL VPN is een VPN-service die SSL (Secure Sockets Layer) verificatie en codering ondersteund. Deze service biedt snelle en veilige SSL VPN-toegang tot webpagina's, bestanden en toepassingen op het internet of op lokale netwerken.

2) Remote Desktop;
Stel de Remote Desktop-service in voor externe toegang tot een client desktop in het netwerk van uw Synology Router via RDP- of VNC-protocol. Met Remote Desktop hebt u mits u over een internetverbinding beschikt toegang tot het bureaublad van clients binnen het netwerk onder Synology Router van om het even waar, zonder dat u clientsoftware moet installeren.

3) WebVPN;
Stel WebVPN in een maak een verbinding via een populaire webbrowser voor eenvoudige VPN-toegang tot webpagina's zonder een client te installeren. WebVPN biedt clientloze VPN-toegang tot interne websites en webtoepassingen van een organisatie via een browser zonder installatie van extra clientsoftware.

https://www.synology.com/nl-nl/knowledgebase/SRM/help/VPNPlusServer/vpnplus_server_desc


Betreffende optie3;
Wat ik hieruit opmaak is dat (3) alleen bedoeld is voor websites binnen het eigen domein. Ik heb er zelf ook mee zitten klooien en jawel, google is al gauw gevonden via de standaard aanwezige url balk.
De WebVPN portal is ook per user en/of usergroup aan te passen zodat de WebVPN portal alleen van te voren geteste  interne URL's bevat uit eigen domein als een reeks klikbare regels. Last but not least dien je dan de URL balk niet beschikbaar te stellen zodat de keuze om een eigen URL in te geven vervalt. Naar smaak/inzicht/beleid is de URL balk dan per user/usergroup wel of niet te tonen.
Ga ervanuit dat @Babylonia gelijk heeft dat dit wel eens tot verwarring (of erger) kan leiden! Ik kan me als use case voorstellen dat MKB's dit aanwenden bij kleine usergroepen voor benaderen van het urenregistratie systeem ofzo, maar een verdere uitwerking van dit concept is wel gewenst en heeft nog een weg te gaan.

[Babylonia]

Vond een interessante bijdrage van een gebruiker op het internationale forum om "Let's Encrypt wildcard"  certificaten in te zetten in combinatie met WebVPN.  Via persoonlijk aangepaste scripts in de root van de SRM firmware heeft hij dat werkend gekregen.  Met bovendien automatische vernieuwing van het  certificaat als die verloopt.  (Let's Ecrypt certificaten zijn slechts een beperkte tijd geldig).

https://forum.synology.com/enu/viewtopic.php?f=265&t=141181

[Shadow]

    Site-to-Site VPN-service: biedt veilige verbindingen tussen netwerken op meerdere vaste locaties via het internet.

Synology mag nog wel even sleutelen aan de stabiliteit hiervan, plus het feit dat extern verbonden VPN clients niet door de tunnel kunnen comminiceren mogen ze ook nog wel een oplossing voor verzinnen.

[aliazzz]

Dat die optie niet stabiel "werkt" kan ik helaas niet beoordelen.