VPN Plus Server ervaringen

[Tuig]

ok, na de laatste update synced de 1900 hier zn tijd niet meer vanzelf...en dan kun je niet meer verbinden met VPN plus. ( unknown error )

Dus mocht iemand plots problemen hebben na bv een reboot, controleer even of je router wel de juiste tijd heeft.

[tf-zuid]

Toch werkt het niet helemaal lekker,via Android smartphone..

Iemand met de app via vpn plus al ingelogd? Ik krijg dan wel verbinding, maar ik kan geen enkele website bezoeken. Terwijl er wel de tijd loopt van hoelang je verbonden bent, plus het sleuteltje komt links bovenin in beeld...

Mvg Nigel

Verstuurd vanaf mijn SM-G920F met Tapatalk

[Babylonia]

Mogelijk tevens afhankelijk welke VPN methode je toepast, kunnen er mogelijk een paar zaken aan de orde zijn.
Daar ben je helemaal niet duidelijk in. Met VPN Plus zijn er nogal wat opties.  Wat precies welke VPN connectie pas je toe?
(In het verzamelen van concrete informatie en aanvulling van deze draad, wil ik je nogmaals verzoeken de vragen te beantwoorden < HIER > ).

- Heb je ergens een instelling vastgelegd om al het verkeer via VPN te laten lopen (dus ook van websites)??
- Afhankelijk van de VPN-methode moet je mogelijk DNS-servers opnemen in de instellingen.

[aliazzz]

Inloggen via de vpn plus android app heb ik werkend, alsmede surfen over het internet. Het werkt dus zeer zeker
Heb je al teruggelezen in dit topic hoe ik de boel aan de praat heb gekregen?
Er zit overigens nog wel een reconnect na disconnect bugje in de app. Deze is gemeld bij bij synology.

[aliazzz]

De "reconnect when connection is lost" via de Windows PC client v1.1.0-0127 x64 werkt overigens wel

[tf-zuid]

Ik heb het geprobeerd te volgen waar ik wat moet zetten, maar het is doorsturen op doorsturen. Het werd er niet duidelijk op, op me telefoontje, vandaar dat het korte berichten waren, sorry hiervoor..

Ik lees uiteraard wel en kijk wat Yt om het te laten werken...


Goed om te horen dat het wel degelijk werkt, dat is voor mij de uitdaging en drive om het toch werkend te krijgen.

Mvg Nigel

[Birdy]

@aliazzz heeft een Mini Tutorial SSL-VPN gemaakt hier (gesplitst van dit Topic).

[Babylonia]

Alweer een wat ouder draadje, maar nog steeds relevant.  Kan me nu inmiddels ook voegen bij het clubje "VPN Plus" gebruikers.
Had ik eerder altijd problemen (met een RT1900ac model) om reeds de standaard VPN protocollen onder VPN Plus aan de gang te krijgen.
(en daarmee reeds de animo ontbrak om de andere onderdelen te testen). Nu een positief resultaat.

Met installatie van een nieuw SSL certificaat, waarbij ik dan tevens toch alle OpenVPN configuraties die eraan gekoppeld zijn opnieuw zou moeten updaten voor mijn VPN Clients, en er inmiddels nogal wat firmware / software updates van SRM zijn geweest en het VPN Plus package, leek het me na pakweg 8 maanden een mooie gelegenheid om te kijken of er in die periode voortgang is geboekt in wegwerken van achterliggende bugs (met name in de situatie met de RT1900ac). Dus ging het het maar weer eens opnieuw proberen.

Het oude VPN-server pakket eerst alleen "gestopt" (en router voor alle zekerheid opnieuw gereboot).
Voor het geval de werking van VPN Plus nog steeds niet positief zou uitpakken, kon ik dan makkelijk weer terug.

VPN Plus geïnstalleerd met de menu-keus of ik alle VPN-profielen (uit het oude pakket) en logbestanden zou moeten meenemen naar VPN Plus.
Menu-keus positief aangegeven. Dat verliep zonder problemen. Alle eerdere configuratie-instellingen werden netjes overgenomen.

Daarmee kon ik meteen de VPN-methoden zonder verdere aanpassingen onder PPTP en L2TP/IPSec uittesten.
Die werkten direct !!

OpenVPN werkte niet direct.  Maar dat was ook niet zo verwonderlijk.
Omdat er in deze versie van de OpenVPN-server verdergaande beveiligingsinstellingen m.b.t. SHA en authenticatie methoden voorhanden zijn, en standaard de zwaarste opties waren aangevinkt, zou dat wellicht ook niet meer kloppen met de oude situatie (met oud certificaat).
Bovendien had ik nu een nieuw SSL certificaat in te zetten waarbij alle aanverwante gegevens uiteindelijk toch worden veranderd.

Met import nieuw SSL certificaat + export van het openvpn configuratiebestand, en implementatie naar de VPN Clients van mijn mobiele apparatuur, was ook dat geüpdate, EN....          Nu met positief resultaat !!

Daarmee werken nu alle conventionele VPN protocollen:   PPTP - L2TP/IPSec - OpenVPN
Nu de rest van de extra VPN mogelijkheden nog gaan uittesten die met VPN Plus mogelijk zijn.

(Het lijstje in het begin van de draad, aangepast, zie reactie).

[Babylonia]

Allemaal beste wensen voor het nieuwe jaar. Maar meteen vers van start.

Inmiddels één van de specifieke extra VPN-functies uitgeprobeerd die onder VPN Plus mogelijk zijn,  SSL-VPN.
Met een paar klikjes en VPN Client software om te installeren had ik het werkend.
Een mini tutorial beschreven door @aliazzz via de volgende link < HIER >

Leuk die extra VPN-mogelijkheid, maar wat brengt het nu werkelijk?
Het is een alternatieve manier om via een "Synology app" een VPN-verbinding op te zetten.
Via Windows, moet je eerst een stukje "VPN Client" software installeren, vandaar kun je (als hulpje) "via een webbrowser" een VPN-verbinding opzetten.  Onder Android (of iOS) moet je een bijbehorende VPN Plus app installeren. Daar werkt het niet onder een webbrowser, maar als zelfstandige applicatie.

Vergelijk met OpenVPN:
Het lijkt in een aantal opzichten op de werkwijze zoals gebruikt bij OpenVPN, waarbij je ook een extra stukje Client software installeert.
Alleen bij Synology is het een wat fraaiere gebruiksinterface. Maar daarmee heb je het wat mij betreft ook gehad.
Het gaat mij om de functionaliteit en effectiviteit, en daar schort het wat mij betreft nogal aan.

Voor- en nadelen:
Als ik die twee methoden vergelijk is naar mijn mening OpenVPN te prefereren boven Synology SSL-VPN.

• Door gebruik van TCP bij SSL-VPN is de verbinding minder efficiënt, waardoor de snelheid (stevig) achterloopt tegenover OpenVPN met UDP.  Met name als je onderweg bent en gebruik moet maken van mobiele netwerken gaat dat parten spelen.
• Bij Android is de VPN Plus app pas beschikbaar vanaf Android 4.4
  Met een oudere smartphone (zoals ik gebruik) is om die reden SSL-VPN niet in te zetten. (Wel met mijn jongere tablet en WiFi).
  Bij gebruik van OpenVPN kan ik desondanks moeiteloos gebruik maken van de huidige in OpenVPN gebruikte sterkere encrypties.
  (Er zijn altijd ook nog oudere OpenVPN versies beschikbaar. Zelfs Windows XP als OS wordt nog steeds ondersteund).
• Bij OpenVPN kun je kiezen om alle internetverkeer via VPN te laten lopen, of enkel het data-verkeer met een bestandsserver via een VPN-tunnel waarmee je contact legt.  Bij SSL-VPN heb je die keus niet.  Alles loopt dan via VPN.
• Enige voordeel lijkt te zijn dat de functie van Synology zich relatief moeiteloos laat installeren tegenover OpenVPN. (Dat kan voor veel mensen mogelijk toch aantrekkelijk zijn tegenover het vaak met veel moeite configureren van een OpenVPN verbinding).

Standaard gebruikt SSL-VPN poort 443.
Mocht je achterliggend een web-server op een NAS hebben draaien (https), kom je daar dus mee in conflict.
Je kunt niet twee verschillende services draaien onder hetzelfde poortnummer.
Wel kun je (gelukkig) een ander poortnummer gebruiken. (Uitgeprobeerd en werkt ook).

Verder heb ik nu niet een hard vergelijk kunnen maken met OpenVPN onder VPN Plus tegenover het gebruik onder het oude VPN-server package. Doordat het pakket nu zwaarder is, met meer toeters en bellen, zou het kunnen dat OpenVPN onder het oude pakket daarin efficiënter draait??
Iets om verder in de komende weken wat meer uitgebreid te testen. (Heb evenwel het oude pakket nu gedeïnstalleerd).

In ieder geval zie ik nu geen meerwaarde in het gebruik van SSL-VPN.
Volgende stap is het testen van  "WebVPN"  (in een volgende reactie).

[Babylonia]

Vervolgtest met de optie  "WebVPN".
Daarbij komen wat meer zaken bij kijken m.b.t. certificaten.

SSL certificaat:
Omdat het puur een VPN-verbinding betreft enkel via een webbrowser via een beveiligd web-portaal en men niet telkens een melding van "onbeveiligde" website wil tegenkomen, is het gebruik van een certificaat essentieel.

Nu heb ik toevallig een NL-domein + SSL certificaat op mijn internetverbinding. Dus dat zou dan mooi kunnen uitkomen.
Toch liep ik direct tegen een probleem op wat in een ander gebruik hier op het forum meermalen is besproken (niet in relatie met VPN Plus).

Bij VPN via "WebVPN" komt er telkens een stukje "prefix" codering vóór het eigenlijke domein.

Het begint al met (standaard) de prefix   https://login.[domein.nl]

Problemen met sub-domeinen:
Certificaten omvatten niet direct het gebruik met "sub"-domeinen.
Ik heb wel even in mijn account gekeken m.b.t. mijn NL-domein.  De prefix  www.  wordt in dat geval wel geaccepteerd.
Zie ook een joker ( *. ), maar werkt bij mij kennelijk niet in relatie met "WebVPN". Zou daar mijn hostingprovider eens voor moeten benaderen wat de instellingen zouden moeten zijn om het werkend te krijgen. Maar kwam nu telkens bij elke opgeroepen website via "WebVPN" aan de melding van onbeveiligde website, omdat er telkens een stukje codering als prefix voor het NL-domein komt.
Aanvulling: Uitleg m.b.t. deze "onveilige website" meldingen door een ontoereikend SSL certificaat, zie < HIER >

"HSTS" controle:
Omdat eerder er via mijn domein altijd een omleiding volgt van http naar https met een zgn. "HSTS" controle, was dat in eerste instantie niet ongedaan te maken (bij gebruik van de Google Chrome webbrowser). Via een trucje moest ik de codering ervan eerst vrij maken. Voor uitleg zie:
https://www.thesslstore.com/blog/clear-hsts-settings-chrome-firefox/

Daarna kon ik verder.
Heb wel telkens een uitzondering moeten maken om door te gaan. Ondanks die handicap toch een indruk wat "WebVPN" kan brengen.
Op zichzelf is de functie wel erg efficiënt voor wat betreft overgebleven connectiesnelheid. Men merkt nauwelijks vertraging. (Met Ookla speedtest gecontroleerd). Maar daar is dan ook alles mee gezegd. Dat is IMO het enige voordeel.

Hoe gaat het praktisch in zijn werk?
Men komt via een "VPN" web-portaal op een pagina waar men de URL's van een website kan ingeven.
Via dat webportaal opent zich dan een nieuwe web-pagina wat via je eigen internetverbinding loopt, met een prefix van wat onbekende code, gevolgd door de domein-naam van de internetverbinding thuis.

Maar heel vervelend, wil men van die web-VPN gebruik maken MOET men perse via dat web-portaal de URL's van websites ingeven.
In de browser tabs NAAST dat van het VPN-webportaal kunnen "gewone" verbindingen zijn. Die vindt je dus naast elkaar met het VPN web-portaal, of websites die via dat webportaal zijn aangeroepen met een eigen prefix codering.

Onveilige / verwarrende situatie als VPN browser ervaring:
Die wisselwerking van VPN en niet beveiligde verbindingen "naast elkaar" zorgt voor veel verwarring, en je moet continue in de gaten houden of je wel een VPN-verbinding hebt of een "gewone" verbinding.

Voor de aardigheid heb ik binnen het web-portaal de Google zoekmachine opgeroepen (https://Google.nl).
Die opent zelf keurig netjes binnen een beveiligde VPN-pagina als onderdeel van de VPN-verbinding thuis (met prefix codering in het web-adres).
Klik je echter de links aan die binnen Google als resultaat worden getoond, worden die geopend buiten de VPN-verbinding om.
Die verschijnen als extra tabs NAAST de "VPN" beveiligde Google pagina als "gewone" verbinding.

IMO volstrekt onaanvaardbaar om op deze wijze verbindingen op te zetten.
De kans op vergissingen is zodanig groot wat nu wel of niet als beveiligde web-pagina als VPN-verbinding doorgaat,
dat men zich maar beter direct van deze methode zou kunnen distantiëren.

Ander nadeel. Zoals eerder aangehaald gaat het enkel om web browsen (van websites) via VPN.
Een rechtstreekse VPN-verbinding met apparaten thuis, via "Netwerk" en bestandsuitwisseling via de verkenner is er niet bij.

[Birdy]

Ik blijf bij: Standaard VPN > OpenVPN 

[Babylonia]

Met die ervaring wat ik nu heb uitgetest ook.   
Veel toeters en bellen dat VPN Plus, "maar weinig wol".

[Briolet]

Zie ook een joker ( *. ), maar werkt bij mij kennelijk niet in relatie met "WebVPN". Zou daar mijn hostingprovider eens voor moeten benaderen wat de instellingen zouden moeten zijn om het werkend te krijgen.

Een joker is een joker. Dat behoort met elke naam te werken. Zo niet, lijkt me dit een bug in WebVPN en niet iets wat jouw hostingprovider kan veranderen.

[Babylonia]

Er zit een eigenaardigheidje in de services die Synology ter beschikking stelt voor haar WebVPN connecties.
Enerzijds heb je een "webbrowser" beveiligingscertificaat nodig om niet in problemen te komen met die https beveiligingsmeldingen.
Dat is één.

Maar anderzijds spreekt men ook over een specifieke licentie op gebruikersniveau die geldig is om die VPN services te kunnen gebruiken.
Er zou een gratis licentie zijn om het in te zetten, wel gevalideerd, maar zie geen validatiedatum.
Die lijkt in mijn geval dus niet te werken.

[Birdy]

Er zou een gratis licentie zijn om het in te zetten, wel gevalideerd, maar zie geen validatiedatum

Ik zie die validatiedatum ook niet maar, ook niet boeiend, het is immers validated.