Level 2 vpn opzetten met een remote netwerk (netwerk tap)

[Geus]

Weet iemand de logica achter de directorystructuur van de packages? Ik heb wat moeite om mijn weg te vinden.
Bijvoorbeeld:

/usr/syno/etc/packages
/volume1/@appstore
/var/packages

Waar staat wat, waar pas ik wat aan en waar beter niet? Bestaat er meer diepgaande documentatie van de DS (architectuur, ontwerpfilosofie)?

MOD: Waar dit Topic over gaat, begint hier.

[Hutje]

Waar staat wat, waar pas ik wat aan en waar beter niet?

Het is dat je in de directory structuur KUNT komen, maar waarom zou je iets WILLEN aanpassen ?

[Birdy]

Bestaat er meer diepgaande documentatie van de DS (architectuur, ontwerpfilosofie)?

Misschien heb je hier wat aan ?

Of, wil je soms wat ontwikkelen ? Dan hier beginnen.

[Geus]

Het is dat je in de directory structuur KUNT komen, maar waarom zou je iets WILLEN aanpassen ?

Als je dat precies wilt weten; ik wil onderzoeken of ik een level 2 vpn kan opzetten met een remote netwerk (netwerk tap) en wat het performanceverlies is over een smalle verbinding, aangezien de nodige dataframes over beide fysieke netwerken zullen vloeien.
Reden is dat ik met de huidige reverse vpn-tunnel niet bij de backupserver kan komen die zelf geen deel uitmaakt van het vpn. Daar heb je bij een bridged netwerk immers geen last van.
Die reverse tunnel (of tap) is nodig, omdat ik geen controle heb over de router aan de andere kant. M.a.w. ik kan daar niet port-forwarden. Van veel standaard packages (zoals openvpn) wordt maar een beperkte functionaliteit geboden via DSM. Deze is op OS-niveau vaak eenvoudig uit te breiden. Uitdaging daarbij is te voorkomen dat eigen configuraties worden overschreven bij de eerste de beste update. Vandaar mijn vraag. Ik probeer te doorgronden hoe de DS onder de motorkap is opgebouwd om in lijn te kunnen blijven met de opzet van de DS.
En gewoon omdat ik het wil weten, niet omdat het MOET, maar omdat het KAN... 

[Geus]

Misschien heb je hier wat aan ?

Of, wil je soms wat ontwikkelen ? Dan hier beginnen.

Geen behoefte om zelf packages te ontwikkelen, maar hoofdstuk 4 bevat precies de informatie die ik zoek. Thanks! 

[Pippin]

ik wil onderzoeken of ik een level 2 vpn kan opzetten met een remote netwerk
Reden is dat ik met de huidige reverse vpn-tunnel niet bij de backupserver kan komen die zelf geen deel uitmaakt van het vpn.
Die reverse tunnel (of tap) is nodig, omdat ik geen controle heb over de router aan de andere kant.
M.a.w. ik kan daar niet port-forwarden.

Laat aan de hand van een tekeningetje eens zien hoe het netwerk eruit ziet en wat de bedoeling is, misschien zijn er andere oplossingen.

Van veel standaard packages (zoals openvpn) wordt maar een beperkte functionaliteit geboden via DSM. Deze is op OS-niveau vaak eenvoudig uit te breiden.
Uitdaging daarbij is te voorkomen dat eigen configuraties worden overschreven bij de eerste de beste update.

Een uitdaging zal het waarschijnlijk blijven, we weten immers niet wat Synology allemaal doet met updates.

[Geus]

Laat aan de hand van een tekeningetje eens zien hoe het netwerk eruit ziet en wat de bedoeling is, misschien zijn er andere oplossingen.

Excuses voor de late reactie.

Een plaatje voegt niet zoveel toe denk ik; het is nogal recht toe recht aan. Laat mij het proberen met een beschrijving:

SOHO netwerk in NL:
•   Verbinding met Internet KPN glas (100/100)
•   Experia v9 router, WiFi disabled
•   Sitecom X8 router enkel als WiFI AP op centrale plaats in huis / kantoor
•   Synology DS412+ tevens vpn- en cloudstation-server
•   Nog: TV setup-boxen, PC.s, Smartphones, Chromecasts, tablets en printers
•   En verder een Sonos en rbp Z-Wave (domotica) mesh-netwerk.
•   Alles in één subnet standaard KPN (192.168.2.0/24)
•   VPN-netwerk (tun) (10.8.0.0/24) voor externe toegang

Werkt als een tierelier en verder geen bijzonderheden

Remote netwerk (vliegafstand)
•   Verbinding met Internet via een WISP (Wireless Internet Service Provider). Op een mooie nacht bij volle maan haal ik tot 15 Mbps buiten vpn (Cloudstation) en ongeveer de helft daarvan via vpn (Hyperbackup).
•   D-link DAP 1360 als WISP (hotspot) router, enkel als gateway
•   Synology DS115, dhcp-, proxyserver en vpn-client van de DS412+
•   Devolo powerline met drie AP’s voor WiFi-verbinding
•   PC’s, Smartphones, Chromecasts, printer, mediaplayer (alles draadloos)
•   En eveneens Sonos en rbp Z-Wave (domotica) meshed netwerken
•   Subnet eigen netwerkje 192.168.0.0/24 (ja, moet ik eigenlijk iets anders voor prikken)
•   Subnet van de hotspot dat toegang geeft tot Internet is 192.168.1.0/?.
•   Het remote netwerk heeft dus verbinding met buiten via een wifi-hotspot. De D-Link dient daarbij als gateway voor alle hosts die via de Powerline (via WiFi) toegang zoeken tot Internet.
•   De D-Link blijkt onbetrouwbaar. Bij een internetstoring, wat nogal eens gebeurt in dat land, bestaat de kans dat de D-link in doe-het-zelf modus gaat. De ingebouwde watchdog blijkt in Wisp Client mode van deze router niet te werken.
•   Om niet buitengesloten te worden door een falende gateway, is de DS115 via een eigen usb wifi-dongle zelf direct verbonden met de wifi-hotspot (Wisp). Via QuickConnect kan ik deze vrijwel altijd bereiken. Deze verbinding is robuust, tenzij ik zelf iets ver*, waarna ik het vliegtuig zou moeten nemen om het op te lossen.
•   De DS115 maakt verbinding met de DS412+ als vpn-client. Deze route wordt door de DS412+ in omgekeerde richting gebruikt om op de DS115 (Hyper)back-ups te maken (vandaar mijn eerdere vraag over het statisch toekennen van IP-adressen met OpenVPN).
•   Via diezelfde vpn-tunnel kan ik met ssh de DS115 bereiken en vandaaruit het remote netwerk.
•   Tevens synchroniseert de DS115 als Cloudstation cliënt bepaalde directories met de DS412+, met name voor mediabestanden. Hierbij wordt geen gebruik gemaakt van het vpn wat dus een snelheidswinst oplevert.
•   Tot slot gebruik ik het vpn voor het kijken van (KPN) TV op pc, tablet en smartphone.

Nu terug naar de vraagstelling. Is het handig om hier één level 2 netwerk van te maken, zodat alle netwerkelementen op eenzelfde eenvoudige manier toegankelijk zijn? (Niet alles kan immers als vpn-client worden aangesloten.) En als ik dat al zou willen, is het dan niet handiger om dit buiten de NAS om te doen, omdat wellicht de configuratie te complex of te zeer tegen de haren van Synology zouden instrijken met allerlei vervelende bijeffecten tot gevolg? En wat doet het met de performance? En om de bal nog een spin te geven: is het mogelijk om een setup-box aan te sluiten op het vpn, zodat ik mijn schotelabo kan opzeggen? TV kijken om mijn PC of tablet op het remote netwerk gaat prima.

[Geus]

(als het goed is toch een plaatje)

[Pippin]

Hallo,

Is het handig om hier één level 2 netwerk van te maken

Layer 2 wordt in de regel alleen toegepast als het echt nodig is en zo niet eigenlijk altijd afgeraden.
In geval van een Synology DS als server/client loont zich sowieso de moeite niet, het is nogal problematisch tap/bridge functionerend te krijgen. Heb ik verder geen eigen ervaring mee overigens.

OpenVPN: Beter beveiligen als client:

Allow other network devices to connect through this Synology server`s Internet connection--

Deze instelling maakt het mogelijk om met een PC/Laptop/etc. via de OpenVPN-client op de DS het internet op te gaan. Dit betekent dat men met het IP van de OpenVPN-server het internet opgaat, dat word het "exit-point".
Als men dat wil moet men in de instellingen van de netwerkkaart, op de PC/Laptop/etc., als gateway het IP van de DS, die als OpenVPN-client dient, opgeven.
Dat kan dus voor elk apparaat in het LAN waarbij men een gateway op kan geven.

Dus op de DS115 moet daar een vinkje staan zodat verkeer van het Remote subnet over de VPN kan routeren.

Ik dacht dat het om de bereikbaarheid van een backup server ging maar nu gaat het om het hele Remote subnet dat moet kunnen praten met het SOHO subnet?

[Geus]

Nee, juist precies andersom. Vanaf het SOHO-netwerk wil ik controle hebben over alle hosts in het remote-netwerk via http(s) zonder dat ik kan portforwarden, ook de hosts die geen deel uitmaken van het vpn, maar alleen draaien op het remote subnet, zoals de D-link (gateway), media-player (waar mijn backup storage aan hangt, via ftp te benaderen, maar alleen via http te configureren), etc..
Het idee is nu om dat via een VNC-server te proberen op een Raspberry Pi die wel in het vpn hangt (aan de remote kant uiteraard). Een terminal sessie via ssh over vpn (reverse tunnel, dus van server naar client) is geen enkel probleem, dus dit zou ook moeten werken.
Bedankt voor je advies. Scheelt me vast weer een hoop werk.

[Geus]

Om het plaatje af te maken. Is mijn documentatie ook weer gedaan.

[Pippin]

Terwijl ik schreef heb je een tekening geplaatst.
Die Rpi/VNC heb je niet nodig.....

Ok,

De OpenVPN server moet "op de hoogte gesteld worden" van het Remote subnet.
Die kent nu het SOHO en zijn eigen subnet.

Dat kan met iroute, je voegt dan in het ccd bestand van de DS115 (op de server) een regel toe:

Code: [Selecteer]

iroute 192.168.0.0 255.255.255.0Dan weet de server dat achter de DS115 dat subnet te vinden is.

Het vinkje van mijn vorige post moet echter ook gezet zijn voor de route terug naar de DS412+.

Dan moet nog verkeer tussen clients toegestaan worden.
Dat doe je door de regel

Code: [Selecteer]

client-to-clientaan

Code: [Selecteer]

/usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conftoe te voegen.
Herstarten niet vergeten en testen.


***
Op de DS412+ zou het nodig kunnen zijn om 192.168.0.0 255.255.255.0 vrij te geven in de firewall.....

[Geus]

Rebooting... tromgeroffel....

[Geus]

Mmm, dit is lastig te controleren. Ik zit namelijk momenteel fysiek op het remote netwerk. Weliswaar op het vpn met 'redirect-gateway def1' in mijn laptop conf, dus al het verkeer zou via de server in NL moeten lopen. Ik heb verbinding met de D-link op het remote netwwerk. Dus zodra ik de DS115 van het VPN gooi, zou de verbinding met de D-link ook moeten zijn verbroken. Maar helaas, de D-link blijft bereikbaar. Of de configuratie is nog niet helemaal ok, of het verkeer sijpelt toch door van mijn laptop naar de D-link over het remote subnet. Of allebei natuurlijk. Ik ga hier morgen even over nadenken. Suggesties zijn welkom.

[Geus]

Okay, ik ben nu met mijn Laptop ingelogd het WISP netwerk (192.168.1.0) en hiervandaan als vpn-client op de DS412+. Helaas kan ik het remote subnet (192.168.0.0) nu niet bereiken.

Recapitulatie:

1) iroute 192.168.0.0 255.255.255.0 toegevoegd aan het bestand 'backup' in /usr/syno/etc/packages/VPNCenter/ccd
Deze leest nu:

Code: [Selecteer]

ifconfig-push 10.8.0.6 10.8.0.5
iroute 192.168.0.0 255.255.255.0
2) Toegevoegd vinkje bij "Allow other network devices to connect through this Synology server`s Internet connection" op de DS115.


3) vervolgens 'client-to-client' toegevoegd aan /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf
Resultaat:

Code: [Selecteer]

push "route 192.168.2.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"
comp-lzo
dev tun

management 127.0.0.1 1195

server 10.8.0.0 255.255.255.0


dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh3072.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key

max-clients 10


persist-tun
persist-key

verb 3

#log-append /var/log/openvpn.log

keepalive 10 60
reneg-sec 0

plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
client-cert-not-required
username-as-common-name
duplicate-cn

status /tmp/ovpn_status_2_result 30
status-version 2
proto udp6
port 1194

client-config-dir /usr/syno/etc/packages/VPNCenter/ccd
client-to-client

Als ik via het vpn met ssh inlog op de DS115 kan ik het doel (192.168.0.50) pingen. Als ik het probeer met een ssh sessie via de DS412+ lukt het helaas nog niet. Ik sta open voor suggesties.