DSM 6.1 VPN Server met KPN Experiabox V10 - Iphone VPN- werkend (L2TP/IPSec)!

[edozwart]

Ik had een Synology DS414 waar VPN prima op werkte maar kreeg dit tot voor kort niet aan de gang op mijn nieuwe DS916+. By Synology proberen ze ook echt te helpen maar tot vandaag nog steeds niet werkend. Ik wil graag delen hoe het bij mij werkt, mogelijk helpt dat ook iemand anders, dat is het doel van deze post:

DSM:

Control Panel - External Access - Router Configuration - Ik heb hier alle regels verwijderd om conflicten met de NAS en de KPN router te voorkomen.

De Experiabox van KPN V10 heb ik als volgt ingesteld:

Settings - Reboot/Factory Reset - Factory Reset
Vervolgens na de complete reset Settings - Port Forwarding - IPv4 - Application Configuration - Select VPN
en Create New App Name: (bijvoorbeeld KPN VPN) en klik op Apply

Vervolgens wordt een "sub" scherm geopend, New rule, selecteer daar het volgende:

Protocol: UDP
Start Port: 500
End Port: 500
Start Mapping Port: 500
End Mapping Port: 500

Klik op Apply and klik op Create New Rule. Herhaal bovenstaand voor de poorten 1701 en 4500 (alleen UDP poort selecteren) en sluit af met Apply.

Dit is dan het resultaat:

Zie attachment KPN VPN voor instellingen

Vervolgens onder Settings - Port Forwarding IPv4 onder Port Forwarding IPv4 selecteer Create New Item:

Mode: Ip address
LAN Host: 192.168.0.10 (dit is het interne ip adres van je NAS, advies is deze vast te zetten in de dhcp server in je router)
App Group: VPN (selecteer VPN)
App Name: KPN VPN (deze heb je net aangemaakt en hoef je alleen te selecteren)

Als laatst op apply op de selectie vast te zetten en actief te maken op de router.


Voor de zekerheid:

UPnP staat uit en bij DHCP - DHCP binding had ik nog geen lease ingesteld, wat uiteraard wel het advies is voor je NAS om te voorkomen dat je NAS telkens een ander adres krijgt en daarom ook de VPN niet meer werkt.

De Synology NAS, DSM 6.1 instellen:

Install VPN Server (standaard package) - selecteer L2TP/IPSec - Enable L2tp ipsec VPN Server en neem het plaatje in attachment over die heet: DSM VPN Server instellingen

Note: bij Pre-Shared Key (uiteraard ook de regel eronder, confirm): Hier heb ik in 1e instantie hetzelfde paswoord gebruikt als waarmee ik inlog met mijn admin account. Dit hoeft echter niet. Ik kom later hierop terug in de sectie Iphone VPN.

Verdere checks:

Privileges moeten gegeven zijn aan de gebruiker die je gebruikt om in te loggen op je vpn server (onder VPN Server - Management - Privileges)

Control Panel - Info Center - Selecteer Enable bij VPN Server (niet bij Port Forwarding, dan gaat de router van KPN zaken door elkaar heen halen heb ik gemerkt, die config is net juist ingesteld dus niet veranderen op de NAS). (Vergeet niet op Save te drukken)

Control Panel - Security - Firewall - ik heb zelf de firewall uit staan. Mocht je deze aan hebben, zet deze uit, als het werkt, kun je deze altijd nog aan zetten en checken of het daarna nog werkt (en anders weet je dat je daar mogelijk iets verkeerds doet)

Hiermee is de configuratie van de NAS en KPN router afgerond en zou deze correct moeten werken. Om VPN daadwerkelijk te gaan gebruiken gebruik ik mijn IPhone 6 met VPN config, als volgt:

Iphone instellingen - Algemeen - VPN - Voeg VPN - configuratie toe...

Type: L2TP
Beschrijving: Maakt niet uit
Server: Je internet adres uit te lezen vanuit je KPN router bij status - WANN ip adres
Account: admin account of ander account die rechten heeft (zie ook bovenstaand voor rechten)
RSA SecurID: Staat uit
Wachtwoord: van het admin account of andere account dat je gebruikt (dus niet de pre-shared key in de vpn server configuratie op je nas)
Geheim: wachtwoord (nu wel van de pre-shared key in de vpn server configuratie op je nas)
Stuur alle verkeer: Staat aan

Vervolgens klik je op gereed en zou je de verbinding tot stand kunnen brengen via je Iphone.

[Hutje]

Hartelijk dank voor de mooie omschrijving.
Ik mis in het verhaal, de poorten die geforward worden op de Experiabox (staan wel in het plaatje).
Dit is een -volgens mij- standaard beschrijving van de L2TP/IPSec VPN verbinding.
Zou weinig tot geen problemen moeten opleveren.

[edozwart]

dank voor je feedback, ik heb het artikel geupdate. 

[Birdy]

Bedankt @edozwart Ben wel zo vrij geweest om (L2TP/IPSec) toe te voegen aan het Onderwerp

[koolenboer]

Ik neem aan dat als je achter de KPN Experiabox V10 nog een router hebt staan je dus poort forwarding IPv4 de lanhost laat verwijzen naar het adres van de router die er achter zit? En dan ook daar vervolgens UDP 1701, 500, 4500 open zet?

Want ik heb dit gedaan en dit werkt voor alle poorten richting mijn nas maar deze specifieke 3 poorten krijg ik dus niet geforward?!
Nog tips?

[Birdy]

Normaal gesproken zet je de KPN Experiabox V10 in Bridge en forward je alleen in de 2e Router.

[Hofstede]

De V10 kan niet in bridge mode. Je moet de 2e router in DMZ zetten. Dus double NAT.

En L2TP/IPSEC werkt niet altijd met Double NAT. Hangt van de NAT implementatie af.

De OP had overigens geen 2e router achter de Experia BOx.

[koolenboer]

Nu ga ik vast iets doms vragen 
Mijn DS415+ heeft twee ethernet aansluitingen. Kan ik nu eens aansluiting via mijn router laten lopen (zoals nu in gebruik) en dan de andere ethernet poort rechtstreeks vanaf de experiabox V10 aansluiten om VPN te laten werken?

En als ik mijn Linksys in DMZ moet instellen. Dan moet ik een IP adres opgeven. Is dat dan het ip adres van de Experiabox v10? (doel ip adres)

[Hofstede]

Een VPN maar de tweede poort van je NAS heeft niet echt nut. Dan kom je nog niet op je interne netwerk, alleen op je NAS.

Probeet het anders gewoon met OpenVPN vanaf de NAS. Dat werkte bij mij jaren naar tevredenheid met twee routers achter elkaar.

[koolenboer]

OpenVPN wordt niet ondersteund door IOS 

[Hofstede]

Jawel hoor, moet je alleen de OpenVPN app installeren. Werkt prima.

[Birdy]

https://itunes.apple.com/nl/app/openvpn-connect/id590379981?mt=8

[barrie1985]

Ik heb een probleem met de preshared key, die kan ik niet veranderen zo lijkt het. Iedere keer als ik em probeer te veranderen springt ie weer terug naar het al ingevulde wachtwoord.