Foutmelding OpenVPN, waaar probleem te zoeken?

[Babylonia]

Twijfel of het onderwerp bij de rubriek  "Netwerk Algemeen" hoort of in deze rubriek m.b.t. het VPN-server package.
Mocht daar gedurende meerdere berichten meer duidelijkheid over komen, zal een moderator naar ik denk wel bereid zijn het onderwerp naar de juiste rubriek te verplaatsen.

Bij een non-profit organisatie gebruiken we een NAS met daarop de VPN-server geïnstalleerd.
De NAS zit achter een 2e router in een NAT achter NAT set-up (dus twee routers achter elkaar).
Voor benadering van het WAN IP-adres gebruiken we een eigen NL-domein met SSL-certificaat.

De tweede router heeft zes actieve VLANS, waarbij via een van die VLANS de NAS is te benaderen.
De VPN-connectie van buitenaf werkt prima. Dus in die zin zijn port forwarders etc. correct ingesteld.
Voor de setup- van het OpenVPN configuratiebestand gebruik ik het NL-domein in de te gebruiken VPN "WAN-adres benadering.
Verder is het configuratiebestand zodanig opgezet, dat alleen een VPN-connectie geldt voor File Station.
Niet het overige internetverkeer.

Het probleem is echter een VPN-connectie "intern". Dan krijg ik een foutmelding.
En in een enkel geval (afhankelijk met welke laptop dat er een verbinding wordt opgezet), wordt de NAS volledig onbereikbaar,
ook voor de overige "web gebaseerde" applicaties en moet de NAS handmatig een keer worden herstart.

Had gehoopt dat de verbinding via het ene netwerk waar Clients in een apart VLAN / sub-net zitten, via de "loopback" functie van de router weer terugkomt bij het WAN-IP adres van de internetconnectie, en dan verder gaat via het andere VLAN / sub-net waar de NAS achter zit.

Een vergelijkbare connectie, eveneens met loopback, voor het WebDAV protocol (m.b.v. NetDrive) werkt namelijk wel.

Bij OpenVPN, het testen waarbij in het OpenVPN configuratiebestand het LAN IP-adres van de NAS wordt ingegeven, stuit ook op problemen, omdat het LAN sub-net van de Clients een ander sub-net betreft dan die van de NAS. Komt men helemaal niet verder.

Terug naar de setup met NL-domein, krijg ik in de verbinding de onderstaande foutmeldingen m.b.t. het WAN IP-adres,
en schijnbaar een TLS gerelateerd probleem??
Kennelijk wordt in deze situatie het NL-domein wel correct (?) omgeleid naar het juiste WAN IP-adres.
Maar leidt niet goed terug in de route naar de NAS.  (Uit privacy-overwegingen, een gedeelte vervangen met XXX.XXX.XX).

Code: [Selecteer]

Thu Oct 04 15:00:27 2018 OpenVPN 2.3.14 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Feb  1 2017
Thu Oct 04 15:00:27 2018 Windows version 6.2 (Windows 8 or greater) 64bit
Thu Oct 04 15:00:27 2018 library versions: OpenSSL 1.0.2k  26 Jan 2017, LZO 2.09
Thu Oct 04 15:01:02 2018 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu Oct 04 15:01:02 2018 UDPv4 link local (bound): [undef]
Thu Oct 04 15:01:02 2018 UDPv4 link remote: [AF_INET]77.XXX.XXX.XX:1194
Thu Oct 04 15:01:02 2018 TLS Error: client->client or server->server connection attempted from [AF_INET]77.XXX.XXX.XX:1194
Thu Oct 04 15:01:04 2018 TLS Error: client->client or server->server connection attempted from [AF_INET]77.XXX.XXX.XX:1194
Thu Oct 04 15:01:08 2018 TLS Error: client->client or server->server connection attempted from [AF_INET]77.XXX.XXX.XX:1194
Thu Oct 04 15:01:17 2018 TLS Error: client->client or server->server connection attempted from [AF_INET]77.XXX.XXX.XX:1194
Thu Oct 04 15:01:33 2018 TLS Error: client->client or server->server connection attempted from [AF_INET]77.XXX.XXX.XX:1194

Heeft iemand een tip in welke richting ik dit zou kunnen oplossen?

[Briolet]

Loopback gaf bij mij ook problemen met vpn en nooit met andere functies.

Zelf gebruik ik al weer langere tijd een eigen dns server. Ik heb ook dubbel nat en laat mijn domeinnaam naar het wan adres van mijn 2e router wijzen. Op die manier kom het via portforwarding toch nog op het goede interne apparaat terecht en hoeft het interne verkeer maar door één router.

Maar bij voorkeur doe ik alles met subdomeinen. (vpn.mijndomein.nl) Met een subdomein laat ik alles wel rechtstreeks naar het betreffende apparaat wijzen. Als ik dan binnen mijn lan de vpn aanzet, kan is dezelfde instellingen gebruiken als van extern.

Ik heb geen vlans, dus daar kan nog wel een probleempje liggen. Dan zal dat verkeer toch via de wan van de tweede router moeten. (scheelt in elk geval de 1e router)

[Babylonia]

Ik heb ook dubbel nat en laat mijn domeinnaam naar het wan adres van mijn 2e router wijzen.
Op die manier kom het via portforwarding toch nog op het goede interne apparaat terecht en hoeft het interne verkeer maar door één router.

In eerste instantie komt het bij de eerste router, en wordt vervolgens doorgeleid naar de 2e router en of services die erachter hangen??
Tenminste zo werkt het hier ook, m.b.v. port forwarding.
Een web-server die op de NAS draait is daarmee "rechtstreeks" met het NL-domein te benaderen.
De eerste router fungeert alleen als "doorgeefluik" naar de 2e router.

Met wat pauze en eten, dacht ik er net aan om eens verder te gaan experimenteren met het WAN-IP adres van de 2e router of die van de gateway van de VLAN waar de NAS op draait om het probleem helder te krijgen.

Bedankt in ieder geval voor je reactie.

[Briolet]

In eerste instantie komt het bij de eerste router, en wordt vervolgens doorgeleid naar de 2e router en of services die erachter hangen??

Externe verbindingen wel, maar omdat mijn dns server achter de 2e router zit stuur ik het verkeer niet helemaal naar de WAN van de 1e router, maar naar de WAN van de 2e router.

Overigens is mijn eigen dns server via forwards ook benaderbaar van achter mijn 1e router naar niet vanaf het internet zelf.

[Babylonia]

...dacht ik er net aan om eens verder te gaan experimenteren met het WAN-IP adres van de 2e router of die van de gateway van de VLAN waar de NAS op draait om het probleem helder te krijgen.

Inmiddels alle opties daarin doorlopen, helaas geen resultaat.