Met Open VPN wel verbinding met de nas, maar geen toegang tot de content

[T. Rademakers]

Is er iemand die mij kan helpen met het volgende probleem:
Sinds deze week heb ik met Open VPN een werkende verbinding opgezet tussen mijn laptop en mijn nas. Echter ik krijg geen toegang tot de nas. Bij het beheerscherm op de nas zie ik wel dat ik een verbinding met de nas heb, maar ik krijg geen toegang tot de content.
Ik krijg de onderstaande foutmelding.

Fri Feb 20 21:11:52 2015 OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Dec  1 2014
Fri Feb 20 21:11:52 2015 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08
Enter Management Password:
Fri Feb 20 21:12:03 2015 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Feb 20 21:12:04 2015 UDPv4 link local (bound): [undef]
Fri Feb 20 21:12:04 2015 UDPv4 link remote: [AF_INET]80.101.7.195:1194
Fri Feb 20 21:12:04 2015 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri Feb 20 21:12:04 2015 [Twan Testen] Peer Connection Initiated with [AF_INET]80.101.7.195:1194
Fri Feb 20 21:12:06 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Feb 20 21:12:06 2015 open_tun, tt->ipv6=0
Fri Feb 20 21:12:06 2015 TAP-WIN32 device [LAN-verbinding 2] opened: \\.\Global\{04416577-E1A3-4772-8056-32FF2EE01410}.tap
Fri Feb 20 21:12:06 2015 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {04416577-E1A3-4772-8056-32FF2EE01410} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Fri Feb 20 21:12:11 2015 ROUTE: route addition failed using CreateIpForwardEntry: Toegang geweigerd.   [status=5 if_index=39]
Fri Feb 20 21:12:11 2015 env_block: add PATH=C:\Windows\System32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
Fri Feb 20 21:12:15 2015 ERROR: Windows route add command failed [adaptive]: returned error code 1

Ook na het lezen van de howto van Open VPN kom ik er niet uit.
Het zelf ondertekend certificaat heb ik op de standaardwijze op de nas aangemaakt, geëxporteerd naar de laptop en hierop geïnstalleerd. De laptop draait op Windows 7.
Op deze laptop draait ook Comodo firewall.
Graag een reactie.

Twan

[rnijenhu]

volgens mij draai je niet als admin waardoor er geen route word aangemaakt  (de toegang geweigerd). je hebt dan wel verbinding maar verkeer wordt er niet doorheen gerouteerd

[T. Rademakers]

Dank voor je reactie.
Ik log in als lid van de admingroep. Het admin account zelf is uitgeschakeld, zoals in de handleiding als beveiligingsmaatregel is aangegeven. Of moet ik dit weer inschakelen? De instellingen stonden inderdaad wat nauw afgesteld. Deze heb ik aangepast (lezen en schrijven). Helaas heb ik nog steeds geen toegang tot de nas.
Bijkomend vraagje. Kan je er alleen in als admin, of ook als gewone gebruiker?
Graag je reactie.

Groet,
Twan

[Tim__]

Wordt OpenVPN onder Windows gestart als admin?

[Pippin]

Vertel eens hoe je verbonden bent met je Laptop. Je logt in met je WAN-IP zie ik, doe je dat dan ook of zit je op je WiFi in huis?

[T. Rademakers]

Ik zit thuis op wifi. Afgelopen vrijdag ben ik gaan uittesten via een openbaar netwerk. De opgegeven foutmeldingen in het eerste bericht kwamen uit deze test.
Ik heb nu als Windows admin (op wifi)  de inlog uitgevoerd en kreeg het hier onderstaande resultaat. Dus nog steeds een certificaat issue.

Sat Feb 21 20:22:42 2015 OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Dec  1 2014
Sat Feb 21 20:22:42 2015 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08
Sat Feb 21 20:23:04 2015 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Sat Feb 21 20:23:04 2015 UDPv4 link local (bound): [undef]
Sat Feb 21 20:23:04 2015 UDPv4 link remote: [AF_INET]80.101.7.195:1194
Sat Feb 21 20:23:04 2015 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Sat Feb 21 20:23:04 2015 [Twan Testen] Peer Connection Initiated with [AF_INET]80.101.7.195:1194
Sat Feb 21 20:23:07 2015 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sat Feb 21 20:23:07 2015 open_tun, tt->ipv6=0
Sat Feb 21 20:23:07 2015 TAP-WIN32 device [LAN-verbinding 2] opened: \\.\Global\{04416577-E1A3-4772-8056-32FF2EE01410}.tap
Sat Feb 21 20:23:07 2015 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.6/255.255.255.252 on interface {04416577-E1A3-4772-8056-32FF2EE01410} [DHCP-serv: 10.8.0.5, lease-time: 31536000]
Sat Feb 21 20:23:07 2015 Successful ARP Flush on interface [39] {04416577-E1A3-4772-8056-32FF2EE01410}
Sat Feb 21 20:23:12 2015 Initialization Sequence Completed

Graag jullie reactie.

Groeten,
Twan

[Tim__]

http://www.synology-forum.nl/index.php?topic=22855.msg148948#msg148948

[T. Rademakers]

Met dank voor de link.
Maar volgens mij zit ik nu in een lus. Als ik op de link druk kom ik weer op de zelfde plaats terug.
Graag een reactie.

Groet,
Twan.

[Birdy]

Klopt, maar wel de link naar zijn vraag 

[Tim__]

Inderdaad. Ik heb onlangs degelijke foutmelding gehad en toen bleek OpenVPN niet als admin gestart.

[Pippin]

"WARNING: No server certificate verification method has been enabled"
Deze melding komt van OpenVPN niet van Synology.
Het betekend dat de Client de Server niet verifieerd, dat hoeft niet perse. OpenVPN wil hiermee alleen maar aangeven dat het veiliger kan, dat is echter niet door Synology geïmplementeerd. Het kan wel maar dan moet je onder de motorkap van DSM.

Soortgelijk voor: "WARNING: this configuration may cache passwords in memory"

Zou je de inhoud van de config-file die je geexporteerd hebt vanuit VPN server kunnen posten?
Ik vermoed dat je nog een route(s) moet toevoegen.

[T. Rademakers]

Dank voor je reactie.
Bij deze de openvpn.ovpn die ik geëxporteerd heb.

dev tun
tls-client

remote YOUR_SERVER_IP 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass

Nog een aanvullende vraag.
Betekent dit dat ik de nas vanaf ieder willekeurig adres kan benaderen? En dat de VPN goed geconfigureerd is?
Maar betekent dat ook dat ik voor het overige niet vanaf mijn eigen IP verder het internet op kan?

Graag een reactie.

Groet,
Twan.

[T. Rademakers]

Nog een toevoeging.
Op de client heb ik het IP adres van de router wel toegevoegd.
Dit is een statisch IP adres.

Groet,
Twan

[Pippin]

"Betekent dit dat ik de nas vanaf ieder willekeurig adres kan benaderen?" Ja, mits je WAN-IP niet wijzigt.
Je zou een DDNS service kunnen gebruiken, deze is gratis en kan ik je aanraden: www.spdns.de
Maar eerst dit werkend krijgen, stap voor stap.

Vanuit je LAN (thuis) kun je alles gewoon doen zoals normaal. Het heeft ook geen zin om in je LAN VPN te gebruiken.

Op je vraag of je er alleen als admin in kan is het antwoord nee. Elke gebruiker op je NAS heeft toegang als die de config-en ca-file heeft. Dat wil zeggen, als je dat zodanig hebt ingevuld onder "Rechten" in de VPN server.

Nu je config:

dev tun

tls-client

remote 80.101.7.195 1194

redirect-gateway

dhcp-option DNS vul.hier.je.dns.van.je.lan.in

pull

proto udp

script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass

auth-nocache

Zoals je ziet mist nog het IP van je DNS in je LAN. Die moet je zelf invullen want die heb ik niet.

[T. Rademakers]

Dank voor je reactie.
Ik heb de DNS niet geconfigureerd, dus dat klopt. Deze moet ik nu toch ook niet invullen? Ik heb zowel de nas als de router een vast IP gegeven.
Ik ga morgenvroeg de file op de client aanpassen en deze ga ik morgenmiddag uittesten.
Ik laat je graag het resultaat horen.
Graag je reactie.

Groet,
Twan.