Multi NAS VPN Setup

[GizmoNL]

Dag allen!

Ik ben al dagen bezig om het volgende voor elkaar te krijgen maar zoals je wellicht verwacht wil het mij niet echt lukken, dus hoop dat iemand mij in de juiste richting kan wijzen.

Ik heb een 3 tal NASSEN die op verschillende locaties staan, de bedoeling is om deze via een VPN tunnel met elkaar te verbinden.
Nas 1 heeft verbinding met Nas 2 - Nas 2 heeft een verbinding met Nas 3 - Nas 3 heeft verbinding met Nas 1

Indien ik het vpn configuratie bestand in openvpn op mijn samsung zet heb ik direct verbinding, ik krijg dan enkel en alleen de melding
"This profile doesn't include a client certificate. Continue connecting without a certificate or select one from the android keychain?"

Ik kies dan voor 'Continue' heb heb dan gelijk verbinding.

Als ik probeer verbinding te krijgen van NAS naar NAS dan lukt dit gewoon niet,

Confi > Netwerk > Netwerkinter. > Maken > VPN Profiel > OpenVPN >
Profiel naam: test
gebruikersnaam (is een account op de andere nas waar ik naar toe wil verbinden)
wachtwoord (is een account op de andere nas waar ik naar toe wil verbinden)
.ovpn bestand (is de config bestand van andere nas waar ik naar toe wil verbinden)
> Volgende

Hierna staat er gelijk "verbinding verbroken" en als ik druk op " Verbinding maken "
geen logboek niks. Enkel een melding met "Verbinding mislukt. Ga naar ........ om openVPN uit te schakelen en probeer het opnieuw"

Hieronder heb ik voor zo ver ik denk dat nodig is alle settings gezet.

Nogmaals met mijn telefoon verbinding maken lukt prima

------------- NAS 1
DS916+
Intern
IP: 192.168.3.8
Gateway 192.168.3.1
VPN poort: 2023 / UDP
Firewall is uitgeschakeld

VPN Dynamisch ip 10.8.3.1
Poort 2023 / UDP
Codering AES-256-CBC
Verificatie: SHA512
Mssfix 1450
Compressie op VPN (staat aan)
Virifieer TLS auth-sleutel (staat aan)

Extern
nas1.domein.nl (gekoppeld via DDNS)
VPN Poort in de router doorgezet naar 2023 / UDP naar intern nas 192.168.3.8

------------- NAS 2
DS214+
Intern
IP: 192.168.1.8
Gateway 192.168.1.1
VPN poort: 2024 / UDP
Firewall is uitgeschakeld

VPN Dynamisch ip 10.8.1.1
Poort 2024 / UDP
Codering AES-256-CBC
Verificatie: SHA512
Mssfix 1450
Compressie op VPN (staat aan)
Virifieer TLS auth-sleutel (staat aan)

Extern
nas2.domein.nl (gekoppeld via DDNS)
VPN Poort in de router doorgezet naar 2024 / UDP naar intern nas 192.168.1.8

------------- NAS 3
DS214+
Intern
IP: 192.168.2.8
Gateway 192.168.2.254
VPN poort: 2025 / UDP
Firewall is uitgeschakeld

VPN Dynamisch ip 10.8.2.1
Poort 2025 / UDP
Codering AES-256-CBC
Verificatie: SHA512
Mssfix 1450
Compressie op VPN (staat aan)
Virifieer TLS auth-sleutel (staat aan)

Extern
nas3.domein.nl (gekoppeld via DDNS)
VPN Poort in de router doorgezet naar 2025 / UDP naar intern nas 192.168.2.8

Mis ik iets, moet ik iets aanpassen of wat dan ook? Dan hoor ik het heel graag aangezien ik langzaam doordraai 

[Babylonia]

De VPN-server waar je een verbinding mee wilt maken, DAAR het OpenVPN config bestand van exporteren.
(Is voor elke NAS anders ---> elke NAS gebruikt andere certificaten / andere keys).

Aanpassen van het config bestand om daarin het WAN IP-adres op te nemen, Synology DDNS  domein,  of eigen domein.
En mogelijk nog enkele persoonlijke aanpassingen  -  zie lijst bij OpenVPN.

Zelf gebruik ik bijv. ook nog:

• float
• redirect-gateway def1     of     #redirect-gateway def1       is wel, of geen inschakeling ervan,
          om daarmee te bepalen of je alleen met een plaatselijke (NAS) server contact wilt,
          en wel- of niet niet het normale internetverkeer via de VPN wilt laten lopen.
  
  
• dhcp-option DNS  (met twee eigen gekozen DNS servers)
          eigenlijk alleen zinvol als je met een "niet eigen" VPN-server contact legt, en je gaat daar het internet weer op.
  
  
• auth-nocache
• verify-x509-name  [ 'domein' ] name         om mogelijke "man-in-the-middle" attacks uit te sluiten.
• explicit-exit-notify

Dat OpenVPN config bestand importeer je bij de VPN Client, van waaruit je een connectie wilt leggen naar de VPN-server toe.
Pas zo nodig firewall regels in de router aan, en in ieder geval verder ook in de NAS.
4 Voorbeelden van in te voeren regels voor een NAS, zie volgende reactie helemaal onderaan vanaf  Belangrijk !!
   https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/

Dat doe je voor elke NAS waar je verbinding mee wilt leggen.


Verder, als je dan eenmaal een VPN verbinding hebt.
Om een stabiele connectie te waarboren, zijn er nogal wat variabelen waar op te letten:

Eerder heb ik eens een  "marathon VPN test"  uitgevoerd.
Neem < die reactie > en vervolgreacties eens door.
Ik geef nogal wat informatie en tips, waar verbindingen op stuk kunnen lopen.

M.b.t. controle op de kwaliteit van netwerk kabels, en nog wat zaken als "interferentie" die voor storingen kunnen zorgen.
https://www.synology-forum.nl/netwerk-algemeen/moeilijk-traag-verbinden-nas-via-br-speler/msg300528/#msg300528

[André PE1PQX]

Vergeet ook niet dat (voor zover ik dat weet) een nas niet zowel VPN -server als -client kan zijn.
Het is óf het één, óf het ander.

(Kan zijn dat dit ondertussen veranderd is, maar dat durf ik niet met de volle zekerheid te zeggen)

[Babylonia]

Niet aan gedacht  ,  (was al laat toen ik mijn vorige reactie schreef).
Maar er zijn meerdere opties die je zou kunnen inzetten om problemen daarmee te vermijden.
Het gaat er om dat  VPN Client  en  VPN Server  op hetzelfde apparaat verschillende VPN protocollen gebruiken.

Door bijv.  "Om en Om"  een verschillend VPN protocol te gebruiken,  tussen L2TP/IPSec en OpenVPN.
Kijken wat dat oplevert:

Van  NAS 1 - VPN Client   L2TP/IPSec   naar  VPN Server NAS 2 - L2TP/IPSec

Van  NAS 2 - VPN Client     OpenVPN     naar  VPN Server NAS 3 - OpenVPN

Van  NAS 3 - VPN Client   L2TP/IPSec   naar  VPN Server NAS 1 - L2TP/IPSec

Oh nee.  Bij NAS 1 heb je dan een discrepantie.     (Voor zowel Client als Server - beide L2TP/IPSec)


Met een omweg route via een 4e NAS erbij gaat het wel: Dan krijg je:

Van  NAS 1 - VPN Client   L2TP/IPSec   naar  VPN Server NAS 2 - L2TP/IPSec

Van  NAS 2 - VPN Client     OpenVPN     naar  VPN Server NAS 3 - OpenVPN

Van  NAS 3 - VPN Client   L2TP/IPSec   naar  VPN Server NAS 4 - L2TP/IPSec

Van  NAS 4 - VPN Client     OpenVPN     naar  VPN Server NAS 1 - OpenVPN

Bij NAS 1 heb je in dat geval voor Client en Server twee verschillende protocollen.

In iedere geval wel "split" VPN tunneling toepassen.  Geen "gateway" waar al het normale internetverkeer via VPN gaat.
Nog wel wat uit te zoeken. In ieder geval niet dat het normale internet verkeer via een andere NAS het internet opgaat.
(Zonder split tunneling zou je anders mogelijk een connectie "loop" kunnen krijgen).


Als een NAS twee netwerkpoortjes heeft, en je kunt het tweede netwerkpoortje in een ander sub netwerk zetten.
Kun je dat mogelijk wel tegelijkertijd inregelen met dezelfde VPN protocollen.
VPN als Client via het ene netwerk, VPN "ontvangen" op het andere netwerk.

Niet uitgeprobeerd als VPN "terug" - maar wel gewoon NAS van buiten "gewoon" benaderbaar, met twee verschillende VPN verbindingen.

https://forum.kpn.com/thuisnetwerk-72/alle-verkeer-via-vpn-tv-uitgezonderd-is-dit-mogelijk-588211?postid=1725134#post1725134

https://community.synology.com/enu/forum/2/post/159502?reply=493735

Ik vermoed dat het ook gewoon werkt door met VPN via het andere netwerk verbinding te maken.

Mogelijk is het gebruik van routers die site-to-site VPN ondersteunen een betere optie om in te zetten?

[André PE1PQX]

Ik denk dat het handiger is één NAS als VPN server in te stellen en de andere 2 als cliënt naar NAS 1.
Dit ook om het juist simpel te houden.

NAS2 zal dan via NAS1 naar NAS3 moeten gaan als dat nodig is.

[Babylonia]

Er valt waarschijnlijk nog wel wat uit te zoeken hoe de twee VPN Clients, onderling met elkaar connecten via die ene VPN server.

Maar het zou wel moeten kunnen.  Een eerdere gebruiker die ik wel eens heb geholpen, gebruikt ook zo'n driehoeksverbinding.
Maar gebruikt wel VPN-verbindingen met Synology "routers" - en gebruik van het Synlogy SSL VPN protocol.
Waarbij voor het virtuele VPN netwerk, gewoon het "normale" hoofdnetwerk wordt gekozen. Niet een apart virtueel VPN sub netwerk.
Daarbij ziet hij de hostnamen van apparaten in het netwerk van alle drie locaties.  (Werkt alleen via Synology SSL VPN protocol).

[GizmoNL]

Ik kan met mijn telefoon als client verbinding maken met alle NASSEN zonder problemen.
Alleen van NAS naar NAS is een probleem, dus ook de eerste verbinding die ik wil maken met NAS1 naar NAS2 lukt al niet, met mijn telefoon dus wel.

Nas 1 heeft verbinding met Nas 2 - Nas 2 heeft een verbinding met Nas 3 - Nas 3 heeft verbinding met Nas 1

NAS 2 config gaat in NAS 1 als client
NAS 3 config gaat in NAS 2 als client
NAS 1 config gaat in NAS 3 als client

Ik heb de meeste opties niet aangepast maar enkel en alleen de domeinnaam (DDNS) in de config gezet, nas1.domein... nas2.domein... enz

Het gaat er enkel en alleen maar om dat ze verbinding maken het is hierbij niet nodig om vervolgens het hele netwerk op te kunnen of weer het internet.

Ik kan inderdaad proberen om diverse protocollen te gebruiken. Maar dan kom ik er helaas 1 te kort haha

Ik heb op alle nassen 2 poorten zitten dus daar kan ik eventueel naar kijken.
Daarnaast beschikken 2 locatie's over routers met vpn mogelijkheden alleen de 3 locatie niet.

[GizmoNL]

Ik denk dat het handiger is één NAS als VPN server in te stellen en de andere 2 als cliënt naar NAS 1.
Dit ook om het juist simpel te houden.

NAS2 zal dan via NAS1 naar NAS3 moeten gaan als dat nodig is.

Dat zou wel erg .... zijn maar heb inderdaad gelezen na jou bericht dat dit niet kan met het zelfde protocol tegelijk.
Maar dan nog vind ik het vreemd dat ik met mijn telefoon wel kan connecten en met nas naar nas niet lukt.

Dit lijkt de meest simpele oplossing, aangezien de backup's snachts plaatsvinden is het ook niet zo heel erg om dit op deze manier te doen, enkel is het alleen vervelend dat als NAS1 uitvalt om wat voor reden dan ook dan alles plat ligt.

Hoe zou ik zo iets het beste kunnen doen?

NAS2 en NAS3 verbinding maken met NAS1 door middel van vpn en dan op NAS2 het interne ip (die hij van de vpn server krijgt) verbinding maken?

[Babylonia]

Ik kan met mijn telefoon als client verbinding maken met alle NASSEN zonder problemen.

Jawel, maar omdat een verbinding vanuit een VPN Client vanuit een NAS niet lukt,
is die Client van een NAS daarmee niet ingeschakeld / niet actief. (Disconnected).
Ofwel gewoon een éénrichtingsverkeer verbinding vanuit VPN Client op je telefoon, naar enkel de VPN-server actief van de NAS'sen.

Daarnaast beschikken 2 locatie's over routers met vpn mogelijkheden alleen de 3 locatie niet.

Dan gebruik je beter bij twee locaties de router voor gebruik als VPN-server.
En maak je vanuit twee NAS'sen met ingestelde VPN Client een connectie naar de VPN-servers van die routers.
Omdat de server niet van de NAS wordt gebruikt, heb je voor die twee NAS'sen alleen een uitgaande VPN.
Kom je dus niet in conflict welk VPN protocol je gebruikt.

Voor de laatste NAS wel de VPN-server gebruiken, wel even goed nalopen hoe je dat met dat "Om en Om" VPN protocol regelt.
Voor een sluitend schema.

[GizmoNL]

Ik denk niet dat je begrijpt wat ik bedoel 

Ik bedoel dat het helemaal niet lukt om met NAS 1 naar NAS 2 te verbinden. Ook al schakel ik de VPN server op NAS1 helemaal uit dan nog wil hij geen verbinding maken naar NAS2 waar alleen de VPN server aanstaat en er verder geen actieve connecties zijn.

Als ik dan test met mijn telefoon dan krijg ik gelijk verbinding met NAS 2. Als ik dan de verbinding verbreek en ik probeer het weer vanuit NAS1 OF vanuit NAS3 dan lukt dit gewoon simpelweg niet.

Gr

[Babylonia]

Tja, dan toch nog eens gewoon de VPN Client in de NAS'sen helemaal verwijderen, en opnieuw opzetten?
Gebruik eens het L2TP/IPSec protocol, als OpenVPN zo moeizaam verloopt. Een stuk makkelijker te configureren.

Zelf hier ook nog eens getest:
Kan vanuit twee Synology NAS apparaten en 2 routers (precies vergelijkbare set-up voor een VPN Client als bij een NAS)
met diverse NAS VPN servers contact maken.  Bij familie, kennissen en een VPN provider. Bij elkaar 12 positieve VPN connecties.

Misschien een open deur.  Met alle mislukte inlogpogingen vanuit een NAS.  Maar geen probleem mobiel.
Controleer eens of WAN IP-adressen van de internet locaties van waaruit je een NAS inzet als VPN Client,
mogelijk zijn geblokkeerd op de blokkeringslijst van de NAS "bij de andere kant" (NAS VPN-server).