OpenVPN vragen mbt. clients

[HenkGroen]

Omdat er met de sneeuw buiten voor mijn weinig te doen viel, heb ik me maar eens verdiept in de VPN omgeving. Temeer omdat QuickConnect niet altijd lekker werkt, had ik diversen poorten opengezet op mijn router. Maar vanuit de veiligheid toch maar eens verdiept in VPN
(Je zou verwachten dat als je QC gebruikt, je niets qua poorten etc. hoeft open te zetten. Maar, omdat ik alleen toegang vanuit NL openzet, dan QC dus niet altijd lekker werken. Volgens mij heeft Synology QC vanuit verschillende landen.)

VPN vragen:
Op zich heb ik alles ingesteld en kan ik connecten via de 4G, maar heb ik toch de volgende vragen:
(kunnen jullie per punt reageren a.u.b.)

1)
Er wordt verwezen voor OpenVPN naar de client die je moet downloaden.
Alleen lees ik OpenVPN-client en andere verwijzen weer naar OpenVPN Connect ?
Wat is het verschil/beter/handiger ?

2)
Wat moet ik nu instellen op de laptops van de kids in de Synology Drive-Client ?. (geldt automatisch voor DS-Audio en DS-File)
Nu staat er nog mijn QC-naam of xxx.Synology.me
Want, soms zijn de laptops binnen, maar soms ook buiten aan het werk.

Mijn interne IP-Adres plaatsen van mijn eigen LAN 192.168.x.x  is geen optie, want hoe werkt het dan als ze extern zijn ?.
Ik kan ze dan moeilijk vragen om even de VPN te starten, want dat gaan ze vergeten….
Ik zie ook in sommige filmpjes dat je VPN niet kunt gebruiken vanuit je eigen huis naar communicatie in je eigen huis. (of is dit onzin)

3)
En hoe ga ik daarnaast connecten naar mijn 2e Synology nas die extern staat voor backups
Nu doe ik dat via DDNS van Synology. Kan dat ook via de VPN, of moet ik dan ook op de externe NAS een VPN opzetten. ?
Als het antwoord Ja is, hoe connecten deze 2 dan onderling qua VPN met elkaar ?
(eigenlijk een beetje dezelfde vraag als puntje 2)

4)
Ik zie ook in de uitleg van filmpjes dat sommige in de OpenVPN file 2 parameters extra aanpassen
Is dit nodig ?
Parameter : DHCP option DNS (laten ze verwijzen naar Google)
Parameter : Regenerate van 0 naar 3600

5)
Sommige zeggen voor OpenVPN dat je poort 1194 moet openzetten o.b.v. TCP, maar andere weer over UDP. Waarom praten sommige over TCP ?

6)
En voor gebruikers die ik een link gestuurd hebt (voor bv. downloaden van een file). Die hebben toch niets nodig, en kunnen gewoon de file downloaden zonder dat ze iets nodig hebben qua VPN


Alvast bedankt voor jullie reactie ‘s.
Ik hoop dat ik op deze manier nog maar 1 poort in mijn router hoeft open te zetten. (en 1 poort in de DSM firewall m.b.t. NL)

[Briolet]

Punt 2

Ik zie ook in sommige filmpjes dat je VPN niet kunt gebruiken vanuit je eigen huis naar communicatie in je eigen huis. (of is dit onzin)

Kan wel, dus is het onzin. Maar volgens mij ondersteunen de meeste routers geen nat-loopback voor VPN waardoor het mis gaat vanuit huis. Vandaar dat sommigen onterecht beweren dat het niet kan.

VPN thuis werkt wel als je de nas rechtstreeks benaderd via het interne IP. Ik gebruik b.v. een eigen DNS server. Als ik extern verbind met "mijndomein.nl" verbind ik via het wan-ip van de router Als ik intern verbind met "mijndomein.nl", dan verbind ik rechtstreeks met de nas.
Onder die condities werkt VPN ook intern. Je kunt dan met één setting werken op je telefoon/laptop en altijd VPN aan laten. Thuis VPN gebruiken is natuurlijk onzinnig maar als je met vaste settings voor thuis/buiten wilt werken, gebeurd dat soms.

Punt 6
Ligt aan de link. Voor een QuickConnect link is verder niets nodig. Anders heb je forwarding nodig. (Voor een link via VPN zul je waarschijnlijk handmatig de IP adressen moeten aanpassen. Of een eigen DNS server gebruiken die de domeinnamen omzet in locale IP adressen.

[HenkGroen]

Dus, m.b.t. Puntje 2 begrijp ik dus dat ik voor de laptops die ook buitenshuis werken altijd VPN moet gebruiken voor zowel intern als extern, en dan gewoon naar mijn interne LAN IP-Adres 192.168.x.x moet verwijzen binnen de Drive-client op de laptop.

Ik wacht nog even de evt. andere reactie 's af, op mijn andere punten.
En als ik dan al mijn punten verzamelt hebt, ga ik er maar eens aan beginnen en testen.

[Birdy]

Punt 1
Voor zover ik het begrijp:
OpenVPN-client: Is de algemene en meest gebruikte GUI Client voor "gewone gebruikers".
OpenVPN Connect: Wordt aanbevolen indien gebruik wordt gemaakt van OpenVPN Access Server.
Dus het advies is: OpenVPN-client.

Punt 3
Aangezien je een VPN verbinding maakt met thuis, moet alles werken zoals het thuis werkt zonder VPN.
Dus gewoon DDNS gebruiken voor de 2e (externe) NAS, ook een kwestie van even testen.

Punt 4
Ik ben niet zo'n VPN parameter kenner, maar het enige wat ik ooit heb aangepast (behalve dan remote), is het weghalen van het hekje (#) op de regel "redirect-gateway def1" zodat je je eigen Gateway gebruikt alsof je thuis bent.

Punt 5
Why does OpenVPN use UDP and TCP?

[Briolet]

Qua punt 4
- Of het aanpassen werkt ligt ook aan de gebruikte VPN cliënt. b.v. doet TunnelBlick niets met de "redirect-gateway" optie. Die overruled dit met de settings die je via zijn eigen GUI instelt.

[Birdy]

Ok, dan heb ik het over Windows en Linux Clients.

[HenkGroen]

Sorry, vergeten te melden dat ik Windows gebruik.

Probeerde op mijn 2e NAS die extern staat ook de OpenVPN aan te zetten, maar daar krijg ik direct een foutmelding
Heb al de NAS herstart etc., maar geen effect. Alles staat bij mij gewoon onder het standaard Synology.com certificaat.
Kan dus ook niet iets exporteren, want zover kom ik al niet

Iemand een idee waar dat aan zou kunnen liggen ?
Het leek me wel handig om de 2e NAS ook te voorzien van OpenVPN, zodat ook daar wat poorten dan dicht zouden kunnen.

[Birdy]

Dat is zeer merkwaardig, omdat de VPN Server zelf een Certificaat behoort te maken en deze in de .ovpn file zet, die je exporteert.
Ik heb op dit moment geen idee waarom je die melding krijgt.

[Birdy]

Het was al zo lang geleden het opzetten van OpenVPN in de  VPNServer, dat ik het even heb getest.
Dus EDIT: OpenVPN maakt niet zelf een Certificaat, maar kijkt of er een Certificaat is.
In mijn test, heb ik alleen het standaard Synology Certificaat en VPN Server werd daar netjes aan toegevoegd:

[HenkGroen]

@Birdy
Hij voegt hem netjes toe, zoals verwacht.
Zie bijlage.

Echter, geen effect. Je mag nog steeds het vinkje niet aanzetten.

Zelfs als je de VPN Server verwijderd, incl de vraag om de database ook te verwijderen, lijkt het dus alsof hij ergens iets niet verwijderd. Want vanaf een kale NAS zal het standaard wel werken.

[Birdy]

Reboot de NAS eens.

[HenkGroen]

Nogmaals gedaan, maar helaas.
Voordat ik het vinkje aan wilde zetten, nogmaals het certificaat gecontroleerd. En daar staat hij gewoon nog bij.
Echter, geen effect.

Bij poging om het vinkje te plaatsen steeds dezelfde foutmelding.
Zie op google ook niet echt een oplossing. Vaag iets

[Birdy]

Je kunt natuurlijk ook een DDNS maken, hierop volgt de vraag of je een Certificaat wilt maken, dat gaat dan auto.

Maar, het zou moeten werken met het Synology Certificaat, dus een Ticket inleggen is ook een optie.

[Briolet]

hierop volgt de vraag of je een Certificaat wilt maken, dat gaat dan auto.

Maar dat wordt dan een Let's Encrypt certificaat. En die wil je niet hebben voor VPN omdat die zich elke 2 maand vernieuwd en je dan ook elke 2 maand je settings moet exporteren omdat VPN na elke wissel stopt met werken.

Je kunt nog wel handmatig een self-signed certificaat bij maken. Misschien dat dat iets helpt.  Of probeer bij de certificaat toewijzing te kijken of OpenVPN aan het bestaande certificaat gekoppeld is.

[Birdy]

Of probeer bij de certificaat toewijzing te kijken of OpenVPN aan het bestaande certificaat gekoppeld is.

OpenVPN is toegevoegd aan het standaard Synology Certificaat, dat is juist het vreemde.
Zou een Ticket inleggen.