Synology-Forum.nl

Packages => Officiële Packages => VPN Server => Topic gestart door: FilipRoels op 22 januari 2017, 23:30:16

Titel: toegang client VPN
Bericht door: FilipRoels op 22 januari 2017, 23:30:16: Na enig zoekwerk ben ik erin geslaagd een verbinding te leggen tussen mijn Synology server en een 4G router (router welke toegang heeft tot het internet via Sim kaart). Gezien de 4G router geen public IP-adres krijgt kan ik geen gebruik maken van DynamicDNS om toegang te krijgen tot de router via het internet. Dus ben ik omgekeerd te werk gegaan en heb ik de router een VPN verbinding laten maken naar mijn Synology.

Via mijn synology server kan ik duidelijk zien dat er een verbinding gemaakt is (verbindingslijst). De client (4G router) krijgt een dynamisch IP-adres toegewezen 192.168.102.10 (voorbeeld) echter is mijn intern netwerk opgebouwd uit 192.168.85... (voorbeeld). Hoe kan ik de webserver van de 4G router nu aanspreken?

Iemand een gedacht. Mijn thuis netwerk is opgebouwd achter een andere router welke ook fungeert als DHCP-server.
Titel: Re: toegang client VPN
Bericht door: Pippin op 23 januari 2017, 01:50:54: Ziet het eruit als op het tekeningetje?
Welk type VPN, OpenVPN?

Wat is het uiteindelijke doel?
Alleen de inlog pagina van het 4G modem bereiken?
"Aanspreken" vanuit een Windows/Linux Laptop/PC op hetzelfde LAN als waar de NAS zich bevindt?

Vul anders de gegevens in op het tekeningetje en hier weer aanhangen, gewoon zoals het daadwerkelijk is.
Je kunt alles invullen behalve je publieke IP/WAN adres.
Titel: Re: toegang client VPN
Bericht door: FilipRoels op 23 januari 2017, 20:17:53: Opbouw van het netwerk ziet er zo uit.

Ik zoek via de PC connectie te maken op de webserver achter de mobile router (4G).

Mijn inter netwerk heeft een IP-range opbouw van 192.168.85.... Via de VPN-app op mijn Synology kan ik zien dat de 4G-router een IP-adres krijgt 192.168.102.10. De modem/router (welke verbonden is met het internet) fungeert als DHP-server.
Titel: Re: toegang client VPN
Bericht door: aliazzz op 23 januari 2017, 21:41:23: Dat kan alleen als je 4G Modem-router firmware ook een OpenVPN client bevat!
De kans is niet zo heel groot dat je PLC een OpenVPN endpoint is, vandaar.

Het 2e wat je moet doen in je 4G modem-router je verkeer portforwarden naar je webserver want die draait achter een NAT. Dus een portforward rule aanmaken van bijv WAN zijdig (extern) naar LAN <IP ADRESS PLC> : webserver Poort (intern).

Ik kan je veel beter helpen als je merk PLC en 4G modem vertelt.
Titel: Re: toegang client VPN
Bericht door: Pippin op 23 januari 2017, 22:04:04: Het is een belangrijk detail dat er naar het LAN achter het 4G modem ge-rout moet worden, die info miste nog en maakt het gecompliceerder. Het zou kunnen dat het niet gaat met hetgeen voorhanden is.
Kan er op de webserver PLC OpenVPN geïnstalleerd worden? Dat zou een stuk eenvoudiger zijn.
Of moeten er nog meer apparaten bereikbaar zijn achter het 4G modem?

Als het over OpenVPN gaat kan ik waarschijnlijk wel helpen of in ieder geval op weg helpen.
PC is Windows?

Afhankelijk van bovenstaande vragen is dit via de WebUI van de DS eventueel niet te configureren.
Dan zou je "onder de kap" moeten bij de DS.
Eventuele updates van DSM of VPN Center kunnen die wijzigingen ongedaan maken en zal je dus een backup van de wijzigingen moeten bewaren.

Om een begin te maken:
In principe moet de PC (Windows?) weten waar het OpenVPN netwerk, 192.168.102.0/24, te vinden is.
Dat kan door op de command prompt, cmd, het volgende te doen:
Code: [Selecteer]
route -p ADD 192.168.102.0 MASK 255.255.255.0 192.168.85.???De vraagtekens invullen met het LAN IP van de DS.

Testen:
Op de PC zou je nu het VPN IP van het 4G modem moeten kunnen pingen:
Code: [Selecteer]
ping 192.168.102.10
Probeer ook alvast het LAN IP van het 4G modem en webserver PLC te pingen:
Code: [Selecteer]
ping 192.168.70.1 ping webserverPLC-IPLAN IP van 4G modem is 192.168.70.1 ?
LAN IP webserver PLC ?
Titel: Re: toegang client VPN
Bericht door: Pippin op 23 januari 2017, 22:06:47: @aliazzz
Zijn 4G modem is al verbonden aan de DS ;)
Titel: Re: toegang client VPN
Bericht door: aliazzz op 23 januari 2017, 22:12:31: Als ik naar de topologie kijk zie ik een typische offsite PLC opstelling 8)
Feitelijk 2 maal een LAN met het woeste internet ertussen. De 4G modem (LTE) belt via een provider in en krijgt een WAN IP en is daarmee verbonden aan de het woeste Internet (wireless). De andere zijde zit waarschijnlijk traditioneel (wired) aan het internet. Althans zo interpreteer ik de tekening. De mast is een verwarrende factor, ze is transparant voor de verbinding.

Een typische PLC kan meestal niet als OpenVPN endpoint fungeren, dus die functionaliteit moet naar de router verlegd worden.
oplossing: OPENVPN tunnel tussen beide modem routers & portforwarding naar webserver op 4G modem zijde.

Echter, merk/type van modem en PLC zijn belang voor beter advies op maat!
Titel: Re: toegang client VPN
Bericht door: Pippin op 23 januari 2017, 22:22:57: Dat interpreteer je goed, LAN naar LAN.
Citaat
De 4G modem (LTE) belt via een provider in en krijgt een WAN IP
Dat dan weer niet, zoals je lezen kunt krijgt hij die niet want hij zit in een CGN waarbij vele 4G apparaten samen met 1 IP "naar buiten treden".

Echter, een portforward gaat niet werken want de OpenVPN server weet helemaal niet dat er achter het 4G modem een netwerk zit.
Dat zijn eventueel de volgende stappen, OpenVPN de routes bijbrengen maar eerst maar eens op antwoorden wachten van @FilipRoels
Titel: Re: toegang client VPN
Bericht door: aliazzz op 23 januari 2017, 22:24:23: D'r is nog een klein issue, de PLC dient een fixed IP te krijgen, dit is normaal, het is heel gebruikelijk dat ze een FIXED IP heeft, DHCP komt zeer zeer zeer zelden voor.

PS ik heb geen ervaring met een CGN, maar wel met PLC's in dit soort opstellingen.
@ tpoc starter
Volgens mij gebruik je een niet publieke (dus een prive) APN, klopt deze aanname?
Wat is het merk 4g modem/router/switch en welk fabrikaat plc gebruik je?
Titel: Re: toegang client VPN
Bericht door: FilipRoels op 24 januari 2017, 08:39:51: Alvast bedankt voor alle reacties,

De verbinding tussen 4G router en synology is ok. Dit gebeurt via open VPN. De 4G router heeft OpenVPN client software draaien.

Het uiteindelijke doel is de webserver bereiken van de PLC vanuit een Windows/Linux Laptop/PC op hetzelfde LAN als waar de NAS zich bevindt.

Dit komt eigenlijk overeen met het bereiken van de inlog pagina van de 4G router. Eens dat werkt, is het enkel nog een kleine aanpassingen in de 4G router om één bepaalde poort te forwarden naar het fixed IP-adres van de PLC met bijhorende poort 8080 (webserver PLC).

Echter lukt mij dit niet omdat het toegekende VPN IP-adres van de 4G router buiten de range valt van mijn netwerk waarop mijn nas geplaatst is.
Titel: Re: toegang client VPN
Bericht door: Pippin op 24 januari 2017, 10:59:35: Zie reactie #4
Titel: Re: toegang client VPN
Bericht door: aliazzz op 24 januari 2017, 19:56:12: Ik denk dat je de LAN Range van de 4G router moet wijzigen, zolang deze range maar buiten* je tunnel ligt of je andere zijde van je tunnel, dan komt het goed.
Daarna een portforward rule aanmaken op je PLC.
Titel: Re: toegang client VPN
Bericht door: Pippin op 24 januari 2017, 21:21:40: Nee zo werkt het niet, even de bruine tekst lezen (https://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/msg135813/#msg135813) tussen de rode sterretjes.
Het is routeren tussen 3 netwerken en in dit geval betekent het wat ik hierboven al schreef:
Citaat
OpenVPN de routes bijbrengen

De eerste stap is echter die ik al beschreven heb in reactie #4, de PC moet weten waar het OpenVPN netwerk te vinden is.
Tevens het LAN netwerk dat achter het 4G modem ligt, daar komen we, afhankelijk van de 4G router, misschien ook nog op.
Titel: Re: toegang client VPN
Bericht door: aliazzz op 24 januari 2017, 21:28:20: Kheb je opmerking gespot, er moest staan buiten, ipv binnen, dit resulteert in 3 verschillende ranges, pcies zoals je terecht aangeeft. :thumbup: