OpenVPN / Firewall en zo

[Lipo]

MOD: Dit Topic is het vervolg op deze.

Dank je wel.

Ik ga in de nabije toekomst ook veel vpn profielen onderbrengen. Dus ik hoop dat het goed gaat komen.

In het logboek van mijn android openvpn connect krijg ik het volgende:
Connecting to [mijn ddns naam]: 1194 [mijn wan ip] via UDP
Server poll timeout, trying next remote entry…
Het bovenstaande herhaalt zich continu.

Ik heb de poorten 1194 en 5001 in de router doorgestuurd. Dus deze poorten staan open voor nas2.

De openvpn client voor mijn oude nas doet het met dezelfde configuratie van dsm wel. Of zou er toch iets anders ingesteld zijn in dsm van mijn nieuwe nas? Maar waar zit het hem in?

In lijst toestaan/blokkeren van dsm staan geen ip’s geblokkeerd.

Ik heb een screenshot van mijn dsm vpn firewall regels toegevoegd aan dit bericht.

Vpnconfig2.ovpn staat goed ingesteld en volgens mij ook met goede certificaten.

[Babylonia]

Voor OpenVPN heb je alleen poort 1194 nodig.

Firewall regel, maar goed dat je niet meer poorten hebt doorgestuurd (of bijv. DMZ).
Want zou anders betekenen dat je "alle" poorten naar je NAS open zet.
Voor een betere set-up van de Firewall regels m.b.t. OpenVPN en thuisnetwerk:
https://www.synology-forum.nl/vpn-server/mappen-benaderen-open-vpn/msg320310/#msg320310

[Lipo]

Het is dus een conflict met het ip bereik. Dank je wel Babylonia. Ik ga het bestuderen. En mijn firewall ook anders instellen.

TCP 5001 moet ik ook doorsturen in de router, anders doet surveillance station van dsm en dscam op mijn mobiel het niet.

[Babylonia]

OK.  Die andere functies voor externe toegang had je eerder nog niet benoemd.   

Wil je meer achterliggende informatie m.b.t. Firewall regels, is daar een meer uitgebreid onderwerp aan gewijd.
Wel afgestemd op een "Synology router"  oude stijl (SRM 1.2.5), maar principe staat het dichtste bij die van een Synology NAS.
(Vandaar dat ik je eerder maar direct naar een "NAS" voorbeeld firewall regel voorbeeld verwees).
https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/

[Lipo]

Voor de synology plus server heb je een synology router nodig. Deze laatste heb ik niet. Ik heb alleen twee verschillende synology nas systemen.

Dan lijkt het mij dat ik moet blijven bij de gewone synology vpn server? Deze heeft wel minder mogelijkheden m.b.t. instellingen.

[Babylonia]

Ik geef je alleen een hint in het gebruik van firewall regels, waarvan de basis gewoon vergelijkbaar is met de firewall van een NAS.
(Dat wordt bij die beschrijving ook uitgelegd). Om meer begrip daarin te krijgen hoe een en ander functioneert.

OpenVPN  voor een Synology router, werkt niet anders als OpenVPN voor een NAS.
Eerder heb ik je al expliciet verwezen naar de regels die voor een NAS gelden m.b.t. OpenVPN.
https://www.synology-forum.nl/vpn-server/mappen-benaderen-open-vpn/msg320310/#msg320310

Daarin is alleen niet opgenomen een firewall voor wat betreft poort 5001  (Beheer NAS gebruiksinterface / Surveillance Station...)
Die zul je er dan nog extra tussen moeten zetten (tussen 2e en 3e regel in).  Dan zou het verder moeten kloppen.

[Lipo]

Ik gebruik op dit moment 4 LAN netwerken.

Bij VPN 1194 en 5001 heb ik gekoppeld aan de applicatie en Nederland. Ik denk dat het nu goed is. Een nieuwe screenshot toegevoegd.

Ik ben een relatieve leek die het probeert te snappen / te leren, dus ik vraag het toch even.

Ik heb screenshots toegevoegd van mijn firewall instellingen.

[Babylonia]

4 netwerken??
Je schrijft dat je een relatieve leek bent op netwerkgebied.   Hoe kom je dan aan 4 netwerken?
Want daar zou je juist meer uitgebreide kennis voor moeten hebben om daar mee te kunnen werken.

Ik zie twee plaatjes waarvan het eerste plaatje met een  10.8.0.x   netwerk  (ik vermoed het virtuele OpenVPN netwerk).
Wat is bij die firewall instellingen dan het  "gewone"  LAN netwerk??    Want dat moet er ook bij.
(Kun je bij het  niet  opnemen van het gewone netwerk dan überhaupt nog wel in de NAS komen?)

Tweede plaatje (wat je eerder plaatste) zie ik allemaal half uitgegomde weergaven van netwerken.
Daar kan ik weinig zinnigs iets over zeggen, want geeft mij geen inzicht wat er dan wel staat, maar lijkt mij althans "niet goed".
(Zolang je maar geen externe WAN adressen toont van je internet aansluiting).

[Lipo]

Het zijn 4 LAN-netwerken met uiteraard dan verschillende subnetten. Ik heb nieuwe screenshots toegevoegd.

Ik maak gebruik van VLAN’s.  Dat 4 netwerken maken was inderdaad zweten.

Met gewoon netwerk bedoel je toch LAN-netwerk? Daar heb ik er dus 4 van. Zie screenshot LAN-firewall instelling eerdere bericht van mij.

Ik heb volgens mij geen WAN-adressen getoond.

10.8.0.x dat is inderdaad het virtuele openVPN-netwerk. Ik heb het bereik opgegeven 10.8.0.1 – 10.8.0.255. Maar kun je de screenshots niet uitvergroten? Als ik er thuis op klik, dan wordt het vergroot en duidelijk zichtbaar.

Ik kan vanaf de computer in DSM van de NAS komen.

De vpnconfig.ovpn op mijn android doet het niet. Dat moet een probleem met de nieuw ingestelde firewall zijn. Want het werkte eerst wel. Mijn android zit in hetzelfde subnet als mijn nas. Ik krijg de melding bij openvpn connect op mijn android: Server poll timeout, trying next remote entry…

[Lipo]

Moet ik niet gewoon ook de bron- en doelpoorten van udp 1194 en tcp 5001 open zetten naar de nas?

Ik heb nu alleen de regiopoorten van 1194 en 5001 open staan. Wat houdt dat trouwens in? Betekent het dat je je alleen uit Nederland kunt aanbieden op die poorten?

[Babylonia]

Sorry, allemaal halve informatie die je nu versnippert doorgeeft.
Dus 4 VLAN netwerken.  Hoe een en ander dan met elkaar verbonden is, blijft wederom erg vaag.
Zonder gedegen informatie hoe een thuis netwerk set-up is opgebouwd, kan geen zinnig advies worden gegeven, waarom iets niet werkt.
"Gokken" is er niet bij in deze materie.  Het komt aan op exacte informatie, en van daaruit kan men verder de zaken analyseren.

Als basis is al aangegeven waar het bij de firewall aan schort in het geval er slechts één LAN thuisnetwerk in gebruik is.
De vernieuwde screenshot is nog steeds incompleet, want het basis LAN netwerk zit er nog steeds niet bij.
Met 4 netwerken, kan het plaatje er weer heel anders uitzien.  Daar ga ik nu niet verder op in.

Ik heb nu alleen de regiopoorten van 1194 en 5001 open staan. Wat houdt dat trouwens in?
Betekent het dat je je alleen uit Nederland kunt aanbieden op die poorten?

Voor wat betreft de Firewall zijn die basis principes terug te lezen in de eerdere verwijzing die ik heb gegeven.
Welke poorten een NAS gebruikt:
https://kb.synology.com/nl-nl/DSM/tutorial/What_network_ports_are_used_by_Synology_services

[Lipo]

Het is een relatief simpel netwerk volgens mij. Graag wil ik straks (in de nabije toekomst) dat alleen veel android telefoons via openvpn van buitenaf moeten kunnen communiceren met mijn beide nassen. Beide nassen hangen uiteindelijk aan een eigen router met switch. Nu wil ik enkel 1 android mobiel aan het werk zien te krijgen met mijn oude nas en oude switch. Verder doen er op dit moment geen andere systemen van buitenaf een beroep op mijn netwerken. Nu enkel 1 android telefoon.

Het basis LAN-netwerk zit er wel bij. Dat is 192.168.2.2. Het basis LAN-netwerk valt toch binnen de eerste firewall regel?

Mijn android mobiel en nas vallen binnen het subnet van de router (192.168.2.2).

De andere thuisnetwerken zijn ook in gebruik. En die werken goed.

Is het dan nog nodig om te weten hoe die andere netwerken eruit zien? Het gaat nu enkel om subnet 2. Daar zit het probleem. Of zie ik hier iets niet goed?

Mijn openvpn bereik van de nas-server gaat van 10.8.0.0 - 10.8.0.255. Moet ik binnen een ander bereik gaan zitten? Bijv. 192.168.160.x zoals in het eerdere forum is genoemd. Maar ik kan binnen mijn eigen netwerk zoals ik het beschrijf toch geen conflict hebben?

Het probleem bij deze communicatie is de communicatie tussen de nas en de android en de router die dat verzorgt.

De vlan's die doen het goed. Ik kan met elk systeem dat aan de managed switch hangt communiceren. Behalve nu dus niet meer van buiten met mijn android mobiel. Gisteren kon ik met mijn oude (niet goede) nas firewall instelling wel een openvpn verbinding opzetten met mijn nas.

Al mijn apparaten hebben een vast IP binnen een dhcp range. Zie screenshot van de router. Ik zie net dat ik voor de LAN-instellingen een ipv6-setup gebruik. Daar heb ik nooit bij stilgestaan.

[Babylonia]

Oh, nu valt me eigenlijk pas iets op bij die firewall regels, waar ik eerder overheen keek.   
Je maakt verschil voor die regels m.b.t. de "netwerk interfaces" waarvoor die gelden - dat kleine vakje / menu rechtsboven.
- Alle interfaces
- LAN
- VPN
- PPPoE

Zelf gebruik ik daarbij "Alle interfaces", waarop mijn firewall regels op zijn afgestemd (beter overzicht bovendien).
M.b.t. internet en van buitenaf een VPN connectie opbouwen,
geldt in ieder geval dat die regels bij "Alle interfaces" moeten zijn ondergebracht.

M.b.t.  je firewall regels bij de  "VPN" interface  ondergebracht geldt dat alleen voor een "uitgaande" VPN verbinding.
(Maar dat heb je wellicht niet eens in gebruik?)  Je ingevulde firewall regels voor die interface opgezet zijn derhalve echt helemaal fout.


Hier twee voorbeelden waar die "interfaces" bij het firewall menu betrekking op hebben:
(Omdat de VPN interface een uitgaande verbinding is, hebben binnenkomende firewall regels voor een VPN interface weinig zin).

1. = NAS DS420j  met één   "LAN" netwerkpoortje   +  DSM 7.2.1
       met een actieve VPN verbinding vanuit de NAS naar een commerciële VPN service  -  VPN server gelegen in Berlijn.

2. = NAS DS415+ met twee "LAN" netwerkpoortjes  +  DSM 6.2.4
       met een actieve VPN verbinding vanuit de NAS naar een VPN server van een kennis (vandaar naam afgeschermd).

1.         2.


Bij de  LAN interface  heb je dan de IP-bereiken voor je 4 VLAN netwerken opgenomen.
Maar het zou kunnen om dat beter onder te brengen bij  "alle interfaces"?   (Laat het voorlopig maar staan).
Dat komt mogelijk later eens een keer aan de orde bij meer uitgebreide informatie rondom je netwerk set-up. 
Zonder verdere informatie over die 4 netwerken die je zou gebruiken, valt ook hier weer weinig zinnigs over te vertellen.

Weet niet welke NAS apparaten je in gebruik hebt?
Maar doorgaans kun je per  "ethernet"  poort van een NAS slechts één "untagged" VLAN netwerk verbinden.
Heb je NAS modellen met meerdere (bijv. 2 of 4 stuks ??) ethernet poorten in gebruik? 
Zou je per ethernet poort met een ander (untagged) VLAN kunnen verbinden.

Evt. via een moeilijke set-up met SSH op "root" niveau kun je "per" ethernet poort wel voor meerdere VLAN's instellen:
https://techblik.nl/2021/02/10/synology-dsm7-vlan/


Verder zie ik een screenshot van een  "DrayTek" router - welk model?  (Ben zelf ook bekend met DrayTek routers).

Ik zie net dat ik voor de LAN-instellingen een ipv6-setup gebruik. Daar heb ik nooit bij stilgestaan.

Nee, de instellingen van het grote scherm "rechts" gelden nog steeds voor  IPv4.
Je zit "actief" bovenaan namelijk links op het tabblad   LAN ethernet TCP / IP DHCP Setup
Voor IPv6  zou je bovenaan het rechter tabblad moeten openklappen.

Je gebruikt voor de standaard netwerk indeling voor IPv4 overigens uiterst onhandige (en ongebruikelijke) netwerk instellingen.
Waarbij je voor de gateway  192.168.2.2  gebruikt?    Waarom??   Dat is "smeken" om vergissingen.
(De DHCP server is met de gegeven instellingen daarbij nu reeds in conflict / kloppen niet).


Verder:
Voor twee NAS apparaten binnen hetzelfde "thuis netwerk".
Hoef je slechts één VPN verbinding op te zetten om beide NAS-apparaten te kunnen bereiken.
(En elk ander netwerk apparaat in je netwerk).

Dus geen moeilijke set-up voor twee VPN verbindingen (waar je dan een afwijkende poort voor OpenVPN zou moeten configureren).

Overigens afhankelijk van het DrayTek router model zou je ook al direct op de router een VPN server kunnen activeren.
Er zijn diverse VPN protocollen beschikbaar.  Maar via een NAS is wellicht wat makkelijker m.b.t.  "Synology DDNS" gebruik.

Beide nassen hangen uiteindelijk aan een eigen router met switch....

Waarom wil je uiteindelijk met twee "eigen" routers gaan werken voor iedere aparte NAS??
Waarom extra moeilijke set-ups gaan opzetten, als het eenvoudig kan??


Met al dit soort basis perikelen m.b.t. netwerk instellingen.
Zou ik eigenlijk willen zeggen, koop eens een goed boek "Netwerk voor dummies" of vergelijkbaar.
Het gaat me echt te ver om alle basis beginselen van netwerken hier uitgebreid te moeten gaan behandelen.
Je hele set-up / configuratie rammelt van alle kanten.

[Lipo]

Ik ga jullie input bestuderen. Dank.

Het ligt wel aan mijn synology nas firewall. Als ik deze uitzet, dan doet vpnconnect op mijn android het wel.

Dus dat mijn setup rammelt is niet geheel waar. Op firewall gebied waarschijnlijk wel. Maar daarvoor heb ik jullie :-)

Het hele vlan-systeem met de vier netwerken werkt correct.

Mijn conclusie is dat ik een firewall moet leren instellen. Dat systeem moet ik nog doorkrijgen / leren snappen. Ik zal mijn best doen.

[Babylonia]

Dus dat mijn setup rammelt is niet geheel waar...

Die rammelt wel, want ik attendeer je telkenmale opnieuw op niet kloppende instellingen, vanuit de gegeven screen shots.
Ook in je DraytTek router.