Synology-Forum.nl
Packages => Officiële Packages => VPN Server => Topic gestart door: Predjee op 24 februari 2016, 15:23:23
-
Ha mensen, ik wil toch graag die VPN werkend krijgen en heb op het engelse forum ook een draadje lopen, heb het even gecopy pasted.. hoop dat iemand hier de oplossing weet.
Ik weet niet zo goed welke IP range ik moet invoeren. Ik zou persoonlijk zeggen, hetzelfde interne netwerk als waar de server aan hangt, maar dan krijg ik dus een foutmelding dat meldt dat deze interne range al gebruikt wordt op de LAN poort.
ik heb er dus maar 192.168.1.0 van gemaakt
Situatie:
synology nas 215+
Intern en extern bereikbaar
VPN settings:
(https://www.synology-forum.nl/proxy.php?request=http%3A%2F%2Foi64.tinypic.com%2F11kkv1h.jpg&hash=7cc623b67c9c7fbaf117a7b5d7e78eb413eb5063)
Firewall settings:
(https://www.synology-forum.nl/proxy.php?request=http%3A%2F%2Foi64.tinypic.com%2F25oxhg9.jpg&hash=beacf54071669c2fa7d35406080f2beb4b8b83e8)
Wanneer ik in windows 10, in de searchbalk vpn in voor, kom ik uit bij de VPN client instellingen.
Ik voer de details in (server ip, de IKE sleutel die ik heb ingesteld)
Wanneer ik probeer te connecten, wordt mij gevraagd een username en wachtwoord in te voeren. Ik denk dat hij de credentials bedoelt van een user die ik heb aangemaakt op de NAS, dus die voer ik ook in.
Daarna krijg ik deze foutmelding.
(https://www.synology-forum.nl/proxy.php?request=http%3A%2F%2Foi68.tinypic.com%2F9iz7mu.jpg&hash=07236cdeb2812f5e8ed3b756658103f11a4e5dd9)
Enig idee wat hier fout gaat?
Edit: router settings:
(https://www.mupload.nl/img/fzf9hmsdgmy.jpg)
-
Zet het er even neer in Nederlands.
Dit is een Nederlandstalig forum.
Heb je ook al geprobeerd met een ander device? Zoals een telefoon ofzo?
Heb zelf ook wel eens problemen gehad met Windows 8 en Windows 10 qua vpn connectie.
-
@Stephan296 was mij net voor :-)
Wat betreft het Dynamic IP address, gewoon standaard laten.
-
De ip range moet toch juist anders zijn dan de bestaande range waar de NAS onderdeel van uit maakt?
-
Dat is juist, maar mag ook geen onderdeel uitmaken van het remote netwerk.
IP/routeer conflicten voorkomen.
We hebben te maken met drie IP bereiken:
1. Het netwerk waar de VPN Server/DS in staat (local netwerk)
2. Het Dynamisch IP-adres van de VPN (tunnel adres)
3. Het remote netwerk van waaruit je verbind met een VPN cliënt (Telefoon, Laptop, Tablet, etc.)
Deze drie mogen niet in hetzelfde bereik zitten.
Omdat je eigenlijk bijna nooit invloed hebt op het IP-adres die je client van het remote netwerk (WiFi hotspot, LAN) krijgt, is het dus verstandig om het netwerk waar de VPN Server/DS in staat (local netwerk) alsook Dynamisch IP-adres (tunnel adres) ergens in het midden te kiezen.
Voor het local netwerk b.v.: 192.168.150.xxx (i.p.v. de standaard adressen die router fabrikanten gebruiken)
Voor het tunnel adres b.v.: 192.168.168.0
Zo wordt de kans dat het remote netwerk (WiFi hotspot, LAN), van waaruit je verbind, hetzelfde bereik gebruikt kleiner.
-
Bij de VPN client instellingen, waar hij vraagt om het externe IP.... daarachter hoef ik geen poort te zetten toch?
Dus gewoon alleen het externe ip dat aan de wan poort hangt?
Bij shared key, de key die ik in de NAS heb ingevoerd?
En bij username password, gewoon de user die ik onder users heb aangemaakt in de NAS..
tot zover correct toch?
Daarnaast, als je kijkt naar al mijn instellingen, staan deze ook goed toch?
Firewall staan de poorten open zoals je kunt zien. En op de router worden de poorten geforwarded naar het IP adres van de server...
Dus waar het fout gaat, geen id.
-
Heb je dit wel gelezen?
Wat betreft het Dynamic IP address, gewoon standaard laten.
En de reacties erna?
-
Daarom zeg ik probeer het eens met een ander device zoals een telefoon bv.
-
Zit gewoon in de 10 range weer idd.
10.0.0.0
-
Volgens mij zit ik erop met mijn iphone.
hij zegt iig verbonden.
hoe kan ik het verder checken? :D
Maarja, ik wil het natuurlijk niet werkend op mijn Iphone, maar op mijn PC ;P
-
Zoek even in je favoriete zoekmachine:
Wat is VPN?
-
Ik denk niet dat dat me veel verder gaat helpen. Ik weet wat VPN is, ik weet alleen niet hoe ik het configureer... althans. Volgens mijn iphone4 weet ik het wel, want die zegt verbonden ;-)
-
Staat die PC in hetzelfde netwerk als de DS?
-
Nee, ik heb 2 lijnen hier liggen. Ik zit nu 'extern' via een DSL.
die DSM zit op mijn kabel lijn.
-
Screen
-
Welke IP-range geeft de DSL router uit?
Welke IP-range geeft de kabel router uit?
-
De ip range moet toch juist anders zijn dan de bestaande range waar de NAS onderdeel van uit maakt?
Inderdaad
Dus staat t nu inmiddels goed
-
@MMD:
DSL gateway: 192.168.1.254/ extern: 188.202.xx.xx
Kabel gateway: 192.168.0.1/ extern: 92.111.109.xxx
nas zit op: 192.168.0.111
-
Wanneer ik ben ingelogd op VPN met mijn telefoon, zie ik in de nas ook dat er 1 connectie actief is.
Het begint er dus op te lijken dat het probleem zich niet in de instellingen ligt, maar op windows niveau.
-
Routeer conflicten heb je nu in ieder geval niet.
Dan lijkt het er inderdaad op dat je het in de Windows L2TP client moet zoeken.
Wat gebeurt er als je de firewall op die PC uitzet?
En wordt er in het log van Windows/L2TP client iets weergegeven?
Geen idee waar dat staat overigens want maak zelf geen gebruik van L2TP.
-
Het begint er dus op te lijken dat het probleem zich niet in de instellingen ligt, maar op windows niveau.
Denk dat je daar een punt hebt.
Ik heb ook wel eens zitten stoeien met L2TP/IPsec met Windows en heb het eigenlijk, voor zover ik mij kan herinneren, nooit aan de praat gekregen.
OpenVPN (aanrader) en PPTP (geen aanrader) waren een makkie :!:
-
@Predjee
Misschien heb je nog iets aan het onderste gedeelte van de volgende reactie < HIER > (http://www.synology-forum.nl/synology-router/vpn-verbinding-met-rt1900ac-als-vpn-server/msg173529/#msg173529)
-
Ik ben een manier aan het zoeken om de log te kunnen bekijken van de interne firewall.
Ik heb log.dat al gedownload vanaf de NAS, maar het lijkt erop dat die niet de firewall logged.
Ik wil het authenticatie proces bekijken (phase1/phase2) wanneer een client connectie probeerd te maken.
In de VPN Server log zie ik wel dat de client connect, maar er gaat dus ergens iets fout?
Iemand enig idee waar ik de firewall log vind?
Ik ga zo telnet opzetten zodat ik achter de shell kan kijken, maar ik heb echt 0 verstand van Linux.
-
Ik gok dat het vanaf je windows pc niet werkt omdat je windows pc zich in het interne LAN bevindt. En dan probeer je vanuit je interne LAN een VPN buitenom op te zetten, en dat gaat niet (en is bovendien nutteloos).
Aan de iPhone screenshot zie ik dat je via 3G verbonden bent,en dus wel vanaf remote een VPN opzet, en dat functioneert dus je instellingen staan correct.
-
Het lukt inderdaad echt alleen vanaf een externe locatie.
Bijv. laptop naar je buren meenemen en daar proberen (op diens LAN of WiFi netwerk).
-
Nee dat is niet waar.
Ik heb hier twee lijnen liggen. Dus technisch gezien is dat extern.
Ik ga inderdaad niet proberen VPN op te zetten als ik in hetzelfde netwerk zit ;-) Dat zou nooit gaan werken.
Maar heb het gisterenavond ook vanuit huis geprobeerd, en daar werkt het ook niet.
Daarom wil ik ook het IKE proces bekijken (phase1/phase2) Ik wil weten waar het precies fout gaat...
Enig idee hoe ik bij me firewall logs kom?
-
OK, als het maar verschillend is.
-
Mogelijke oplossing:
https://support.microsoft.com/nl-nl/kb/926179
-
Vraag:
Ik heb vpn werkend. Echter zit het bedrijfs netwerk in een 192.168 range, en de VPN server deelt uit in de 10.0 range.
Kan ik op 1 van de twee (router of nas) gewoon DHCP in dezelfde range pleuren?
Wat zijn de consequenties hier van?
Wat zou een andere oplossing zijn? Waarom routeerd de router dit ook niet gewoon?
groet
-
Je kan en mag ook in de VPN Server een IP-range van je eigen netwerk opgeven voor de client, je moet er alleen voor zorgen dat dit een range buiten de DHCP is en eventuele gereserveerde IP-adressen in de router.
De VPN-Server zal dan zelf uitdelen zoals DHCP ook doet.
Ik heb dat eens een keer getest en dat werkt gewoon.
-
Thanks!
-
Nou, ik heb het geprobeerd, alleen ik krijg de volgende foutmelding dan.
Ik kan ook in het laatste octet geen waarde invoeren.
Ik wil namelijk dat ie begint met uitdelen vanaf 150
dus
192.168.0.150 tot 254
Iemand een solution?
-
De melding lijkt me duidelijk.
Ik snap eigenlijk niet waarom je de reeds vóór ingestelde waarden die het VPN-server paket standaard "adviseert" niet hebt laten staan?
Die zijn al zodanig gekozen dat je niet (nauwelijks) conflicten zult tegenkomen. Wat was daar mis mee om het anders te doen?
Hoe minder dat je rommelt aan gegeven oplossingen, hoe minder kans op fouten.
-
Hoi Babylonia,
zoals ik al schreef:
bedrijf zit in 192.168
vpn zit in 10.0
wanneer ik dus inlog via VPN, kom ik in de 10.0 range en niet op het bedrijfsnetwerk.
Daardoor zie ik de server niet.
Dus het advies vanuit hier was: of de vpn server in het bedrijfs range plaatsen.
Tenzij jij me kan vertellen waarom de router dit niet gewoon routeerd, dat heb ik namelijk liever :-)
-
bedrijf zit in 192.168
vpn zit in 10.0
Je schermafdruk geeft een VPN IP tunnel-adres in het 192.168.0.x gebied niet in de 10.0.x.x range.
Na installatie van de VPN-server zijn de vóór ingestelde waarden bij mij voor de VPN-tunnel adressen:
Voor het PPTP protocol: 10.0.0.0
Voor Open VPN : 10.8.0.1
Voor het P2TP/IPSec : 10.2.0.0
(Die heb ik zo dus ook zo gewoon laten staan).
Gezien de gateways van de meeste routers meestal standaard staan ingesteld op 192.168.0.x, 192.168.1.x
en daar omtrent (bijv. KPN/Telfort 192.168.2.x )
Zijn 2 van de 3 gebruikte IP-ranges in ieder geval nooit met elkaar in conflict. Het LAN netwerk thuis, en de VPN-tunnel.
Apple gebruikers zouden dat echter nog wel extra na moeten kijken, omdat Apple routers typisch IP-range hebben in de 10.0.... reeks.
Echter ben je in de lobby van een hotel, bij kennissen, restaurant en je maakt daar gebruik van WiFi ,
grote kans dat je dan ook weer in die standaard IP-ranges zit van 192.168.x.....
Dat conflicteert dus al gauw met je eigen LAN netwerk thuis waar je nu net contact mee wilt maken.
Voor het bereik in hotel, restaurant etc. kun je echter niets veranderen.
Voor het netwerk thuis kun je dat wel.
Dus stel je gateway van je thuis LAN netwerk dan beter in bijv. in het gebied 192.192.100.1,
of psychologisch gezien "minder logisch" bijv. 192.192.75.1 of 192.192.99.1
Weet je bijna zeker dat je nooit in conflict zult komen met IP-ranges.
192.168.75.x voor je eigen LAN netwerk
10.2.0.x voor de VPN-tunnel
192.168.0 (1 of 2).x van het hotel, restaurant etc.
-
Ja, dat is allemaal mooi en aardig ;-)
Feit blijft dat als ik nu inlog op VPN, die macbook een adres krijgt in de 10.0.0.0 range van de VPN server.
De server staat op 192.168.0.111
ze zien elkaar dus niet. Logisch, want het zijn twee verschillende netwerken.
Ik moet dus of de VPN server in 192.168.0.0 range plaatsen
Of de router laten DHCP'en in de 10.0.0.0 range.
Of een manier zien te vinden om de router te laten routeren tussen die 2 ranges
either way, ik vind elke oplossing prima.
Maar zodra ik de VPN server wil laten toebedelen dan loop ik dus eerst tegen het probleem aan dat ik het laatste octet niet kan veranderen.. en twee, dat hij dus de foutmelding geeft die ik net liet zien.
Daar zoek ik dus een oplossing voor.
-
DSL gateway: 192.168.1.254
Kabel gateway: 192.168.0.1
nas zit op: 192.168.0.111 met VPN in 10.0.2.0/24
bedrijfs netwerk in een 192.168 range, en de VPN server deelt uit in de 10.0 range.
Wat is het bedrijfs netwerk, 192.168.0.0/24 of 192.168.1.0/24 ?
-
hoi MMD
het bedrijf zit op 192.168.0.0 / 24
De gateway op 192.168.0.1
De server op 192.168.0.111
VPN deelt uit op 10.0.0.0 / 8 (denk ik, want dat kan ik dus niet instellen) laatste octet is ook grayed out.
We hebben ook een ADSL backup lijn. Die doet niet meer mee. Die gebruik ik alleen om te simuleren om in een ander netwerk te zitten.
-
Dus als ik het goed begrijp bereik je 192.168.0.0/24 niet vanuit de VPN.
Geen idee of dat standaard zo zou moeten zijn of mogelijk is op de DS want ik heb geen ervaring met L2TP.
VPN deelt uit op 10.0.0.0 / 8 (denk ik
Alleen het derde octet is instelbaar, het blijft /24, b.v.: 10.0.1.0/24 of 10.0.2.0/24 enz.
Het subnet opdelen gaat dus niet, is onnodig en zou onnodig gecompliceerd zijn in dit geval.
Firewall op de DS al uit gehad?
Als het dan wel werkt geef je de 10.0.x.0/24 range vrij in de Firewall.
Waarom geen OpenVPN zoals reeds door @Birdy voorgesteld?
-
Nou, het probleem is dat de VPN ingesteld staat om een IP adres uit te delen in de 10.0.0.0 /24 range
En dat werkt gewoon prima... als ik connect naar de VPN server, krijg ik netjes een IP adres uit die range.
Echter... de router deelt uit in de 192.168.0.0 /24 range..
Dus elke user in het bedrijf, krijgt netjes een IP uit die range.
Dus kom je extern binnen. Dan kom je binnen op 10.0.0.12 bijv
Kom je intern binnen, nou dan snap je het al, dan krijg je 192.168.0.12 bijv.
Alleen, die server staat op 192.168.0.111
Die is dus nooit zichtbaar voor een externe user!
Nu wil ik het oplossen door die VPN server, ip adress te laten uitdelen in 192.168.0.0 /24 netwerk.
Alleen dan krijg ik dus die vage foutmelding (heb hem voor dezekerheid nog een keer erbij geplakt)
Het aller aller liefst, vind ik een manier om die router tussen deze twee netwerken te laten routeren. (misschien iets via een static line ofzo?)
-
Dit gelezen?
Firewall op de DS al uit gehad?
Als het dan wel werkt geef je de 10.0.x.0/24 range vrij in de Firewall.
En geprobeerd?
Nu wil ik het oplossen door die VPN server, ip adress te laten uitdelen in 192.168.0.0 /24 netwerk.
Alleen dan krijg ik dus die vage foutmelding
Nog maar een keer dan:
IP/routeer conflicten voorkomen.
We hebben te maken met drie IP bereiken:
1. Het netwerk waar de VPN Server/DS in staat (local netwerk)
2. Het Dynamisch IP-adres van de VPN (tunnel adres)
3. Het remote netwerk van waaruit je verbind met een VPN cliënt (Telefoon, Laptop, Tablet, etc.)
Deze drie mogen niet in hetzelfde bereik zitten.
Omdat je eigenlijk bijna nooit invloed hebt op het IP-adres die je client van het remote netwerk (WiFi hotspot, LAN) krijgt, is het dus verstandig om het netwerk waar de VPN Server/DS in staat (local netwerk) alsook Dynamisch IP-adres (tunnel adres) ergens in het midden te kiezen.
Voor het local netwerk b.v.: 192.168.150.xxx (i.p.v. de standaard adressen die router fabrikanten gebruiken)
Voor het tunnel adres b.v.: 192.168.168.0
Zo wordt de kans dat het remote netwerk (WiFi hotspot, LAN), van waaruit je verbind, hetzelfde bereik gebruikt kleiner.
Het subnet opdelen gaat dus niet, is onnodig en zou onnodig gecompliceerd zijn in dit geval.
-
Oke, of ik begrijp jou niet, of jij begrijpt mij niet ;-)
Op dit moment, zitten alle 3 de bereiken in een ander netwerk.
Er is dus geen conflict in het bereik. Er wordt ook niet gesubnet, want dat kan dus blijkbaar niet.
Waar wel een conflict is, is dat de server (statisch) in het ene netwerk staat, en de VPN server uitdeelt in het andere. En daartussen word dus blijkbaar niet gerouteerd.
Ik snap dus ook niet zo goed wat de firewall daarmee te maken heeft. Tenzij je bedoeld, dat er standaard wel gerouteerd zou moeten worden, en dat dus niet lukt omdat 1 van de ranges wordt geblokkeerd? (dat is mij dus ook niet helemaal duidelijk... Zou er per definitie wel automatisch moeten worden gerouteerd?)
Ik kan straks thuis op de firewall kijken, maar zover ik weet staan er maar 4 rules in op het moment, en die zijn alle vier voor port forwarding.
-
Oke, of ik begrijp jou niet, of jij begrijpt mij niet ;-)
Begrijp het wel, je wilt graag je LAN bereiken en niet alleen je DS.
Zoals geschreven heb ik geen ervaring met L2TP, vandaar het voorstel de Firewall eens uit te zetten.
Tenzij je bedoeld, dat er standaard wel gerouteerd zou moeten worden
Geen idee of dat standaard zo zou moeten zijn of mogelijk is op de DS want ik heb geen ervaring met L2TP
Waar wel een conflict is, is dat de server (statisch) in het ene netwerk staat, en de VPN server uitdeelt in het andere. En daartussen word dus blijkbaar niet gerouteerd
Niet echt een conflict, zo lijkt te blijken uit de help van DSM. Je moet blijkbaar op de client tijdens de verbinding een andere Gateway selecteren, "Use default Gateway on remote network".
https://www.synology.com/en-us/knowledgebase/DSM/tutorial/Application/How_to_connect_to_Synology_s_VPN_Server_using_a_Windows_PC_or_Mac#t4
Probeer dat eens.
-
Ik ga er maandag op het werk naar kijken, maar het klinkt inderdaad logisch! de gateway moet in de 10 range staan dan inderdaad.
Thanks! ik denk bijna zeker dat dit inderdaad de oplossing is!
-
Hi Gents,
ik ben even een tijdje afwezig geweest en kan nu weer verder werken aan ons servertje.
Ik heb dit topic doorgelezen maar heb geen flauw idee wat ik toen allemaal in mijn hoofd had.
In ieder geval. Ik kan nu connecten naar mijn VPN server.
Ik heb 2 netwerken.
De server staat in: 192.168.0.111
De gateway is: 192.168.0.1
Wanneer ik vanaf een ander netwerk naar het publieke IP adres van de server connect via VPN, dan komt deze netjes binnen.
De device krijgt dan een eigen IP adres toegekend in de 10.0.0.0 range (respectievelijk 10.0.0.1)
Oke. We zijn dus connected, nu moeten we alleen routeren tussen die twee verschillende netwerken (192.168.0.0 versus 10.0.0.0)
Hoe doe ik dat precies?
Ik heb de link van bovestaand bericht doorgelezen (van de synology site) maar die helpt me niet echt verder.
Omdat de server natuurlijk op 192.168.0.111 staat, kan ik deze niet zien vanaf het netwerk 10.0.0.1
Ernaartoe connecten lukt dus nog niet echt.
Het probleem is (denk ik, wat ik uit bovenstaande haal) is dat de default gateway van de VPN verbinding verkeerd staat.
Maar ik zie (op mac iig) niet echt een optie om die te veranderen.
-
Die 10.0.0.* zijn maar virtuele adressen, je zou gewoon 192.168.0.111 moeten kunnen bereiken.
Zelf heb ik OpenVPN connecties en kan mijn apparatuur op m'n LAN gewoon bereiken op hun eigen IP-adressen.
Als je een verbinding hebt, kan je dan 192.168.0.111 niet pingen ?
-
Nee, lukt niet.
Ik kan wel naar buiten toe pingen.
Ik kan ook onderling pingen tussen devices die op het VPN binnen zijn gekomen.
Wat ik ook niet begrijp is: ik ben connected met VPN in de 10.0.0.0 range.
Maar als default gateway gebruikt hij nog steeds 192.168.1.254 (dat is de gateway van het netwerk waaruit ik kom, niet te verwarren met 192.168.0.111 waar de server staat!!)
Maar het is ook wel logisch toch dat het niet werkt... twee verschillende interne netwerken. Daartussen moet ook gewoon gerouteerd worden door een router.
Dus er zou toch een soort van gateway moeten zijn in de 10.0.0.0 range? En niet via 192.168.1.254
-
Dat zou je denken maar zo werkt het niet.
Wel vreemd dat je via de gateway wel naar buiten kunt pingen maar de NAS niet?
Toch iets met de firewall?
-
Zoals in te zien in het plaatje.
Ik zit in 10.0.0.0
Mijn gateway in 192.168.1.254
Dat kan toch niet kloppen :D
-
Dat zou je denken maar zo werkt het niet.
Wel vreemd dat je via de gateway wel naar buiten kunt pingen maar de NAS niet?
Toch iets met de firewall?
Is dat echt zo heel vreemd?
Ik wil vanuit 10.0.0.0 naar buiten toe. Dat lukt, want dat gaat via de gateway op 192.168.1.254 wat tevens de gateway is van het interne netwerk, waarop mijn publiekelijke interface zit (KPN lijn)
Vervolgens wil ik naar 192.168.0.111 toe.
Dit is een intern netwerk, wat weer op een andere publiekelijke interface zit (ZIGGO LIJN)
Ik kan wel naar dat publieke ip adress pingen, maar dus niet naar het interne IP adres. (wat logisch is) Echter, dat willen we via VPN fixen, door in te loggen op het bedrijfs netwerk.
Nou dat gaat prima. Ik zit op 10.0.0.0, maar daar staat de server niet. Die staat in 192.168.0.0
Dus tussen 10.0.0.0 en 192.168.0.0 moet er gerouteerd worden dan toch.
Overigens, VPN ip range veranderen in 192.168.0.0 geeft een foutmelding dat dat IP adres al wordt gebruikt voor een andere interface. Dat gaat dus niet werken :(
Op de firewall van de NAS staat niks ingesteld.
Op de firewall van de router alleen port forwarding rules.
er wordt dus niks geblokt.
-
Je draait de VPN server niet op de NAS met 192.168.0.111?
Ik had het zo wel begrepen.
-
Hi Robert,
nee. Het zit als volgt in elkaar:
92.111.109.xxx ----> 192.168.0.0-----> NAS (192.168.0.111) <----- VPN 10.0.0.0
Dus hoe routeer ik vanaf 10.0.0.0 naar 192.168.0.0
-
Van wat ik begrijp wat je hebt ingesteld:
- 92.111.109.xxx is je WAN IP adres (het IP-adres van de internet connectie)
- 192.168.0.x de Gateway van het interne LAN ----> géén handig ingestelde Gateway m.b.t. VPN
- 192.168.0.111 het LAN IP-adres van de NAS waarop de VPN-server draait
- 10.0.0.x de virtuele IP-Gateway waaronder de VPN-tunnel wordt opgebouwd ----> idem géén handig ingestelde Gateway m.b.t. VPN
De opmerking in blauw, waarom dat géén handig ingestelde Gateways zijn.
Als je van een externe locatie wilt inloggen op je eigen LAN, en toevallig het WiFi netwerk waar je je op dat moment bevindt, staat eveneens op de veel gebruikte "standaard" gateway 192.168.0.x ingesteld, kom je in conflict, omdat voor twee verschillende locaties twee "dezelfde LAN IP gateways" worden gebruikt.
De IP 10.0.0.x Gateway of daar net 1-2 sub-net nummertjes van afwijkend, wordt typisch vaak bij Apple gebruikt.
Ben je toevallig op een locatie waarbij juist die IP 10.0.0.x Gateway wordt gebruikt, loop je ook daarmee vast.
Aan de IP Gateways van apparatuur waar je op dat moment gebruik van maakt (bij vrienden, kennissen, hotel, restaurant etc.) kun jezelf niets aan veranderen. Is dat toevallig in conflict met de IP Gateways die jezelf thuis gebruikt kun je dus geen VPN-connectie opbouwen.
Om zo min mogelijk risico te lopen, dat je vastloopt in conflicten van IP Gateways, altijd het advies om voor de eigen IP Gateways combinaties te kiezen die waarschijnlijk weinig / niet door anderen als "standaard" gekozen zijn.
Dus kies voor je eigen IP gateways die je thuis gebruikt bijvoorbeeld:
- 192.168.125.x -----------------------> de Gateway van het interne LAN
daaruit volgt dan 192.168.125.111 als het LAN IP-adres van de NAS waarop de VPN-server draait
- 10.0.125.x -----------------------> de virtuele IP-Gateway waaronder de VPN-tunnel wordt opgebouwd
Verder routeer je niets binnen de virtuele 10.0.125.x IP gateway waaronder de VPN-tunnel wordt opgebouwd.
Dat is enkele een virtueel IP-bereik wat nodig is om een VPN-connectie te kunnen opbouwen. Verder doe je er niets mee.
-
He babylon, ik snap je punt.
Maar dat verklaard toch niet waarom het nu niet werkt?
Ik snap dat het conflicten KAN opleveren, maar dat doet het nu niet.
Ik snap gewoon niet waarom de VPN server uitdeeld in de 10. range, maar vervolgens "zichzelf' niet kan zien, omdat hij in een ander subnet zit. (192.168)
Als ik hem instel zoals jij zegt: krijg ik namelijk hetzelfde probleem. De server staat dan in 10.0.125 en de nas in 192.168.125.111
Nog steeds twee verschillende netwerken/subnetten.
De enige oplossing die ik zie is alles in hetzelfde netwerk/subnet plaatsen. Maar dat zie ik niet zitten (last resort)
-
Ik snap gewoon niet waarom de VPN server uitdeeld in de 10. range, maar vervolgens "zichzelf' niet kan zien, omdat hij in een ander subnet zit. (192.168)
Is al diverse keren door diverse mensen aangehaald:
Je routeert niets binnen de virtuele 10.0.125.x IP gateway waaronder de VPN-tunnel wordt opgebouwd.
Dat is enkel een virtueel IP-bereik wat nodig is om een VPN-connectie te kunnen opbouwen. Verder doe je er niets mee.
In de zin dat je er iets "zichtbaars" mee kunt doen. (Je moet het echter wel in Firewall regels opnemen om te kunnen gebruiken).
Dus wat wil je er "zichtbaar iets" mee doen dan waar het alleen voor wordt gebruikt om een VPN-tunnel mee op te bouwen?
Als een VPN-connectie is opgebouwd met je LAN thuis, doe je alles met de IP gateway en de IP-adressen van je apparatuur van het LAN thuis.
-
Nou mensen, ik heb de oplossing gevonden hoor ;-)
Je moet connecten naar 10.0.0.0:5001
inplaats van naar 192.168.0.111:5001 zoals ik steeds probeer
Dit geldt alleen als je extern via VPN erop wilt.
-
Hm...merkwaardig hoor, ik gebruik gewoon m'n interne IP-adressen als ik OpenVPN connectie heb.
Moet er wel bij zeggen, dat ik OpenVPN gebruik van m'n Router.
-
Het is eigenlijk wel logisch. Dit is wat synology mij zelf stuurde
'Once you have already connected to the VPN server, you should fill in the server address (10.0.0.0:5001) to connect your DSM, not (192.168.0.111:5001).
You are already in the different LAN. So you cannot access (192.168.0.111:5001) to your DSM.
het is eigenlijk precies wat ik zelf al aangaf. Je zit in een heel ander LAN, dus moet er OF gerouteerd worden, of deze oplossing dus, waarbij je connect naar de server zelf.
Maar ik wist niet dat dat kon (is voor het eerst dat ik een VPN opzet)
-
VPN is niets anders dan een uitbreiding van je LAN naar buiten toe, externe client.
Als ik thuis werk maak ik ook een VPN verbinding en kan alle Servers gewoon bereiken met hun interne IP-adressen of op Server naam.
Het zou ook wat zijn als je ~100 Servers hebt die je zou moet bereiken met 10.0.0.* adressen.....hoe moet je daar nu achter komen...
Het adres die VPN geeft is dan ook gewoon een virtueel adres.
Hier mijn privé client, misschien kan je vergelijken:
client
dev tun
proto udp
remote <Extern IP Router> 1194
float
comp-lzo adaptive
keepalive 15 60
auth-user-pass
ns-cert-type server
<ca>
-----BEGIN CERTIFICATE-----
<CERTIFICATE>
-----END CERTIFICATE-----
</ca>
<cert>
-----BEGIN CERTIFICATE-----
<CERTIFICATE>
-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----
<PRIVATE KEY>
-----END PRIVATE KEY-----
</key>
resolv-retry infinite
nobind
-
Vreemd.
Bij mij werkt het wel gewoon, kan mijn NAS via die twee ip adressen gewoon benaderen.
-
Overigens, ook een optie.....je kunt ook in VPN de 10.0.0.* range wijzigen naar een interne adressen range, b.v. 192.168.0.245-250 echter, deze mogen dus niet in je DHCP range zitten.
Heb het wel eens getest en dat werkt ook.
-
Heeft het misschien te maken met welk type VPN je werkt?
Ik gebruik IPSEC L2TP
-
Net ook geprobeerd via OpenVPN met de twee IP gateways, éénmaal met het originele LAN IP-adres, éénmaal met het virtuele VPN IP-adres.
Kom in beide gevallen in de gebruiksinterface van in --mijn geval-- de Synology router waarop ik de VPN-server heb draaien.
L2TP/IPSec zou niet uit moeten maken, want ook die gebruik ik wel eens, met in dat geval altijd het originele LAN IP-adres.
Heb dat (via mijn smartphone) nu tevens geprobeerd met het virtuele VPN IP-adres, en kom er ook daar mee in.
Nooit geweten dat er twee mogelijkheden waren.
Houd het standaard echter toch maar bij de "normale" LAN IP-adressen om in te zetten, is logischer.