Synology-Forum.nl
Packages => Officiële Packages => VPN Server => Topic gestart door: Boertje op 14 augustus 2013, 23:02:42
-
Mijn installatie thuis bestaat uit een Ziggo aansluiting met een UBEE3200 modem router. Het WiFi deel van de router gebruik ik niet en staat uitgeschakeld. ( De WiFi hotspot functie van de router blijft echter wel actief!) . Achter de router heb ik een bedraade verbinding naar een switch waarop ondermeer mijn Synology DS112 staat aangesloten.
Omdat ik ook van een andere locatie mijn DS112 wil kunnen benaderen ( Ook de DSM ) ben ik aan het experimenteren gegaan met een VPN verbinding. Omdat ik de standaard aanwezige VPN cliënt in Windows 7 wilde gebruiken, ben ik begonnen met het opzetten van een PPTP verbinding. Dat lukte niet en het bleek dat er veel problemen worden gemeld, ook op dit forum, met het opzetten van een PPTP VPN via het Ziggo netwerk/router.
Vervolgens heb ik OpenVPN geprobeerd. Hierbij lukt het wel om een VPN verbinding op te zetten, maar de verbinding met de webinterface van de DSM lukt niet (net zo min als die van de UBEE,net zo min als die van mijn switch (DD-WRT), vreemd is wel dat ik de webinterface van een Belkin access-point wel kan bereiken!? ).
Omdat het niet mogelijk is om een OpenVPN cliënt te installeren op mijn PC op het werk, valt openVPN eigenlijk af….blijft L2TP/IPSec over. Deze optie wordt onder DSM 4.3beta ondersteund. Vervolgens heb ik de beta DSM 4.3 gedownload en de VPN applicatie bijgewerkt naar de laatste versie. In deze versie is het mogelijk een L2TP/IPSec VPN verbinding op te zetten. Bij het maken van de verbinding krijg ik echter steeds een foutmelding, zie onderstaand plaatje
(https://www.synology-forum.nl/proxy.php?request=http%3A%2F%2Fpostimage.org%2Fimage%2Ft6nqc2rz1%2F&hash=5956d0dcee302ea2f3d1284870afa26d5653b3b0)
De poorten die noodzakelijk zijn voor het doorlaten van het L2TP/IPSec verkeer heb ik geforward naar de DS112. Om te kijken of het probleem in de firewall zit heb ik de DS112 tijdelijk in de DMZ van de UBee modem/router gezet, dit maakte ook geen verschil. Daar zal het probleem dus niet in zitten, of zie ik iets over het hoofd?
Ook het kiezen van een andere verificatie methode PAP ipv MS-CHAP V2 maakt geen verschil.
De VPN server van Synology kent weinig instellingen. Het protocol kent echter vele instellingen zie bijvoorbeeld http://technet.microsoft.com/nl-nl/library/cc784994(v=ws.10).aspx Ik verdenk toch dat er iets niet goed gaat in het proces, wat blijkt uit de foutmelding. Is dit een bug of is er iets anders aan de hand?
-
Ik heb dezelfde Ubee en daar lukt het wel mee (PPTP wordt door iets in de Ubee geblokkeerd).
Je kunt het beste enig probleem in de router uitsluiten door van binnen je eigen netwerk een VPN richting IP van je nas op te zetten. Als dat al niet lukt, zit er iets fout in de protocol instellingen. Over de precieze instellingen kan ik niet veel zeggen omdat ik op een iMac werk en de windows en opties daar vast, net iets anders zijn.
Let wel, met de Ubee kun je niet vanuit je eigen netwerk een vpn opzetten naar je publieke ip. Wat wel lukt is om een externe inlog te simuleren door op je eigen WifiSpot in te loggen en van daaruit een vpn op te zetten.
-
... Let wel, met de Ubee kun je niet vanuit je eigen netwerk een vpn opzetten naar je publieke ip. Wat wel lukt is om een externe inlog te simuleren door op je eigen WifiSpot in te loggen en van daaruit een vpn op te zetten.
Dat is een leuke manier om een NAT loopback probleem te omzeilen.
Is dat ook een beetje snel, als je langs die weg met "jezelf" verbindt? :?:
-
Is dat ook een beetje snel, als je langs die weg met "jezelf" verbindt? :?:
Nee, het is ook gewoon traag. (max 3 Mbps van de hotspot) Ik kan me niet voorstellen dat de Ubee een uitzondering maakt als je op je eigen WifiSpot zit. Het data verkeer zal dan ook via de WifiSpot naar de Ziggo server gaan en vandaar weer terug naar je Ubee. Dus waarschijnlijk dezelfde snelheid als elke andere Wiifispot in Nederland.
Maar wel verdomd handig om thuis een externe inlog te testen omdat ik geen G3 internet tot mijn beschikking heb. :lol:
Bij forwardings ondersteunt de Ubee wel loopbacks, maar niet bij VPN. Mijn airport ondersteunt in beide situaties loopback. Dus lekker handig als je ervaringen van de ene router bij de andere gaat gebruiken.
PS: Voor de aardigheid eens getest: Down 2.63 Mbps, Up 0.87 Mbps, ping 46 sec.
Maar hier inloggen en wat editen gaat nauwlijks anders dan regulier. :P
-
Als je met de Windows VPN client een L2TP/IPSEC VPN server achter een router met NAT wil benaderen moet je in Windows een registry-instelling toevoegen.
Zie deze link: http://support.microsoft.com/kb/926179
De waarde die je moet gebruiken is 2.
Het is een document voor Windows Vista maar het geldt ook voor de nieuwere Windows versies.
-
Als je met de Windows VPN client een L2TP/IPSEC VPN server achter een router met NAT wil benaderen moet je in Windows een registry-instelling toevoegen. ...
Iemand ervaring met ShrewSoft (https://www.shrew.net/) als client voor een L2TP/IPsec VPN verbinding naar je Syno?
ShrewSoft is voor mij de Windows en Linux/BSD client bij uitstek voor IPsec verbindingen naar de VPN server in mijn Fritz!Box router.
Werkt in die setup probleemloos op meerdere PC's voor (gelijktijdige) IPsec VPN verbindingen.
-
zucht...de tip van Hofstede heeft ook niet geholpen....
Volgens mij zit er iets niet lekker in de gebruikte poorten. Een poortscan op de L2TP/IPsec poorten 500,1701 en 4500 geeft aan: gesloten.
Zelfs als de Synology tijdelijk in de DMZ wordt gezet van de router krijg ik hetzelfde resultaat.
De firewall van de Synology staat op alles accepteren...ik snap het niet meer :evil:
Het lijkt er toch op dat deze poorten door Ziggo cq de router geblokkeerd worden....
-
Werkt het wel als je op je interne netwerk een VPN verbinding opbouwt met het interne IP adres van je NAS?
-
Ik heb op het ziggo-gebruikers.nl (http://ziggo-gebruikers.nl) gelezen dat de firewall in het modem/router ook nog wel eens roet in het eten wil gooien
Mogenlijk staat deze te hoog ingesteld
-
Ik heb op het ziggo-gebruikers.nl (http://ziggo-gebruikers.nl) gelezen dat de firewall in het modem/router ook nog wel eens roet in het eten wil gooien.
Behalve dan dat de meeste meldingen daar van mensen komen die er geen verstand van hebben en bij alle problemen de schuld bij de firewall leggen. Ik heb ook de Ziggo Ubee 3200 router, heb de firewall op de hoogste stand staan, ben nu ingelogd op de WifiSpot en vandaar via VPN weer op mijn eigen netwerk ingelogd terwijl ik dit type.
De firewall blokkeert alleen poorten die van binnen naar buiten geopend willen worden. Ingaand hoeft ook niet omdat daar de NAT firewall zit die default al alles tegenhoudt. De geforwarde poorten kun je altijd gebruiken, ongeacht de firewall settings. :lol:
Ik zou dus eerst eens rechtstreeks op je nas inloggen zodat de router niet in je keten zit. Dan kun je dat uitsluiten als storingsbron.
Heb je wel goed geforward? Als extern IP moet je 0.0.0.0 invullen (dat staat er al bij default). Als daar een IP ingevuld wordt, kun je er alleen vanaf dat bron IP inkomen.
-
Nou je het zegt die poort fwd kan ook nog wel eens niet goed zijn was bij ons ook zo
Maar we kregen wel het goede antwoord
Zie Port forwarding (http://ziggo-gebruikers.nl/forum/showthread.php?t=44507)
-
Ik zou dus eerst eens rechtstreeks op je nas inloggen zodat de router niet in je keten zit. Dan kun je dat uitsluiten als storingsbron.
Rechtstreeks vanaf het interne netwerk naar de nas lukt de L2TP/IPsec VPN verbinding wel. Vandaar dat mijn aandacht zich op de router cq Ziggo richt
Heb je wel goed geforward? Als extern IP moet je 0.0.0.0 invullen (dat staat er al bij default). Als daar een IP ingevuld wordt, kun je er alleen vanaf dat bron IP inkomen.
Ik ben er vrij zeker van dat ik goed heb geforward. Ik had om dat te testen even poort 5000 geforward. Via de Wifispot van Ziggo kon ik toen gewoon de webinterface van de nas benaderen.
De firewall settings van de nas staan op alle verbindingen toestaan, dat kan het dus eigenlijk ook niet zijn...
Voor de volledigheid hier nog even de forward settings en de resultaten van de poortscan:
-
Wat gebruikt jij een rare local ipnummer ik verwacht eerder iets van 192.168.178.xxx
-
Valt wel mee hoor, de door mij gebruikte range is gewoon een standaard range voor pive netwerken, zie IP range private network (http://en.wikipedia.org/wiki/Private_network)
-
Geen garantie, maar misschien het proberen waard:
Ik zie dat je bij de port-forwarding voor alle drie forwards exact dezelfde omschrijving hebt gebruikt. Sommige routers gaan daarmee de fout in. Geef ze eens alle drie een andere omschrijving?
Overigens levert enig zoekwerk met Google als resultaat dat er veel meer mensen dit probleem hebben. Het lijkt er op dat er een bug in de Ubee modem zit, waardoor hij, ondanks dat je de poorten vrijgeeft, de poorten voor IPSEC toch blijft blokken. Hetzelfde wat jij ook ziet. Helaas is er niemand met een directe oplossing. Een complexe oplossing zou zijn om Ziggo de routerfunctionaliteit uit te laten schakelen en er een andere router achter te plaatsen.
-
Voor de volledigheid hier nog even de forward settings en de resultaten van de poortscan:
Als rechtstreeks inloggen wel lukt, dan zal het inderdaad in de router zitten. Ik gebruik echter dezelfde router (Ubee EVW 3200) en bij mij lukt het wel. En je forwardings zijn goed ingesteld. Ik heb bijna hetzelfde. Ik heb ze alle 3 echter op UDP only staan en niet op both, maar dat zou niets moeten uitmaken. Ook ik gebruik 3x exact dezelfde omschrijving.
Die poortscans begrijp ik ook niet helemaal. Als ik die poorten scan met http://www.canyouseeme.org dan krijg ik ook timeouts op die poorten en de melding dat ze dicht zitten. Toch weet ik dat ik een vpn kan opzetten. Het lijkt erop dat de nas die poorten standaard dicht houdt, totdat er via een 4e poort een opdracht komt om vpn te activeren. Andere poorten die naar de nas geforward zijn, staan wel open volgens die tool.
In de router heb ik verder bij Gateway->Options alles aan staan, behalve WAN-blocking en UPnP.
Op de firewall pagina heb ik alle opties aangevinkt behalve de IP flood detection.
De in de router ingebouwde VPN ipsec heb ik helemaal uit staan.
Jij moet ook firmware 9.9.5011 hebben.
Het enige verschil zou nog kunnen zijn dat er twee hardware versies zijn: 3.9.2 en 4.x.x Ik heb de eerste, maar dit mogelijke verschil lijkt me erg ver gezocht.
-
Das allemaal leuk en aardig maar als ik poort 93 scan met http://www.canyouseeme.org dan geeft deze bij mij ook aan dat deze niet bereikbaar is terwijl poort 93 udp gewoon open staat
Ik denk dat hij alleen TCP poorten scan't
-
Dat zou inderdaad dingen verklaren omdat ik het inderdaad vreemd vond dat de verbinding op te zetten is, als ze alle drie initieel dicht zitten. En ook als je ze in de router beide open zet, in de NAS staat alleen UDP open zodat die poortscan van mij en van Boertje dichte poorten ziet.
Beide poortscans zijn dus onbetrouwbaar omdat ze niet vermelden alleen TCP te checken. :lol:
-
Ik heb op het internet verder gezocht, maar vond geen enkele tool die aangeeft dat de poorten open zijn.
Vervolgens heb ik met het netwerk hulp programma, dat op elke mac staat, alle poorten van de nas gescand t.e.m. poort 5010:
portscan is gestart…
Port Scanning host: 10.0.1.30
Open TCP Port: 21 ftp
Open TCP Port: 22 ssh
Open TCP Port: 53 domain
Open TCP Port: 80 http
Open TCP Port: 111 sunrpc
Open TCP Port: 139 netbios-ssn
Open TCP Port: 161 snmp
Open TCP Port: 443 https
Open TCP Port: 445 microsoft-ds
Open TCP Port: 515 printer
Open TCP Port: 548 afpovertcp
Open TCP Port: 631 ipp
Open TCP Port: 892
Open TCP Port: 1723 pptp
Open TCP Port: 2049 nfsd
Open TCP Port: 3306 mysql
Open TCP Port: 3689 daap
Open TCP Port: 5000 commplex-main
Open TCP Port: 5001 commplex-link
Open TCP Port: 5005 avt-profile-2
Open TCP Port: 5006 wsm-server
portscan is voltooid…
Blijkbaar slaat zelfs deze de UDP poorten over. :S
En in de firewall staan de drie VPN L2TP poorten echt als open ingesteld. Conclusie: een falende poortscan zegt niets over deze poorten. :P
-
In de router heb ik verder bij Gateway->Options alles aan staan, behalve WAN-blocking en UPnP.
Op de firewall pagina heb ik alle opties aangevinkt behalve de IP flood detection.
De in de router ingebouwde VPN ipsec heb ik helemaal uit staan.
Jij moet ook firmware 9.9.5011 hebben.
Het enige verschil zou nog kunnen zijn dat er twee hardware versies zijn: 3.9.2 en 4.x.x Ik heb de eerste, maar dit mogelijke verschil lijkt me erg ver gezocht.
Wij hebben allebei exact hetzelfde qua hardware versie, softwareversie en instellingen volgens mij. Ik heb de firewall instelling op low staan.
Ik heb gegoogled en diverse on- en ofline poortscanners gevonden die op UDP checken...Maar ook daarvan kreeg ik in bijna alle gevallen gesloten poorten 500, 1701 en 4500. Google leerde al dat UDP poort scans niet even betrouwbaar zijn.
Er is echter één online poortscanner (http://pentest-tools.com/?p=tool&c=1&s=2#) die een afwijkend beeld gaf:
500/udp closed isakmp
1701/udp open|filtered L2TP
4500/udp open|filtered nat-t-ike
Het lijkt erop dat poort 500 bij mij dus de boosdoener is ::). Ik denk dat de enige oplossing is om een eigen router te gebruiken en de ubee in bridge mode te laten zetten :x.
-
Die had ik ook al getest maar als ik daar een poort ingeef die ik niet open heb staan geeft hij vrolijk aan dat deze wel open staat
Mijn ervaring is dat deze dus ook niet goed werkt
Starting Nmap 6.00 ( http://nmap.org ) at 2013-09-02 23:59 EEST
Nmap scan report for 94.211.202.122
Host is up.
PORT STATE SERVICE
90/udp open|filtered dnsix
Nmap done: 1 IP address (1 host up) scanned in 0.22 seconds
Query finished [2013-09-02 23:59:47]
-
IPSec Windows 7 standaard client werkend.
In het artikel van Microsoft KB926179 wordt verteld dat je een registry aanpassing moet onder onder
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec. Dit is nog niet de oplossing geweest bij mij.
Ik vond een andere registry setting op http://nl.giganews.com/support/vyprvpn/vpn-setup/windows-7/l2tp.html
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Toevoegen D-Word 32bit "AssumeUDPEncapsulationContextOnSendRule" Waarde 2.
Pc herstarten en IPSec bij mij werkend.
Suc6
-
In verband met drukte en het feit dat ik het even niet meer wist had ik de pogingen gestaakt om de L2TP/IPsec verbinding tot stand te brengen.
Afgelopen dagen toch maar weer eens geprobeerd. Ik begon eerst met het forwarden van de poorten in de router:
500, 1701 en 4500 (allemaal UDP protocol). Dit was noodzakelijk omdat Ziggo het modem een maand of wat heeft geupdate en daardoor waren alle settings veranderd. (Hier kwam ik pas achter toen ik mijn draadloze netwerk printer en de NAS niet meer kon benaderen :x ) Destijds had ik alles ingesteld zoals ik het wilde hebben, maar niet aan de VPN gedacht)
Dus poorten geforward, instellingen in de VPS server gechecked. Via Ziggo hotspots verbinding gemaakt en vervolgens de VPN opgezet naar mijn NAS. En wat bleek.....direct een VPN verbinding 8).
Waarschijnlijk was het dus toch iets in de firmware van de UBEE modem/router die de verbinding tegen hield (zelf denk ik dat een setting in de firewall de boosdoener was...)
Nu kan ik eea verder gaan inregelen.
Voor de volledigheid vermeld ik nog even de huidige hardware en software versies van de UBEE:
Hardware Version 3.9.2
Software Version 9.9.5012
-
Ik heb de VPN werkend met pptp op ziggo.
ik heb de router zo ingesteld dat ik de ip range 192.168.0.1 gebruik voor de gateway.
dat is niet nodig maar zo heb ik het nu staan.
1 Als eerste log in op je router. Ik vul in 192.168.0.1 en vul dan mijn ziggo naam en wachtwoord.
Neem je Wanip adres even over(heb je nodig om in te loggen van buitenaf)
Je ziet ook meteen je Lan IP adres staan. Die kan je aanpassen. Let op in sommige gevallen moet je dan eerst even DHCP uitzetten en dan wijzigen en dan weer aanzetten.
2 ga naar geavanceerde instellingen. Druk op security rn ga naar VPN Passthrough. Zet PPTP op enable.
3 ga naar application & Gaming en dan naar port range forwarding. Vul in bij start port 1723 en ook bij end port en selecteer TCP bij protocol. (in totaal heb je dus op 1 regel 4x 1723 staan en druk op enable) het ip adres is het ip adres van je synology. Bij mij een vast IP adres. in mijn geval 192.168.0.13
Alle instellingen opslaan.
4 ga naar administration en dan naar device restart en herstart je modem. (je kan hem ook aan en uit zetten)
5 Login op je Synology
ik gebruik dus 192.168.0.13:5000 en vul mijn naam en wachtwoord in.
6 Ga naar control pannel --> netwerk. Op eerste tablad staat je default gateway waarschijnlijk al op 192.168.0.1 anders daar op instellen.
7 zorg er dan ook voor dat je een fixed ip adres heb ingesteld voor je synology.
8 ga nu uit dit menu en ga naar package center. Installeer VPN server.
9 ga uit dit menu en open VPN server (de applicatie is nu bijgevoegd onderin je applicaties
10 druk onder settings op PPTP: enable PPTP VPN en vul bijvoorbeeld in 10.0.0.0. overige onderdelen niet wijzigen. Dus MS-Chap V2 en encryption is (40/128 bit)
11 zorg dat bij Privilege je admin in ieder geval aangevinkt staat on pptp.
Eigenlijk ben je nu al klaar maar even een handige truc om zelfde iprange te genereren als je overige netwerk i.p.v. 10.0.0.0 wil je de range 192.168.0.x gebruiken. Dit kan niet onder pptp dus moet je je instellingen opslaan en dan even het volgende doen.
12 download WinSCP. zorg vervolgen dat je in menu synology eerst naar control panel gaat en dan naar Terminal & SNMP. Zet de vinkjes onder terminal aan en selecteer poort 22.
13 login via WinSCP (vul je ip adres in van je synology (bij mij dus weer 192.168.0.13) en je naam en admin wachtwoord.
14 ga naar de directory /usr/syno/etc/packages/VPNCenter/pptp en druk met je rechtermuis op pptpd.conf en op edit
je ziet nu je local ip en je remote ip staan. Dit gaan we nu aanpassen naar onze range.
15 vul in bij local ip 192.168.0.50 (kan ook ander ip zijn maar een ip dat je waarschijnlijk niet gebruikt)
verander remoteip in 192.168.0.40-49 (kan ook andere range zijn maar je geeft nu aan dat iemand met een vpn het ip 192.168.0.40 krijgt en de volgende 192.168.0.41 etc)
druk op save (diskje bovenin)
16 nu ga je weer naar package center op je synology en ga je naar je installed applicaties. scroll naar VPN server en dubbelklik op het icoon.
17 druk op Action en selecteer stop. druk een minuut later weer en zet hem weer aan door op run te drukken.
nu is alles werkend.
18 nu je VPN op je telefoon instellen. bijvoorbeeld IOS.
instellingen --> algemeen --> VPN.
Maak een VPN met PPTP --> vul omchrijving in (mag alles zijn) en selecteer je server ip (Dat is je wanip adres zie stap 1
vul onder account je admin naam en deselecteer RSA SecurID
vul je admin synology wachtwoord in.
encryption auto
en send all traffic bijvoor aan (Is niet altijd nodig)
klaar
19 log in via instellingen (Let op ga niet op je thuis wifi zitten want dan werkt het niet) je wifi uitzetten en ga naar VPN en doe deze aan.
Je zult zien dat je een VPN verbinding hebt.
Let nu goed op. Je kan all je ip adressen benaderen dus bijvoorbeeld via 192.168.0.1 je router etc. Alleen zul je zien dat je je synology niet kan bereiken op ip 192.168.0.13 (in mijn geval) wil je die wel bereiken vul dan niet dit adres in maar je local ip adres zoals ingevuld bij stap 15.
Dus zit je op je thuis WIFI dan benader je synology via je normale ip in mijn geval 192.168.0.13 maar als je via vpn inlogd dan gebruik je ip 192.168.0.50 (local ip)
Vergeet verder niet in je menu van synology --> Control panel -> security en dan Firewall de poort 1723 voor PPTP open te zetten.
Nu ben je klaar!!! ;D
-
Ik zou dus eerst eens rechtstreeks op je nas inloggen zodat de router niet in je keten zit. Dan kun je dat uitsluiten als storingsbron.
Rechtstreeks vanaf het interne netwerk naar de nas lukt de L2TP/IPsec VPN verbinding wel. Vandaar dat mijn aandacht zich op de router cq Ziggo richt
Heb je wel goed geforward? Als extern IP moet je 0.0.0.0 invullen (dat staat er al bij default). Als daar een IP ingevuld wordt, kun je er alleen vanaf dat bron IP inkomen.
De firewall settings van de nas staan op alle verbindingen toestaan, dat kan het dus eigenlijk ook niet zijn...
Voor de volledigheid hier nog even de forward settings en de resultaten van de poortscan:
Misschien een late reactie maar wel belangrijk voor mensen die hier nog eens tegenaan lopen.
De interpertatie dat deze poorten geblokkeerd worden door de Ubee is fout.
Hier staat duidelijk dat de test "Failed" en dat de poorten reageerden met een status "closed".
Als de Ubee de poorten zou blokeren dan zou de status "Stealth" zijn geweest en zou het testresultaat "Passed" zijn.
Die status closed komt doordat je NAS niet reageert op de test van die website, hij reageert namelijk alleen op een VPN connectie verzoek op een poort en gaat daarna de andere poorten pas gebruiken.
Ik ben er vrij zeker van dat ik goed heb geforward. Ik had om dat te testen even poort 5000 geforward. Via de Wifispot van Ziggo kon ik toen gewoon de webinterface van de nas benaderen.
PS Hij neemt bij een quote de plaatjes niet mee, dus voor de duidelijkheid het gaat over deze plaatjes:
http://www.synology-forum.nl/vpn-server/vpn-server-geen-verbinding-mogelijk-met-ds112-over-l2tpipsec-via-ziggo-(ubee3/msg83969/#msg83969