Synology-Forum.nl
Packages => Officiële Packages => VPN Server => Topic gestart door: Alext op 09 april 2024, 22:57:08
-
Dag,
Heb een L2tp vpn verbinding, welke werkt
Echter kan ik de mappen op de NAS server niet openen
Poorten staan open, registry is aangepast
Alles opneiuw gedaan en ook windows aangepast
Het lukt me niet
1-2 mnd geleden was alles prima, enige wat veranderd is is dat ik DSM OS heb geupgrade
Wie kan me helpen?
-
Heb je m.b.t. de VPN verbinding wel de juiste firewall regels geactiveerd is "inclusief" toegang voor het virtuele VPN netwerk?
De volgende uitleg m.b.t. firewall regels in het algemeen Synology "router" versus "NAS" zie < DEZE reactie > (https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/)
Maar speciaal voor "NAS" verder onderaan in die reactie vanaf "Belangrijk" met verwijzing naar 4 voorbeelden.
Voor het L2TP/IPsec protocol heb je het meest aan voorbeeld 3.
Dat is afgestemd voor OpenVPN, maar in de plaats van OpenVPN voor de applicatie, kies je voor L2TP/IPSec.
https://www.synology-forum.nl/vpn-server/mappen-benaderen-open-vpn/msg320310/#msg320310
-
Dank,
Ik ga morgen kijken, zal een werkje zijn.
Komt het door upgrade naar DSM7?
Eerder werkte alles super.
Heb wel connectie met VPN, oaks ik kan zien in logboek
Heb overigens een Huawei Hg659 met daaraan e ds214+
-
Nou ja, als iets niet goed functioneert is het altijd een werkje om te achterhalen waarom het niet werkt.
En een kwestie om alle stappen die ermee te maken hebben te doorlopen en te controleren.
Of het te maken heeft met de upgrade naar DSM 7 Is dat dan vanuit DSM 6 of gewoon een eerdere versie van DSM 7 ??
Daar ben je niet duidelijk in. Het zou kunnen dat niet alle instellingen goed zijn overgenomen?
Bedenk verder dat na een update van DSM 6 naar 7, ook de meest pakketten (zoals VPN Server) moeten worden geüpdatet.
Dat het eerder wel allemaal goed werkte is niet relevant. De situatie nu is anders.
Die eerdere ervaring hooguit een pre, om het probleem nu snel opgelost te krijgen.
-
Heb eea doorgenomen en firewall aangepast
Kan alleen geen contact meer maken met VPN van buiten af....
-
Dat is slechts één aspect in alle te doorlopen controles, zolang het nog steeds niet werkt.
Kan alleen geen contact meer maken met VPN van buiten af....
Wat heb je als connectie adres of domein opgegeven bij de VPN Client ?
Zijn poorten op juiste wijze doorgestuurd in de router ?
Zijn er mogelijk blokkades in de blacklist gekomen bij teveel verkeerde inlogpogingen ?
Doorloop eens de aanbevelingen / tips in het volgende onderwerp:
https://www.synology-forum.nl/synology-router/bug-in-laatste-versie-vpn-plus-1-4-2-0533/msg305776/#msg305776 en vervolgreacties.
-
Dank weer
Ga er volgende week weer mee aan de slag
-
Heb stuk doorgenomen,
Maar daarin zit geen fout bij mij, als ik het zo zie
Connectie-adres VPN Client is het externe IP adres
Blokkade na 5 inlogpogingen 1440 minuten
Poorten staan open in router (HG659), alleen 1701 UDP krijg ik niet open
-
Blokkade na 5 inlogpogingen 1440 minuten
Dat is alleen een instelling om na 5 verkeerde inlogpogingen het gebruikte IP-adres te blokkeren.
Dat is niet de "blacklist" zelf, waarin geblokkeerde IP-adressen zijn opgeslagen, en je ze kunt verwijderen als het die van jezelf betreft.
(Bij inlog via een ander apparaat met een ander IP-adres welke niet is geblokkeerd).
alleen 1701 UDP krijg ik niet open
Tja, dan gaat het ook niet werken.
Een Synology NAS gebruikt voor L2TP/IPSec de poorten 500, 1701 en 4500 (Zie poorten lijst van Synology (https://kb.synology.com/nl-nl/DSM/tutorial/What_network_ports_are_used_by_Synology_services))
Die poorten moeten alle drie worden doorgestuurd.
-
er staat niets in de blacklist
1701 heb ik nooit open gehad, ,maar heeft wel gewerkt...
-
ls ik 1701 test in Synology zelf dan lijkt die wel open
-
Een test vanuit de Synology zelf is geen geldige optie, want dat is vanuit je eigen LAN netwerk,
waar port forwarding in het geheel niet van toepassing is.
Het gaat er nu juist om dat je vanuit een externe locatie een VPN connectie kunt leggen met je thuisnetwerk.
1701 heb ik nooit open gehad, ,maar heeft wel gewerkt...
Doe eens niet zo eigenwijs. Je zult gewoon de poorten 500, 1701, en 4500 moeten doorsturen naar je NAS,
voor een normaal betrouwbaar werkende L2TP/IPSec VPN verbinding.
[attach=1]
-
Ok,
Is niet eigenwijs hoor
Kan poort 1701 in de router niet openen, wordt door t-mobile tegengehouden
Hoewel het eerder dus prima werkte
Kan op geen enkele manier bedenken waarom het wel werkte dan.lukt gewoonweg niet om die poort te openen
-
Poort 1701 wordt door T-Mobile / Odido helemaal niet tegen gehouden.
Mijn ex heeft ook een Odido internet abonnement, met erachter een NAS, met VPN connectie. Geen probleem.
Heb meteen als test deze reactie hier gepost via die L2TP/IPSec VPN verbinding van mijn ex, en daar weer het internet op.
1. = IP-adres via VPN
2. = IP-adres zonder VPN (mijn eigen internet connectie)
1. [attach=1] 2. [attach=2]
Er zijn hier meer gebruikers die een Ziggo / Odido abonnement hebben en geen problemen met VPN ondervinden.
Gewoon met port forwarding voor de eerder bij herhaling genoemde poorten die door Synology daarvoor worden gebruikt.
-
Kan 1701 UDP echt niet openen. Krijg dan dit te zien
TCP wel
-
Kan 1701 UDP echt niet openen. Krijg dan dit te zien
Ik vraag me af, of je dat plaatje met niet te gebruiken poorten te zien krijgt, omdat je die poorten reeds hebt ingesteld in de router??
Bij dat lijstje zie ik bijv. ook poorten zoals 8443, 8080. Typisch poorten die ook nog wel eens worden gebruikt door thuis gebruikers.
M.b.t. VPN - het L2TP/IPSec protocol, twee poorten 500 en 1701 die niet gebruikt zouden kunnen worden?
Dat zijn al twee van de drie poorten die voor L2TP/IPSec nodig zijn.
Zou eerst toch nog eens heel goed navragen bij Support of forum van T-Mobile / Odido hoe dat zit.
Als het echt allemaal zou worden "geblokkeerd" door T-Mobile / Odido, zou je beslist een andere router moeten aanvragen.
Het blokkeren van normaal gebruikelijke internetdiensten is wettelijk namelijk verboden. Op basis van "net neutraliteit".
https://www.consuwijzer.nl/telefoon-internet-en-televisie/internet-keuze-netneutraliteit-en-snelheid/vrije-toegang-tot-internet
https://nl.wikipedia.org/wiki/Netneutraliteit
Die wet bestaat al sinds 1 januari 2013. Ik kan me eigenlijk niet voorstellen dat T-Mobile al jaren de wet op dat punt overtreedt?
Heb dat jaren geleden overigens toch ook wel eens gezien bij een "test" router die ik toen van voormalig Telfort kreeg toegestuurd.
Bleek ook één van de voor VPN gebruikte poorten niet in te zetten. In de evaluatie van die router daar meteen melding van gemaakt,
en is met een firmware update toen gecorrigeerd.
Maar goed, als ook in het geval van een "oude" T-mobile router vergelijkbare blokkeringen zitten.
Kijken of er firmware upgrades zijn, of anders beslist "eisen" een andere router daarvoor in de plaats te krijgen.
Mijn ex heeft een ZyXEL router met 2.5 Gb WAN en LAN poort van Odido. (Half jaar terug overgestapt van Solcon naar Odido).
Hieronder een lijstje van doorgestuurde poorten zoals ingesteld in die (nieuwe) router. Via VPN bij haar deze gegevens opgehaald.
Zelfs "vooraf" vóór oplevering van de aansluiting toen al ingeregeld bij mij thuis via een < "Odido simulatie" internetverbinding > (https://www.synology-forum.nl/netwerk-algemeen/simulatie-odido-internet-verbinding/msg325410/#msg325410),
om zo min mogelijk "down-time" te hebben. (Achterliggende NAS wordt door diverse mensen binnen een werkproject benaderd).
[attach=1]
-
In Reactie #10 laat je zien dat je de Poorten door DSM zijn geforward.
Dat gebeurt met UPnP in je Router, dat is gevaarlijk (https://www.synology-forum.nl/ddns-extern-benaderen/zoveelste-waarschuwing-om-geen-ez-internet-te-gebruiken/) en daarbij, echt niet handig als je zelf ook poorten forward in deze situatie.
Dus, verwijder alle poorten uit de Routerconfiguratie, opslaan en zet UPnP uit op je Router.
Daarna de poorten zelf forwarden.
Misschien is die Routerconfiguratie door de upgrade in de vernieling gegaan, waardoor je VPN niet meer werkte.
-
In Reactie #10 laat je zien dat je de Poorten door DSM zijn geforward.
En dat kan ook de reden zijn dat je ze niet handmatig in de router kunt forwarden. Ze zijn dan nml al geforward. Maar anderzijds is dat strijdig met de bewering dat de poorten niet open staan. Is dat niet open staan daadwerkelijk getest?
-
Dank voor de reacties.
UPNP zet ik uit en ga opnieuw potten forwarden in router.
Het niet kunnen openen van 1701 is een erkend probleem.
Kan wel VPN verbinding opzetten maar kan er dan niets mee.
-
Zou eerst heel de router maar eens naar fabrieksinstellingen resetten.
Het eerste wat je erna doet is een mogelijk geactiveerde UPnP uitzetten
(De jongste gebruikte ZyXEL routers (https://community.odido.nl/algemeen-538/zyxel-t-56-hoe-werkt-het-350643) van Odido, ook daarin is UPnP standaard geactiveerd (https://www.synology-forum.nl/netwerk-algemeen/simulatie-odido-internet-verbinding/msg325410/#msg325410)).
Dan handmatig poorten doorsturen binnen de menu's van de router zelf.
Als je dan nog problemen hebt met poort 1701 met wat je beschrijft als:
Het niet kunnen openen van 1701 is een erkend probleem.
Als dat een "erkend" probleem is. Dus Odido is op de hoogte van dat manco. Waarom doet men er dan niets aan?
In dat geval, -zoals eerder aangehaald- simpelweg een andere router "eisen" die dat manco niet heeft.
Dat kun je zelfs afdwingen. Omdat men zich in dat geval niet aan de wetgeving houdt.
-
Gekke is dat ik wel een vpn verbinding kan opzetten en de router ‘in’kan.
Kan dan aanpassingen doen.
Verder kan ik niets. Ook niet internet op
Ga m naar fabrieksinstellingen terugzetten
-
Alle poorten hebben een eigen functie. Poort 1701 komt op het eind:
The process of setting up an L2TP/IPsec VPN is as follows:
1) Negotiation of IPsec security association (SA), typically through Internet key exchange (IKE). This is carried out over UDP port 500, and commonly uses either a shared password (so-called "pre-shared keys"), public keys, or X.509 certificates on both ends, although other keying methods exist.
2) Establishment of Encapsulating Security Payload (ESP) communication in transport mode. The IP protocol number for ESP is 50 (compare TCP's 6 and UDP's 17). At this point, a secure channel has been established, but no tunneling is taking place.
3) Negotiation and establishment of L2TP tunnel between the SA endpoints. The actual negotiation of parameters takes place over the SA's secure channel, within the IPsec encryption. L2TP uses UDP port 1701.
Dus voor het authenticatie deel wordt poort 1701 nog niet gebruikt.
-
Eerder iemand die ook beweerde dat je poort 1701 niet nodig had, heb ik toen diverse VPN testen gedaan.
Er waren wel situaties dat het (bij toeval?) wel lukte, maar stabiel was het allerminst. Je hebt gewoon die drie poorten nodig.
Tests gedaan en verslag uitgebracht op KPN-forum - 3 maanden terug < HIER > (https://forum.kpn.com/thuisnetwerk-72/hoe-kan-ik-een-vpn-van-buitenaf-instellen-op-de-box-12-605752?postid=1873023#post1873023).
-
Ik ga ODIDO contacten
Zal hier hun antwoord terugmelden
-
Odido telefonisch gesproken.
Geen ondersteuning, verwezen naar "Odido community"
Ga weer kijken en zoeken
-
Tja, dat antwoord had ik wel verwacht. In 99% verschuilt men zich achter dit soort algemeen niets zeggende antwoorden.
Toch moeten zij voldoen aan de normaal wettelijke regels die voor het leveren van internetdiensten gelden.
Omdat zij de apparatuur daarvoor leveren. Moet die apparatuur er ook aan voldoen.
Of in ieder geval de instellingen daarvoor open te kunnen zetten, voor eigen "achterliggende" apparatuur die je gebruikt.
Zijn er twee opties.
1. De ene optie is een principe kwestie en kost ontstellend veel tijd en energie.
2. De andere optie kost het minste tijd, en verder geen gezeur.
Optie 1.
Informeer bij ACM hoe dit aan te pakken. Maar erg behulpzaam zijn ze ook niet, en laten dit soort dingen ook vaak op zijn beloop.
Paar jaar terug bij aanpassing van een andere wet om eigen apparatuur te kunnen inzetten heeft een gebruiker bij Ziggo,
met succes een aanklacht en zaak via de rechter (of overkoepelende instantie ??) afgedwongen,
-in dat geval voor het gebruik van een eigen kabel-modem- Waarbij Ziggo in "no-time" aan zijn verplichtingen moest voldoen,
om alle gegevens ter beschikking te stellen om dat mogelijk te maken. Dat heeft voor veel hilariteit onder gebruikers gezorgd.
Ziggo wilde "uitstel" maar kreeg die niet, met als argument dat ze al jaren wisten, dat die wetgeving eraan zat te komen.
En men zich daar al jaren op hadden kunnen voorbereiden. Op straffe van een flink boetebedrag als men er niet aan voldeed.
Of speel het via "Kassa" met de "belbus"??
Optie 2.
Sluit een eigen router aan, met mogelijkheden voor VLAN set-up op de WAN poort.
Heb je geen beperkingen van de router. (VPN diensten zelf worden in het www internetverkeer door Odido niet tegen gehouden).
-
Heb afgelopen tijd nog eens internet afgestruind op zoek naar een oplossing
Vooral omdat het eerder wel werkte
Tot mijn verbazing werkt het nu....
Heb 2 dingen aangepast:
1. DNS server aangepast in"configuratiescherm", "Netwerk" tabblad "algemeen" daar een adres buiten eigen LAN netwerk opgegeven
Daarmee kan ik vanuit VPN verbinding alle apparaten op LAN netwerk bezoeken via IP adres
2. Heb SMB aangepast voor account wwarmee mijn inlog via VPN
"Configuratiescherm" naar "toegangsrechten" , "SMB" angeklikt en deze bewerkt. Voor mijn inlog bleek er geen vinkje bij toestemming te staan (voor groep "administrators" wel...)
En nu werkt alles naar behoren!!
Nu nog de door jou ( Baylonia) geadviseerde regels in de firewall zetten, en dan ben ik klaar.
Dank voor alle input allemaal
-
Tja, met deze en voorgaande eerdere informatie die je geeft zet je mensen wel op het verkeerde been.
Na een volledige reset van de router en géén gebruik" van UPnP of installatie wizard.
Ging ik er vanuit dat je nog steeds geen poorten kon doorsturen. Dat alleen is Odido "router" gerelateerd.
Maar poorten doorsturen kun je nu dus kennelijk wel, anders had je nu geen VPN verbinding.
En is er niets mis met de door Odido geleverde router.
Daarnaast moeten uiteraard ook alle andere "niet gerelateerde" router instellingen kloppen m.b.t instellingen daarvoor op een NAS.
Daar heeft Odido Support natuurlijk helemaal niets mee te maken.
Als na een port forwarding VPN kennelijk nog niet werkt, gewoon het hele lijstje afgaan m.b.t. alle instellingen die eraan zijn gerelateerd.
-
Ging er ook vanuit dat SMB open zou staan wanneer ik de groep ‘administrator’ zou aanvinken. Blijkbaar moet dat ook voor elk van de als ‘administrator’ geregistreerde gebruikers.
-
Als eerder gepost kon ik wel VPN opzetten en NAD via op bereiken. Maar veder niets
Gekke is dat ik wel een vpn verbinding kan opzetten en de router ‘in’kan.
Kan dan aanpassingen doen.
Verder kan ik niets. Ook niet internet op
Ga m naar fabrieksinstellingen terugzetten
-
Als admin kun je elke gebruiker of gebruikersgroep andere rechten geven. Ook andere admin gebruikers.
Ook al kan elke admin gebruiker, die rechten zelf ook weer anders instellen. Het is meer een extra "drempeltje".
Zodat mogelijk "andere" admin gebruikers dan jezelf, niet automatisch in mappen terecht komen,
die voor die "andere" admin gebruiker misschien te persoonlijk zijn om daar "te gemakkelijk" in te kunnen komen.
Zo heb ik dat bijv. voor mezelf met nogal wat beperkingen ingesteld voor diverse NAS apparaten die ik beheer voor familie- en kennissen.
Het is daarbij vooral ook een kwestie van vertrouwen, dat je niet rondneust in data waar je "als beheerder" niets mee hebt te maken.
-
Odido telefonisch gesproken.
Geen ondersteuning, verwezen naar "Odido community"
Waarom denk je dat t-mobile zijn naam veranderd had....
Inderdaad, omdat ze een heel slechte naam hadden qua service. En dan is de naam veranderen goedkoper dan de service verbeteren. Mijn neef heeft een jaar lang op hun helpdesk gewerkt en hij baalde dat hij geen echte hulp mocht geven. Een abc probleem mocht wel, (dat was gewoon uit de handleiding citeren) maar echte problemen oplossen kostten te veel tijd. Het ergste was dat hun telefoonwinkels beloftes deden waarvan op voorhand bekend was dat deze niet na te komen waren. In zijn en mijn optiek moet je met een oplossing komen als je als bedrijf beloftes doet.
En kijk eens naar hun logo. Dar staat obido en geen odido. Dus zelfs een logo ontwerpen kunnen ze niet.