VPN vraag router achter modem/router

[michelb80]

Hallo,

Ik heb een probleem met het maken van een VPN verbinding via een router dat achter een modem/router staat. Zal proberen uit te leggen hoe mijn netwerk in elkaar zit.
Ik heb allereerst een modem/router van KPN en gebruik daarachter een router van synology. Ik heb dus een eigen netwerkje via synology router.
Op een andere locatie (locatie 2) heb ik deze opstelling precies hetzelfde.
Nu wil ik een VPN verbinding maken van locatie 1 naar locatie 2.
Met mijn telefoon via 4G netwerk gaat dit perfect. Ook met wifi verbinding op mijn KPN modem/router werkt dit ook behalve als ik op mijn synology router zit dan werkt de VPN verbinding niet.

Heeft iemand enig idee waar dit aan kan liggen? Mijn modem/router heb ik DMZ ingesteld naar mijn synology router dus alles moet direct door worden gegeven.

Hoop dat iemand een oplossing heeft.

Mvg Michel

[Babylonia]

Of DMZ de beste keus zou zijn, is afwachten. Bij Telfort die een Experia Box uitlevert (V8), geeft DMZ problemen in de verbinding.
Daar moet ik apart voor elke service die van buitenaf bereikbaar moet zijn Port Forwarding instellen in de Experia Box.
Dat even als bijkomstige informatie.

Wat belangrijk is bij twee "identieke" set-ups, is dat je de LAN sub-nets in ieder geval verschillend hebt ingesteld.
Dat geldt voor zowel de Experia Box als de Synology router.
Wellicht dat je daarom geen problemen hebt met het mobiele 4G netwerk, omdat in ieder geval dat een IP-range is van een totaal ander bereik, dan via WiFi op het thuis netwerk "aan de andere kant".

1.  Houd in de gaten dat het sub-net van de Experia Box niet conflicteert met die van de Synology router, zie  < HIER >
2.  Vergewis je er van dat je voor de ene locatie andere sub-nets gebruikt voor de Experia Box en Synology router, dan op de andere locatie.
     Voor meer uitleg waarom zie < HIER > en achterliggende hyperlinks.
3.  Zou voor het virtuele VPN sub-net voor de twee locaties ook daar in het gebruik van elkaar een afwijkende sub-net instellen.

[michelb80]

Bedankt voor je reactie. Had al idd iets gelezen over sub net dat het problemen kan leveren. Ook dit heb ik dan maar veranderd. Hieronder mijn situatie:

Locatie 1:
Modem/router heeft ip: 192.168.2.254
Synology router internet: 192.168.2.250
Synology router Lan: 192.168.10.1

Locatie 2:
Modem/router: 192.168.0.1
Router instellingen WAN: 192.168.0.2
Router instellingen LAN: 192.168.1.1

Locatie 1 wil VPN verbinding maken met Locatie 2.

Is dit wat jij bedoel Babylonia?

[Babylonia]

Ze zijn dan wel onderling verschillend, maar het zijn nog steeds erg slecht gekozen sub-nets.

Standaard sub-nets van routers liggen juist heel vaak op:
192.168.0.X
192.168.1.X
192.168.2.X
192.168.178.X


Die worden juist door de meeste mensen standaard zo gelaten, of heel vaak in dat bereik gekozen. (Net zo gemakkelijk als jij het doet).

En het zijn typisch DIE sub-nets die je dan nu gaat kiezen en verdelen over die twee locaties?
Kom je al ergens op een andere plaats waar je met WiFi een VPN verbinding wilt opbouwen naar een van de twee VPN-servers thuis,
en er wordt op die afwijkende locatie van één van die standaard sub-nets gebruik gemaakt, die overeenkomt met de 1e of 2e locatie thuis,
heb je dus een conflict, en komt er geen VPN-verbinding tot stand.

Lees nog eens de eerder opgegeven informatie achter de hyperlinks zoals met name  < DEZE >
en kijk  naar schermafbeeldingen  wat bijv. als een echt afwijkend sub-net wordt gezien ----> 192.168.123.X

Of kies iets zoals bijv.:
192.168.55.X
192.168.83.X
192.168.135.X
192.168.151.X
192.168.199.X

Het gaat er juist om dat je een bereik neemt wat waarschijnlijk NIET standaard door iemand gebruikt wordt.
En daarnaast tevens dat het voor je twee locaties onderling verschillend moet zijn.

[michelb80]

Hallo Babylonia,

Ik ga aankomend weekend mijn routers een ander ip geven. Er komt nog een vervolg en hoop op een goede afloop

[michelb80]

Allereerst sorry voor mijn late reactie. Tot mijn grote spijt is mijn harde schijf van mijn NAS gecrashed. Helaas moest ik even wachten voordat de juiste harde schijf was geleverd. Maar gelukkig heb ik een backup gemaakt en alles weer naar behoren terug kunnen plaatsen.

Nu het vervolgop mijn verhaal. Ik ben er inmiddels achter dat mijn experia box vpn wel toelaat. Als ik direct op experia zit en vpn verbinding opzet dan werkt alles naar behoren. Maar omdat ik achter mijn experia box een router heb staan, is dit nu momenteel de boos doener!!
Ik ben nu aan het kijken hoe ik dus via mijn router naar experia box een vpn verbinding naar buiten kan maken.
Probleem ligt dus niet bij experia box en qua ip nummer ligt dit dus ook niet. Waarschijnlijk moet er een poort open gezet worden richting mijn router of van router naar experia box.

Als iemand hier een antwoord op heeft dan hoor ik dit graag. Zodra ik de oplossing heb gevonden zal ik dat direct melden.

Mvg Michel

[cyrus1977]

Doordat je een router achter je experia hebt staan moet je eigenlijk een soort van multi NAT toepassen (poort twee keer forwarden). Kan je de tweede router niet in bridge mode zetten ? of er een switch van maken ? Dat scheelt een hoop ellende.

[michelb80]

Bridge mode of switch is geen optie bij mij thuis anders was dat idd al opgelost geweest . Een multi NAT?? Ik vraag me af hoe je dit moet instellen?

ExperiaBox       
LAN 192.168.2.254 
DMZ aan naar 192.168.2.250

Synology Router
WAN 192.168.2.250
LAN 192.168.1.1

Op de synology router heb ik vpn server draaien. Firewall VPN poorten 500,4500,1701 staan open op synology Router.
Wat zou ik nog meer moeten instellen?

P.S. ik ga met deze opstelling naar buiten toe met VPN

Mvg Michel

[Briolet]

Ik heb twee routers achter elkaar en nog nooit VPN problemen gezien. Gewoon en kwestie van poorten forwarden. Dan mag het niet uitmaken hoeveel er achter elkaar staan.

[Babylonia]

ExperiaBox       
LAN 192.168.2.254 
DMZ aan naar 192.168.2.250

Weet niet of het bij de Experia Box van KPN van toepassing is (waarschijnlijk een V10 model),
maar bij Telfort met de Experia Box V8 geeft een DMZ instelling nogal wat problemen. (Slechte firmware).
Om die te vermijden, hier dus geen DMZ ingesteld maar separaat de poorten van achterliggende services doorgestuurd.

P.S. ik ga met deze opstelling naar buiten toe met VPN

Naar buiten toe
Een VPN-server op je Synology router is bedoeld om vanuit locatie via VPN naar "binnen" te komen bij je thuis netwerk.
Wil je als VPN "Client" van huis uit een VPN-connectie "naar buiten toe" met bijv. een VPN-dienst of een VPN-server op je werk,
hoef je helemaal NIETS in te stellen in je routers.  Poorten doorsturen is alleen nodig bij verkeer van buiten uit naar binnen.
(Als jezelf elders bent ----> bijv. restaurant, hotel, vakantie-adres, en je wilt van daaruit je data kunnen benaderen thuis in je thuis netwerk).

[Briolet]

Dat had ik ook niet gezien. Omdat de post in VPN server staat, ben ik er van uitgegaan dat het ook over de VPN server gaat. Topic moet waarschijnlijk elders naar toe als het echt om de vpn cliënt gaat.

[ufosyno]

Mijn kennis hier is oppervlakkig, maar intussen weet ik wel dat de Experiaboxen zo worden afgeleverd, dat ze subnetten internet/telefonie en TV afsplitsen (ingebouwde, hard gecodeerde smart-switch). Ik ken die subnetnummers niet, maar kan het niet zijn, dat de 10 die wordt gebruikt nu door de experia onjuist wordt verwerkt?

Zelf heb ik ervoor gekozen om het van mijn (glasvezel) entrypoint m.b.v een aparte smartswitch eerst het internetsignaal af te splitsen en naar mijn (TP-link) router te sturen. Daardoor was ik m'n sowieso wel wat hikkerige experiabox binnen het internetverkeer kwijt.

In gebruikte de handleiding (mag vast geen reclame maken) gegoogeld met "hoe kan je een eigen router gebruiiken bij kpn glasvezel".

Dit loste bij mij in elk geval ook wat VPN problemen op.

[Babylonia]

Mijn kennis hier is oppervlakkig, maar intussen weet ik wel dat de Experiaboxen zo worden afgeleverd, dat ze subnetten internet/telefonie en TV afsplitsen

Maar dat is op zichzelf geen belemmering ten aanzien van VPN verkeer.
Niet als " Client" om naar elders toe een connectie te maken, en niet als binnenkomend VPN-verkeer naar een ingestelde VPN-server op een NAS of 2e router.

[ufosyno]

Dat 't geen belemmering hoeft te zijn, snap ik. Maar als je nu subnet 10 dubbel gebruikt? Ik ken de subnetnummers niet uit m'n hoofd, maar stel dat Telfort dat voor TV gebruikt en de ingebouwde smartswitch daarop heeft afgeregeld?

[Babylonia]

Daar hoef je niet bang voor te zijn dat je een sub-net dubbel zou gebruiken.
Het achterliigende TV VLAN waar de TV media-stream over loopt zit in een totaal andere IP range, wat niet eens begint met 192.xxx.xxx.xxx
En het deel van de connectie met de TV-ontvanger wat binnen het "normale" netwerk te zien is, is gewoon het sub-net van de Experia Box zelf.
Dat sub-net ken je.  Maak het ook weer niet ingewikkelder dan nodig.