Routing problemen VPN - Netwerken

woensdag 11 juni 2014 21:08

Acties:

0 Henk 'm!

Topicstarter

Ik zit met het volgende vraag stuk.

Voor mijn werk zit ik nog al regelmatig in het buitenland, maar wil wel graag bij mijn bestanden en server thuis kunnen. (soms ook gebruik maken van een NL IP adres)

Nu heb ik een Synology NAS (IP: 192.168.1.X range fixed IP buiten het DHCP van de router) draaien met daarop VPN server geïnstalleerd en aangezet. Hier heb ik om te testen zowel PPTP (omdat het een makkelijk protocol is) en LT2P/IPSEC (Zoals ik had gevonden een veel betere veiligheid bied maar meer processor kracht nodig heeft).
De ranges die worden uitgedeeld zijn voor de VPN een 10.X.0.X adres. (10.1.0.X voor PPTP en 10.2.0.X voor LT2P)
Via mijn tp link wr1043nd (IP: 192.168.1.1) met OpenWRT heb ik een aantal poorten opgezet die benodigd zijn voor beide protocollen.

Ik kan mooi verbinden naar huis en inloggen vanuit mijn Macbook met OSX zowel via PPTP als LT2P/IPSEC.
Tot hier loopt alles goed.

Nu wil ik het volgende:
Ik wil graag gebruik maken van de lokale internet verbinding die ik op dat moment heb voor normaal internet verkeer. Maar ik wil dan ook bv mijn router of media server kunnen bereiken via het 192.168.1.X adres.
Dit krijg ik niet voor elkaar.

Ik kan alleen mijn apparatuur thuis bereiken mits ik op mijn Macbook Send All Traffic over VPN aan vink. Hier valt dan alles te pingen en te bereiken.
Vink ik dit uit, dan kan ik alleen nog maar mijn NAS bereiken via 10.2.0.0 bijvoorbeeld aangezien de gateway dan de NAS is welke IP 10.2.0.0 heeft. Ik kan dan de 192.168.1.X adressen niet meer pingen.

Hiervoor heb ik geprobeerd de DHCP range van de VPN server ook in een 192.168.X.X range te zetten, maar dan lukt het nog niet.
Hoe kan ik het voor elkaar krijgen om toch mijn netwerk thuis te bereiken en de lokale internet verbinding te behouden voor internet zaken om zo toch hogere internet snelheid te houden.

Ik ben er van op de hoogte als ik mijn NL IP wil gebruiken dat ik dan wel Send All Traffic over VPN moet aan vinken.

[ Voor 4% gewijzigd door The Fatal op 11-06-2014 21:10 ]

vrijdag 13 juni 2014 01:40

Acties:

0 Henk 'm!

The Fatal

Topicstarter

Heeft iemand hier de gouden tip voor?

vrijdag 13 juni 2014 01:53

Acties:

0 Henk 'm!

3DDude

I void warranty's

The Fatal schreef op woensdag 11 juni 2014 @ 21:08:
Ik zit met het volgende vraag stuk.

De ranges die worden uitgedeeld zijn voor de VPN een 10.X.0.X adres. (10.1.0.X voor PPTP en 10.2.0.X voor LT2P)
Via mijn tp link wr1043nd (IP: 192.168.1.1) met OpenWRT heb ik een aantal poorten opgezet die benodigd zijn voor beide protocollen.

Nu wil ik het volgende:
Ik wil graag gebruik maken van de lokale internet verbinding die ik op dat moment heb voor normaal internet verkeer. Maar ik wil dan ook bv mijn router of media server kunnen bereiken via het 192.168.1.X adres.
Dit krijg ik niet voor elkaar.

Dat komt door de routering.
De router die zorgt ervoor dat je van netwerk A naar B kunt.
Dus van een 10.0.1.0/24 naar een 10.0.2.0/24 netwerk of naar een 192.168.X.X netwerk.

Verbind jij via PPTP: en zet je send all trafic uit == 10.1.0.X
Verbind jij via L2TP: en zet je send all trafic uit == 10.2.0.X

Want dit zijn de ranges die jij toewijst aan je macbook, en omdat je macbook dan in die range zit kan hij alles van die range benaderen.

Je zult dus een stukje routering moeten doen zodat als je in 10.1.0.X of 10.2.0.X ook het netwerk 192.168.X.X kunt benaderen.

Kun je op je Synology de netwerken in routering toevoegen (als zijnde lokaal, of in de router?)

Bij voorkeur het apparaat wat bij de VPN verbinding je gateway is. Dit is meestal ook het device wat de routering verzorgd.

Dus stel je zet de VPN op, en je Synology is de gateway moet de synology de netwerken kennen en aan jouw macbook bekend maken.
--> Wat heb je zelf hierover onderzocht? aan mogelijkheden, instellingen voor VPN van de synology

Is je TP-Link met openwrt de gateway als je verbonden bent (dan is het een kwestie van de netwerken toevoegen).

Wellicht is dit wat voor je: https://blog.ipredator.se...pn-on-a-synology-nas.html

[ Voor 3% gewijzigd door 3DDude op 13-06-2014 01:58 ]

Be nice, You Assholes :)

vrijdag 13 juni 2014 07:45

Acties:

0 Henk 'm!

jeroen3

Dat kan Synology vpn niet, gebruik OpenVPN.

vrijdag 13 juni 2014 07:46

Acties:

0 Henk 'm!

Rfrancois

OpenVPN inderdaad !
Werkt top

vrijdag 13 juni 2014 08:11

Acties:

0 Henk 'm!

DiedX

Ik zie niet in waarom synology het niet zou kunnen. OpenVPN wordt niet ondersteund door iDevices (tenzij je de commerciële OpenVPN gebruikt).

Als je netwerk zelf 192.168 is, maar je verbind met een 10. netwerk zal je in je IPSec VPN wėl de routes moeten pushen. Anders weet je Apple niet waar hij je netwerk kan vinden. En houdt je er rekening mee dat je netwerkapparatuur ín je netwerk wellicht duidelijk gemaakt moet worden waar 10.x vandaan komt? Die zullen wellicht een static route nodig hebben.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

vrijdag 13 juni 2014 11:13

Acties:

0 Henk 'm!

The Fatal

Topicstarter

thanks voor de info so far.
De reden waarom ik eigenlijk niet voor OpenVPN wil omdat de ingebouwde client van OSX daar niet mee overweg kan. Daarom heb ik de keuze gemaakt na wat onderzoek voor LT2P en als backup PPTP mocht de LT2P niet werken. (poorten van het Hotel internet dicht oid)

Als ik het goed begrijp zal ik dus routes moeten gaan maken op mijn Mackbook. Voor de synology heb ik gezocht maar via de web interface is dit niet mogelijk helaas.

Hier op heb ik het volgende gevonden, ik zal dus zo iets moeten toevoegen:
sudo route -n add 192.168.1.0/24 10.1.0.1

Als ik het goed begrijp route dit al het verkeer dat word gerequest op 192.168.1.XXX over mijn netwerk verbinding die IP 10.1.0.1 heeft.

Moet je dit dan elke keer toevoegen want IP nummers willen nog al eens verschillen.
Of kan ik ook dit doen:
sudo route -n add 192.168.1.0/23 10.1.0.0/24
sudo route -n add 192.168.1.0/23 10.2.0.0/24

vrijdag 13 juni 2014 11:19

Acties:

0 Henk 'm!

ThinkPad

Je moet ergens een instelling aanpassen dat je al het verkeer over de VPN wilt laten sturen. Dan werkt het waarschijnlijk wel. Die instelling maak je op je client. Met die instelling actief is het net alsof je client in het netwerk zelf is geprikt.

Heb net even voor je gekeken op m'n MacBook Air, en de instelling die ik bedoel vind je zo:
"Systeemvoorkeuren" > "Netwerk" > VPN verbinding selecteren, dan op "Geavanceerd" klikken, en dan de optie "Verstuur alle verkeer via VPN-verbinding" aanvinken (onder "Sessie-opties" op het tabblad "Opties").
Dan moet het waarschijnlijk werken, op m'n Synology heb ik namelijk verder geen dingen uitgevoerd om het te laten werken, buiten de standaard instellingen om.

Onder Windows, iOS, Android heb je vergelijkbare instellingen. Voordeel is dat je verkeer ook niet meer te monitoren valt (handig als je geblokkeerde sites in het buitenland wilt openen).

Is erg handig, ik gebruik het om op afstand in m'n router even een poortje open te gooien, of bij m'n ouders (daar staat ook een Synology met VPN) even in te loggen op de webinterface van hun printer bijv.

[ Voor 67% gewijzigd door ThinkPad op 13-06-2014 11:30 ]

vrijdag 13 juni 2014 11:59

Acties:

0 Henk 'm!

Rfrancois

ThinkPadd schreef op vrijdag 13 juni 2014 @ 11:19:
Je moet ergens een instelling aanpassen dat je al het verkeer over de VPN wilt laten sturen. Dan werkt het waarschijnlijk wel. Die instelling maak je op je client. Met die instelling actief is het net alsof je client in het netwerk zelf is geprikt.

Heb net even voor je gekeken op m'n MacBook Air, en de instelling die ik bedoel vind je zo:
"Systeemvoorkeuren" > "Netwerk" > VPN verbinding selecteren, dan op "Geavanceerd" klikken, en dan de optie "Verstuur alle verkeer via VPN-verbinding" aanvinken (onder "Sessie-opties" op het tabblad "Opties").
Dan moet het waarschijnlijk werken, op m'n Synology heb ik namelijk verder geen dingen uitgevoerd om het te laten werken, buiten de standaard instellingen om.

Onder Windows, iOS, Android heb je vergelijkbare instellingen. Voordeel is dat je verkeer ook niet meer te monitoren valt (handig als je geblokkeerde sites in het buitenland wilt openen).

Is erg handig, ik gebruik het om op afstand in m'n router even een poortje open te gooien, of bij m'n ouders (daar staat ook een Synology met VPN) even in te loggen op de webinterface van hun printer bijv.

Hij wil zijn internet verkeer lokaal hebben en tegelijkertijd ook bij zijn thuisnetwerkje kunnen komen , met de bovenstaande optie krijgt je internet remote door.

vrijdag 13 juni 2014 12:02

Acties:

0 Henk 'm!

ThinkPad

Ik zie dat hij het inderdaad al werkend heeft gehad met die optie aangevinkt, en dat hij z'n lokale internet wil gebruiken.

Dan moet je inderdaad met routing e.d. aan de gang. Daar heb ik geen verstand van haha.

vrijdag 13 juni 2014 12:33

Acties:

0 Henk 'm!

The Fatal

Topicstarter

klopt, dat is wat ik wil.

Stel, je zit in het buitenland en je wilt een filmpje kijken via een web pagina of downloaden of what ever. Dit gaat het soepelste via de lokale internet verbinding die je op dat moment hebt. Wat op zich logisch is aangezien er dan geen versleutel en routing taken moeten gebeuren.
Maar tegelijkertijd is het wel fijn als je bij al je bestanden thuis kan en ook bv een backup van je laptop maken oid naar huis toe.

vrijdag 13 juni 2014 12:49

Acties:

0 Henk 'm!

jeroen3

Het probleem zit hem in het feit dat Synology VPN adressen uitdeelt in 10.0.0.x, dat betekent dat de routing zo word aangepast dat alles naar 10.0.0.x,.... via de vpn gaat. Helaas is dat niet jouw thuisnetwerk.
De client moet weten dat 192.168.1.x ook achter de vpn zit. Daar gaat het mis, want dat kan je niet zo instellen, ook niet op windows. Wel met het OpenVPN script wat je kan aanpassen op de server en client.

Als de VPN adressen uitdeelt in je normale 192.168.1.x net is het probleem ook opgelost, maar dat kan helaas niet. Ook heb je dan een probleem als je al in een 192.168.1.x netwerk zit.
Ook opmerkelijk is dat mijn windows 7 een ip krijgt met 10.0.0.1 met 255.255.255.255 subnet, hoort dat?
Als iemand trouwens de oplossing heeft, dan houd ik mij aanbevolen

[ Voor 4% gewijzigd door jeroen3 op 13-06-2014 12:50 ]

vrijdag 13 juni 2014 12:53

Acties:

0 Henk 'm!

Paul

Krijg je wel antwoord van de andere devices? Die gebruiken namelijk je TP Link als gateway, niet je Synology. Als die dus een verzoek krijgen van je MacBook zullen die het antwoord via je TP Link willen sturen?

Je hebt OpenWRT geïnstalleerd, is het niet veel beter om de VPN-opties daarvan te gebruiken? Dan heb je al je routering op één locatie dus dat apparaat weet over welke verbinding (WAN, LAN of VPN) een pakketje verder moet. Als je dan met je MacBook verbinding hebt is het inderdaad `route add 192.168.1.0/24 10.1.0.1`, als 10.1.0.1 het IP van de VPN-interface van je VPN-server is

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 13 juni 2014 14:33

Acties:

0 Henk 'm!

The Fatal

Topicstarter

VPN adressen laten uitdelen door de Synology in de 192.168.1.X range gaat helaas niet.
Heb het ook niet voor elkaar gekregen om een 192.168.2.X range met een subnet van 255.255.0.0 oid te laten uit delen.

@Paul,
Vind dat op zich wel een goed idee, ben al aan het kijken of ik een LT2P server of PPTP server op de router kan draaien.

vrijdag 13 juni 2014 16:46

Acties:

0 Henk 'm!

The Fatal

Topicstarter

ik heb het nu als volgt tijdelijk opgelost, krijg zo remote een PPTP server niet draaiend op de router:
Ik maar verbinding via L2TP naar Thuis.

Hierbij krijg ik het volgende IP:
ppp0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
inet 10.2.0.1 --> 10.2.0.0 netmask 0xff000000

Dan geef ik via de terminal het volgende commando
sudo route -n add 192.168.1.0/24 10.2.0.1

Het enige vervelende is, dit moet na elke keer opnieuw verbinden gebeuren.
Maar ik houd zo wel het WAN ip van de lokatie waar ik zit.
Via de browser kan ik alle IP adressen thuis bereiken.
Als ik in finder een nieuwe verbinding op zet dmv cmd+k en dan afp://192.168.1.XXX dan krijg ik al mijn mappen vanuit thuis gemapped in finder.
Dus tot zo ver werkt dit wel redelijk.
Is alleen nog een beetje te bewerkelijk. Ik ben nog op zoek naar een manier dat ik dit automatisch kan laten doen zodra ik de VPN opzet.

PS: ik ben er ook achter dat ik websites zo kan redirecten over de VPN. Heb het geprobeerd dmv www.watismijnip.nl over de VPN te sturen. Dan browse ik naar die site en krijg ik mijn huis adres. Ga ik naar www.whatismyip.com dan krijg ik mijn lokale IP.

vrijdag 13 juni 2014 16:49

Acties:

0 Henk 'm!

Paul

The Fatal schreef op vrijdag 13 juni 2014 @ 16:46:
Is alleen nog een beetje te bewerkelijk. Ik ben nog op zoek naar een manier dat ik dit automatisch kan laten doen zodra ik de VPN opzet.

Helaas kan veel VPN-software dit niet automatisch. Bij OpenVPN zit het ingebouwd in de server/client, de Windows-eigen client kan het helemaal niet (enkel alles of niets), of de client op je Mac het kan durf ik niet te zeggen.

Wat natuurlijk wel kan is een scriptje maken dat eerst inlogt op de VPN en vervolgens de routetabel aanpast

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 16 juni 2014 22:07

Acties:

0 Henk 'm!

DiedX

Je kan wél je DHCP-Server aanpassen zodat hij de routes gewoon pushed. Intern doet dat geen pijn, voor je VPN is dat wél handig.

http://ercpe.de/blog/adva...-static-routes-to-clients

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

dinsdag 17 juni 2014 02:02

Acties:

0 Henk 'm!

The Fatal

Topicstarter

ik denk dat dit niet mogelijk is op de synology.

dinsdag 17 juni 2014 18:49

Acties:

0 Henk 'm!

DiedX

Je synology hóeft geen DHCP te draaien he? Welke mogelijke andere VPN-Servers zou je nog meer hebben? Iets van Windows, OpenWRT/DDWRT?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

donderdag 10 juli 2014 21:29

Acties:

0 Henk 'm!

The Fatal

Topicstarter

ik heb het op een andere manier nu opgelost.
Ik heb een Mikrotik router overgenomen en hier de VPN Server op gezet , op de Synology heb ik alles weer uit gezet en nu lijkt het allemaal beter te werken. Moet de VPN nog beter testen vanaf een remote lokatie, dat komt

Thanks voor de hulp zo ver!