Synology OpenVPN geen DNS

donderdag 5 mei 2016 18:57

Acties:

0 Henk 'm!

Topicstarter

Mijn vraag

Ik heb op mijn Synology OpenVPN geactiveerd. De clienst kunnen verbinden en krijgen IP's toegekend, maar kunnen niet op internet. Ik krijg steeds de melding dat DNS niet resolved wordt.
Ook in de log van VPNCenter zie ik dat de clients correct verbinding maken.

Relevante software en hardware die ik gebruik

DS415Play DSM 6.0
Android telefoon met OpenVPN Connect app
OpenVPN GUI op Windows 10

Wat ik al gevonden of geprobeerd heb
Hieronder staan de config files.

code: server.conf

push "route 192.168.0.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"
dev tun

management 127.0.0.1 1195
server 10.8.0.0 255.255.255.0

dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh3072.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key

max-clients 5

comp-lzo

persist-tun
persist-key

verb 3

#log-append /var/log/openvpn.log

keepalive 10 60
reneg-sec 0

plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
client-cert-not-required
username-as-common-name
duplicate-cn

status /tmp/ovpn_status_2_result 30
status-version 2
proto udp6
port 1194

Ik heb na enig googlen en hier op het forum rondgekeken te hebben, ook geprobeerd om DNS te pushen via de server door het toevoegen van volgende lijnen:

code:

1 2	push "redirect-gateway def1 bypass-dhcp" push "dhcp-option DNS XXX.XXX.XXX.XXX"

Ik heb hierbij het IP van de NAS, van de router en van de DNS server van mijn ISP (Telenet) al geprobeerd.

code: client.conf

dev tun
tls-client

remote XXX.XXX.XXX.XXX 1194 //IP blanco voor forumpost

#float

redirect-gateway def1

#dhcp-option DNS 192.168.0.1

pull

proto udp

script-security 2

ca ca_bundle.crt

comp-lzo

reneg-sec 0

auth-user-pass

Ook bij de client config heb ik geprobeerd om de DHCP-option door te geven met het IP van de NAS, router en DNS server van Telenet, geen enkel verschil.

Ik zit een beetje met de handen in het haar, maar heb het gevoel dat ik iets stoms over het hoofd aan het zien ben.

Hopelijk kunnen jullie me verder helpen.

Alvast bedankt voor de hulp.

donderdag 5 mei 2016 21:08

Acties:

0 Henk 'm!

geenwindows

Hier heb ik een stukje van mijn oude Openvpn server config, misschien heb je er wat aan:

code:

server 10.9.9.0 255.255.255.0
# server and remote endpoints
ifconfig 10.9.9.1 10.9.9.2
# Add route to Client routing table for the OpenVPN Server
push "route 10.9.9.1 255.255.255.255"
# Add route to Client routing table for the OpenVPN Subnet
push "route 10.9.9.0 255.255.255.0"
# your local subnet
push "route 192.168.1.105 255.255.255.0" # SWAP THE IP NUMBER WITH YOUR LOCAL IP ADDRESS
# DNS setting
push "dhcp-option DNS 192.168.1.111"
# push "dhcp-option DNS 192.168.1.1"
# Override the Client default gateway by using 0.0.0.0/1 and
# 128.0.0.0/1 rather than 0.0.0.0/0. This has the benefit of
# overriding but not wiping out the original default gateway.
push "redirect-gateway def1"
client-to-client
duplicate-cn
keepalive 10 120

Fan van: Unraid, ProxMox, Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.

vrijdag 6 mei 2016 16:09

Acties:

0 Henk 'm!

Frogmen

is je synology ook dhcp en dns server?

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

zaterdag 7 mei 2016 13:33

Acties:

0 Henk 'm!

jordje

Grote kans dat je in je router een statische route voor 10.8.0.0/24 moet aanmaken, naar het lokale IP van je Synology. Dat gaat in mijn ervaring namelijk niet altijd vanzelf goed.

Eventueel kan je ook een tap-device ipv. tun gebruiken, zodat de DHCP server van je router de ip-adressen aan de VPN-clients uitdeelt. Dit werkt echter niet met IOS devices.

maandag 9 mei 2016 13:13

Acties:

0 Henk 'm!

Twanne

Topicstarter

Bedankt voor de reacties tot dusver, ben er nog niet toe gekomen om deze uit te proberen, maar ik laat jullie zo snel mogelijk iets weten.

Frogmen schreef op vrijdag 06 mei 2016 @ 16:09:
is je synology ook dhcp en dns server?

als DNS gebruikt zowel de NAS als mij router de DNS server van Telenet.
DHCP op LAN wordt door de router gedaan: 192.168.0.x, maar de NAS geeft aan de VPN clients wel adressen uit de range 10.8.0.x.

maandag 9 mei 2016 13:26

Acties:

0 Henk 'm!

HellStorm666

BMW S1000XR / Audi S6 Avant C7

Windows 10 is denk ik de probleemveroorzaker hier.
Windows 10 gaat namelijk anders met DNS om dan de vorige versies.

Eerder was het zo dat windows eerst de 1e DNS server contact, en bij geen respons of een "kan niet vinden" melding de 2e DNS server pakt.
Sinds Windows 10 worden alle DNS servers tegelijk benaderd. De gene die als eerste een reactie stuurt wordt gebruikt.
Helaas betekent dit dus dat de locale DNS gebruikt wordt omdat die veel sneller kan reageren dan de DNS server aan de andere kant van de VPN verbinding.
Resultaat is dus elke keer dat de DNS niet geresolved kan worden.

Gewoon internet zou het wel moeten doen als je lokaal ook een DNS ingesteld heb (al dan niet via dhcp).

Scientia Potentia Est
Xbox-Live GamerTag: H3llStorm666
19x Q.Cell G5 325wp op APsystems QS1

maandag 9 mei 2016 15:20

Acties:

0 Henk 'm!

Twanne

Topicstarter

HellStorm666 schreef op maandag 09 mei 2016 @ 13:26:
Windows 10 is denk ik de probleemveroorzaker hier.
Windows 10 gaat namelijk anders met DNS om dan de vorige versies.

Eerder was het zo dat windows eerst de 1e DNS server contact, en bij geen respons of een "kan niet vinden" melding de 2e DNS server pakt.
Sinds Windows 10 worden alle DNS servers tegelijk benaderd. De gene die als eerste een reactie stuurt wordt gebruikt.
Helaas betekent dit dus dat de locale DNS gebruikt wordt omdat die veel sneller kan reageren dan de DNS server aan de andere kant van de VPN verbinding.
Resultaat is dus elke keer dat de DNS niet geresolved kan worden.

Gewoon internet zou het wel moeten doen als je lokaal ook een DNS ingesteld heb (al dan niet via dhcp).

het probleem stelt zich op verschillende platformen, zowel via de laptop (Win 10), als via de smartphone (Android 6.0.1), maar ook op de ipad heb ik intussen getest en ook daar hetzelfde resultaat...
Ik zou hieruit toch echt concluderen dat het dan aan de server config ligt, gezien dit de gemene deler is in het verhaal.

maandag 9 mei 2016 15:22

Acties:

0 Henk 'm!

HellStorm666

BMW S1000XR / Audi S6 Avant C7

Twanne schreef op maandag 09 mei 2016 @ 15:20:
[...]

het probleem stelt zich op verschillende platformen, zowel via de laptop (Win 10), als via de smartphone (Android 6.0.1), maar ook op de ipad heb ik intussen getest en ook daar hetzelfde resultaat...
Ik zou hieruit toch echt concluderen dat het dan aan de server config ligt, gezien dit de gemene deler is in het verhaal.

Linux (en dus ook Android) en IOS maakt ook al een tijdje gebruik van deze methode.
Dus kan goed kloppen dat je hier het zelfde probleem heb.

Scientia Potentia Est
Xbox-Live GamerTag: H3llStorm666
19x Q.Cell G5 325wp op APsystems QS1

maandag 9 mei 2016 15:25

Acties:

+1 Henk 'm!

Thedr

Ik had hier ook last van sinds de updates van vorige week. Kon ook niet meer op mijn LAN komen vanaf mijn Nexus 5 (6.0.1, april patchlevel). Opgelost door de .ovpn configuratiefile aan te passen door deze twee regels uit commentaar te halen:

code:

1
2
3

redirect-gateway def1

dhcp-option DNS 192.168.1.1

Waarbij de tweede regel het ip adres bevat van mijn router/gateway (ander ip dan mijn Synology).

voor de volledigheid mijn .ovpn file (door Synology gegenereerd)

code:

dev tun
tls-client

remote YOUR_SERVER_IP 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

ca ca_bundle.crt

comp-lzo

reneg-sec 0

auth-user-pass

[ Voor 87% gewijzigd door Thedr op 09-05-2016 15:31 ]

maandag 9 mei 2016 21:24

Acties:

0 Henk 'm!

Frogmen

Zoals je config nu is verwacht je dat je nas ook nog gaat routeren naar een ander subnet om vervolgens internet te zien dat gaat denk ik niet werken zet alles eens in hetzelfde subnet zowel lan als vpn.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

maandag 9 mei 2016 23:37

Acties:

0 Henk 'm!

Thedr

Weet niet of je het voor mij bedoeld had, maar mijn VPN devices zitten in een ander subnet. Kan echter prima bij mijn LAN devices (wel even "Allow devices to acces server's LAN" aanvinken).

maandag 16 mei 2016 18:38

Acties:

+3 Henk 'm!

Twanne

Topicstarter

het probleem is opgelost na lang zoeken.
Zoals verwacht was de oplossing redelijk simpel, maar snel over het hoofd gezien.

De firewall van de Synology was de adressen in range 10.8.0.1 - 10.8.0.255 (de VPN clients dus) aan het blokkeren.

De config files van zowel server en client zijn niet aangepast.

[ Voor 0% gewijzigd door Twanne op 21-04-2017 12:31 . Reden: typo ]

Onderwerpen

Vraag

Alle reacties