OpenVPN server opzetten op router

maandag 3 oktober 2016 11:24

Acties:

0 Henk 'm!

Topicstarter

Ik ben in het bezit van een RT1900 ac router van Synology.

Via de package center heb ik de VPN server geinstalleerd en opgezet. Ik kan echter niet met de VPN server verbinden.

Ik heb OpenVPN via de instellingen aangezet. Heb een nieuwe useraccount aangemaakt voor de verbinding en deze rechten gegeven om een OpenVPN verbinding op te zetten. Bij de OpenVPN instellingen heb ik vrijwel alles op default gelaten. Alleen heb ik o.a. aangevinkt dat clients ook toegang hebben tot het lokale netwerk. Hierna heb ik de configuratie geëxporteerd. Dit geeft een certificaat "ca.crt" en een .ovpn bestand. In deze laatste heb ik vervolgens de lijn remote YOUR_SERVER_IP 1194 vervangen door het (dynamische) IP adres hierin te zetten van mijn router. Vervolgens heb ik de OpenVPN app geinstalleerd op mijn mobiele telefoon en het certificaat + configuratie bestand (.ovpn) naar mijn mobiel verstuurd en geprobeerd een verbinding op te zetten. Dit lukte echter helaas niet.

Vervolgens ben ik gaan kijken waar het mis zou kunnen gaan.

Middels de VPN server package van Synology zouden ook direct de juiste poorten geforward moeten worden. In de firewall zie ik dat inderdaad terug.
Afbeeldingslocatie: https://tweakers.net/ext/f/i6rt3ZdTaqM2Xwwh2kWZQNrH/full.png?nohitcount=1

Afbeeldingslocatie: https://tweakers.net/ext/f/i6rt3ZdTaqM2Xwwh2kWZQNrH/full.png?nohitcount=1

Wanneer ik echter naar het tabblad ga van poorten doorsturen zag ik dat niet terug. Ik zag wel een hoop andere poorten welke (automatisch?) geforward worden. Deze kan ik ook niet uit deze lijst verwijderen (ander probleem overigens, want ben er dus achter gekomen dat ik mijn NAS van buitenaf kan benaderen, iets wat ik eigenlijk niet wil, echter kan deze regels niet verwijderen...).

Omdat ik dus zag dat poort 1194 voor OpenVPN wel geforward werd bij mijn NAS (zwart doorstreept) maar niet van mijn router heb ik een nieuwe regel toegevoegd, de eerste. Is dit correct? Ik heb ergens het idee dat de poort forward van mijn NAS roet in het eten gooid.

Afbeeldingslocatie: https://tweakers.net/ext/f/ei4EUqwnH4ZeDm89fyqVToDV/full.png?nohitcount=1

Afbeeldingslocatie: https://tweakers.net/ext/f/ei4EUqwnH4ZeDm89fyqVToDV/full.png?nohitcount=1

maandag 3 oktober 2016 11:30

Acties:

0 Henk 'm!

Anoniem: 203842

Test jij dat vanuit huis, dus vanuit dezelfde locatie waar de NAS staat?

Dat moet je niet doen. Je moet je laptop (of PC) op 3G / 4G zetten (en WiFi uit!!!), en dan verbinding maken.

Vaak kijken VPN servers alleen "naar buiten", en niet naar je LAN voor de verbindingen.

maandag 3 oktober 2016 11:39

Acties:

0 Henk 'm!

Chip.

Topicstarter

Anoniem: 203842 schreef op maandag 03 oktober 2016 @ 11:30:
Test jij dat vanuit huis, dus vanuit dezelfde locatie waar de NAS staat?

Dat moet je niet doen. Je moet je laptop (of PC) op 3G / 4G zetten (en WiFi uit!!!), en dan verbinding maken.

Vaak kijken VPN servers alleen "naar buiten", en niet naar je LAN voor de verbindingen.

Ik test vanuit thuis. Maar heb uiteraard de Wifi van mijn mobiel uitgezet en met de OpenVPN app geprobeerd te verbinden, Google Play: OpenVPN Connect

maandag 3 oktober 2016 11:49

Acties:

0 Henk 'm!

krijn1985

Maak je gebruik van TAP of TUN? Zover ik weet kan je met android alleen TUN gebruiken, in ieder geval dit was een jaar geleden nog wel zo.

maandag 3 oktober 2016 11:57

Acties:

0 Henk 'm!

xleeuwx

developer Tweakers Elect

Kan je de .ovpn bestand hier tussen code tags plaatsen (en graag gevoelige info eruit halen!!!!)

[ Voor 4% gewijzigd door xleeuwx op 03-10-2016 11:57 ]

maandag 3 oktober 2016 12:02

Acties:

0 Henk 'm!

Frogmen

Je NAS heeft er denk ik niets mee te maken want je stelt OpenVPN in op je Router van de openvpn server heb je nodig het config bestand het certificaat en de key deze kunnen echter ook al in het .ovpn config bestand zitten dus deze even bekijken wat erin staat.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

maandag 3 oktober 2016 12:20

Acties:

0 Henk 'm!

Chip.

Topicstarter

xleeuwx schreef op maandag 03 oktober 2016 @ 11:57:
Kan je de .ovpn bestand hier tussen code tags plaatsen (en graag gevoelige info eruit halen!!!!)

code:

dev tun
tls-client

remote <IP adres> 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

comp-lzo

reneg-sec 0

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
KEY VAN CERTIFICAAT
-----END CERTIFICATE-----
</ca>

krijn1985 schreef op maandag 03 oktober 2016 @ 11:49:
Maak je gebruik van TAP of TUN? Zover ik weet kan je met android alleen TUN gebruiken, in ieder geval dit was een jaar geleden nog wel zo.

Geen idee wat TAP of TUN is

, maar mobiel is Oneplus 3. Geen idee of dit helpt?

[ Voor 10% gewijzigd door Chip. op 03-10-2016 12:22 ]

maandag 3 oktober 2016 12:40

Acties:

0 Henk 'm!

Mijzelf

Wanneer ik echter naar het tabblad ga van poorten doorsturen zag ik dat niet terug.

Da's logisch. Als je VPN server op je router draait, hoeft er geen poort geforward. Je zit immers al bij de WAN?

maandag 3 oktober 2016 12:44

Acties:

0 Henk 'm!

krijn1985

Chip. schreef op maandag 03 oktober 2016 @ 12:20:
[...]

code:

dev tun
tls-client

remote <IP adres> 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

comp-lzo

reneg-sec 0

auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
KEY VAN CERTIFICAAT
-----END CERTIFICATE-----
</ca>

[...]

Geen idee wat TAP of TUN is

, maar mobiel is Oneplus 3. Geen idee of dit helpt?

toon volledige bericht

Als ik je config zie lijkt het gewoon op TUN te staan. Krijg je een foutmelding op je mobiel?

maandag 3 oktober 2016 12:50

Acties:

0 Henk 'm!

prein2

2.430 kWp, Solaredge SE2200

Ik vraag me af of de mobiele client werkt met een aparte CA file. probeer het eens met een laptop met openvpn software (en via buiten). Als dit wel werkt, dan kun je de CA key in de ovpn file stoppen en dus maar 1 file hoeven laden in je telefoon.

Edit: dat andere probleem, van je open poorten, los je op door UPNP uit te zetten op je router...

[ Voor 16% gewijzigd door prein2 op 03-10-2016 12:51 ]

PVoutput

maandag 3 oktober 2016 13:02

Acties:

0 Henk 'm!

xleeuwx

developer Tweakers Elect

De Configuratie ziet er goed uit (ik gebruik "proto tcp-client" inplaats van "proto udp"). Ben bang dat je je fout in de CA File, IP of poorten moet zoeken want dat zijn de enige onbekende op dit moment.

Staat je modem in bridge? Nee ? Accepteert je ISP (Open)VPN over hun modem ?

Je zou in de Synology kunnen kijken naar de logs van de OpenVPN server.

dinsdag 4 oktober 2016 11:29

Acties:

0 Henk 'm!

kwakzalver

Als ik het goed begrijp is het:

WWW <---> Modem <---> AC1900

Kan je wat meer info geven over het netwerk 'voor' de AC1900?
Lijkt op een IP conflict of je zal een configuratie moeten aanpassen.

Vragen:
Hoe is je modem geconfigureerd? Bridge, DMZ of standaard
Welke IP range gebruikt je modem?

Hoe is de AC1900 aangesloten op de modem?

dinsdag 4 oktober 2016 11:31

Acties:

+1 Henk 'm!

Chip.

Topicstarter

Geen idee hoe. Maar heb het inmiddels werkend. Heb eerst alles terug gezet (uitgezet) en toen weer begonnen bij stap 1. Hierna werkte het.

Denk dus dat er iets fout of mis was gegaan in eerste instantie.

Bedankt voor jullie hulp in ieder geval ^^

[ Voor 10% gewijzigd door Chip. op 04-10-2016 11:32 ]

Onderwerpen