Synology VPN werkt niet goed

Mijn vraag
Ik heb sinds kort een Synology Nas (DS215J) en alles meteen ingesteld.
Het enige wat ik niet werken krijg is de L2TP VPN op de nas zelf, ik heb al vanalles opgezocht via internet maar kan de fix maar niet vinden.

Relevante software en hardware die ik gebruik
Synology DS215J met DSM 6.2.1-23824
Moto G5S Plus met Android 8.1 (Pixelexperience) en de native L2TP van Android

Thuis netwerk is: 192.168.0.0
VPN netwerk is nu: 192.168.1.0

"route" naar NAS is: internet > router (192.168.0.1) > router in switch mode voor wifi (192.168.0.2) > NAS (192.168.0.101) die DMZ is.

Firewall staat op de NAS aan met alle poorten inkomend dicht behalve 80, 443 (voor LE) en de VPN poorten via de keuze van Synology's keuzemenu

Ik verbind vanuit mijn Android telefoon naar de hostname van de NAS met een gebruiker speciaal aangemaakt voor de VPN en de nodige rechten hiervoor. Verder daar geen forwarding routes of DNS servers ingesteld.

Op de "VPN Server" staat "manual DNS" aan op 8.8.8.8, en verder alles standaard

Ik kan dus wel verbinden, maar verder niets doen. Op werk zie ik bijv. ook gewoon de apparaten in de 192.168.1.0 range

Wat ik al gevonden of geprobeerd heb

• Firewall van de NAS uit
• DNS en Proxy server geinstalleerd op de NAS (en weer er af gehaald omdat het niet werkte)
• Andere range geprobeerd voor de VPN
• OpenVPN geprobeerd
• Statische route aanmaken in de NAS met destination 192.168.0.0 en netmask 255.255.0.0

Wie o wie kan mij hier mee helpen?

Shadow771 schreef op donderdag 18 oktober 2018 @ 19:59:
Waarom zet je je NAS in het DMZ? Dat lijkt me helemaal niet nodig. Gewoon de poorten voor VPN door forwarden.

Anyway, ik denk dat alle apparaten in je netwerk niet kan 'terug communiceren' naar je VPN devices in het 192.168.1.0/24 segment omdat je router niet weet dat dat segment bestaat. Dus in je router moet je handmatig een static route aanmaken voor 192.168.1.0/24 met 192.168.0.101 (je NAS) als de gateway daarvan.

Ik heb gezocht in de router van Ziggo maar kan die optie niet vinden, op internet staat dat die het niet heeft (heb nog een oudere).
Ik heb het op de switch ingesteld, maar ik gok dat het dan niks doet:


Het rare is dat er eerst hier een nas stond die het zonder wel deed.

Ik kan ook met en zonder die route naar het apparaat 192.168.1.1 pingen vanaf mijn PC in de 192.168.0.0 range

//edit
ik kan vanaf het apparaat verbonden met de VPN niet verbinden met 192.168.0.0, dat is waarschijnlijk het hele probleem

[Voor 6% gewijzigd door thomas1907 op 18-10-2018 20:37]

Shadow771 schreef op donderdag 18 oktober 2018 @ 20:56:
[...]

Wat? Dit is dan geen switch...
Dit zal wel een router zijn die weer achter je Ziggo router staat (niet in bridge mode?)? Wat is het IP van dit ding, en wat is het IP van je ziggo router/modem? En je static route hier klopt niet. Met subnet mask 255.255.0.0 zit je nu ook je VPN verkeer te wijzen naar je default gateway, terwijl dat eigenlijk naar de NAS hoort te gaan.

Sorry, niet goed uitgelegd. Het is inderdaad een router maar die staat in bridge mode. dat is 192.168.0.2

Ik kan dus wel pingen van mijn PC (192.168.0.27) naar mijn telefoon die via 4G op de VPN (192.168.1.1) maar andersom niet. Dat is zonder die static route in de 2e router

Op die telefoon staat verder niks qua instellingen anders dan default, alleen een gebruikersnaam, wachtwoord, en PSK

Misschien gebruikte je een protocol in TAP mode wat in hetzelfde IP range als je LAN kan werken?

Voor zover ik het weet was het een OpenVPN op een synology nas, iets wat bij mij dus ook niet werkt. Mijn broer had die ingesteld op zijn nas, maar die had ook niets speciaals ingesteld.

Die NAS stond overigens niet als DMZ maar gewoon met port forwards er in. Iets wat ik vanavond met deze ook wel eens zal proberen

Shadow771 schreef op donderdag 18 oktober 2018 @ 21:18:
[...]


Weet jij heel zeker dat je wel naar je telefoon staat te pingen? Ik vind het dan wel erg raar dat je telefoon als VPN client de eerste IP address in een range/subnet krijgt.. Ik vermoed dat je de VPN server zelf zit te pingen..

Dat vondt ik dus ook apart, maar synology geeft toch aan dat het wel zo is:


Dit zijn de instellingen in die nas:


Wat dan het IP van die synology nas in die range is.. dat zou ik niet weten

Shadow771 schreef op donderdag 18 oktober 2018 @ 22:05:
wat zegt tracert 192.168.1.1 ?

Vanaf mijn PC (192.168.0.27)

tracert 192.168.1.1

Tracing route to 192.168.1.1 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms 192.168.1.1

Trace complete.

Vanaf mijn 2e touter (192.168.0.2)

traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 38 byte packets
1 192.168.1.1 (192.168.1.1) 16.202 ms 141.931 ms 2.800 ms

//edit

Er gaat dus sowieso wat mis, want als de range van de VPN staat op 192.168.10.0 kan ik niet meer pingen

[Voor 10% gewijzigd door thomas1907 op 18-10-2018 22:12]

Shadow771 schreef op donderdag 18 oktober 2018 @ 22:33:
Ja jou netwerk indeling snap ik nog steeds niet helemaal, aangezien je blijkbaar 2 routers in hetzelfde subnet heb hangen.

Welke van deze 2 is je default gateway? Eigenlijk zou ik dan een tracert naar buiten willen zien. Wat zegt 'tracert tweakers.net' bijvoorbeeld?

BTW: Ik vind dat je je VPN subnet zowiezo een range moet geven wat niet common gebruikt word om conflicten te voorkomen. Ik zelf gebruik 192.168.160.0 (OpenVPN).

Mijn "echte" router is 192.168.0.1, er staat boven nog een router in bridge modus waar mijn nas en PC aan zitten en een 2e WIFI accesspoint "in" zit. Dat is 192.168.0.2

DHCP etc. staat allemaal verder uit op de bridge router

Ik heb de range van de VPN nu ook op 192.168.160.0 ingesteld, telefoon krijgt nu 192.168.160.1 als IP

De tracert geeft:

tracert tweakers.net

Tracing route to tweakers.net [213.239.154.30]
over a maximum of 30 hops:

1 <1 ms <1 ms <1 ms 192.168.0.1
2 8 ms 9 ms 8 ms f52001.upc-f.chello.nl [80.56.52.1]
3 9 ms 12 ms 8 ms 212.142.3.233
4 9 ms 10 ms 7 ms asd-tr0021-cr101-be108-2.core.as33915.net [213.51.7.76]
5 * * * Request timed out.
6 6 ms 11 ms 10 ms nl-ams04a-ri3-ae8-0.aorta.net [84.116.130.97]
7 11 ms 13 ms 9 ms et-0-3-0-0.eun-mx480-01.true.nl [80.249.208.171]
8 16 ms 16 ms 15 ms et-0-0-0-0.eun-spine-01.true.nl [87.233.21.1]
9 11 ms 12 ms 29 ms et-0-0-48-0.eun-leaf-03.true.nl [87.233.21.16]
10 21 ms 17 ms 17 ms 87.233.241.106
11 13 ms 10 ms 9 ms tweakers.net [213.239.154.30]

Trace complete.

(vaag genoeg zonder die bridge, maar ik weet niet of dat uberhaupt er in zou moeten staan )