Port forwarding niet mogelijk, hoe LAN remote benaderen?

maandag 23 september 2019 10:34

Acties:

0 Henk 'm!

Topicstarter

Ik heb 2 remote locaties.
Op beide locaties staat een Synology NAS.

1 locatie is mijn thuis, de andere noem ik de 'remote' locatie.

Op de remote locatie draait domotica (loxone). Om deze domotica te kunnen accessen via mijn thuis had ik een VPN server draaien op de Synology NAS (op remote locatie).
Ik kon simpelweg VPN verbinden en zo het lokaal netwerk op.

Nu ben ik op de remote locatie overgestapt van Proximus (glasvezel) naar een Flybox van Orange (4G router van Orange met sim-kaart, je kan niet kiezen voor een andere type 4G router).

Ik had er echter geen rekening mee gehouden dat ik over 4G niet kan port forwarden.
Die oude VPN verbinding werkt dus helaas niet meer.

Ben nu aan het kijken naar een oplossing maar het gaat mijn netwerk-kennis wat te boven (het stopt een beetje bij switches/VPN/port forwarding).

Iemand die mij wat de juiste weg op kan sturen?
Liefst geen extra hardware. Niet enkel voor de kost maar ook omdat dat alles weer complexer om te onderhouden maakt.

Had gehoopt dat de 2 Synology NAS'en een oplossing konden zijn (VPN tunnel achtige oplossing).

Bijkomende beperking volgens mij is dat de 4G router ook in zijn instellingen zeer beperkt is.

maandag 23 september 2019 10:41

Acties:

+1 Henk 'm!

Verwijderd

VPN de andere kant op en deze permanent open laten staan?

maandag 23 september 2019 10:41

Acties:

+1 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Het probleem zit ‘m niet zozeer in beperkte instellingen van die 4G router waarschijnlijk, maar meer in dat je veel kans gewoon al als WAN adres een private adres hebt dankzij CG-NAT.

Je zou even naar Synology Quickconnect kunnen kijken. Maar daarmee krijg je alleen verbinding met je NAS, ik gok dat je meer nodig hebt om je domotica te bedienen?

TeamViewer werkt ook achter NAT, maar dan moet je dus wel een (extra) machine met TeamViewer in je netwerk hebben staan...

Een ander alternatief zou kunnen zijn om te kijken of je ergens een VPN dienst kan vinden waar je vanuit het betreffende LAN een tunnel naar op kan zetten, maar waarbij je dan ook een vast, persoonlijk IPv4 endpoint krijgt waar je van buiten naartoe kan verbinden.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

maandag 23 september 2019 10:47

Acties:

0 Henk 'm!

Paul

Ik zou inderdaad, zoals @Verwijderd ook zegt, de VPN omdraaien. VPN-server bij jou thuis neerzetten, verbinding vanaf de andere kant initiëren, en klaar

Wel kan het zijn dat je daarvoor een ander soort VPN nodig hebt, eerst logde jij in op dat netwerk, nu wil je dat dat hele netwerk bij jou kan, waarmee je uitkomt op een site-to-site VPN.

Het makkelijkste is dit te regelen op de router zelf, als deze dat toelaat. Dat zorgt ervoor dat de routering naar de remote subnetten meteen goed gaat. Als de VPN-server ergens anders op staat dan moet je static routes maken, ofwel op de router zelf, ofwel op ieder apparaat waarmee je over wil steken. En deze static routes moet je aan beide kanten aanmaken, het antwoord op je verzoek moet ook weten waar het heen moet.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 23 september 2019 10:48

Acties:

0 Henk 'm!

Breezz

Topicstarter

Verwijderd schreef op maandag 23 september 2019 @ 10:41:
VPN de andere kant op en deze permanent open laten staan?

Ik kan inderdaad een VPN-connectie de andere kant opzetten.
Dat lukt me ook met de Synology als VPN client, maar ik krijg op deze manier geen toegang tot de andere devices op het netwerk (enkel met de VPN server).

Ik denk omdat er nog wat instellingen goed gezet moeten worden...
Zou het kunnen dat dit iets met static routing te maken heeft?

maandag 23 september 2019 10:49

Acties:

0 Henk 'm!

MisteRMeesteR

Moderator Internet & Netwerken

Is Gek op... :)

Even als toevoeging op de post van @Orion84.

In Nederland heb je bij KPN de optie om het APN waar je mee vebindt aan te passen zodat je op je toestel een eigen WAN IP krijgt in plaats van een Private adress achter CG-NAT. Wellicht biedt Orange een soortgelijke optie aan?

Van de Orange website:

Bij APN, voer mworld.be in (voor business gebruik Internet.be).

Heb je op je 4G router überhaupt wel de optie om een port-forward neer te zetten?

www.google.nl

maandag 23 september 2019 10:54

Acties:

0 Henk 'm!

Breezz

Topicstarter

MisteRMeesteR schreef op maandag 23 september 2019 @ 10:49:
Even als toevoeging op de post van @Orion84.

In Nederland heb je bij KPN de optie om het APN waar je mee vebindt aan te passen zodat je op je toestel een eigen WAN IP krijgt in plaats van een Private adress achter CG-NAT. Wellicht biedt Orange een soortgelijke optie aan?

Van de Orange website:

[...]

Heb je op je 4G router überhaupt wel de optie om een port-forward neer te zetten?

Ik heb begrepen dat dit niet zomaar gaat. Maw, dat Orange normaal niet toestaat het APN aan te passen.

Nog even terug over dat statisch routeren.
Ik denk dat mijn 4G router dit niet kan.
Kan ik gewoon een 2de router achter de flybox hangen?

maandag 23 september 2019 10:56

Acties:

0 Henk 'm!

Verwijderd

— knip, was niet van toepassing op NAS van Synology —

[ Voor 86% gewijzigd door Verwijderd op 23-09-2019 11:01 ]

maandag 23 september 2019 11:12

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Breezz schreef op maandag 23 september 2019 @ 10:54:
[...]
Nog even terug over dat statisch routeren.
Ik denk dat mijn 4G router dit niet kan.

Als je NAS de VPN client is, dan moet je dat routeren op de NAS doen, niet op je router.

Kan ik gewoon een 2de router achter de flybox hangen?

Dat heeft alleen toegevoegde waarde als de flybox zo ingesteld kan worden dat hij puur als 4G modem functioneert en de router erachter dus het Orange IP adres krijgt. En dan nog, zo lang je op CG-NAT zit en geen echt publiek routeerbaar IP adres krijgt van Orange heb je niet heel veel aan een betere router (behalve misschien dat als je vanaf die router een VPN tunnel naar buiten initieert dat het makkelijker in te stellen is dat je vanuit buiten via het VPN endpoint, je andere LAN devices kan bereiken).

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

maandag 23 september 2019 11:26

Acties:

+1 Henk 'm!

Paul

Orion84 schreef op maandag 23 september 2019 @ 11:12:
[...]
Als je NAS de VPN client is, dan moet je dat routeren op de NAS doen, niet op je router.

Toevoeging: De routering (pakketje binnenkrijgen, kijken waar het heen moet, pakketje doorsturen) moet op je NAS, maar static routes moet je op je router instellen. Als dat niet lukt, dan moet je dat op ieder apparaat waar je bij wil doen.

Je hebt een IP-adres en een subnetmasker. Alles wat buiten je subnet valt wordt niet rechtstreeks naar het apparaat waar je naar toe wil gestuurd, maar naar je router. Je router kijkt vervolgens wat de volgende stap in het proces is. In veruit de meeste gevallen zal dat "het internet op" zijn, maar als je nu tegen je router zegt dat het de VPN naar jou thuis kan vinden op de Synology dan zal je router het niet het internet op sturen maar naar je Synology. Je Synology heeft nu ook een router-functie, krijgt dat pakketje, en stuurt het de VPN op.

Als je op je 4G router geen static routes aan kunt maken dan moet je zorgen dat je PC / server / loxone alles wat'ie niet kent niet klakkeloos naar je router stuurt, maar dat'ie pakketjes naar jou thuis meteen naar de Synology stuurt.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 23 september 2019 11:28

Acties:

+1 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Thanks voor de aanvulling/correctie @Paul. Vraag me wel af of je op de NAS nog wat in moet stellen om überhaupt je LAN bereikbaar te maken vanuit de VPN tunnel.

Wat dat betreft wordt de setup waarschijnlijk wel een stuk simpeler als je de VPN tunnel vanaf je router kan opbouwen in plaats van vanaf je NAS, ook al moet dat dan een extra router achter je 4G ding zijn.

[ Voor 39% gewijzigd door Orion84 op 23-09-2019 11:29 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

maandag 23 september 2019 11:30

Acties:

0 Henk 'm!

Breezz

Topicstarter

Na wat meer opzoekwerk heb ik wel gevonden dat Synology NAS'en géén site-to-site VPN ondersteunen...

Ik neem aan dat er dan geen andere oplossingen zijn zonder extra hardware?

maandag 23 september 2019 11:38

Acties:

0 Henk 'm!

Paul

Orion84 schreef op maandag 23 september 2019 @ 11:28:
Thanks voor de aanvulling/correctie @Paul. Vraag me wel af of je op de NAS nog wat in moet stellen om überhaupt je LAN bereikbaar te maken vanuit de VPN tunnel.

Dat hangt er van af of de Synology een site-to-site VPN aankan. Ik lees net dat dit niet gaat

Wat dat betreft wordt de setup waarschijnlijk wel een stuk simpeler als je de VPN tunnel vanaf je router kan opbouwen in plaats van vanaf je NAS, ook al moet dat dan een extra router achter je 4G ding zijn.

Absoluut.

Breezz schreef op maandag 23 september 2019 @ 10:54:
Kan ik gewoon een 2de router achter de flybox hangen?

Dat kan zeker. Wel verlies je dan de wifi-functie van de Flybox:

quote: https://www.orange.be/nl/...t-home/flybox-installeren
Als je je computer liever met een Ethernet-kabel wil verbinden, staat het je vrij om het wifi-netwerk te verbreken. Open daarvoor de beheerdersinterface van je modem en ga naar de rubriek wifi.

, dus dan moet je een los access point nemen of voor die 2e router eentje nemen die ook wifi doet. Alles los heeft als voordeel dat je de Flybox ergens op kunt hangen waar je het beste 4G hebt, het accesspoint op kunt hangen waar je de meeste dekking realiseert, en je nieuwe router daar waar alle kabels bij elkaar komen.

Breezz schreef op maandag 23 september 2019 @ 11:30:
Ik neem aan dat er dan geen andere oplossingen zijn zonder extra hardware?

Ik ben er bang voor. Mogelijk kun je op de Synology Virtual Machine Manager installeren en een software router gebruiken zoals pfSense, maar dan nog heb je een wifi access point nodig, en mogelijk moet je met VLANs of meerdere fysieke netwerkaansluitingen op de Synology gaan werken. Ik weet niet of je daar aan moet willen beginnen als je niet bekend bent met de materie.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 23 september 2019 12:15

Acties:

0 Henk 'm!

Breezz

Topicstarter

Ik zie dat je in de instellingen van de OpenVPN server de poort zelf kan kiezen.
Als ik een poort vind die standaard open staat in mijn 4G router, heb ik dan een oplossing?
Kan ik dan via deze manier toch gewoon een VPN verbinding leggen?

[ Voor 16% gewijzigd door Breezz op 23-09-2019 12:16 ]

maandag 23 september 2019 12:19

Acties:

+1 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Nee, want er is geen poort die standaard 'open staat'. Het gaat ook niet om 'open staan', het gaat om forwarden, wat überhaupt geen optie is wanneer je achter CG-NAT zit.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

maandag 23 september 2019 14:01

Acties:

0 Henk 'm!

Verwijderd

Breezz schreef op maandag 23 september 2019 @ 11:30:
Na wat meer opzoekwerk heb ik wel gevonden dat Synology NAS'en géén site-to-site VPN ondersteunen...

Ik neem aan dat er dan geen andere oplossingen zijn zonder extra hardware?

Niet via OpenVPN / PPTP. Althans dat staat expliciet in de handleiding van Synology:

VPN Server ondersteunt geen brugmodus voor site-to-site-verbindingen.

Op diezelfde pagina staat ook de optie voor L2TP/IPSec en daar zie ik die beperking niet bij vermeld.

Overigens als het alleen om Loxone gaat (neem aan dat dat een webinterface heeft) en je bent een beetje technisch onderlegd kun je ook denken aan een SSH-tunnel met port-forwarding in een docker container - of iets dergelijks

[ Voor 14% gewijzigd door Verwijderd op 23-09-2019 14:07 ]

maandag 23 september 2019 20:55

Acties:

0 Henk 'm!

Breezz

Topicstarter

Ook L2TP/IPSec gaat niet werken als ik Google mag geloven...

Gaat inderdaad enkel over loxone en die heeft inderdaad een web interface.
SSH-tunnel zou dus kunnen maar dat gaat mijn petje te boven...

Ik knutsel graag maar het is een semi-zakelijke oplossing dus om er zomaar te beginnen kloten...

dinsdag 24 september 2019 09:33

Acties:

+1 Henk 'm!

Verwijderd

Zo complex is het niet, het is veilig en bijna bullet proof. Als je op beide locaties iets hebt waar een shell met SSH kan draaien en je durft het aan tiep ik 5 minuten instructies voor je

dinsdag 24 september 2019 14:26

Acties:

+1 Henk 'm!

Jenzaah

Ik gebruik hier zelf Zerotier voor. Daarmee kan je eenvoudig meerdere devices met elkaar koppelen zonder port forwarding.

dinsdag 24 september 2019 14:32

Acties:

0 Henk 'm!

FreshMaker

Jenzaah schreef op dinsdag 24 september 2019 @ 14:26:
Ik gebruik hier zelf Zerotier voor. Daarmee kan je eenvoudig meerdere devices met elkaar koppelen zonder port forwarding.

Interessant, lijkt een beetje op Hamachi ...
Ik ga er zeker even induiken

dinsdag 24 september 2019 14:33

Acties:

0 Henk 'm!

Jenzaah

FreshMaker schreef op dinsdag 24 september 2019 @ 14:32:
[...]

Interessant, lijkt een beetje op Hamachi ...
Ik ga er zeker even induiken

Ik gebruik het momenteel zelf ook om mijn KNX installatie remote te benaderen achter een Telenet Homespot. (Ik zit nog in de verbouwingen, en heb nog geen internet aansluiting). Werkt goed en stabiel, buiten het feit dat de Telenet Homespot me er soms afgooid.

dinsdag 24 september 2019 15:45

Acties:

0 Henk 'm!

Breezz

Topicstarter

Verwijderd schreef op dinsdag 24 september 2019 @ 09:33:
Zo complex is het niet, het is veilig en bijna bullet proof. Als je op beide locaties iets hebt waar een shell met SSH kan draaien en je durft het aan tiep ik 5 minuten instructies voor je

Klein vraagje vooraleer ik al dan niet verder inga op jouw zeer gul voorstel

Ik neem aan dat je in dat ssh scriptje moet verwijzen naar "de andere kant", door middel van een IP.
Hoe los je dit op als je geen vast IP hebt? Kan je bijvoorbeeld verwijzen naar de DNS van synology?

In mijn geval zouden SSH aan beide kanten draaien op de Synology NAS indien mogelijk

dinsdag 24 september 2019 16:34

Acties:

0 Henk 'm!

Verwijderd

@Breezz je kunt gebruik maken van duckdns (gratis) of dyndns (betaald, en flink prijzig geworden zie ik...) Je configureert je NAS zodat deze de DNS-server update als jouw IP-adres verandert. Je krijgt dan iets als 'mijnthuispc.duckdns.ext' wat altijd naar je eigen verbinding wijst.

Geen ervaring mee. Heb zelf officieel geen vast IP-adres maar is in de afgelopen zes jaar 2x gewijzigd. De eerste keer toen ik een nieuw modem kreeg en de tweede bij een verhuizing

Schijnt dat Synology zelf ook een ddns (dynamische DNS) service heeft. Misschien dat iemand je kan vertellen wat de handigste is.

dinsdag 24 september 2019 16:48

Acties:

0 Henk 'm!

jeroen3

Je kunt twee andere VPN capabele routers neerzetten. Een als server A, waar je wel kan forwaren en een statisch IP hebt, èn een als client B, die met die server verbindt.
Vervolgens zet je routering goed, zodat overige clients van A ook naar B kunnen.
Je kunt zelfs voorkomen dat VPN clients op A bij de rest van het netwerk rondom A kunnen.

Ik heb dat zo opgezet. Mijn Mikrotik C verbindt met Mikrotik D ergens anders. En dan heb ik een site-to-site.
Vervolgens verbind ik met de Synology OpenVPN op D vanaf mijn laptop, en kan ik bij de pc's op C, mits toegestaan door de firewall op C.
Vanaf D kan ik nergens op het netwerk bij C, behalve die synology, want dat begrensd de firewall van D.

Je kunt zoiets ook gewoon kopen. Zie bijvoorbeeld eWon.

dinsdag 24 september 2019 16:49

Acties:

0 Henk 'm!

Spierenburg

Inloggen op de Synology --> Configuratiescherm --> Extern Toegang --> DDNS instellen, bijvoorbeeld: blabla.synology.me

dinsdag 24 september 2019 17:04

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Spierenburg schreef op dinsdag 24 september 2019 @ 16:49:
Inloggen op de Synology --> Configuratiescherm --> Extern Toegang --> DDNS instellen, bijvoorbeeld: blabla.synology.me

Daar heb je helemaal niks aan als je achter CG-NAT zit. (Ook op normaal NAT is dat geen vervanging voor portforwards overigens)

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

dinsdag 24 september 2019 17:11

Acties:

0 Henk 'm!

Spierenburg

Was een antwoord op @Verwijderd

dinsdag 24 september 2019 17:28

Acties:

+2 Henk 'm!

Verwijderd

Orion84 schreef op dinsdag 24 september 2019 @ 17:04:
[...]

Daar heb je helemaal niks aan als je achter CG-NAT zit. (Ook op normaal NAT is dat geen vervanging voor portforwards overigens)

De thuis locate zit niet achter CG-NAT. Als je daar ddns instelt dan weet de werk locatie naar welk adres een SSH verbinding opgezet moet worden. Via die SSH verbinding wordt vervolgens een port op de thuis locatie opengezet (zeg even 8080) die via de SSH-tunnel op de werk locatie doorgezet wordt naar Loxone. Thuis in je browser http://adresvanssh.local:8080 tiepen geeft dan Loxone op de remote locatie weer.

SSH port zal uiteraard op de thuis locatie geforward moeten worden. Maar dat is dus geen punt.

[ Voor 6% gewijzigd door Verwijderd op 24-09-2019 17:29 ]

dinsdag 24 september 2019 17:40

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Spierenburg schreef op dinsdag 24 september 2019 @ 17:11:
Was een antwoord op @Verwijderd

Ah, dat was me even ontgaan, ik zie nu die eerdere posts pas over de SSH tunnel en de vraag hoe om te gaan met dynamisch IP op de thuislocatie.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

woensdag 25 september 2019 21:18

Acties:

0 Henk 'm!

Breezz

Topicstarter

Verwijderd schreef op dinsdag 24 september 2019 @ 17:28:
[...]

De thuis locate zit niet achter CG-NAT. Als je daar ddns instelt dan weet de werk locatie naar welk adres een SSH verbinding opgezet moet worden. Via die SSH verbinding wordt vervolgens een port op de thuis locatie opengezet (zeg even 8080) die via de SSH-tunnel op de werk locatie doorgezet wordt naar Loxone. Thuis in je browser http://adresvanssh.local:8080 tiepen geeft dan Loxone op de remote locatie weer.

SSH port zal uiteraard op de thuis locatie geforward moeten worden. Maar dat is dus geen punt.

En wat zal er in praktijk dan staan in de plaats van "adresvanssh" ?
Toch het IP van de remote locatie ?
Of van local ip van de NAS waar SSH op draait?

woensdag 25 september 2019 21:42

Acties:

0 Henk 'm!

Verwijderd

Breezz schreef op woensdag 25 september 2019 @ 21:18:
[...]
En wat zal er in praktijk dan staan in de plaats van "adresvanssh" ?
Toch het IP van de remote locatie of niet ?

Nee. Uiteraard niet

Als de SSH server op je eigen machine draait 'localhost', als SSH op je NAS draait het ip-adres van je NAS, als SSH in Docker of andere gevirtualiseerde omgeving draait het ip-adres van die omgeving. Allen bij jou thuis.

Edit: ik was te snel met reageren zie ik

[ Voor 4% gewijzigd door Verwijderd op 25-09-2019 21:43 ]

Vraag

Alle reacties