Toon posts:

Port forwarding niet mogelijk, hoe LAN remote benaderen?

Pagina: 1
Acties:

Vraag


  • Breezz
  • Registratie: juni 2011
  • Nu online
Ik heb 2 remote locaties.
Op beide locaties staat een Synology NAS.

1 locatie is mijn thuis, de andere noem ik de 'remote' locatie.

Op de remote locatie draait domotica (loxone). Om deze domotica te kunnen accessen via mijn thuis had ik een VPN server draaien op de Synology NAS (op remote locatie).
Ik kon simpelweg VPN verbinden en zo het lokaal netwerk op.

Nu ben ik op de remote locatie overgestapt van Proximus (glasvezel) naar een Flybox van Orange (4G router van Orange met sim-kaart, je kan niet kiezen voor een andere type 4G router).

Ik had er echter geen rekening mee gehouden dat ik over 4G niet kan port forwarden.
Die oude VPN verbinding werkt dus helaas niet meer.

Ben nu aan het kijken naar een oplossing maar het gaat mijn netwerk-kennis wat te boven (het stopt een beetje bij switches/VPN/port forwarding).

Iemand die mij wat de juiste weg op kan sturen?
Liefst geen extra hardware. Niet enkel voor de kost maar ook omdat dat alles weer complexer om te onderhouden maakt.

Had gehoopt dat de 2 Synology NAS'en een oplossing konden zijn (VPN tunnel achtige oplossing).

Bijkomende beperking volgens mij is dat de 4G router ook in zijn instellingen zeer beperkt is.

Alle reacties


  • Zarathustra
  • Registratie: januari 2008
  • Laatst online: 28-04-2020
VPN de andere kant op en deze permanent open laten staan?

Veni, vidi, vici - ik kwam, zag en overwon de drempels van het leven - denk ik dan maar, en vond vriendschap


  • Orion84
  • Registratie: april 2002
  • Nu online

Orion84

Admin General Chat

Fotogenie(k)?

Het probleem zit ‘m niet zozeer in beperkte instellingen van die 4G router waarschijnlijk, maar meer in dat je veel kans gewoon al als WAN adres een private adres hebt dankzij CG-NAT.

Je zou even naar Synology Quickconnect kunnen kijken. Maar daarmee krijg je alleen verbinding met je NAS, ik gok dat je meer nodig hebt om je domotica te bedienen?

TeamViewer werkt ook achter NAT, maar dan moet je dus wel een (extra) machine met TeamViewer in je netwerk hebben staan...

Een ander alternatief zou kunnen zijn om te kijken of je ergens een VPN dienst kan vinden waar je vanuit het betreffende LAN een tunnel naar op kan zetten, maar waarbij je dan ook een vast, persoonlijk IPv4 endpoint krijgt waar je van buiten naartoe kan verbinden.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr


  • Paul
  • Registratie: september 2000
  • Laatst online: 17:23
Ik zou inderdaad, zoals @Zarathustra ook zegt, de VPN omdraaien. VPN-server bij jou thuis neerzetten, verbinding vanaf de andere kant initiëren, en klaar :)

Wel kan het zijn dat je daarvoor een ander soort VPN nodig hebt, eerst logde jij in op dat netwerk, nu wil je dat dat hele netwerk bij jou kan, waarmee je uitkomt op een site-to-site VPN.

Het makkelijkste is dit te regelen op de router zelf, als deze dat toelaat. Dat zorgt ervoor dat de routering naar de remote subnetten meteen goed gaat. Als de VPN-server ergens anders op staat dan moet je static routes maken, ofwel op de router zelf, ofwel op ieder apparaat waarmee je over wil steken. En deze static routes moet je aan beide kanten aanmaken, het antwoord op je verzoek moet ook weten waar het heen moet.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock


  • Breezz
  • Registratie: juni 2011
  • Nu online
Zarathustra schreef op maandag 23 september 2019 @ 10:41:
VPN de andere kant op en deze permanent open laten staan?
Ik kan inderdaad een VPN-connectie de andere kant opzetten.
Dat lukt me ook met de Synology als VPN client, maar ik krijg op deze manier geen toegang tot de andere devices op het netwerk (enkel met de VPN server).

Ik denk omdat er nog wat instellingen goed gezet moeten worden...
Zou het kunnen dat dit iets met static routing te maken heeft?

  • MisteRMeesteR
  • Registratie: december 2001
  • Nu online

MisteRMeesteR

Moderator Internet & Netwerken

Is Gek op... :)

Even als toevoeging op de post van @Orion84.

In Nederland heb je bij KPN de optie om het APN waar je mee vebindt aan te passen zodat je op je toestel een eigen WAN IP krijgt in plaats van een Private adress achter CG-NAT. Wellicht biedt Orange een soortgelijke optie aan?

Van de Orange website:
Bij APN, voer mworld.be in (voor business gebruik Internet.be).
Heb je op je 4G router überhaupt wel de optie om een port-forward neer te zetten?

www.google.nl


  • Breezz
  • Registratie: juni 2011
  • Nu online
MisteRMeesteR schreef op maandag 23 september 2019 @ 10:49:
Even als toevoeging op de post van @Orion84.

In Nederland heb je bij KPN de optie om het APN waar je mee vebindt aan te passen zodat je op je toestel een eigen WAN IP krijgt in plaats van een Private adress achter CG-NAT. Wellicht biedt Orange een soortgelijke optie aan?

Van de Orange website:

[...]


Heb je op je 4G router überhaupt wel de optie om een port-forward neer te zetten?
Ik heb begrepen dat dit niet zomaar gaat. Maw, dat Orange normaal niet toestaat het APN aan te passen.

Nog even terug over dat statisch routeren.
Ik denk dat mijn 4G router dit niet kan.
Kan ik gewoon een 2de router achter de flybox hangen?

  • Zarathustra
  • Registratie: januari 2008
  • Laatst online: 28-04-2020
— knip, was niet van toepassing op NAS van Synology —

[Voor 86% gewijzigd door Zarathustra op 23-09-2019 11:01]

Veni, vidi, vici - ik kwam, zag en overwon de drempels van het leven - denk ik dan maar, en vond vriendschap


  • Orion84
  • Registratie: april 2002
  • Nu online

Orion84

Admin General Chat

Fotogenie(k)?

Breezz schreef op maandag 23 september 2019 @ 10:54:
[...]
Nog even terug over dat statisch routeren.
Ik denk dat mijn 4G router dit niet kan.
Als je NAS de VPN client is, dan moet je dat routeren op de NAS doen, niet op je router.
Kan ik gewoon een 2de router achter de flybox hangen?
Dat heeft alleen toegevoegde waarde als de flybox zo ingesteld kan worden dat hij puur als 4G modem functioneert en de router erachter dus het Orange IP adres krijgt. En dan nog, zo lang je op CG-NAT zit en geen echt publiek routeerbaar IP adres krijgt van Orange heb je niet heel veel aan een betere router (behalve misschien dat als je vanaf die router een VPN tunnel naar buiten initieert dat het makkelijker in te stellen is dat je vanuit buiten via het VPN endpoint, je andere LAN devices kan bereiken).

The problem with common sense is that it's not all that common. | LinkedIn | Flickr


  • Paul
  • Registratie: september 2000
  • Laatst online: 17:23
Orion84 schreef op maandag 23 september 2019 @ 11:12:
[...]
Als je NAS de VPN client is, dan moet je dat routeren op de NAS doen, niet op je router.
Toevoeging: De routering (pakketje binnenkrijgen, kijken waar het heen moet, pakketje doorsturen) moet op je NAS, maar static routes moet je op je router instellen. Als dat niet lukt, dan moet je dat op ieder apparaat waar je bij wil doen.

Je hebt een IP-adres en een subnetmasker. Alles wat buiten je subnet valt wordt niet rechtstreeks naar het apparaat waar je naar toe wil gestuurd, maar naar je router. Je router kijkt vervolgens wat de volgende stap in het proces is. In veruit de meeste gevallen zal dat "het internet op" zijn, maar als je nu tegen je router zegt dat het de VPN naar jou thuis kan vinden op de Synology dan zal je router het niet het internet op sturen maar naar je Synology. Je Synology heeft nu ook een router-functie, krijgt dat pakketje, en stuurt het de VPN op.

Als je op je 4G router geen static routes aan kunt maken dan moet je zorgen dat je PC / server / loxone alles wat'ie niet kent niet klakkeloos naar je router stuurt, maar dat'ie pakketjes naar jou thuis meteen naar de Synology stuurt.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock


  • Orion84
  • Registratie: april 2002
  • Nu online

Orion84

Admin General Chat

Fotogenie(k)?

Thanks voor de aanvulling/correctie @Paul. Vraag me wel af of je op de NAS nog wat in moet stellen om überhaupt je LAN bereikbaar te maken vanuit de VPN tunnel.

Wat dat betreft wordt de setup waarschijnlijk wel een stuk simpeler als je de VPN tunnel vanaf je router kan opbouwen in plaats van vanaf je NAS, ook al moet dat dan een extra router achter je 4G ding zijn.

[Voor 39% gewijzigd door Orion84 op 23-09-2019 11:29]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr


  • Breezz
  • Registratie: juni 2011
  • Nu online
Na wat meer opzoekwerk heb ik wel gevonden dat Synology NAS'en géén site-to-site VPN ondersteunen...

Ik neem aan dat er dan geen andere oplossingen zijn zonder extra hardware?

  • Paul
  • Registratie: september 2000
  • Laatst online: 17:23
Orion84 schreef op maandag 23 september 2019 @ 11:28:
Thanks voor de aanvulling/correctie @Paul. Vraag me wel af of je op de NAS nog wat in moet stellen om überhaupt je LAN bereikbaar te maken vanuit de VPN tunnel.
Dat hangt er van af of de Synology een site-to-site VPN aankan. Ik lees net dat dit niet gaat :P
Wat dat betreft wordt de setup waarschijnlijk wel een stuk simpeler als je de VPN tunnel vanaf je router kan opbouwen in plaats van vanaf je NAS, ook al moet dat dan een extra router achter je 4G ding zijn.
Absoluut.
Breezz schreef op maandag 23 september 2019 @ 10:54:
Kan ik gewoon een 2de router achter de flybox hangen?
Dat kan zeker. Wel verlies je dan de wifi-functie van de Flybox:
Als je je computer liever met een Ethernet-kabel wil verbinden, staat het je vrij om het wifi-netwerk te verbreken. Open daarvoor de beheerdersinterface van je modem en ga naar de rubriek wifi.
, dus dan moet je een los access point nemen of voor die 2e router eentje nemen die ook wifi doet. Alles los heeft als voordeel dat je de Flybox ergens op kunt hangen waar je het beste 4G hebt, het accesspoint op kunt hangen waar je de meeste dekking realiseert, en je nieuwe router daar waar alle kabels bij elkaar komen.
Breezz schreef op maandag 23 september 2019 @ 11:30:
Ik neem aan dat er dan geen andere oplossingen zijn zonder extra hardware?
Ik ben er bang voor. Mogelijk kun je op de Synology Virtual Machine Manager installeren en een software router gebruiken zoals pfSense, maar dan nog heb je een wifi access point nodig, en mogelijk moet je met VLANs of meerdere fysieke netwerkaansluitingen op de Synology gaan werken. Ik weet niet of je daar aan moet willen beginnen als je niet bekend bent met de materie.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock


  • Breezz
  • Registratie: juni 2011
  • Nu online
Ik zie dat je in de instellingen van de OpenVPN server de poort zelf kan kiezen.
Als ik een poort vind die standaard open staat in mijn 4G router, heb ik dan een oplossing?
Kan ik dan via deze manier toch gewoon een VPN verbinding leggen?

[Voor 16% gewijzigd door Breezz op 23-09-2019 12:16]


  • Orion84
  • Registratie: april 2002
  • Nu online

Orion84

Admin General Chat

Fotogenie(k)?

Nee, want er is geen poort die standaard 'open staat'. Het gaat ook niet om 'open staan', het gaat om forwarden, wat überhaupt geen optie is wanneer je achter CG-NAT zit.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr


  • Zarathustra
  • Registratie: januari 2008
  • Laatst online: 28-04-2020
Breezz schreef op maandag 23 september 2019 @ 11:30:
Na wat meer opzoekwerk heb ik wel gevonden dat Synology NAS'en géén site-to-site VPN ondersteunen...

Ik neem aan dat er dan geen andere oplossingen zijn zonder extra hardware?
Niet via OpenVPN / PPTP. Althans dat staat expliciet in de handleiding van Synology:
VPN Server ondersteunt geen brugmodus voor site-to-site-verbindingen.
Op diezelfde pagina staat ook de optie voor L2TP/IPSec en daar zie ik die beperking niet bij vermeld.

Overigens als het alleen om Loxone gaat (neem aan dat dat een webinterface heeft) en je bent een beetje technisch onderlegd kun je ook denken aan een SSH-tunnel met port-forwarding in een docker container - of iets dergelijks :)

[Voor 14% gewijzigd door Zarathustra op 23-09-2019 14:07]

Veni, vidi, vici - ik kwam, zag en overwon de drempels van het leven - denk ik dan maar, en vond vriendschap


  • Breezz
  • Registratie: juni 2011
  • Nu online
Ook L2TP/IPSec gaat niet werken als ik Google mag geloven...

Gaat inderdaad enkel over loxone en die heeft inderdaad een web interface.
SSH-tunnel zou dus kunnen maar dat gaat mijn petje te boven...

Ik knutsel graag maar het is een semi-zakelijke oplossing dus om er zomaar te beginnen kloten...

  • Zarathustra
  • Registratie: januari 2008
  • Laatst online: 28-04-2020
Zo complex is het niet, het is veilig en bijna bullet proof. Als je op beide locaties iets hebt waar een shell met SSH kan draaien en je durft het aan tiep ik 5 minuten instructies voor je :)

Veni, vidi, vici - ik kwam, zag en overwon de drempels van het leven - denk ik dan maar, en vond vriendschap


  • Jenzaah
  • Registratie: mei 2014
  • Laatst online: 26-11 14:37
Ik gebruik hier zelf Zerotier voor. Daarmee kan je eenvoudig meerdere devices met elkaar koppelen zonder port forwarding.

  • FreshMaker
  • Registratie: december 2003
  • Niet online
Jenzaah schreef op dinsdag 24 september 2019 @ 14:26:
Ik gebruik hier zelf Zerotier voor. Daarmee kan je eenvoudig meerdere devices met elkaar koppelen zonder port forwarding.
Interessant, lijkt een beetje op Hamachi ...
Ik ga er zeker even induiken

  • Jenzaah
  • Registratie: mei 2014
  • Laatst online: 26-11 14:37
FreshMaker schreef op dinsdag 24 september 2019 @ 14:32:
[...]


Interessant, lijkt een beetje op Hamachi ...
Ik ga er zeker even induiken
Ik gebruik het momenteel zelf ook om mijn KNX installatie remote te benaderen achter een Telenet Homespot. (Ik zit nog in de verbouwingen, en heb nog geen internet aansluiting). Werkt goed en stabiel, buiten het feit dat de Telenet Homespot me er soms afgooid.

  • Breezz
  • Registratie: juni 2011
  • Nu online
Zarathustra schreef op dinsdag 24 september 2019 @ 09:33:
Zo complex is het niet, het is veilig en bijna bullet proof. Als je op beide locaties iets hebt waar een shell met SSH kan draaien en je durft het aan tiep ik 5 minuten instructies voor je :)
Klein vraagje vooraleer ik al dan niet verder inga op jouw zeer gul voorstel :)

Ik neem aan dat je in dat ssh scriptje moet verwijzen naar "de andere kant", door middel van een IP.
Hoe los je dit op als je geen vast IP hebt? Kan je bijvoorbeeld verwijzen naar de DNS van synology?

In mijn geval zouden SSH aan beide kanten draaien op de Synology NAS indien mogelijk

  • Zarathustra
  • Registratie: januari 2008
  • Laatst online: 28-04-2020
@Breezz je kunt gebruik maken van duckdns (gratis) of dyndns (betaald, en flink prijzig geworden zie ik...) Je configureert je NAS zodat deze de DNS-server update als jouw IP-adres verandert. Je krijgt dan iets als 'mijnthuispc.duckdns.ext' wat altijd naar je eigen verbinding wijst.

Geen ervaring mee. Heb zelf officieel geen vast IP-adres maar is in de afgelopen zes jaar 2x gewijzigd. De eerste keer toen ik een nieuw modem kreeg en de tweede bij een verhuizing :)

Schijnt dat Synology zelf ook een ddns (dynamische DNS) service heeft. Misschien dat iemand je kan vertellen wat de handigste is.

Veni, vidi, vici - ik kwam, zag en overwon de drempels van het leven - denk ik dan maar, en vond vriendschap


  • jeroen3
  • Registratie: mei 2010
  • Laatst online: 17:08
Je kunt twee andere VPN capabele routers neerzetten. Een als server A, waar je wel kan forwaren en een statisch IP hebt, èn een als client B, die met die server verbindt.
Vervolgens zet je routering goed, zodat overige clients van A ook naar B kunnen.
Je kunt zelfs voorkomen dat VPN clients op A bij de rest van het netwerk rondom A kunnen.

Ik heb dat zo opgezet. Mijn Mikrotik C verbindt met Mikrotik D ergens anders. En dan heb ik een site-to-site.
Vervolgens verbind ik met de Synology OpenVPN op D vanaf mijn laptop, en kan ik bij de pc's op C, mits toegestaan door de firewall op C.
Vanaf D kan ik nergens op het netwerk bij C, behalve die synology, want dat begrensd de firewall van D.

Je kunt zoiets ook gewoon kopen. Zie bijvoorbeeld eWon.

  • Spierenburg
  • Registratie: maart 2010
  • Laatst online: 25-11 12:57
Inloggen op de Synology --> Configuratiescherm --> Extern Toegang --> DDNS instellen, bijvoorbeeld: blabla.synology.me

  • Orion84
  • Registratie: april 2002
  • Nu online

Orion84

Admin General Chat

Fotogenie(k)?

Spierenburg schreef op dinsdag 24 september 2019 @ 16:49:
Inloggen op de Synology --> Configuratiescherm --> Extern Toegang --> DDNS instellen, bijvoorbeeld: blabla.synology.me
Daar heb je helemaal niks aan als je achter CG-NAT zit. (Ook op normaal NAT is dat geen vervanging voor portforwards overigens)

The problem with common sense is that it's not all that common. | LinkedIn | Flickr


  • Spierenburg
  • Registratie: maart 2010
  • Laatst online: 25-11 12:57
Was een antwoord op @Zarathustra

  • Zarathustra
  • Registratie: januari 2008
  • Laatst online: 28-04-2020
Orion84 schreef op dinsdag 24 september 2019 @ 17:04:
[...]

Daar heb je helemaal niks aan als je achter CG-NAT zit. (Ook op normaal NAT is dat geen vervanging voor portforwards overigens)
De thuis locate zit niet achter CG-NAT. Als je daar ddns instelt dan weet de werk locatie naar welk adres een SSH verbinding opgezet moet worden. Via die SSH verbinding wordt vervolgens een port op de thuis locatie opengezet (zeg even 8080) die via de SSH-tunnel op de werk locatie doorgezet wordt naar Loxone. Thuis in je browser http://adresvanssh.local:8080 tiepen geeft dan Loxone op de remote locatie weer.

SSH port zal uiteraard op de thuis locatie geforward moeten worden. Maar dat is dus geen punt.

[Voor 6% gewijzigd door Zarathustra op 24-09-2019 17:29]

Veni, vidi, vici - ik kwam, zag en overwon de drempels van het leven - denk ik dan maar, en vond vriendschap


  • Orion84
  • Registratie: april 2002
  • Nu online

Orion84

Admin General Chat

Fotogenie(k)?

Ah, dat was me even ontgaan, ik zie nu die eerdere posts pas over de SSH tunnel en de vraag hoe om te gaan met dynamisch IP op de thuislocatie.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr


  • Breezz
  • Registratie: juni 2011
  • Nu online
Zarathustra schreef op dinsdag 24 september 2019 @ 17:28:
[...]


De thuis locate zit niet achter CG-NAT. Als je daar ddns instelt dan weet de werk locatie naar welk adres een SSH verbinding opgezet moet worden. Via die SSH verbinding wordt vervolgens een port op de thuis locatie opengezet (zeg even 8080) die via de SSH-tunnel op de werk locatie doorgezet wordt naar Loxone. Thuis in je browser http://adresvanssh.local:8080 tiepen geeft dan Loxone op de remote locatie weer.

SSH port zal uiteraard op de thuis locatie geforward moeten worden. Maar dat is dus geen punt.
En wat zal er in praktijk dan staan in de plaats van "adresvanssh" ?
Toch het IP van de remote locatie ?
Of van local ip van de NAS waar SSH op draait?

  • Zarathustra
  • Registratie: januari 2008
  • Laatst online: 28-04-2020
Breezz schreef op woensdag 25 september 2019 @ 21:18:
[...]
En wat zal er in praktijk dan staan in de plaats van "adresvanssh" ?
Toch het IP van de remote locatie of niet ?
Nee. Uiteraard niet :) Als de SSH server op je eigen machine draait 'localhost', als SSH op je NAS draait het ip-adres van je NAS, als SSH in Docker of andere gevirtualiseerde omgeving draait het ip-adres van die omgeving. Allen bij jou thuis.

Edit: ik was te snel met reageren zie ik ;)

[Voor 4% gewijzigd door Zarathustra op 25-09-2019 21:43]

Veni, vidi, vici - ik kwam, zag en overwon de drempels van het leven - denk ik dan maar, en vond vriendschap

Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee