Synology NAS als OpenVPN server en internet toegang

woensdag 20 april 2022 11:37

Die statische routes in je client zou ik weg laten, je hebt een LAN en je VPN subnet en nu koppel je die in een cirkelverwijzing aan elkaar?

Om een voorbeeld te geven, als ik OpenVPN instel op DSM 6.2 met de OpenVPN Windows client, heb ik voor routering niets anders ingesteld dan het dynamisch IP.

Afbeeldingslocatie: https://tweakers.net/i/fafq6wHnX9-nRafh88kx9llxWEw=/800x/filters:strip_exif()/f/image/I78v3RWO0FOS99FxVJzHsqKr.png?f=fotoalbum_large

VPNConfig.ovpn (aangemaakt door VPNCenter, mijn huidige configuratie staat hier)

code:

dev tun
tls-client
remote buitenom.domeinnaam.nl 1194
# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)
#redirect-gateway def1
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
#dhcp-option DNS DNS_IP_ADDRESS
pull
# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp
script-security 2
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>

cat /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf (aangemaakt door VPNCenter)

code:

push "route 192.168.178.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"
dev tun
management 127.0.0.1 1195
server 10.8.0.0 255.255.255.0
dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh3072.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key
max-clients 5
persist-tun
persist-key
verb 3
#log-append /var/log/openvpn.log
keepalive 10 60
reneg-sec 0
plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
client-cert-not-required
username-as-common-name
duplicate-cn
status /tmp/ovpn_status_2_result 30
status-version 2
proto udp6
port 1194
cipher AES-256-CBtrC
auth SHA512

Met de VPN ingeschakeld zie ik dan het volgende:

code:

C:\Users\biomass>ping chief.fritz.box

Pinging chief.fritz.box [192.168.178.37] with 32 bytes of data:
Reply from 192.168.178.37: bytes=32 time<1ms TTL=128
Reply from 192.168.178.37: bytes=32 time<1ms TTL=128
Reply from 192.168.178.37: bytes=32 time<1ms TTL=128
Reply from 192.168.178.37: bytes=32 time<1ms TTL=128

Ping statistics for 192.168.178.37:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

C:\Users\biomass>tracert 10.8.0.6

Tracing route to chief [10.8.0.6]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  chief [10.8.0.6]

Trace complete.

C:\Users\biomass>route print

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.178.1   192.168.178.37     25
         10.8.0.0    255.255.255.0         10.8.0.5         10.8.0.6    281
         10.8.0.1  255.255.255.255         10.8.0.5         10.8.0.6    281
         10.8.0.4  255.255.255.252         On-link          10.8.0.6    281
         10.8.0.6  255.255.255.255         On-link          10.8.0.6    281
         10.8.0.7  255.255.255.255         On-link          10.8.0.6    281
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      172.18.96.0    255.255.240.0         On-link       172.18.96.1    271
      172.18.96.1  255.255.255.255         On-link       172.18.96.1    271
   172.18.111.255  255.255.255.255         On-link       172.18.96.1    271
    192.168.146.0    255.255.255.0         On-link     192.168.146.1    291
    192.168.146.1  255.255.255.255         On-link     192.168.146.1    291
  192.168.146.255  255.255.255.255         On-link     192.168.146.1    291
    192.168.178.0    255.255.255.0         On-link    192.168.178.37    281
    192.168.178.0    255.255.255.0         10.8.0.5         10.8.0.6    281
   192.168.178.37  255.255.255.255         On-link    192.168.178.37    281
  192.168.178.255  255.255.255.255         On-link    192.168.178.37    281
    192.168.222.0    255.255.255.0         On-link     192.168.222.1    291
    192.168.222.1  255.255.255.255         On-link     192.168.222.1    291
  192.168.222.255  255.255.255.255         On-link     192.168.222.1    291
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link          10.8.0.6    281
        224.0.0.0        240.0.0.0         On-link    192.168.178.37    281
        224.0.0.0        240.0.0.0         On-link     192.168.146.1    291
        224.0.0.0        240.0.0.0         On-link     192.168.222.1    291
        224.0.0.0        240.0.0.0         On-link       172.18.96.1    271
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link          10.8.0.6    281
  255.255.255.255  255.255.255.255         On-link    192.168.178.37    281
  255.255.255.255  255.255.255.255         On-link     192.168.146.1    291
  255.255.255.255  255.255.255.255         On-link     192.168.222.1    291
  255.255.255.255  255.255.255.255         On-link       172.18.96.1    271
===========================================================================
Persistent Routes:
  None

Ik kan dus mijn desktop (chief) zowel via het LAN als via de VPN adapter benaderen.

Omdat de OpenVPN client je waarschuwt dat er geen certificate controle gebruikt wordt, ben ik eens gaan googlen naar dit issue. Nu blijkt dat er al sinds november 2014 een geweldige Nederlandse tutorial is om een custom OpenVPN configuratie te doen in DSM. Fast forward naar 2022 is deze tutorial nog steeds actueel.... Even bot gezegd omdat Synology geen zin had om extra invoerschermen te maken voor de VPN service, wordt bij de toegangscontrole alleen het wachtwoord van een DSM user gecontroleerd.Dan heb je echt de auto block functie nodig, anders kun je er op wachten dat je slachtoffer van een bruteforce aanval.

In de tutorial wordt uitgelegd hoe je kunt afdwingen dat de gebruikers met certficaten en wachtwoord moeten inloggen, het inloggen op de VPN wordt ook versleuteld.

Hoe het op DSM7 zit, weet ik nog niet precies maar voor mijn pa mag ik daar de VPN inrichten; daar was ik afgelopen week voor aan het voorbereiden op DSM 6.

De tutorial heb ik met de print optie van het gebruikersforum naar PDF geprint, dat zoekt wat makkelijker.

[ Voor 105% gewijzigd door biomass op 25-04-2022 14:30 . Reden: de standaard VPN instellingen doen anno 2022 nog steeds alleen wachtwoord controle... ]

Alle reacties

Acties:

0 Henk 'm!

Lawwie

Het beste bier, brouw je zelf!

Je stelt je openvpn server in om IP adressen uit te delen in het 192.168.1.0 segment, maar de rest van je apparatuur zit in het 192.168.2.0 segment.

woensdag 20 april 2022 12:19

Acties:

0 Henk 'm!

nelizmastr

Goed wies kapot

Lawwie schreef op woensdag 20 april 2022 @ 11:37:
Je stelt je openvpn server in om IP adressen uit te delen in het 192.168.1.0 segment, maar de rest van je apparatuur zit in het 192.168.2.0 segment.

Dat hoort. Als je hier een overlappend subnet kiest is het een niet-ondersteunde configuratie.
De Synology routeert het verkeer intern naar het juiste subnet

I reject your reality and substitute my own

woensdag 20 april 2022 12:21

Acties:

0 Henk 'm!

woensdag 20 april 2022 12:32

Topicstarter

Dat is idd waar ik dus ook waar ik denk dat het fout gaat. Ik heb geprobeerd om de OpenVPN server IP-adressen uit te laten delen in 192.168.2.x, maar dan protesteerde ie.

Afbeeldingslocatie: https://tweakers.net/i/sVqgScgxvmMaYocrIrEGdhjryMc=/800x/filters:strip_exif()/f/image/amWYb7zRcNJoaYhr1TqP9BIV.png?f=fotoalbum_large

Ik snap eigenlijk niet helemaal waarom de server dat niet toelaat, de adressen worden dynamisch uitgedeeld, dan zou een clash toch voorkomen moeten kunnen worden. En zou de server dat toch gewoon moeten toestaan.

@nelizmastr lijkt dat te bevestigen, maar wat is er dan incorrect. Ik doe toch zeker iets fout, want het gedrag dat ik krijg lijkt me ongewenst.

[ Voor 8% gewijzigd door MarbHarmsen op 20-04-2022 12:24 . Reden: Gelijktijdige reactie ]

Acties:

0 Henk 'm!

richardboer

Zou je is kunnen laten zien wat de route tabel is op de VPN client?
Onder Ubuntu zou dit iets van de volgende commando's moeten zijn (1 van de 3 is genoeg):

code:

1
2
3

route -n
netstat -rn
ip route

Je geeft aan dat een bestaande opgebouwde verbinding wel werkt. Test je dan vanaf je lokale interne netwerk?
Heb je ook al getest d.m.v. bijv. een 4G hotspot of via een andere externe verbinding? Het klinkt namelijk alsof je routing tabel gewoon roet in het eten gooit.

Tevens is het misschien handig om te kijken naar een "split tunnel" configuratie.
Helaas zou ik niet zo 1-2-3 kunnen vertellen hoe dit met OpenVPN moet gezien ik meestal werk met apparatuur als Sonicwall, Fortigate, etc. maar het principe zou hetzelfde moeten zijn.
Voordeel wat je hier namelijk mee creeert: Hiermee scheid je het VPN verkeer van het internet verkeer.

Configuratie lijkt trouwens verder op het eerste oog wel te kloppen.
Je wil namelijk een apart subnet gebruiken voor je VPN omdat je anders helemaal gekke dingen gaat krijgen met je routeringen. En zoals in dit geval het geval is: je OpenVPN server gaat eigenlijk ook voor router spelen waardoor je de verbinding met de rest van het netwerk kan maken.

Richard

woensdag 20 april 2022 12:46

Acties:

0 Henk 'm!

woensdag 20 april 2022 12:51

Topicstarter

Ahh, ik had idd zitten zoeken naar hoe ik dit soort info kan vinden. Maar was daar nog niet uit.

code:

user@device:~$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.1.5     0.0.0.0         UG    50     0        0 tun0
0.0.0.0         10.78.122.126   0.0.0.0         UG    100    0        0 enp63s0
10.78.122.0     0.0.0.0         255.255.255.128 U     100    0        0 enp63s0
10.78.122.126   0.0.0.0         255.255.255.255 UH    100    0        0 enp63s0
extern_NAS_ip   10.78.122.126   255.255.255.255 UGH   100    0        0 enp63s0
192.168.1.0     192.168.1.5     255.255.255.0   UG    50     0        0 tun0
192.168.1.1     192.168.1.5     255.255.255.255 UGH   50     0        0 tun0
192.168.1.5     0.0.0.0         255.255.255.255 UH    50     0        0 tun0
192.168.2.0     192.168.1.5     255.255.255.0   UG    50     0        0 tun0

Als de vpn uit zet zie ik:

code:

user@device:~$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.78.122.126   0.0.0.0         UG    20100  0        0 enp63s0
10.78.122.0     0.0.0.0         255.255.255.128 U     100    0        0 enp63s0

Mijn publieke IP van mijn huis en dus nas, stond er ook in, die heb ik er uit gehaald, want dat lijkt me niet iets dat ik overal op het internet wil verspreiden.

Ik had begrepen dat split-tunnen kon vie de VPNConfig.ovpn file settings.

code:

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

Maar snap eigenlijk niet wat het exact betekend, en de manual is voor mij nog niet heel verhelderend gebleken

.

Als laatste, ik test dit niet vanaf mijn huisnetwerk, dat lijkt me alleen maar vragen om problemen. Ik zit op een locatie buiten mijn huis dit te proberen, en heb iemand aan de lijn die thuis is om de routers settings te veranderen indien nodig.

Acties:

0 Henk 'm!

woensdag 20 april 2022 14:10

Netwerk

Je hebt twee mogelijkheden.
De eerste is om in je VPN client "split tunneling" aan te zetten, dan gaat het verkeer naar het internet rechtstreeks het internet op en niet meer via de VPN tunnel naar je Lan.

De tweede mogelijkheid is om een static route te maken voor je VPN subnet en die weer de juiste gateway te geven.
Je kunt die doen via het control panel, network, static route

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

Acties:

0 Henk 'm!

woensdag 20 april 2022 15:05

Topicstarter

Wauw, ik denk dat ik ik langzaam in de goede richting beweeg. Ik heb wat gelezen, op basis van de suggesties van @Ben(V) en @richardboer, kopt het volgende:

Mogelijkheid 1: "Split tunneling"

Ik hou toegang tot het normale internet via mijn connectie alsof er geen vpn is, maar krijg daarnaast ook toegang tot het via de vpn-attached local network.

Hoe: Officieel niks, de VPNConfig.ovpn files van Synology zijn standaard opgesteld voor split tunnel. Als regel 7 uncomment (wat ik niet heb gedaan) zorg je dat alles via de VPN loopt.

code:

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

# redirect-gateway def1

Voordelen: Wel netwerkdrives, DSM via vpn, maar geen vertraging op mijn andere verkeer.
Nadelen: Niet een manier om je internet verkeer te beschermen bij een public hotspot omdat al je andere verkeer normaal verzonden word. (is ook niet mijn doel)

Mogelijkheid 2: "Statische route aanmaken op NAS"

In de NAS stel ik een statische route in die mijn ene subnet aan de andere linkt, waardoor ik gebruik kan maken van het internet alsof ik daadwerkelijk thuis ben.

Hoe: In DSM - Configuratiescherm - Netwerk - Statisch Routen - en volgt deze uitleg. Ik had eerder op statisch routen gezocht, maar dacht dat dat in mijn router moest worden ingesteld en die heeft daar geen mogelijkheden voor, en dus had ik dat op gegeven. Ik had me eigenlijk moeten beseven dat dat iets is wat de NAS moet uitvoeren.

Voordelen: Al je verkeer word beveiligd naar je huis verstuurd voordat het richting het internet gaat.
Nadelen: Zal al je internet verkeer verlangzamen, en extra latency toevoegen.

Mijn speculatie en vervolg stappen

Ik denk eigenlijk dat het statisch routen sowieso nodig is, zowel bij split als full tunnel. Want ik split-tunneling al aan staan, en kon nog altijd de nas niet goed bereiken. Ik weet namelijk nog steeds niet hoe ik dan bij plex kom.

Ik ga nu eerst de statische routen instellen, en kijken hoe dat gaat. Jullie horen nog van mij.

Acties:

0 Henk 'm!

woensdag 20 april 2022 15:35

Topicstarter

Ik heb slechter nieuws, terwijl ik bezig was met het uitzoeken van de statische route en werd er op gewezen dat ik sowieso de nas zou moeten zien als de tunnel werk, zelfs als de toegang tot het internet niet werkt.
In mijn geval zou de nas bereikbaar moeten zijn als: 192.168.1.1 omdat ik in de VPN server 192.168.1.x als subnet heb aangewezen.

Maar als ik:

code:

1	ping 192.168.1.1

uitvoer krijg ik geen reactie terug, ongeacht of ik de split of de full tunnel gebruik. Ik snap niet hoe het kan dat de VPN-tunnel naar de nas kan lopen, maar dat ik dan de nas van daar niet kan zien onder zijn adres op dit subnet.

Ik snap wel dat als dit al fout gaat dat mijn algehele routing niet meer werkt, dit ip komt namelijk veel voor op mijn IP routing tabel.

Heeft iemand enig idee.

Acties:

0 Henk 'm!

woensdag 20 april 2022 15:38

Netwerk

Je VPN zit niet in het 192.168.1.xxx maar waarschijnlijk in 10.8.0.xxx
Je kun in je Nas in control panel, network, static route en dan kiezen voor main table zien welk subnet je VPN gebruikt en daar moet je een static route voor opzetten zodat hij jouw centrale router als gateway ziet.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

Acties:

0 Henk 'm!

_H_G_

MarbHarmsen schreef op woensdag 20 april 2022 @ 11:07:
internet - KPN v10a (ip: 192.186.2.254) -> NAS (vast ip: 192.186.2.10 en 192.186.2.7)
-> Automatisch ip voor andere apparaten.

Is dat wel de bedoeling om NAS twee IP nummers te geven? Hoeft de oorzaak niet te zijn, maar ik zie het nut hier niet van in.

woensdag 20 april 2022 16:04

Acties:

0 Henk 'm!

woensdag 20 april 2022 16:08

Netwerk

Hij zal wel twee netwerk aansluitingen op z'n NAs hebben.
Overigens is het veel verstandiger om die in een bond te zetten, want twee ip-adressen kunnen soms voor rare effecten zorgen.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

Acties:

0 Henk 'm!

jeroen3

Ik heb twee static routes in mijn openvpn config toegevoegd, dat is denk ik wat je zoekt.

code:

1
2
3

#redirect-gateway def1
route 192.168.2.0 255.255.255.0
route 192.168.1.0 255.255.255.0

[ Voor 6% gewijzigd door jeroen3 op 20-04-2022 16:09 ]

donderdag 21 april 2022 00:18

Acties:

0 Henk 'm!

donderdag 21 april 2022 08:20

Topicstarter

Bedankt allemaal, jammer genoeg ben ik er nog niet uit, al ben ik iets verder gekomen.

@Ben(V): Ik heb specifiek 192.168.1.x gekozen omdat ik ooit, voor ik er echt verstand heb, mijn digibetische huisgenoten uit gelegd heb dat 192.168.x.x 'thuis' is en al het andere het 'boze internet'. Voor de zekerheid heb ik dat bij de nas naar de defaults terug hersteld, maar de vpn dynamisch aan 10.8.0.x toewijzen leidde niet tot betere resultaten.

@_H_G_: Ik heb idd twee lan poorten op de nas zitten, beiden met hun eigen adres. Op dit moment loopt alles via 'Lan 1: 192.168.2.10' en is de andere poort buiten gebruik. Mijn doel is om die poorten ooit te binden, maar dat zou het vervolg project zijn. Als jullie denken dat het tot problemen kan leiden kan ik de kabel er voor nu gewoon uit trekken.

@jeroen3 Ik heb dit toegevoegd, maar daarna wilde Ubuntu het VPNConfig.ovpn bestand niet meer accepteren in de gui, mijn telefoon trouwens wel en de symptomen blijven hetzelfde. Ik kan de statische routes trouwens wel in de gui krijgen als ik ze achteraf met de hand toevoeg, ze komen dan ook in mijn routing table te staan. Ik ben erachter gekomen dat Ubuntu het VPNConfig.ovpn sowieso niet perfect overneemt, de 'split-tunnel' moest ik ook weer met de hand aanvinken terwijl het toch echt in de config file zo opgezet was. Daardoor kreeg ik eindelijk toegang tot het www. Maar dat lost mijn problemen niet helemaal op, want ik kan nog steeds niet op het lokale netwerk komen, en ook de nas niet vinden.

Samenvatting:
1. Ubuntu NetwerkManager neemt niet alle settings van de VPNConfig.ovpn over, sommige dingen moet ik met de hand er instoppen zoals 'DNS' en 'statisch routen' (zie screenshot onderaan).
2. Split tunnel zorgt ervoor dat ik nog steeds gewone websites kan bezoeken, ook als ik de vpn aan heb staan.
3. De statische route op de NAS wordt automatisch aangemaakt voor de vpn, het heeft aangemaakt:
3.1. Interface: VPN, doel: 192.168.1.0, gateway: 192.168.1.2, netmasker: 255.255.255.0, metrisch: 0
3.2. Interface: VPN, doel: 192.168.1.2, gateway: 0.0.0.0, netmasker: 255.255.255.255, metrisch: 0
3. Ik kan nog altijd geen verbinding leggen met apparaten op mijn thuis netwerk.
4. Ik kan zelfs de nas niet vinden, volgens de documentatie zou deze op 192.168.1.1 moeten zitten (omdat ik de vpn naar 192.168.1.x laat lopen) maar als ik `ping 192.168.1.1` doe krijg ik geen reactie.

Statische route op de NAS
Ik heb niks gewijzigd nadat ik zag dat in de tabel al een VPN gebeuren was opgenomen by default.
DSM - Configuratiecentrum - Netwerk - Statisch routen - IP-routingtabel - Hoofdtabel.

Afbeeldingslocatie: https://tweakers.net/i/RYqltVLshGmzaDeGl9AMXZNSgX0=/800x/filters:strip_exif()/f/image/AFVO8P4PxUHk5wZugZmXAI9P.png?f=fotoalbum_large

VPN Client UI
Ik heb hier met de hand de statische route van @jeroen3 toegevoegd, en het vinkje bij "De verbinding alleen gebruiken voor bronnen op dit netwerk" (split tunnel) aangezet. Dit leest hij dus niet correct uit het VPNConfig.ovpn bestand.
Afbeeldingslocatie: https://tweakers.net/i/EjF-w5HeuApgnDimYDc9nsYEdI0=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/4XCSlZ7HglswEjxECvdOZJHc.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/EjF-w5HeuApgnDimYDc9nsYEdI0=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/4XCSlZ7HglswEjxECvdOZJHc.png?f=user_large

Nieuwe touting table and ping

code:

user@device:~$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.1     0.0.0.0         UG    600    0        0 wlp3s0
public_nas_ip   192.168.0.1     255.255.255.255 UGH   600    0        0 wlp3s0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 wlp3s0
192.168.0.0     0.0.0.0         255.255.255.0   U     600    0        0 wlp3s0
192.168.0.1     0.0.0.0         255.255.255.255 UH    600    0        0 wlp3s0
192.168.1.0     0.0.0.0         255.255.255.255 UH    1000   0        0 tun0
192.168.1.0     192.168.2.0     255.255.255.0   UG    1000   0        0 tun0
192.168.1.5     0.0.0.0         255.255.255.255 UH    50     0        0 tun0
192.168.2.0     0.0.0.0         255.255.255.255 UH    1000   0        0 tun0
192.168.2.0     192.168.1.0     255.255.255.0   UG    1000   0        0 tun0
user@device:~$ ping 192.168.1.1 # dit zou de nas moeten zijn via de vpn
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
^C
--- 192.168.1.1 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4100ms

Acties:

0 Henk 'm!

_H_G_

MarbHarmsen schreef op donderdag 21 april 2022 @ 00:18:
@_H_G_: Ik heb idd twee lan poorten op de nas zitten, beiden met hun eigen adres. Op dit moment loopt alles via 'Lan 1: 192.168.2.10' en is de andere poort buiten gebruik. Mijn doel is om die poorten ooit te binden, maar dat zou het vervolg project zijn. Als jullie denken dat het tot problemen kan leiden kan ik de kabel er voor nu gewoon uit trekken.

Ik krijg enkel hoofdpijn van dergelijke situaties

Het is onvoorspelbaar over welke kabel de data gaat. Naast de route van NAS naar buiten, zit in een switch zit een poort/MAC tabel. Dan heb je hetzelfde MAC adres aan twee fysieke poorten hangen. Geen idee wat een switch dan doet, maar het is niet goed.. Tenzij je daarvoor gemaakt technieken gebruikt, zoals link aggregation of eerder genoemde Synology bond van Ben(V). Maar dan krijg je ook één IP adres.

Dus ik zou die zeker er uit halen. En ook niet later er weer terug in doen, tenzij je link/bond maakt.

De tweede poort van een NAS in daar voor bedoeld. Of om met twee netwerken te verbinden. Niet wat jij nu doet.

donderdag 21 april 2022 08:33

Acties:

0 Henk 'm!

richardboer

_H_G_ schreef op donderdag 21 april 2022 @ 08:20:
[...]

Ik krijg enkel hoofdpijn van dergelijke situaties Het is onvoorspelbaar over welke kabel de data gaat. Naast de route van NAS naar buiten, zit in een switch zit een poort/MAC tabel. Dan heb je hetzelfde MAC adres aan twee fysieke poorten hangen. Geen idee wat een switch dan doet, maar het is niet goed.. Tenzij je daarvoor gemaakt technieken gebruikt, zoals link aggregation of eerder genoemde Synology bond van Ben(V). Maar dan krijg je ook één IP adres.

Dus ik zou die zeker er uit halen. En ook niet later er weer terug in doen, tenzij je link/bond maakt.

De tweede poort van een NAS in daar voor bedoeld. Of om met twee netwerken te verbinden. Niet wat jij nu doet.

De 2e poort in de NAS heeft gewoon z'n eigen MAC-adres.
Zelfs met LACP/LAG/Trunking ben je 2 unieke mac-adressen nodig voor de connectie.

Maar gezien de routing tabel er wel gewoon correct uitziet: Kan je de NAS wel pingen als je een VPN verbinding hebt?
Want je zegt zelf al: als je een bestaande verbinding hebt en daarna de VPN opent werkt het. Al vraag ik me heel sterk af hoe het dan zit met de bestaande verbinding want als er al een bestaande verbinding is: waarom dan nog een VPN gebruiken immers.

Daarnaast is het inderdaad geen gek idee om een ander subnet te gebruiken dan bijv. 192.168.1.0/24 vooral gezien de 192.168.x.x range heel veel gebruikt word bij thuis apparatuur.
Bijvoorbeeld de 10.x.x.x reeks of de 172.16.x.x reeks zou veel beter zijn. Vooral de 172.16.x.x is eentje die weinig gebruikt word, ook zakelijk word deze niet al te vaak ingezet.

Afbeeldingslocatie: https://tweakers.net/i/_sfoB3V5rTnAXh5ViszzET2O2i8=/800x/filters:strip_exif()/f/image/U9fvvZitE6tmaGZufRJKoBJE.png?f=fotoalbum_large

Maar allerbelangrijkste: Werkt PING wel? Want als je consistent kan pingen is je routering en dus de VPN goed. Maar let wel: Er mogen dus geen bestaande werkende verbindingen zijn met de NAS want dan kan het alsnog zijn dat iets roet in het eten gooit.

Richard

donderdag 21 april 2022 08:50

Acties:

0 Henk 'm!

_H_G_

richardboer schreef op donderdag 21 april 2022 @ 08:33:
De 2e poort in de NAS heeft gewoon z'n eigen MAC-adres.
Zelfs met LACP/LAG/Trunking ben je 2 unieke mac-adressen nodig voor de connectie.

Doh, dank je. was nog niet helemaal wakker

Desalniettemin zou ik ze niet beide aansluiten.

donderdag 21 april 2022 09:09

Acties:

0 Henk 'm!

donderdag 21 april 2022 09:23

Netwerk

Het doet er niet toen welk ip je VPN heeft, ik nam even aan dat je gewoon de default uit de 10 reeks behouden had, maar iets uit de 198 reeks kan ook prima.
Het gaat er om dat die VPN een default gateway krijgt die naar je router adres verwijst anders kun je vanuit die VPN nooit het internet bereiken omdat dat verkeer niet gerouteerd wordt.

En wat betreft die twee poorten.
Natuurlijk hebben die ieder een eigen macadres, maar als je ze ook beiden een ipadres laat krijgen loop je in bepaalde situaties de kans dat een ander device iets vraagt via de ene poort en de Nas dan antwoordt via de andere poort en dat gaat dan fout.
Meerdere poorten gebruikt je ofwel in een verschillende subnets ofwel je zet ze in een bond.

Synology heeft meerdere bond variaties en een LAPC werkt alleen als je een managed switch hebt die dat ondersteund maar je kun ook gewoon een voor "adaptive load balancing" kiezen.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

Acties:

Beste antwoord ✓
0 Henk 'm!

vrijdag 22 april 2022 21:54

VPNConfig.ovpn (aangemaakt door VPNCenter, mijn huidige configuratie staat hier)

code:

dev tun
tls-client
remote buitenom.domeinnaam.nl 1194
# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)
#redirect-gateway def1
# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
#dhcp-option DNS DNS_IP_ADDRESS
pull
# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp
script-security 2
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
</ca>

cat /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf (aangemaakt door VPNCenter)

code:

push "route 192.168.178.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"
dev tun
management 127.0.0.1 1195
server 10.8.0.0 255.255.255.0
dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh3072.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key
max-clients 5
persist-tun
persist-key
verb 3
#log-append /var/log/openvpn.log
keepalive 10 60
reneg-sec 0
plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
client-cert-not-required
username-as-common-name
duplicate-cn
status /tmp/ovpn_status_2_result 30
status-version 2
proto udp6
port 1194
cipher AES-256-CBtrC
auth SHA512

Met de VPN ingeschakeld zie ik dan het volgende:

code:

C:\Users\biomass>ping chief.fritz.box

Pinging chief.fritz.box [192.168.178.37] with 32 bytes of data:
Reply from 192.168.178.37: bytes=32 time<1ms TTL=128
Reply from 192.168.178.37: bytes=32 time<1ms TTL=128
Reply from 192.168.178.37: bytes=32 time<1ms TTL=128
Reply from 192.168.178.37: bytes=32 time<1ms TTL=128

Ping statistics for 192.168.178.37:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

C:\Users\biomass>tracert 10.8.0.6

Tracing route to chief [10.8.0.6]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  chief [10.8.0.6]

Trace complete.

C:\Users\biomass>route print

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.178.1   192.168.178.37     25
         10.8.0.0    255.255.255.0         10.8.0.5         10.8.0.6    281
         10.8.0.1  255.255.255.255         10.8.0.5         10.8.0.6    281
         10.8.0.4  255.255.255.252         On-link          10.8.0.6    281
         10.8.0.6  255.255.255.255         On-link          10.8.0.6    281
         10.8.0.7  255.255.255.255         On-link          10.8.0.6    281
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      172.18.96.0    255.255.240.0         On-link       172.18.96.1    271
      172.18.96.1  255.255.255.255         On-link       172.18.96.1    271
   172.18.111.255  255.255.255.255         On-link       172.18.96.1    271
    192.168.146.0    255.255.255.0         On-link     192.168.146.1    291
    192.168.146.1  255.255.255.255         On-link     192.168.146.1    291
  192.168.146.255  255.255.255.255         On-link     192.168.146.1    291
    192.168.178.0    255.255.255.0         On-link    192.168.178.37    281
    192.168.178.0    255.255.255.0         10.8.0.5         10.8.0.6    281
   192.168.178.37  255.255.255.255         On-link    192.168.178.37    281
  192.168.178.255  255.255.255.255         On-link    192.168.178.37    281
    192.168.222.0    255.255.255.0         On-link     192.168.222.1    291
    192.168.222.1  255.255.255.255         On-link     192.168.222.1    291
  192.168.222.255  255.255.255.255         On-link     192.168.222.1    291
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link          10.8.0.6    281
        224.0.0.0        240.0.0.0         On-link    192.168.178.37    281
        224.0.0.0        240.0.0.0         On-link     192.168.146.1    291
        224.0.0.0        240.0.0.0         On-link     192.168.222.1    291
        224.0.0.0        240.0.0.0         On-link       172.18.96.1    271
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link          10.8.0.6    281
  255.255.255.255  255.255.255.255         On-link    192.168.178.37    281
  255.255.255.255  255.255.255.255         On-link     192.168.146.1    291
  255.255.255.255  255.255.255.255         On-link     192.168.222.1    291
  255.255.255.255  255.255.255.255         On-link       172.18.96.1    271
===========================================================================
Persistent Routes:
  None

[ Voor 105% gewijzigd door biomass op 25-04-2022 14:30 . Reden: de standaard VPN instellingen doen anno 2022 nog steeds alleen wachtwoord controle... ]

Acties:

0 Henk 'm!

zondag 24 april 2022 17:23

MarbHarmsen schreef op donderdag 21 april 2022 @ 00:18:
@_H_G_: Ik heb idd twee lan poorten op de nas zitten, beiden met hun eigen adres. Op dit moment loopt alles via 'Lan 1: 192.168.2.10' en is de andere poort buiten gebruik. Mijn doel is om die poorten ooit te binden, maar dat zou het vervolg project zijn. Als jullie denken dat het tot problemen kan leiden kan ik de kabel er voor nu gewoon uit trekken.

Afbeeldingslocatie: https://tweakers.net/i/k1o-frFMU092YQQhEjuBDlm4kso=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/MMDlzOk7b052Vx05JPHkG5b6.png?f=user_large

Gisterenavond de tutorial afgemaakt en toen kwam ik dit dialoog ook nog tegen: Welke adapter koppelt het package aan OpenVPN?

Acties:

0 Henk 'm!

zondag 24 april 2022 19:40

Topicstarter

Bedankt voor alle reacties. Ik ga er vanavond weer naar kijken. Gebaseerd op jullie advies zal ik:

VPN Deïnstaleren (om met een schone lei te beginnen)
Link aggregatie aanzetten (ik heb manuals opgezocht en dit lijkt vrij eenvoudig te zijn)
VPN instaleren en OpenVPN op te zetten via default poort

Ik zal in de gaten houden wat jullie me geleerd hebben, hopelijk lukt het dan wel.

Acties:

+1 Henk 'm!

zondag 24 april 2022 20:28

Topicstarter

MWAHAHAHAHA
It works
💗💗💗

Omdat ik verschillende verandering heb gemaakt ga ik effe testen wat (of welke combinatie) het verschil maakte zodat ik exacter de oplossing kan definiëren. Ik vermoed dat het verschil zit in ofwel:

Ling aggegation
Port selection (10.8.0.x)
Een detail in /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf

Een update volgt vanavond nog.

Acties:

0 Henk 'm!

zondag 24 april 2022 21:50

Topicstarter

Okay, de resultaten, ik kon wel verbinden met de vpn server, maar daarna geen enkele ping voor elkaar krijgen omdat er iets fout gaat met de compressie settings.

Ik had dus de LAN-aggregatie ingesteld en de VPN server hergeïnstaleerd. En bij het opnieuw instellen van de OpenVPN had ik alles gehouden als standaard. Dit werkte niet.

Toen ben ik alles met @biomass gaan vergelijken. Het enige verschil kon ik vinden in cat /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf het volgende statement:

code:

comp-lzo

Ubuntu's NetworkManager had dat niet op gepikt van het VPNConfig.ovpn bestand. (zoals wel meer details lijken te missen bij het importeren van een *.ovpn bestand, hiervoor ga ik een ticket aanmaken bij de developers daarvan). Omdat mijn NAS bijzonder oud is, en niet zo sterk besloot ik de compressie uit te zetten. En dat hielp.

Voor de toekomst: Vertrouw het automatisch laden van een *.ovpn bestand niet, als het fout gaat kun je het best controleren of alle statements in het *.ovpn bestand zijn overgenomen. Details als DNS servers, split tunnel maar ook compressie settings en waarschijnlijk andere flags zoals ipv6 zijn mogelijk niet goed gegaan.

Ik wil iedereen bedanken voor de medewerking, jullie zijn geweldig.

Het geavanceerde vpn settings scherm in Ubuntu 20.04
De setting van compressie staat uit, ondanks dat het wel in het VPNConfig.ovpn bestand aan stond. Ik heb er voor gekozen om het uit te zetten, maar daarvoor moet je het ook aan de server kant uit zetten.

Afbeeldingslocatie: https://tweakers.net/i/QbMoWwlIXyDtH8JBqGelRLDgzI0=/800x/filters:strip_exif()/f/image/1nL6C6YL6LN0sEexkiRZgAI6.png?f=fotoalbum_large

VPNConfig.ovpn

code:

dev tun
tls-client

remote SERVER_URL 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)
#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)
#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.
#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2
#comp-lzo
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

</ca>

cat /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf

code:

push "route 192.168.2.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"
dev tun
management 127.0.0.1 1195
server 10.8.0.0 255.255.255.0

dh /var/packages/VPNCenter/target/etc/openvpn/keys/dh3072.pem
ca /var/packages/VPNCenter/target/etc/openvpn/keys/ca.crt
cert /var/packages/VPNCenter/target/etc/openvpn/keys/server.crt
key /var/packages/VPNCenter/target/etc/openvpn/keys/server.key

max-clients 5
persist-tun
persist-key
verb 3
#log-append /var/log/openvpn.log
keepalive 10 60
reneg-sec 0
plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
client-cert-not-required
username-as-common-name
duplicate-cn
status /tmp/ovpn_status_2_result 30
status-version 2
proto udp6
port 1194
cipher AES-256-CBC
auth SHA512

Ping de NAS (10.8.0.1) en router (192.168.2.254)

code:

user@device:~$ route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.1     0.0.0.0         UG    600    0        0 wlp3s0
10.8.0.0        10.8.0.9        255.255.255.0   UG    50     0        0 tun0
10.8.0.1        10.8.0.9        255.255.255.255 UGH   50     0        0 tun0
10.8.0.9        0.0.0.0         255.255.255.255 UH    50     0        0 tun0
xx.x.xxx.xxx    192.168.0.1     255.255.255.255 UGH   600    0        0 wlp3s0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 wlp3s0
192.168.0.0     0.0.0.0         255.255.255.0   U     600    0        0 wlp3s0
192.168.0.1     0.0.0.0         255.255.255.255 UH    600    0        0 wlp3s0
192.168.2.0     10.8.0.9        255.255.255.0   UG    50     0        0 tun0
user@device:~$ ping 10.8.0.1
PING 10.8.0.1 (10.8.0.1) 56(84) bytes of data.
64 bytes from 10.8.0.1: icmp_seq=1 ttl=64 time=81.3 ms
64 bytes from 10.8.0.1: icmp_seq=2 ttl=64 time=80.8 ms
64 bytes from 10.8.0.1: icmp_seq=3 ttl=64 time=84.6 ms
^C
--- 10.8.0.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 80.802/82.221/84.598/1.691 ms
user@device:~$ ping 192.168.2.254
PING 192.168.2.254 (192.168.2.254) 56(84) bytes of data.
64 bytes from 192.168.2.254: icmp_seq=1 ttl=63 time=81.4 ms
64 bytes from 192.168.2.254: icmp_seq=2 ttl=63 time=81.2 ms
64 bytes from 192.168.2.254: icmp_seq=3 ttl=63 time=80.8 ms
^C
--- 192.168.2.254 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 80.754/81.113/81.411/0.271 ms

P.S. Ik zal @biomass de 'question solved' sticker geven, maar al jullie imput was nodig om de goede oplossing te komen.

P.S.S. Weet iemand het volgende, als ik mijn nas nu over het interne IP bezoek (10.8.0.1) krijg ik van mijn browser een grote waarschuwing, het SSL-certificaat klopt niet. (dit verbaast me niks omdat ik nu via dit IP ga ipv het IP dat de nas van buiten heeft en dat vast zit aan mijn domein naam en certificaat). Ik kan de waarschuwing wel steeds weg clicken, maar vroeg me af of er ook een beter oplossing voor bestaat.

[ Voor 0% gewijzigd door MarbHarmsen op 24-04-2022 21:44 . Reden: fout in opmaak comando ]

Acties:

0 Henk 'm!

zaterdag 30 april 2022 13:00

@MarbHarmsen Mooi dat het gelukt is. Ik zie wel dat je net als mij eerst het package zo hebt gebruikt zoals het door Synology ingeregeld wordt. Dat kan dus nog veiliger.

Ik deel hieronder nog even mijn huidige configuratie bestanden.

VPNConfig.ovpn (custom config voor de Windows OpenVPN client)

code:

remote buitenom.domeinnaam.nl 1194
cert biomass.crt 
key biomass.key 
dhcp-option DNS 192.168.178.1 #dit moet je opgeven om namen in het LAN van de VPN server te kunnen 'resolven'
ca CA.crt
verb 4
nobind
float
block-outside-dns
register-dns
redirect-gateway def1
dev tun
proto udp
pull
tls-client
remote-cert-tls server
cipher AES-256-CBC
prng SHA256 32
auth SHA256
tls-version-min 1.2 or-highest
tls-auth ta.key 1
fast-io
comp-lzo no
auth-user-pass
auth-nocache

cat /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf (custom config)

code:

# bron: http://www.synology-forum.nl/vpn-server/beter-beveiligde-openvpn/

#log /var/log/openvpn.log
verb 4
server 10.8.0.0 255.255.255.0
push "route 192.168.178.0 255.255.255.0"
push "route 10.8.0.0 255.255.255.0"
max-clients 5 ### 5 vervangen door het nummer uit openvpn.conf
topology subnet
push "sndbuf 0"
push "rcvbuf 0"
sndbuf 0
rcvbuf 0
management 127.0.0.1 1195
dev tun
proto udp
port 1194
persist-tun
persist-key
cipher AES-256-CBC
prng SHA256 32
auth SHA256
tls-version-min 1.2 or-highest
tls-auth /usr/syno/etc/packages/VPNCenter/vpncerts/ta.key 0
remote-cert-tls client
dh /usr/syno/etc/packages/VPNCenter/vpncerts/dh4096.key
ca /usr/syno/etc/packages/VPNCenter/vpncerts/CA.crt
cert /usr/syno/etc/packages/VPNCenter/vpncerts/Server.crt
key /usr/syno/etc/packages/VPNCenter/vpncerts/Server.key
fast-io
comp-lzo no
keepalive 10 60
plugin /var/packages/VPNCenter/target/lib/radiusplugin.so /var/packages/VPNCenter/target/etc/openvpn/radiusplugin.cnf
status /tmp/ovpn_status_2_result 30
status-version 2

Ik had eerst geen DNS server voor het locale LAN opgegeven in regel 4 van de client configuratie, toen kon ik ook alleen de NAS benaderen in het 10.8.0 netwerk.

Ik was een klein beetje verrast toen bleek dat Ziggo gewoon hetzelfde LAN subnet uitdeelt op hun kabelmodems als de KPN op mijn Fritzbox. Dat is dus nog wel een ding om mee rekening te houden als je bij iemand anders naar je eigen VPN server wilt verbinden: Goeie kans dat je thuis een niet standaard lokaal subnet moet instellen, om overlap te voorkomen.

Je certificaten vraag is een beetje afhankelijk van hoe je je certicaten hebt ingeregeld, Voor externe bezoekers heb ik een Let's Encrypt certificaat met de domein naam als Common Name en eerste Subject Alternative Name (SAN); de tweede SAN is daar de host naam van mijn Dynamic DNS provider. Voor het interne verkeer heb ik een zelf ondertekend certificaat waar ik de browser een uitzondering voor laat maken (Firefox), in dat certificaat is de hostnaam die de Fritzbox aan de NAS geeft, een van de Subject Alternative names (diskstation.fritz.box).
Wat je dus zou kunnen doen is de hostnaam voor de NAS die je op het 10.8.0 subnet krijgt, als extra SAN opgeven.

Je hebt niet zoveel aan de hostname in hoofdletters op Windows - de browser verandert dan de hoofdletters in kleine letters, en da's waarschijnlijk niet goed als je een certificaat match moet krijgen. Kun je uitproberen, als het niet lukt; als je niet vertrouwd dat je via de VPN op de NAS terechtkomt, heb je andere problemen

Voorbeeldje: Even buitenom via de VPN het IP van mijn printer opgehaald, de NAS heet dus DISKSTATION, Firefox maakt daar diskstation van.

code:

tracert hardcopy.fritz.box

Tracing route to hardcopy.fritz.box [192.168.178.32]
over a maximum of 30 hops:

  1     7 ms     8 ms     8 ms  DISKSTATION [10.8.0.1]
  2     2 ms     2 ms     2 ms  hardcopy.fritz.box [192.168.178.32]

Trace complete.

Acties:

+1 Henk 'm!