Synology software NAS geen VPN-netwerkverbinding

Verwijderd schreef op woensdag 7 juni 2023 @ 10:49:
@Shinji
Als ik via mobiel het adres met 5001 invoer in de adresbalk, dan krijg ik de melding deze site in niet bereikbaar.

Verwijderd schreef op woensdag 7 juni 2023 @ 11:27:
@matthijst
@Shinji
De volgende melding krijg ik heel veel in de syslog van mijn router:

[Afbeelding]

Het mac-adres 30:58:90:x:x:x is geen apparaat in mijn netwerk! Ten minste ik kan het nog niet thuisbrengen wat het is.

[Afbeelding]

Ik ga nu kijken naar die VPN pass-through en wat het inhoudt.

Verwijderd schreef op woensdag 7 juni 2023 @ 10:12:

@matthijst
Via thuiswifi met OpenVPN mijn NAS connecten heb ik niets aan. Graag wil ik niet vanaf thuis mijn NAS connecten met mijn mobiel.

[ Voor 5% gewijzigd door FreakNL op 07-06-2023 16:04 ]

matthijst schreef op donderdag 8 juni 2023 @ 10:08:
De ovpn file bedoelt hij inderdaad.
Dus dat bestandje even editen en opnieuw importeren (ik kan hem niet rechtstreeks editen vanuit de ovpn app op iOS, neem aan dat dat standaard is).

Ik bedoelde overigens dat ik vanaf Wifi ook gewoon met VPN kon connecten via mn WAN-IP adres, maar het is wel een mooie test inderdaad, om te proberen rechtstreeks naar je NAS-IP te connecten.

[ Voor 33% gewijzigd door FreakNL op 08-06-2023 11:08 ]

[ Voor 64% gewijzigd door FreakNL op 08-06-2023 14:54 ]

Verwijderd schreef op donderdag 15 juni 2023 @ 18:55:
@biomass
@matthijst
@Shinji
@FreakNL
@W1ck1e
Ik had het ook voor de warmte voor elkaar willen krijgen biomass. Maar je krijgt helaas niet altijd wat je wilt

Het certificaat wordt meegenomen in de ovpn-export file.

Ik heb in de openVPN log van de openVPNconnect-app geen melding van authenticatie failed gekregen. Ik krijg: session invalidated: keepalive_timeout. Client terminated...restarting in.... ms. En de melding: "host: "mijn lan-IP van de NAS" en "IPv6" : false.

Ik krijg in mijn openVPN connect log iedere keer dus de melding "IPv6 false". Dat bracht mij aan het denken. Ik heb bij het configureren van de openVPN VPN-server niet de hele instelling/configuratie/handleiding doorlopen. Dat niet helemaal doorlopen heb ik gedaan omdat iemand mij heeft gezegd dat ik ipv6 kan overslaan. Ik vraag me nu af of dat zo is. De volgende handleiding heb ik gebruikt:
https://kb.synology.com/n...n_setup?version=7#dynamic

Om een openVPN-server gereed te maken liep ik vast bij de volgende instelling: Bij de instelling 'Schakel het selectievakje IPv6-servermodus inschakelen in zodat de OpenVPN-server IPv6-adressen kan verzenden. Eerst moet u een voorvoegsel ophalen via 6in4/6to4/DHCP-PD in Configuratiescherm > Netwerk > Netwerkinterface. Selecteer vervolgens het voorvoegsel op deze pagina.'

Ik heb nooit dat voorvoegsel opgehaald. Ik heb dat gedeelte overgeslagen voor de configuratie van de openVPN-server. De vraag is nu welk voorvoegsel moet ik ophalen? Ik kan kiezen tussen 6in4, 6naar4, DHCPv6-PD. Ik ga er nu dus even vanuit dat ik dit voorvoegsel wel had moet instellen!

Verder ben ik er behoorlijk mee bezig geweest om het een en ander te leren begrijpen. Maar graag wil ik dit met IPv6 eerst helder krijgen. IPv6 is immers niet voor niets een instelling voor een openVPN-server! Het staat er grof gezegd niet voor de katze kut! Het lijkt erop dat openVPN het IPv6-protocol nodig heeft.

[ Voor 107% gewijzigd door matthijst op 15-06-2023 23:02 ]

• Er draaien te veel openvpn processen. Ik wist vanmiddag even niet meer waarom het niet meer werkte en controleerde het aantal openvpn processen; ik had er bijna 40. Drie is normaal.
  code:
  

  1 2 3 4 5

  ps -F -C openvpn UID PID PPID C SZ RSS PSR STIME TTY TIME CMD root 14388 1 0 8597 3956 2 22:09 ? 00:00:00 /var/packages/VPNCenter/target/sbin/openvpn --cd /usr/syno/etc/packages/VPNCenter/openvpn --config openvpn.conf --writepid /var/run/ovpn_server.pid root 14396 14388 0 8597 660 3 22:09 ? 00:00:00 /var/packages/VPNCenter/target/sbin/openvpn --cd /usr/syno/etc/packages/VPNCenter/openvpn --config openvpn.conf --writepid /var/run/ovpn_server.pid root 14397 14388 0 8597 660 3 22:09 ? 00:00:00 /var/packages/VPNCenter/target/sbin/openvpn --cd /usr/syno/etc/packages/VPNCenter/openvpn --config openvpn.conf --writepid /var/run/ovpn_server.pid

  
  De eenvoudigste manier om van het teveel aan processen af te komen is opnieuw opstarten, anders kun je op de prompt sudo kill -9 pid een flink aantal keer gaan inkloppen..
• Je hebt nog een andere versie van openvpn actief doordat je eerder een oudere VPN Server versie (bij mij kan het zelfs door een synovpn client komen uit 2013 geloof ik?) hebt geinstalleerd in Package Center.
  Hoe waar of niet waar dit is voor DSM 7 weet ik niet maar ik kwam er achter dat ik twee verschillende versies van openvpn geinstalleerd had staan na alle upgrades aan het package.
  De versie in /usr/sbin/openvpn was dus anders dan die in /var/packages/VPNCenter/target/sbin/openvpn. De versies gelijk gemaakt met een sudo cp commando.
  
  code:
  

  1 2 3 4 5 6 7

  openvpn --version OpenVPN 2.3.11 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Feb 21 2020 library versions: OpenSSL 1.0.2u-fips 20 Dec 2019, LZO 2.09 Originally developed by James Yonan Copyright (C) 2002-2010 OpenVPN Technologies, Inc. <sales@openvpn.net> Compile time defines: enable_crypto=yes enable_crypto_ofb_cfb=yes enable_debug=yes enable_def_auth=yes enable_dlopen=unknown enable_dlopen_self=unknown enable_dlopen_self_static=unknown enable_fast_install=yes enable_fragment=yes enable_http_proxy=yes enable_iproute2=no enable_libtool_lock=yes enable_lzo=yes enable_lzo_stub=no enable_management=yes enable_multi=yes enable_multihome=yes enable_pam_dlopen=no enable_pedantic=no enable_pf=yes enable_pkcs11=no enable_plugin_auth_pam=yes enable_plugin_down_root=yes enable_plugins=yes enable_port_share=yes enable_selinux=no enable_server=yes enable_shared=yes enable_shared_with_static_runtimes=no enable_small=no enable_socks=yes enable_ssl=yes enable_static=yes enable_strict=no enable_strict_options=no enable_systemd=no enable_win32_dll=yes enable_x509_alt_username=no with_aix_soname=aix with_crypto_library=openssl with_gnu_ld=yes with_mem_check=no with_plugindir='$(libdir)/openvpn/plugins' with_sysroot=no git revision: refs/heads/VPNCenter-1-3-2018Q3-branch/d9ac7fb91762ff4a

  
  Dit staat er bij mij op de NAS met VPNCenter gedeinstalleerd:
  
  code:
  

  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

  biomass@diskstation:/$ sudo find / | grep -v /volume2/data |grep -v /volume2/homes/#recycle | grep openvpn ./etc/logrotate.d/openvpn ./usr/lib/openvpn ./usr/lib/openvpn/openvpn-down-root.so ./usr/syno/etc/synovpnclient/openvpn ./usr/syno/etc.defaults/synovpnclient/openvpn ./usr/sbin/openvpn ./var/log/openvpn.log ./var/log/upstart/pkg-VPNCenter-openvpn-server.log.2.xz ./var/log/upstart/pkg-VPNCenter-openvpn-server.log.3.xz ./var/log/upstart/pkg-VPNCenter-openvpn-server.log ./var/log/upstart/pkg-VPNCenter-openvpn-server.log.4.xz ./var/log/upstart/pkg-VPNCenter-openvpn-server.log.1.xz ./etc.defaults/logrotate.d/openvpn biomass@diskstation:/$

  
  
  Na de installatie heb ik dit (de lijst bevat niet de namen van de certicaten en keys in /usr/syno/etc/packages/VPNCenter/vpncerts/):
  
  code:
  

  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47

  biomass@diskstation:/$ sudo find / | grep -v /volume2/data |grep -v /volume2/homes/#recycle | grep openvpn /etc/logrotate.d/openvpn /tmp/run.openvpn.conf.user /volume2/@appstore/VPNCenter/etc/openvpn /volume2/@appstore/VPNCenter/etc/openvpn/openvpn.conf /volume2/@appstore/VPNCenter/etc/openvpn/server.conf /volume2/@appstore/VPNCenter/etc/openvpn/radiusplugin.cnf /volume2/@appstore/VPNCenter/etc/openvpn/keys /volume2/@appstore/VPNCenter/etc/openvpn/keys/README.txt /volume2/@appstore/VPNCenter/etc/openvpn/keys/dh3072.pem /volume2/@appstore/VPNCenter/etc/openvpn/keys/server.crt /volume2/@appstore/VPNCenter/etc/openvpn/keys/server.key /volume2/@appstore/VPNCenter/etc/openvpn/keys/openvpn.ovpn /volume2/@appstore/VPNCenter/etc/openvpn/keys/VPNConfig.ovpn /volume2/@appstore/VPNCenter/etc/openvpn/keys/openvpn.zip /volume2/@appstore/VPNCenter/etc/openvpn/keys/ca.crt /volume2/@appstore/VPNCenter/sbin/openvpn /volume2/@appstore/VPNCenter/scripts/openvpn.sh /volume2/@appstore/VPNCenter/scripts/restart_openvpn.sh /sys/kernel/security/apparmor/policy/profiles/volume.appstore.VPNCenter.sbin.openvpn.250 /sys/kernel/security/apparmor/policy/profiles/volume.appstore.VPNCenter.sbin.openvpn.250/attach /sys/kernel/security/apparmor/policy/profiles/volume.appstore.VPNCenter.sbin.openvpn.250/mode /sys/kernel/security/apparmor/policy/profiles/volume.appstore.VPNCenter.sbin.openvpn.250/name /usr/local/libexec/net/ipv4_change/restart_openvpn.sh /usr/lib/openvpn /usr/lib/openvpn/openvpn-down-root.so /usr/share/init/pkg-VPNCenter-openvpn-server.conf /usr/syno/etc/packages/VPNCenter/openvpn /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf.user.sample /usr/syno/etc/packages/VPNCenter/openvpn/keys /usr/syno/etc/packages/VPNCenter/openvpn/keys/server.crt /usr/syno/etc/packages/VPNCenter/openvpn/keys/ca.crt /usr/syno/etc/packages/VPNCenter/openvpn/keys/server.key /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf /usr/syno/etc/packages/VPNCenter/openvpn/openvpn.conf.user /usr/syno/etc/synovpnclient/openvpn /usr/syno/etc.defaults/synovpnclient/openvpn /usr/sbin/openvpn /var/packages/VPNCenter/conf/upstart/pkg-VPNCenter-openvpn-server.conf /var/log/openvpn.log /var/log/upstart/pkg-VPNCenter-openvpn-server.log.2.xz /var/log/upstart/pkg-VPNCenter-openvpn-server.log.3.xz /var/log/upstart/pkg-VPNCenter-openvpn-server.log /var/log/upstart/pkg-VPNCenter-openvpn-server.log.4.xz /var/log/upstart/pkg-VPNCenter-openvpn-server.log.1.xz /etc.defaults/logrotate.d/openvpn biomass@diskstation:/$

• Verzeker jezelf ervan dat de clients met de juiste certificaten en keys starten. Mijn laatste ontdekking van vandaag was dat de Windows Client de ta.key file niet meer in C:\users\biomass\OpenVPN aanpaste, terwijl die file toch echt geimporteerd moest worden want verouderd....

[ Voor 9% gewijzigd door biomass op 15-06-2023 23:29 . Reden: nog meer tekst ;) ]

Verwijderd schreef op vrijdag 16 juni 2023 @ 05:28:
Er wordt bij mij in de ovpn-exportfile automatisch een key en certificaat meegenomen. Ik hoef geen certificaat aan te maken en in te laden.

Verwijderd schreef op zondag 18 juni 2023 @ 21:28:

@E-jay
Ik kan in mijn router een OpenVPN-server optuigen / installeren. Maar dat is inderdaad niet wat ik wil. Een VPN-server installeren met de NAS-software zou toch moeten kunnen, zou je denken?

Verwijderd schreef op dinsdag 20 juni 2023 @ 22:22:
@biomass
Die poort 5000 wordt inderdaad voor van alles en nog wat gebruikt lees ik.

Ik ga later weer inhoudelijk aan de gang. Maar ik snap dus niet wat E-jay bedoelt met portforward testen op poort 5000.

TNO schreef op woensdag 21 juni 2023 @ 08:46:
Even over CGNAT, alleen Delta doet dat in NL toch voor zover ik weet?

--

Je hebt nog niet aangegeven of je dit test vanuit je eigen LAN en of je het ook eens BUITEN je eigen netwerk hebt getest. Probeer dat eerst eens voor in 'paniek' te raken.

Shinji schreef op woensdag 21 juni 2023 @ 08:47:
[...]


Ziggo ook in sommige gevallen volgens mij.

Verwijderd schreef op zondag 18 juni 2023 @ 21:28:

@TNO
In de bovenstaande proefopstelling om het VPN-pad te testen, ga ik toch niet van binnenuit naar een extern adres? In verbind binnen mijn LAN (beter: 1 van mijn LANNEN) een PC met een NAS via een VPN-tunnel. Ik gebruik dan toch geen extern adres? Of zeg ik hier iets doms?

Portforwarding heb ik in mijn router al apart geconfigureerd.

[ Voor 62% gewijzigd door TNO op 21-06-2023 08:51 ]

TNO schreef op woensdag 21 juni 2023 @ 08:49:
[...]

Well shit nog meer ellende om rekening mee te houden

Dat met een OpenVPN-server op een synology NAS moet toch gewoon te regelen zijn? Ik ben er echt klaar mee. MAAR WAAROM WERKT OPENVPN VIA NAS NIET?

Verwijderd schreef op woensdag 21 juni 2023 @ 11:40:
@biomass
en de rest :-)
Dadelijk ben ik terug. Synology assistent heeft ip nas verandert.

Verwijderd schreef op woensdag 21 juni 2023 @ 15:40:
@E-jay
Maar een vast IP binnen dhcp levert toch ook geen probleem op voor portforwarding? Dus dat kan het probleem van het niet werken van portforwarding niet zijn, want ik heb altijd vaste IP-adressen gehad.

Verwijderd schreef op woensdag 21 juni 2023 @ 19:59:
@E-jay
Klinkt begrijpelijk jouw verhaal. Dan toch maar IP's buiten de dhcp -range, zoals ik de boel nu heb geconfigureerd.

@Bertus
NAS en PC zitten in hetzelfde vlan. Beide hangen aan een untagged poort aan een switch.

Ik hoop dat er verkeer mogelijk is naar buiten.

Ik weet niet of ik jouw post moet negeren. Dat doe ik dus niet. We zitten hier op een plek met mensen die heel veel verstand hebben van ict. Als je iets zegt dat niet klopt, dan krijg je (terecht) een klap om je oren en dan mag je erover nadenken. Net als vroeger op de kleuterschool. Dat je als je iets doet wat niet mag, je even in de hoek moet staan. Pas maar op Bertus ;-)

Verwijderd schreef op donderdag 22 juni 2023 @ 19:48:
@UTPBlokje
Op de draytek router. Staat het vinkje van opvpn server uit ? ja

Op je Android device. Wanneer deze is verbonden met je WiFi. Komt het ip van je Android overeen met het netwerk van je nas? ja

Kan je wanneer je bent verbonden met de wifi met je Android device wel bij de webinterface van de nas ja => http://(wan1 IP):5000

Zit de pc in hetzelfde netwerk als de nas? ja

Kan je vanuit je pc de webinterface van de nas benaderen op lokaal ip? ja => http://(LAN IP NAS):5000

Heb je de OpenVPN al getest op je pc? ja => werkt niet

Portforward vanuit de draytek naar 5001 WAN-LAN
Werkt dit ? ja => http://(wan1 IP):5000

Verwijderd schreef op donderdag 22 juni 2023 @ 22:58:
@UTPBlokje
Ik benader de NAS met de android van buitenom (extern IP / WAN IP) omdat ik niet alleen vanuit huis de NAS wil benaderen.

Ik zit te denken. Ik benader de NAS nu met mijn android met het LAN IP van de NAS. Dat is nu dus verkeerd ingesteld volgens mij als het via internet moet komen? Met 4G moet dat dan toch via het WAN IP?

Ik heb ook niet voor niets portforwarding.

Met de OpenVPN-connect-app kan ik nog niet de NAS connecten. Zowel op mijn PC als de android niet. Ik geloof dat er niet mis is met het ovpn-bestand. Ik zal er morgen nog even naar kijken.

Kun je trouwens tweakers doneren?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52

dev tun
tls-client

remote 192.168.34.20 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2


comp-lzo

reneg-sec 0

cipher AES-256-CBC

auth SHA512

auth-user-pass
<ca>
Staat ingevuld
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Staat ingevuld
-----END CERTIFICATE-----

</ca>

En jij ziet ook gewoon dat ik een draytek heb. Dat heb ik nergens vermeld.

Verwijderd schreef op woensdag 7 juni 2023 @ 10:12:
...
@Shinji
Ik heb een draytek router. Provider: budget alles in 1 (dat is van KPN). Ik weet niet of het carrier grade NAT is. Ik weet uberhaupt niet wat carier grade NAT is. Ik zal het eens opzoeken/inlezen.
...

[ Voor 11% gewijzigd door W1ck1e op 24-06-2023 11:02 ]

Verwijderd schreef op zondag 25 juni 2023 @ 08:39:
Kan ik TCP 1723 ook voor openVPN gebruiken?

code:

1 2 3 4 5 6 7 8 9 10 11 12

************************************************************************ * PLEASE NOTE THE FOLLOWING: * * * * ASSIGNMENT OF A PORT NUMBER DOES NOT IN ANY WAY IMPLY AN * * ENDORSEMENT OF AN APPLICATION OR PRODUCT, AND THE FACT THAT NETWORK * * TRAFFIC IS FLOWING TO OR FROM A REGISTERED PORT DOES NOT MEAN THAT * * IT IS "GOOD" TRAFFIC, NOR THAT IT NECESSARILY CORRESPONDS TO THE * * ASSIGNED SERVICE. FIREWALL AND SYSTEM ADMINISTRATORS SHOULD * * CHOOSE HOW TO CONFIGURE THEIR SYSTEMS BASED ON THEIR KNOWLEDGE OF * * THE TRAFFIC IN QUESTION, NOT WHETHER THERE IS A PORT NUMBER * * REGISTERED OR NOT. * ************************************************************************

Verwijderd schreef op maandag 26 juni 2023 @ 10:37:
@Shinji
Je hebt gelijk.

Ik ga nadenken over de firewall.

@biomass
Maar dan kan ik dus elke vrije poort gebruiken? Poorten zijn allemaal hetzelfde? De eigenschap van de poort wordt bepaald door het protocol? Het is dan zoeken naar een poort die vrij is. Zoekt en gij zult vinden.

Johan Abbink schreef op dinsdag 27 juni 2023 @ 21:56:
En mijn wan-ip hoort toch ook niet zichtbaar te zijn op internet? Dat is het wel.

[ Voor 10% gewijzigd door RonnieKo op 28-06-2023 09:09 ]

Verwijderd schreef op woensdag 28 juni 2023 @ 10:26:
Dat publieke adres dat je krijgt van de provider is altijd het vaste, eigen, unieke WAN-adres? Ik heb hier dan mijn DDNS-naam aan gekoppeld. Dat is handig als de provider mijn WAN-adres verandert.

Verwijderd schreef op woensdag 28 juni 2023 @ 10:26:

Als ik met een android via 4g een website wil bezoeken, dan krijgt mijn router (om de android later te dienen) van de provider het WAN-adres. Dat WAN-adres wordt vervolgens door de VPN-tunnel geleid, en die maakt er een dynamisch IP-adres van voor de android, waarmee ik vervolgens de site bezoek. Met betrekking tot dat laatste wordt mijn VPN-server de WAN-IP verstrekker om te kunnen internetten. Begrijp ik dat goed? Of snap ik het nog steeds niet?

[ Voor 14% gewijzigd door RonnieKo op 28-06-2023 11:44 ]