Toon posts:

port forwarding voor remote webserver in VPN opstelling

Pagina: 1
Acties:

Vraag

woensdag 3 januari 2024 09:32

Acties:
  • 0 Henk 'm!
  • pieterdp
  • Registratie: December 2022
  • Laatst online: 18-12-2024

pieterdp

Topicstarter
beste forumleden,

ik heb onderstaande opstelling, waarbij een willekeurige client de webserver op een (remote) Pi wenst te bereiken, bv door te surfen naar mydns:81

de remote Pi is verbonden met 4G dongle, en de Pi is al deel van het VPN netwerk (waarbij de OpenVPN server op de NAS draait).

Ik heb wat tips nodig om deze configuratie te doen werken, en iets wat voldoende veilig is.

Wat -denk ik- zou moeten gebeuren, is dat ik de poort (bv 81) forward naar de Pi. Maar de virtual IP (nl 10.0.8.10) is geen deel van het LAN... Dus moet er ergens nog een vertaalslag gemaakt worden.

Afbeeldingslocatie: https://tweakers.net/i/jgOuvUhE681IvBaOmJwuUuIeZkQ=/800x/filters:strip_icc():strip_exif()/f/image/oAkwiGPLMlY5npe6ZaMJipR4.jpg?f=fotoalbum_large

Beste antwoord (via pieterdp op 08-01-2024 20:51)

woensdag 3 januari 2024 10:29

  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 20:52

DataGhost

iPL dev

Je moet ergens een (static) route instellen die zegt dat verkeer voor 10.0.8/24 via je NAS moet. Dat op je router instellen lijkt me het meest logisch als daar je portforward ook gemaakt is. Een reverse proxy op de NAS kan inderdaad ook.

Alle reacties

woensdag 3 januari 2024 09:39

Acties:
  • 0 Henk 'm!
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 00:10

Ben(V)

Een 4G verbinding deelt een ipadres met meerderen dus dit is niet mogelijk.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 3 januari 2024 09:55

Acties:
  • 0 Henk 'm!
  • pieterdp
  • Registratie: December 2022
  • Laatst online: 18-12-2024

pieterdp

Topicstarter
ik snap dat ik niet kan forwarden naar het IP adres van de 4G dongle, dus vandaar dat ik ook een VPN heb opgzet, en deze webserver dus eigenlijk in een virtueel netwerk komt te staan.

woensdag 3 januari 2024 09:59

Acties:
  • 0 Henk 'm!
  • Frogmen
  • Registratie: Januari 2004
  • Niet online

Frogmen

Als je de NAS nou van reverse proxy voorziet welke naar de Rpi verbind dan hoef je alleen de NAS maar open te zetten vanaf het internet.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

woensdag 3 januari 2024 09:59

Acties:
  • 0 Henk 'm!
  • roeleboel
  • Registratie: Maart 2006
  • Niet online

roeleboel

en zijn beestenboel

Op de cisco router doe je een portforwarding naar de nas.
Op de nas moet je dan afhankelijk van de mogelijkheden ofwel een nieuwe portforward regelen, of een reverse proxy (of iets dergelijks) naar de pi regelen.

Vaak heb je op een nas geen mogelijkheden tot portforwards, maar wel tot reverse proxy. Dit hangt af van de exacte software die er op de nas draait.

woensdag 3 januari 2024 10:24

Acties:
  • 0 Henk 'm!
  • pieterdp
  • Registratie: December 2022
  • Laatst online: 18-12-2024

pieterdp

Topicstarter
dank! Port forwarding op de router is geen probleem.
Ik vermoed dan dat de reverse proxy op de NAS moet verwijzen naar het (virtuele) IP adres van de PI, is dat correct?

woensdag 3 januari 2024 10:29

Acties:
  • Beste antwoord
  • 0 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 20:52

DataGhost

iPL dev

Je moet ergens een (static) route instellen die zegt dat verkeer voor 10.0.8/24 via je NAS moet. Dat op je router instellen lijkt me het meest logisch als daar je portforward ook gemaakt is. Een reverse proxy op de NAS kan inderdaad ook.

woensdag 3 januari 2024 14:26

Acties:
  • 0 Henk 'm!
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 00:10

Ben(V)

Dit kan alleen als je een "site-to-site" VPN hebt opgezet, dan is het VPN netwerk transparant en hoef je niets te forwarden.
Maar de VPN software van een Synology Nas kan dat niet (alleen VPN server of VPN client, geen "site-to-site"), jij hebt een client-server VPN netwerk opgezet tussen die rpi en je Nas.
Jij kunt dus alleen van de rpi naar het VPN Lan van je Nas, niet andersom.
En je Nas als VPN client laten werken kan niet want door het 4G netwerk kan die niet connecten naar die rpi.

En als je een "site-to-site" VPN zou kunnen opzetten dan moet die altijd open staan waardoor je een behoorlijk data verbruik op die 4G verbinding krijgt.

[ Voor 15% gewijzigd door Ben(V) op 03-01-2024 14:30 ]

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 3 januari 2024 14:33

Acties:
  • +1 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 20:52

DataGhost

iPL dev

Ben(V) schreef op woensdag 3 januari 2024 @ 14:26:
Dit kan alleen als je een "site-to-site" VPN hebt opgezet, dan is het VPN netwerk transparant en hoef je niets te forwarden.
Maar de VPN software op je Nas kan dat niet (alleen VPN server of VPN client, geen "site-to-site"), jij hebt een client-server VPN netwerk opgezet tussen die rpi en je Nas.
Jij kunt dus alleen van de rpi naar het VPN Lan van je Nas, niet andersom.
En je NAs als VPN client laten werken kan niet want door het 4G netwerk kan die niet connecten naar die rpi.
Ik vind het knap. In de eerste reactie laat je zien dat je heel de TS niet gelezen hebt, en nu weet je opeens precies wat voor soort VPN TS heeft opgezet, wat voor NAS deze heeft en dat die specifieke NAS dat niet zou kunnen, terwijl geen van deze dingen vermeld zijn. Het enige wat wel vermeld is (wederom in de TS) is "OpenVPN" en heel toevallig weet ik dat OpenVPN dat heel erg dikke prima gewoon kan (mede omdat ik het zelf zo heb draaien). Dus ik ben benieuwd waar je al deze "wijsheid" vandaan haalt.
En als je een "site-to-site" VPN zou kunnen opzetten dan moet die altijd open staan waardoor je een behoorlijk data verbruik op die 4G verbinding krijgt.
OpenVPN keepalive-traffic gaat in de orde van enkele bytes per minuut. Dan heb je het over zeer, zeer royaal minder dan 100MB per maand.

[ Voor 12% gewijzigd door DataGhost op 03-01-2024 14:35 ]

woensdag 3 januari 2024 14:54

Acties:
  • 0 Henk 'm!
  • pieterdp
  • Registratie: December 2022
  • Laatst online: 18-12-2024

pieterdp

Topicstarter
Beste DataGhost,

zou je me nog even verder kunnen helpen in dit geval?

Het probleem is dat de Client (niet verbonden met mijn VPN) enkel een webadres heeft (nl. mydns:poort). Op het moment dat deze request binnenkomt op mijn router, weet die nog niets van VPN af.

Ik moet dus de request doorsturen daar de VPN Client, maar mijn router kent -uiteraard- het IP van het VPN niet...
Dus iemand moet dit doorgeven.

Wat ik had geprobeerd, is een port forward op de router, naar de NAS, en vervolgens op de NAS een reverse proxy naar het VPN IP. Maar dit werkt dus (ook) niet.
DataGhost schreef op woensdag 3 januari 2024 @ 10:29:
Je moet ergens een (static) route instellen die zegt dat verkeer voor 10.0.8/24 via je NAS moet. Dat op je router instellen lijkt me het meest logisch als daar je portforward ook gemaakt is. Een reverse proxy op de NAS kan inderdaad ook.

woensdag 3 januari 2024 14:58

Acties:
  • 0 Henk 'm!
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 00:10

Ben(V)

@DataGhost
Blijkbaar kijk je zelf niet goed.
In het plaatje staat dat hij een OpenVPN server op de Nas heeft draaien en een OpenVpn client op die rpi.
Kortom een Client-Server VPN van de rpi naar de Nas.

Ik zei dat een Synology Nas geen "site-to_site" Vpn kan en aangezien de meest voorkomende Nassen van Synology zijn, is er een goede kans dat hij die heeft.
Maar de meeste andere Nassen o.a. Qnap kunnen dat ook niet.

En je kunt proberen wat je wilt met reverse proxy's maar een client server VPN werkt alleen vanaf de client naar de server en niet andersom.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 3 januari 2024 15:10

Acties:
  • 0 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 20:52

DataGhost

iPL dev

Ben(V) schreef op woensdag 3 januari 2024 @ 14:58:
@DataGhost
Blijkbaar kijk je zelf niet goed.
In het plaatje staat dat hij een OpenVPN server op de Nas heeft draaien en een OpenVpn client op die rpi.
Kortom een Client-Server VPN van de rpi naar de Nas.

Ik zei dat een Synology Nas geen "site-to_site" Vpn kan en aangezien de meest voorkomende Nassen van Synology zijn, is er een goede kans dat hij die heeft.
Maar de meeste andere Nassen o.a. Qnap kunnen dat ook niet.

En je kunt proberen wat je wilt met reverse proxy's maar een client server VPN werkt alleen vanaf de client naar de server en niet andersom.
Aannames zijn gevaarlijk. Mijn NAS is een zelfbouw-PC met een eigen OS erop. Dat Synology kennelijk een open-source product dichtbouwt om geld te vangen voor een feature die er gewoon in zit moeten zij weten, en vind ik niet netjes. OpenVPN kan het in ieder geval prima en dat is momenteel de enige informatie die wel duidelijk is.

Verder is VPN-verkeer gewoon bidirectioneel. Ik hoop dat je weet hoe TCP werkt want je schetst nu dat het bezoeken van een website onmogelijk moet zijn met een Synology als VPN-server. Vanaf de VPN-server moeten alle VPN-clients gewoon bereikbaar zijn op hun respectievelijke IP's. Is dat niet zo, staat er waarschijnlijk op de client een firewall aan of is er iets anders exotisch aan de hand. Wederom, hier bij mij met mijn OpenVPN-server werkt het prima, op zowel een site-to-site als een "client-server" VPN. En dus ook over 4G, ik kan gewoon mijn telefoon pingen bijvoorbeeld.

woensdag 3 januari 2024 15:13

Acties:
  • 0 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 20:52

DataGhost

iPL dev

pieterdp schreef op woensdag 3 januari 2024 @ 14:54:
Beste DataGhost,

zou je me nog even verder kunnen helpen in dit geval?

Het probleem is dat de Client (niet verbonden met mijn VPN) enkel een webadres heeft (nl. mydns:poort). Op het moment dat deze request binnenkomt op mijn router, weet die nog niets van VPN af.

Ik moet dus de request doorsturen daar de VPN Client, maar mijn router kent -uiteraard- het IP van het VPN niet...
Dus iemand moet dit doorgeven.

Wat ik had geprobeerd, is een port forward op de router, naar de NAS, en vervolgens op de NAS een reverse proxy naar het VPN IP. Maar dit werkt dus (ook) niet.
Dit laatste zou moeten werken en is waarschijnlijk het makkelijkst voor je. Eerst moet je proberen vanaf je NAS die Pi te bereiken. Als dat niet lukt moet je troubleshooten waarom, en daarbij vermoed ik dus een firewall. Op het moment dat dat in orde is kan je de reverse proxy verder opzetten als die daardoor nog niet is gaan werken. Maar de details hangen verder af van je setup op alle relevante apparaten.

woensdag 3 januari 2024 16:00

Acties:
  • 0 Henk 'm!
  • W1ck1e
  • Registratie: Februari 2008
  • Laatst online: 22:36

W1ck1e

@pieterdp Wat voor een nas heb je ? @Ben(V) denkt wellicht een synology, hetgeen niet zo vreemd zou zijn, want het is een populair merk, ook al vindt @DataGhost daar iets van.

woensdag 3 januari 2024 16:09

Acties:
  • 0 Henk 'm!
  • Xanthine
  • Registratie: Mei 2018
  • Laatst online: 28-04 11:50

Xanthine

De Cisco RV340 is een VPN router, dus waarom nog een aparte VPN op je NAS? Ik zou de NAS apart houden voor storage.

Ik heb min of meer dezelfde setup gehad. Gebruik je RV340 als VPN server, laat de Pi de connectie opbouwen als client naar de RV340. Op die manier kent de RV340 alle routes en gaan externe clients op je DNS record (in het netwerk van de RV340) kunnen connecteren.

Edit: ik zou ook geen routing op de switch doen, dat maakt het onnodig moeilijk als het nu al niet lukt.

[ Voor 12% gewijzigd door Xanthine op 03-01-2024 16:12 ]

woensdag 3 januari 2024 17:07

Acties:
  • +1 Henk 'm!
  • pieterdp
  • Registratie: December 2022
  • Laatst online: 18-12-2024

pieterdp

Topicstarter
DataGhost schreef op woensdag 3 januari 2024 @ 15:13:
[...]

Dit laatste zou moeten werken en is waarschijnlijk het makkelijkst voor je. Eerst moet je proberen vanaf je NAS die Pi te bereiken. Als dat niet lukt moet je troubleshooten waarom, en daarbij vermoed ik dus een firewall. Op het moment dat dat in orde is kan je de reverse proxy verder opzetten als die daardoor nog niet is gaan werken. Maar de details hangen verder af van je setup op alle relevante apparaten.
OK, ik kan idd vanaf mijn NAS pingen naar de VPN IP (10.0.8.10) van mijn VPN Client, dus dat is al goed nieuws :) . Nu wordt het wat sleutelen, vermoedelijk met de firewall of settings op de NAS.

BTW, de NAS is QNAP.

woensdag 3 januari 2024 17:09

Acties:
  • 0 Henk 'm!
  • pieterdp
  • Registratie: December 2022
  • Laatst online: 18-12-2024

pieterdp

Topicstarter
Xanthine schreef op woensdag 3 januari 2024 @ 16:09:
De Cisco RV340 is een VPN router, dus waarom nog een aparte VPN op je NAS? Ik zou de NAS apart houden voor storage.

Ik heb min of meer dezelfde setup gehad. Gebruik je RV340 als VPN server, laat de Pi de connectie opbouwen als client naar de RV340. Op die manier kent de RV340 alle routes en gaan externe clients op je DNS record (in het netwerk van de RV340) kunnen connecteren.

Edit: ik zou ook geen routing op de switch doen, dat maakt het onnodig moeilijk als het nu al niet lukt.
Had ik eigenlijk niet aan gedacht... Lijkt me inderdaad ook een meer "zuivere" optie. Ik zal deze optie ook even bekijken.
Alvast dank om mee te denken!

Pieter

woensdag 3 januari 2024 17:20

Acties:
  • 0 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 00:32

laurens0619

Als je vpn server niet je default gateway is dan is het wat complexer:
- of gaan natten op de openvpn server. Dan kan je client naar ipnas:81 surfen die hem nat naar openvpnclient:81
- routering regelen en statische route naar de client pushen dat het openvpn ip via de gw nas gevonden kan worden

https://openvpn.net/commu...-client-or-server-subnet/

[ Voor 19% gewijzigd door laurens0619 op 03-01-2024 17:22 ]

CISSP! Drop your encryption keys!

woensdag 3 januari 2024 17:32

Acties:
  • 0 Henk 'm!
  • Nickname55
  • Registratie: Maart 2004
  • Laatst online: 01-06 11:29

Nickname55

pieterdp schreef op woensdag 3 januari 2024 @ 17:07:
[...]

OK, ik kan idd vanaf mijn NAS pingen naar de VPN IP (10.0.8.10) van mijn VPN Client, dus dat is al goed nieuws :) .
Kun je ook vanaf een andere pc of laptop in het netwerk pingen naar 10.0.8.10?

Euhm... \n ...

woensdag 3 januari 2024 17:38

Acties:
  • 0 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 20:52

DataGhost

iPL dev

Nickname55 schreef op woensdag 3 januari 2024 @ 17:32:
[...]

Kun je ook vanaf een andere pc of laptop in het netwerk pingen naar 10.0.8.10?
Dat kan niet zolang er op die andere pc/laptop geen route naar het VPN-subnet (10.0.8.0/24 waarschijnlijk) is en daarbij moet bovendien forwarding aanstaan op de NAS. Dus dat proberen zal niet veel opleveren. De NAS zelf kan dat IP al pingen dus dat is voldoende om er daarna met een reverse proxy bij te kunnen. En inderdaad, alternatief is het hosten van de VPN-server op de router die dat kennelijk ook kan, dan is een simpele portforward voldoende. Voor de use-case "verbinden van buitenaf" hoeft alleen de router maar bij de Pi te kunnen, al dan niet indirect via de NAS.

woensdag 3 januari 2024 17:44

Acties:
  • 0 Henk 'm!
  • pieterdp
  • Registratie: December 2022
  • Laatst online: 18-12-2024

pieterdp

Topicstarter
Nickname55 schreef op woensdag 3 januari 2024 @ 17:32:
[...]

Kun je ook vanaf een andere pc of laptop in het netwerk pingen naar 10.0.8.10?
Neen, dat lukt niet. Maar goed, ik heb in principe een firewall rule ingesteld op mijn router:

Afbeeldingslocatie: https://tweakers.net/i/fPBrUCd1AywN4CbeXhzJJXQdz7A=/800x/filters:strip_exif()/f/image/bQUhvtxbEYQ1t4rpoD4x9zkb.png?f=fotoalbum_large


En dan vervolgens op mijn NAS:
Afbeeldingslocatie: https://tweakers.net/i/woLGVByJouT9756qiUmGLSV31vw=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/d4th360wPEIDRvUjX9PJwQpe.png?f=user_large

Maar dit lukt dus (nog) niet: mydns:81 This site can’t be reached

[ Voor 3% gewijzigd door pieterdp op 03-01-2024 17:47 ]

woensdag 3 januari 2024 17:46

Acties:
  • 0 Henk 'm!
  • jeroen3
  • Registratie: Mei 2010
  • Laatst online: 19:58

jeroen3

Uhm, kijk anders eens of ZeroTier iets voor je is. Volgens mij lost dat je kernprobleem op.

woensdag 3 januari 2024 17:51

Acties:
  • 0 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 00:32

laurens0619

Of ethernet bridging?

CISSP! Drop your encryption keys!

woensdag 3 januari 2024 17:54

Acties:
  • 0 Henk 'm!
  • pieterdp
  • Registratie: December 2022
  • Laatst online: 18-12-2024

pieterdp

Topicstarter
pieterdp schreef op woensdag 3 januari 2024 @ 17:44:
[...]


Neen, dat lukt niet. Maar goed, ik heb in principe een firewall rule ingesteld op mijn router:

[Afbeelding]


En dan vervolgens op mijn NAS:
[Afbeelding]

Maar dit lukt dus (nog) niet: mydns:81 This site can’t be reached
Zou ik nog iets aan mijn Pi moeten toevoegen, zodat die de call naar de 10.0.8.10 herkent? Deze kan wel naar de pagina via de localhost.
(PS, heb mijn QuFirewall tijdelijk even gedisabled, dus daar kan het eigenlijk ook niet aan liggen)

[ Voor 5% gewijzigd door pieterdp op 03-01-2024 17:55 ]

woensdag 3 januari 2024 17:56

Acties:
  • 0 Henk 'm!
  • Nickname55
  • Registratie: Maart 2004
  • Laatst online: 01-06 11:29

Nickname55

pieterdp schreef op woensdag 3 januari 2024 @ 17:44:
[...]


Neen, dat lukt niet. Maar goed, ik heb in principe een firewall rule ingesteld op mijn router:
Als je vanaf een andere pc in het netwerk niet kan pingen, dan gaat zo'n forward op de router ook niet werken. Dan heb je echt die reverse proxy nodig waar onderen het hier al over hebben.

Ik zou het eerst even die de VPN server in de Cisco router proberen denk ik...

Euhm... \n ...

woensdag 3 januari 2024 18:01

Acties:
  • 0 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 20:52

DataGhost

iPL dev

Nickname55 schreef op woensdag 3 januari 2024 @ 17:56:
[...]

Als je vanaf een andere pc in het netwerk niet kan pingen, dan gaat zo'n forward op de router ook niet werken. Dan heb je echt die reverse proxy nodig waar onderen het hier al over hebben.

Ik zou het eerst even die de VPN server in de Cisco router proberen denk ik...
Het IP waarheen geforward wordt is die van de NAS dus dat is geen probleem.

@pieterdp je kan pingen, dat is prima, dus er is communicatie met de Pi. Maar dat wil nog niet zeggen dat HTTP ook al werkt. Kan je vanaf de NAS wel gewoon de HTTP-verbinding maken, met wget/curl ofzo? Je zal toch stap voor stap moeten kijken wat je allemaal wel en niet kan doen voordat je combinaties kan gaan maken. Als dat wel werkt moet er toch iets mis zijn met je reverse proxy of toch met je portforward. De melding die je krijgt kan namelijk indicatief zijn voor meerdere problemen die zowel binnen als buiten je eigen netwerk kunnen liggen.

woensdag 3 januari 2024 18:11

Acties:
  • 0 Henk 'm!
  • pieterdp
  • Registratie: December 2022
  • Laatst online: 18-12-2024

pieterdp

Topicstarter
DataGhost schreef op woensdag 3 januari 2024 @ 18:01:
[...]

Het IP waarheen geforward wordt is die van de NAS dus dat is geen probleem.

@pieterdp je kan pingen, dat is prima, dus er is communicatie met de Pi. Maar dat wil nog niet zeggen dat HTTP ook al werkt. Kan je vanaf de NAS wel gewoon de HTTP-verbinding maken, met wget/curl ofzo? Je zal toch stap voor stap moeten kijken wat je allemaal wel en niet kan doen voordat je combinaties kan gaan maken. Als dat wel werkt moet er toch iets mis zijn met je reverse proxy of toch met je portforward. De melding die je krijgt kan namelijk indicatief zijn voor meerdere problemen die zowel binnen als buiten je eigen netwerk kunnen liggen.
Zeker, curl naar http://10.0.8.10 geeft me als reply de volledige index.php file...
Vandaar de vraag of iets fout zou zijn in de setup van de reverse proxy.

woensdag 3 januari 2024 18:14

Acties:
  • 0 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 20:52

DataGhost

iPL dev

Dat is dan wel waarschijnlijk ja. Of je portforward staat toch verkeerd. Of mydns wijst naar het verkeerde IP. Of nog iets anders. Kan je vanaf je interne netwerk wel op http://192.168.15.4:81? Waar wijst mydns heen?

[ Voor 5% gewijzigd door DataGhost op 03-01-2024 18:15 ]

woensdag 3 januari 2024 18:39

Acties:
  • 0 Henk 'm!
  • Nickname55
  • Registratie: Maart 2004
  • Laatst online: 01-06 11:29

Nickname55

DataGhost schreef op woensdag 3 januari 2024 @ 18:01:
[...]

Het IP waarheen geforward wordt is die van de NAS dus dat is geen probleem.
Bij een goed werkende reverse proxy kan je inderdaad forwarden naar de nas ja. Moet dat wel werken, die reverse proxy.

Euhm... \n ...

woensdag 3 januari 2024 19:07

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 21:19

jadjong

Op de Cisco router moet je een port forward aanmaken voor poort 81 naar 10.0.8.10 (IP RPi). Vervolgens moet je deze router vertellen via een static route dat 10.0.8.0/24 bereikbaar is via 192.168.15.4. Andersom zal je de RPi moeten vertellen dat 192.168.4.0/24 bereikbaar is via 10.0.8.1 (IP NAS).

woensdag 3 januari 2024 19:52

Acties:
  • 0 Henk 'm!
  • pieterdp
  • Registratie: December 2022
  • Laatst online: 18-12-2024

pieterdp

Topicstarter
DataGhost schreef op woensdag 3 januari 2024 @ 18:14:
Dat is dan wel waarschijnlijk ja. Of je portforward staat toch verkeerd. Of mydns wijst naar het verkeerde IP. Of nog iets anders. Kan je vanaf je interne netwerk wel op http://192.168.15.4:81? Waar wijst mydns heen?
Het probleem het volgende:

wanneer ik via externe site check of de poort openstaat, dan krijg ik "port closed".
Als ik dan in de port forwarding rule op de router, de Internal Service wijzig naar bv HTTP (dus poort 80), dan krijg ik wel de melding dat die poort open is.

Echter, wanneer is via de console van de NAS check, dan zie ik dat hij wel luistert op die poort:
code:
1
2

sudo lsof -i -P -n | grep LISTEN
reversepr 24547    admin    4u  IPv6 5783422      0t0  TCP *:81 (LISTEN)

woensdag 3 januari 2024 20:06

Acties:
  • 0 Henk 'm!
  • pieterdp
  • Registratie: December 2022
  • Laatst online: 18-12-2024

pieterdp

Topicstarter
jadjong schreef op woensdag 3 januari 2024 @ 19:07:
Op de Cisco router moet je een port forward aanmaken voor poort 81 naar 10.0.8.10 (IP RPi). Vervolgens moet je deze router vertellen via een static route dat 10.0.8.0/24 bereikbaar is via 192.168.15.4. Andersom zal je de RPi moeten vertellen dat 192.168.4.0/24 bereikbaar is via 10.0.8.1 (IP NAS).
Als ik voor deze optie zou gaan (die anders is dan diegene die ik nu uitwerk) heb ik geen reverse proxy nodig op de NAS, correct?

woensdag 3 januari 2024 20:09

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 21:19

jadjong

Klopt.

woensdag 3 januari 2024 20:10

Acties:
  • 0 Henk 'm!
  • pieterdp
  • Registratie: December 2022
  • Laatst online: 18-12-2024

pieterdp

Topicstarter
Xanthine schreef op woensdag 3 januari 2024 @ 16:09:
De Cisco RV340 is een VPN router, dus waarom nog een aparte VPN op je NAS? Ik zou de NAS apart houden voor storage.

Ik heb min of meer dezelfde setup gehad. Gebruik je RV340 als VPN server, laat de Pi de connectie opbouwen als client naar de RV340. Op die manier kent de RV340 alle routes en gaan externe clients op je DNS record (in het netwerk van de RV340) kunnen connecteren.

Edit: ik zou ook geen routing op de switch doen, dat maakt het onnodig moeilijk als het nu al niet lukt.
Hi Xanthine, welk type VPN zou je dan opzetten? Site-to-site; Client-to-site, PP2P, L2TP, of nog iets anders?

woensdag 3 januari 2024 20:40

Acties:
  • 0 Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 00:32

laurens0619

Aangezien je andere client achter 4g zit valt site2site denk ik af

Gewoon server vpn op de cisco draaien, protocol afhankelijk van wat je cisco kan

CISSP! Drop your encryption keys!

donderdag 4 januari 2024 13:48

Acties:
  • 0 Henk 'm!
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 00:10

Ben(V)

Als je vanaf je lan naar die rpi wilt zul je een site-to-site Vpn moeten opzetten en die moet geïnitieerd worden vanaf die rpi.
Zolang er alleen een OpenVpn client op die rpi draait kun je vanaf een OpenVpn server kant geen connecties opzetten.
Alleen een site-to-site Vpn kan beide kanten op.

Denk eraan dat het lan van je rpi niet hetzelfde subnet als het lan dat van de andere kant mag hebben.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

donderdag 4 januari 2024 13:55

Acties:
  • +1 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Laatst online: 21:19

jadjong

Ben(V) schreef op donderdag 4 januari 2024 @ 13:48:

Zolang er alleen een OpenVpn client op die rpi draait kun je vanaf een OpenVpn server kant geen connecties opzetten.
Alleen een site-to-site Vpn kan beide kanten op.
Als je deze post kan lezen klopt je bewering niet.

donderdag 4 januari 2024 14:01

Acties:
  • 0 Henk 'm!
  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 20:52

DataGhost

iPL dev

Ben(V) schreef op donderdag 4 januari 2024 @ 13:48:
Zolang er alleen een OpenVpn client op die rpi draait kun je vanaf een OpenVpn server kant geen connecties opzetten.
Alleen een site-to-site Vpn kan beide kanten op.
Naast de post hierboven was het door TS ook al op twee manieren gemeld in dit topic. Misschien dat jouw VPN die posts niet heeft doorgelaten.
pieterdp schreef op woensdag 3 januari 2024 @ 17:07:
[...]

OK, ik kan idd vanaf mijn NAS pingen naar de VPN IP (10.0.8.10) van mijn VPN Client, dus dat is al goed nieuws :) .
pieterdp schreef op woensdag 3 januari 2024 @ 18:11:
[...]


Zeker, curl naar http://10.0.8.10 geeft me als reply de volledige index.php file...
Dus dat je zelf niet weet hoe een VPN werkt en hoe je die normaal opzet is helemaal niet erg, maar ga dan niet de expert uithangen.

[ Voor 7% gewijzigd door DataGhost op 04-01-2024 14:09 ]

donderdag 4 januari 2024 20:33

Acties:
  • 0 Henk 'm!
  • pieterdp
  • Registratie: December 2022
  • Laatst online: 18-12-2024

pieterdp

Topicstarter
Xanthine schreef op woensdag 3 januari 2024 @ 16:09:
De Cisco RV340 is een VPN router, dus waarom nog een aparte VPN op je NAS? Ik zou de NAS apart houden voor storage.

Ik heb min of meer dezelfde setup gehad. Gebruik je RV340 als VPN server, laat de Pi de connectie opbouwen als client naar de RV340. Op die manier kent de RV340 alle routes en gaan externe clients op je DNS record (in het netwerk van de RV340) kunnen connecteren.

Edit: ik zou ook geen routing op de switch doen, dat maakt het onnodig moeilijk als het nu al niet lukt.
Hi @Xanthine ,
ik zal deze setup idd proberen.
3 vragen nog:
1) moet ik nog een extra instelling op de Pi doen (naast het installeren van de client software, en aanpassen van de configs): moet ik nog bepaalde netwerkinstellingen doorgeven aan deze pi? Ik vermoed van niet, maar toch even checken.
2) moet ik nog extra routes definieren op de Cisco Router (naast de port forwarding)? Ik vermoed ook hier van niet, maar een kleine check.
3) kan ik de VPN specifiek linken aan de WLAN van de Pi (en dus de Ethernet poort blijven gebruiken voor connectie binnen LAN)?

Alvast dank!

maandag 8 januari 2024 20:49

Acties:
  • +1 Henk 'm!
  • pieterdp
  • Registratie: December 2022
  • Laatst online: 18-12-2024

pieterdp

Topicstarter
Kleine update: opgelost.

- Open VPN client op de Pi die werkt, en verbonden met de VPN server op de NAS.
- Portforward op de router naar de NAS (die ook VPN server is).
- Reverse proxy op de NAS, met als destination de IP van de Pi (VPN Client) en correcte poort.
- (en dit was ik vergeten) correcte domain name instellen op de webserver van de Pi, verwijzend naar MyDNS.com

dank @DataGhost voor de guidance hier!
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq