Vraag

Synology VPN achter Experiabox V9 (firmware .v2

  • 22 september 2016
  • 10 reacties
  • 1445 keer bekeken

Geachte forumleden, kennishouders en goeroes,

Gisteren heb ik contact opgenomen met de chat van KPN om mij verder te helpen met het regelen van een VPN server achter de Experiabox V9 (ZTE H368N). Waar het om gaat is dat ik een Synology 916+ aangesloten heb op een v9. Daar zou ik graag de VPN Server Package van Synology op draaien om daar een L2TP/IPsec VPN naar te kunnen leggen. Echter lijkt dit op geen enkele manier mogelijk te zijn en ik ben bijna geneigd om te zeggen dat dit aan de EB ligt.

Wat ik heb geprobeerd in samenwerking met chat, telefonische klantenservice en op eigen houtje:
- Dit forum afgestruind en de oplossingen die geopperd worden uitgevoerd.
- De aanwijzingen op het Synology-forum afgestruind en geprobeerd.
- Mijn interne IP-adressen liggen in de 192.168.2.x range, die voor de vpn ligt in de 10.0.x.0 range.
- Het is gewoon mogelijk om mijn Syno te benaderen via de 5000 poort.
- Port-forwarding lijkt daarmee goed te gaan al kan ik verder vrij weinig aftesten met port sniffers/checkers van buiten mijn netwerk. Toen ik het gisteren binnen mijn netwerk probeerde leken de UDP poorten 500, 1701 en 4500 dicht, terwijl die wel richting mijn LAN-IP-adres wijzen. Ik heb zowel DHCP binding als gewoon normaal geprobeerd.
- UPNP lijkt niet te werken voor mijn Synology
- Op mijn Windows 10 laptop heb ik een reg-fix uitgevoerd om een dubbel NAT-ting probleem op te lossen, ook hier geen gevolg.
- IPv6 uitgeschakeld in de VPN-verbinding.

Daarmee ben ik ten einde raad wat betreft opties om L2TP/IPsec aan de slag te krijgen. Ik heb dit topic aangemaakt om niet andere topics te vervuilen. Mijn vraag is dan ook, is er een netwerkspecialist aanwezig die mij verder kan helpen? Alvast bedankt voor eventuele hulp! 🙂

10 reacties

Reputatie 7
Het is geen enkel probleem om een L2TP/IPSec VPN server op jouw Synology te draaien en van buitenaf te benaderen.
Voordat je van buitenaf gaat testen, probeer eens een VPN op te bouwen vanaf een op jouw netwerk aangesloten apparaat direct naar het LAN IP adres (192.168.2.?) van jouw Synology. Werkt die wel?
Zo ja, test dan een echt van buitenaf, dus via 3/4G en niet via wifi, de V9 heeft namelijk een NAT loopback probleem.

Plaats hier ook eens screenshots van de instellingen die je op de V9 hiervoor geconfigureerd hebt.
Hoi wjb,

Bedankt voor je spoedige reactie.

Gisteravond heb ik het een en ander nog uitgeprobeerd en mijn privelaptop aan de praat gekregen met L2TP/IPSec. Het vreemde is alleen dat mijn werklaptop weigert om connectie te maken maar wellicht dat dat ligt aan een of andere policy.
Overigens lees ik her en der dat het juist met een Android toestel of iets dergelijks juist makkelijker moet zijn om deze aan de praat te krijgen dan een Windows machine, echter lukt het Android gedeelte bij mij niet....
Op dit moment kan ik even geen screenshots plaatsen van mijn setup maar mijn 916+ heeft via UPNP IGD de poort-rules 5000, 500, 4500, en 1701 kunnen zetten. Daarnaast heb ik via 'Add Application' vier verschillende applications aangemaakt met ook daaronder TCP 5000 en UDP 500, 4500 en 1701.
Hiermee kan ik dus via VPN de 916+ benaderen en ook vanuit hier verder surfen etc. Echter wil Android nog niet lukken.... Nog tips?

*Ik zal straks nog screenshots posten zodra ik thuis ben*
Bij mij werkt het prima (onderstaande screenshots heb ik kunnen maken via de VPN). Hierbij de instellingen:

Experiabox v9
Geef de synology een statisch IP via DHCP binding:



Voeg port forwarding tot voor IPSEC IKE (staat in het voorgedefinieerde lijstje) en L2TP (zelf aanmaken):




Synology
VPN heb je al ingesteld. Ik heb in ieder geval het volgende:



Vervolgens stel je de firewall in (anders houdt de Synology de verbindingen naar de VPN server tegen). Ga naar Configuratiescherm > Beveiliging > Firewall. Nu kan je hem uit zetten (onveilig) of regels instellen.
Voeg hier een regel toe voor VPN via IPSEC/L2TP:


Bron IP heb ik op alles staan, maar daar ben je vrij om te kiezen wat voor jou werkt. Ik raad je aan hem zo beperkt mogelijk te houden. Als je het niet in het buitenland gebruik, zet dat dan uit. Zeker vanuit Rusland, Midden-oosten en Azië willen nog wel eens hack-pogingen gedaan worden.

Testen
Gebruik om het te testen het interne adres van de NAS als je op je eigen netwerk zit of test vanaf een ander netwerk. Hiervoor kan je bijv. een 4G hotspot op je telefoon aanmaken. Vanaf je eigen netwerk kan je het externe IP adres niet gebruiken als je een EBv9 hebt. NAT loopback werkt hiermee namelijk niet/zit er niet in.
@D Bouwers, thanks voor je bericht. Ik geloof dat wij zo goed als dezelfde instellingen hebben, vandaar dat het op mijn prive-laptop wel werkt. Overigens heb ik geen DHCP binding gebruikt en de firewall op de NAS (nog) niet aan staan, *note to self: doen!*.
Mijn werklaptop heeft waarschijnlijk iets van een company-policy waarmee IPsec wordt geblokt. Daar ga ik waarschijnlijk OpenVPN voor gebruiken aangezien die client-software gebruikt.

Alleen Android lijkt bij mij nu nog niet te werken. Moet ik daar iets speciaals voor doen om dat aan de praat te krijgen of is dat gewoon de VPN stappen volgen en vervolgens connecten?
Zo stel je L2TP/IPSEC in op Android: https://www.privateinternetaccess.com/pages/client-support/android-l2tp

Ik heb ook wel eens meegemaakt dat op een laptop VPN geblokkeerd was. Dit kan dus heel goed.

Voor de zekerheid: Als je niet thuis bent, moet je wel het publieke IP van de router gebruiken. Als je op je thuis netwerk zit, gebruik je het lokale IP van je NAS (door de loopback problemen).
Zo stel je L2TP/IPSEC in op Android: https://www.privateinternetaccess.com/pages/client-support/android-l2tp

Ik heb ook wel eens meegemaakt dat op een laptop VPN geblokkeerd was. Dit kan dus heel goed.

Voor de zekerheid: Als je niet thuis bent, moet je wel het publieke IP van de router gebruiken. Als je op je thuis netwerk zit, gebruik je het lokale IP van je NAS (door de loopback problemen).

Ik ga er van uit dat je voorbeeld voor Android meer een algemeen iets is, waar je de instellingen vervangt door je eigen instellingen, daarmee bedoel ik adres, PSK etc.

Ik ben inderdaad bekend met het feit dat ik buiten mijn netwerk het WAN-IP gebruik en binnen het netwerk het LAN-IP :D

Thanks!
Hartelijk bedankt beiden voor het helpen met de VPN! Die werkt nu goed voor normale laptops 🙂 Die gebruik ik ook alleen maar dus top!

Ik zou nog even een paar screenshots plaatsen van mijn setup.
Hieronder zie je mijn verschillende port-forwarding instellingen voor onder andere VPN. Daarnaast heb ik er ook een voor 80 en 443 aangezien ik probeer Let's Encrypt certificaten te registreren, voor dat doel heb ik ook DHCP binding aangemaakt naar de Synology.



Echter krijg ik de hele tijd de waarschuwing dat ik poort 80 open moet zetten om de registratie te voltooien... Deze staat gewoon geforward, maar wanneer ik met een tool online kijk kan ik zien dat 443 wel open staat maar 80 filtered is, wat, wanneer ik het goed begrijp, ervoor zorgt dat de meeste requests op 80 niet doorkomen...

Hoe regel ik dit fatsoenlijk in?
Ik heb mijn VPN server ingesteld zoals hierboven aangegeven.
Ik kan op mijn eigen netwerk een VPN verbinding maken.
Vervolgens verbreek ik mijn wifi verbinding en ga vervolgens via KPN fon naar buiten toe.
Ik heb dan een ander extern IP.
Als ik nu een VPN verbinding probeer te maken naar het externe IP van mijn reguliere netwerk, krijg ik de volgende foutmelding:

Via FON? Weet je zeker dat je dan een ander extern IP-adres is? Ik krijg namelijk op een van mijn PC's wel een verbinding... de ander niet, want daar zit een company policy op... 😞
Ik krijg een ander extern adres als ik via FON naar buiten ga.
Maar ik heb het inmiddels ook vanuit een externe locatie geprobeerd.
Dan krijg ik een vergelijkbare foutmelding.

En om de company policy uit te sluiten heb ik het ook vanuit een andere PC geprobeerd.
Maar dat lukt ook niet.
Dan krijg ik een melding dat de vpn server niet reageert.

Reageer