Synology-VPN achter TN-modem en router

[Steve]

Onlangs een Synology aan m'n netwerk gehangen, tot grote tevredenheid... op één punt na: de VPN-verbinding, die ik met geen stokken aan de praat krijg. Basic netwerkconfiguratie, portforwarding enz hebben weinig geheimen meer voor me, maar toch wil het niet lukken. Ook al alle bestaande topics op het forum en andere bronnen bekeken, maar alles wat daar vermeld wordt is hier al correct ingesteld.

Modem is de Wireless Modem 3.0, waarop alle firewallfuncties uitgeschakeld zijn. De router erachter is een TP-Link TL-WR1043ND en staat met een statisch IP in de DMZ van de Telenet-modem (wat trouwens vrij vervelend is omdat je dan de DNS-servers handmatig moet instellen, maar soit).

Portforwarding ingesteld voor externe benadering van diverse toestellen en dit werkt allemaal prima, zowel via de dynamische hostname als rechtstreeks op IP-adres (kwestie van eventuele DNS-problemen uit te sluiten).

Verbinden met de VPN-dienst van de Synology (PPTP) wil extern echter niet lukken. Poort 1723 staat open, de VPN Passthrough op de router ook, en bij een Telnet op de betrokken poort staat hij gewoon open (zowel geprobeerd met poort 1723 als met een andere poort die ik dan intern forwardde naar 1723). Bij verbinding via Windows krijg ik een error 868 ("name of the remote access server dit not resolve"), via Android lukt het ook niet maar daar is geen specifieke foutcode beschikbaar. Klinkt als een DNS-issue, maar ik heb het evengoed bij connectie direct op IP...

Intern is er geen enkel probleem, dus dat sluit ook een eventuele slechte configuratie van client of server (Synology) uit.

Waar ligt het dan aan?! Via uitsluiting kom je bij de twee zaken uit die tussen de Synology en de client zitten:

- De router. Maar daar staat alles goed ingesteld: externe poort doorgestuurd naar poort 1723 op de Synology, de VPN Passthrough staat aan, en alle andere externe benaderingen werken prima (inclusief bijvoorbeeld de beheerpagina van de router). Verder ook een router die z'n sporen al zeer ruim verdiend heeft, dus ik kan me niet voorstellen dat dit een algemene bug zou zijn met de router.

- De Telenet-modem. Maar ook hier geldt dat de router in de DMZ staat, dat alle firewallfuncties uit staan, en dat alle andere externe benaderingen (boven poort 1023 natuurlijk) wel prima werken...

Wat heb ik nog niet geprobeerd:

- De Synology rechtstreeks aan de Telenet-modem hangen, wegens nogal omslachtig qua bekabeling. Ik wil het desnoods proberen, maar zie niet goed in wat het uitmaakt.

- Een andere router proberen, omdat het vrij veel gedoe is om alles weer in te stellen. Met m'n vorige router (Fonera 2.0n) heb ik wel eens geprobeerd een VPN-verbinding op te zetten naar een van de pc's op het netwerk (nog geen Synology) en dat werkte toen ook niet. Lijkt dus eerder naar de Telenet-modem te wijzen, al heb ik er destijds niet al te veel moeite in gestoken om de oorzaak te achterhalen.

- Een ander type VPN instellen. L2TP/IPSec niet via omwegen mogelijk door blokkering poort 500, OpenVPN wil ik bij gelegenheid wel eens proberen maar daar komt toch ook wat gedoe bij om te connecteren vanaf Windows en Android.

Hebben jullie een idee waar dit nog aan kan liggen? Zijn er mensen die een vergelijkbare setup hebben, en zo ja, welke instellingen gebruiken jullie?

[selder]

Ondersteunen alle gateways/routers waardoor je van het internet naar je NAS gaat het GRE protocol?

[Steve]

Normaal wel. De router sowieso, de TN-modem ook volgens wat ik lees, en aan de internetkant zit er niets exotisch tussen. Geprobeerd vanaf een Belgacom-lijn en Proximus-dataverbinding. Verbinden met de VPN van m'n werk (ook PPTP) lukt trouwens prima vanaf die beide lijnen.

[ Post made via mobile device ]

[selder]

Bij mij thuis werkt PPTP VPN naar m'n Synology DS1512+ zonder problemen door een Telenet modem-only verbinding, en een AirpPort Extreme (6th gen).

Hoe kom je bij "de router sowiezo"? Misschien staat in die zijn config nog wel ergens "vpn-passthrough" of hoe dat ze het ook noemen, maar moet je dat nog "aanzetten"?

[Steve]

Router sowieso omdat het een behoorlijk geavanceerd model is dat veel gebruikt wordt onder techies in het algemeen.

VPN-passthrough kan ingesteld worden voor alle protocollen, en is geactiveerd - zie openingspost en onderstaand screenshot. Heb ik trouwens gemaakt via remote access, dus dat dat op zich prima werkt:

[selder]

Mjah, dat ziet er dan wel allemaal in orde uit Misschien ligt het aan je Synology? Heb je al getest of je van in je interne netwerk een VPN verbinding naar het interne IP van je Synology kan opzetten?

[selder]

Ah, nevermind, dat had je al getest.

[Steve]

Inderdaad, ik vrees dat alle voor de hand liggende zaken al geprobeerd zijn... of ik moet iets gigantisch over het hoofd zien...

Net overigens ook geprobeerd om de firewall van de router volledig uit te schakelen, maar ook dat maakte geen verschil.

[FlashBlue]

Ik neem aan dat je wel degelijk vanaf een extern ip probeert, en niet zit te testen met een loopack vanaf je eigen netwerkje? Wat dat is vragen om dit soort vage problemen.

[Steve]

Inderdaad, geprobeerd vanaf verschillende totaal externe lijnen - Belgacom-adsl en mobiele dataverbinding, dus niets te maken met de Telenet-lijn bij me thuis.

[philippe_d]

Ben absoluut geen specialist, gewoon luidop meedenken:

• Je hebt wel een netwerk met dubbele NAT, dat is altijd moeilijk voor inkomende verbindingen. Ik zou toch eens je Synology direct aan de Telenet router hangen. Natuurlijk wat extra werk om een en ander opnieuw in te stellen, maar het sluit toch één variable uit. Als dat lukt is het probleem bij de D-Link ...
• Hoewel de D-Link in DMZ staat, misschien toch eens proberen om in de Telenet router expliciet poort 1723 te forwarden naar het "WAN" IP adres van de D-Link.
• Ook eens wat spelen met UPnP aan/uitzetten op de verschillende tussenliggende routers. In principe zou ik zeggen UPnP uit, gezien je alles manueel forwardt?
• WAt je misschien nog niet hebt geprobeerd, is een PC aan de Telenet router hangen, en van hieruit proberen (dan zit je aan de "WAN" kant van de D-Link). Als dat lukt is het probleem bij de TN router ...
• Heeft de D-Link zelf geen VPN server ingebouwd (en houdt op die manier poort 1723 bezig) ?
• Last but not least: VPN passtrough heeft hier - denk ik - niets mee te maken. Dat moet je instellen als je van achter jouw router een VPN verbinding wil opzetten naar buiten. Wat jij wil is het omgekeerde, en dat moet gewoon door een correcte portforwarding kunnen ...

Als Telenet eens zou implementeren hoe sommige andere (buitenlandse) kabelaars dit probleem oplossen: gewoon de gebruiker (on-line) de mogelijkheid geven om met één simpele muisklik, de "bridge mode" in te schakelen. Dan heb je dit gedoe (DMZ, portforwarding) allemaal niet nodig: jouw eigen router krijgt een extern IP.

[Steve]

Bedankt voor alle reacties, fijn dat jullie zo actief meedenken!

• Je hebt wel een netwerk met dubbele NAT, dat is altijd moeilijk voor inkomende verbindingen. Ik zou toch eens je Synology direct aan de Telenet router hangen. Natuurlijk wat extra werk om een en ander opnieuw in te stellen, maar het sluit toch één variable uit. Als dat lukt is het probleem bij de D-Link ...
• WAt je misschien nog niet hebt geprobeerd, is een PC aan de Telenet router hangen, en van hieruit proberen (dan zit je aan de "WAN" kant van de D-Link). Als dat lukt is het probleem bij de TN router ...

Zal inderdaad ASAP proberen om zowel de Synology als een pc rechtstreeks aan de Telenet-router te hangen (zowel met portforwarding als in de DMZ) en zien wat dat geeft.

• Ook eens wat spelen met UPnP aan/uitzetten op de verschillende tussenliggende routers. In principe zou ik zeggen UPnP uit, gezien je alles manueel forwardt?

Goede suggestie, heb het geprobeerd (aan uit beide, uit op beide, en combinatie aan/uit op beide), maar heeft helaas geen enkel verschil gemaakt.

• Last but not least: VPN passtrough heeft hier - denk ik - niets mee te maken. Dat moet je instellen als je van achter jouw router een VPN verbinding wil opzetten naar buiten. Wat jij wil is het omgekeerde, en dat moet gewoon door een correcte portforwarding kunnen ...

Niet helemaal zeker of het er niets mee te maken heeft, maar het staat sowieso aan dus de poort zou open moeten staan. Heb het voor de zekerheid ook eens uitgeschakeld (een mens moet iets proberen), maar ook dat maakt geen verschil.

Als Telenet eens zou implementeren hoe sommige andere (buitenlandse) kabelaars dit probleem oplossen: gewoon de gebruiker (on-line) de mogelijkheid geven om met één simpele muisklik, de "bridge mode" in te schakelen. Dan heb je dit gedoe (DMZ, portforwarding) allemaal niet nodig: jouw eigen router krijgt een extern IP.

Volledig akkoord! Het maakt de zaken nu altijd bijzonder ingewikkeld. Zeer vervelend is bijvoorbeeld dat je je eigen router een statisch IP moet geven (kwestie van 'm in de DMZ van de Telenet-router te kunnen zetten), maar dat betekent ook dat je je DNS-servers handmatig moet configureren, wat niet echt een duurzame oplossing is. De gateway (IP van de Telenet-router) als DNS-server instellen werkt niet.

[philippe_d]

Zal inderdaad ASAP proberen om zowel de Synology als een pc rechtstreeks aan de Telenet-router te hangen (zowel met portforwarding als in de DMZ) en zien wat dat geeft.

Wat ik bedoelde:
Synology laten staan op de TP-link (aan de LAN kant dus), en een PC op je Telenet router (= aan de WAN kant van de TP-Link).

Zeer vervelend is bijvoorbeeld dat je je eigen router een statisch IP moet geven (kwestie van 'm in de DMZ van de Telenet-router te kunnen zetten), maar dat betekent ook dat je je DNS-servers handmatig moet configureren, wat niet echt een duurzame oplossing is.

Dat begrijp ik niet. Als je de WAN kant van je eigen router een IP adres geeft in de range van de Telenet router (192.168.0.X), en als standard gateway en DNS 192.168.0.1 instelt, moet het toch werken?
Ben je wel zeker dat je eigen router als router ingesteld staat? Check eens volgende IP adressen:

• - het WAN IP van de TP-Link
  - het LAN IP van de TP-Link
  - het IP van de Synology?

[Steve]

Zeer vervelend is bijvoorbeeld dat je je eigen router een statisch IP moet geven (kwestie van 'm in de DMZ van de Telenet-router te kunnen zetten), maar dat betekent ook dat je je DNS-servers handmatig moet configureren, wat niet echt een duurzame oplossing is.

Dat begrijp ik niet. Als je de WAN kant van je eigen router een IP adres geeft in de range van de Telenet router (192.168.0.X), en als standard gateway en DNS 192.168.0.1 instelt, moet het toch werken?
Ben je wel zeker dat je eigen router als router ingesteld staat? Check eens volgende IP adressen:

• - het WAN IP van de TP-Link
  - het LAN IP van de TP-Link
  - het IP van de Synology?

Concreet is er dus de Telenet-modem/router met alle firewall-mogelijkheden uitgeschakeld, IP 192.168.A.1 ; in de DMZ is IP 192.168.A.B ingesteld ; m'n eigen router heeft dat adres 192.168.A.B als statisch WAN-IP en 192.168.A.1 (= Telenet-modem) als gateway ; en achter de router zit m'n eigenlijke LAN met IP-range 192.168.C.D. De Synology heeft een adres binnen die range.

Als ik 192.168.A.1 als DNS ingeef op m'n router, werkt het niet, enkel met de daadwerkelijke adressen van de Telenet-DNS-servers (195.130.130.x) werkt het. Op m'n vorige router was het trouwens precies hetzelfde.

(exacte nummers vervangen door letters uit veiligheidsoverwegingen, maar je snapt het principe)

[ubremoved_539]

Als ik 192.168.A.1 als DNS ingeef op m'n router, werkt het niet, enkel met de daadwerkelijke adressen van de Telenet-DNS-servers (195.130.130.x) werkt het.

Dan heeft de TN HGW in DMZ geen DNS relay.

(exacte nummers vervangen door letters uit veiligheidsoverwegingen, maar je snapt het principe)

Beetje paranoia... 192.168.x.x is een private adres range en niet routable over internet.

[Steve]

Dan heeft de TN HGW in DMZ geen DNS relay.

Vermoed ik ook (al weet ik niet of anderen dit ook hebben)... alvast niets wat ingesteld kan worden in crappy interface in Mijn Telenet, en zonder die DMZ wordt het helemaal een soep (temeer daar je slechts 10 poorten kunt forwarden via de Telenet-HGW).

Beetje paranoia... 192.168.x.x is een private adres range en niet routable over internet.

Akkoord, maar in combinatie met de WAN-IP (die nu niet zo moeilijk te achterhalen is) wordt het al een andere zaak. Better safe than sorry als je ziet wat er tegenwoordig allemaal aan de gang is, temeer daar de precieze nummers echt niet van belang zijn in deze discussie.

Enfin, beide zaken staan nu wel los van het kernprobleem dat de niet-werkende VPN-connectie is.

[ubremoved_539]

Akkoord, maar in combinatie met de WAN-IP (die nu niet zo moeilijk te achterhalen is) wordt het al een andere zaak.

Security by obscurity werkt niet... en je IP-adressen niet vertellen is wel echt zwak (kan je zo zien in je arp tabel).

[ITnetadmin]

Wel, security through obscurity werkt niet als het je enige security is. Maar als laatste laagje helpt dat wel. Je gaat toch ook niet alle details van je beveiliging, badge systemen, uren en wissels van de wacht, etc... online plaatsen

In dit geval heeft het niet veel zin. Desnoods voer je andere cijfers in in de derde block, dat leest makkelijker en niemand ziet het verschil

[ Post made via mobile device ]

[StarWing]

Heb je al eens nen telnet gedaan van remote => syno ? Zo kan je tenminste testen of de poorten openstaan.
Ik heb hier ongeveer dezelfde opzet, maar dan enkel met de HGW. Ook een syno, met PPTP.

[Steve]

Heb je al eens nen telnet gedaan van remote => syno ? Zo kan je tenminste testen of de poorten openstaan.
Ik heb hier ongeveer dezelfde opzet, maar dan enkel met de HGW. Ook een syno, met PPTP.

Een telnet naar de externe poort die doorverwijst naar poort 1723 op de Syno, dat wel... en dat werkt prima, staat open. Of bedoelde je iets anders?

[StarWing]

Vanop lokatie een telnet naar de pptp poort op je syno.
Zou hetzelfde effect moeten geven als dat je dit lokaal doet.

[Steve]

Ja, dat was het dus (Telnet vanaf externe locatie naar de poort die dan doorverwijst naar poort 1723 op de Syno)... maar die staat open volgens Telnet.

[tb0ne]

Probeer eens met een linux pptp client, vaak haal je daar veel betere debug info uit...
http://pptpclient.sourceforge.net/howto-diagnosis.phtml

[bolleke64]

Waarom hou je het niet simpel.

weg met die HWG en een modem only, verder een Router met ingebouwde VPN dan ben je ineens klaar,

ben je buitenshuis (openbaar internet met beperkingen) dan kun je met vpn in/via je eigen netwerk op internet zonder beperkingen.

je kan zo ook 2 of meer netwerken aan elkaar koppelen, zonder daar pc te moeten configgen, of andere apparatuur te configgen die dan helemaal niet kunnen, zoals TV toestellen BV, ik stream (forced) zo een content via het internet op een andere TV, aan de andere kant moeten ze alleen even op ok te drukken en die word gestart, zo simpel kan het zijn. zoals ik via internet rechtstreeks kan printen bij de klant kan ik dat ook op zijn TV, dvb-t/s ontvangers domotica en dergelijke,
copieer een content van de ene dvb-t/s ontvanger naar een andere, (waarom doe je zoiets? omdat astra2 in zuid Spanje een probleem is (schotel min 5m) om te ontvangen) dus gaan opnames van België naar Spanje, en Spaanse tdt opnames naar dvb-t/s ontvanger in België. alles via VPN in de routers, niet op pc's.

[ubremoved_539]

Waarom hou je het niet simpel.

Simpel is deels subjectief... een HGW is namelijk simpel voor de overgrote meerderheid.

Het is dus aan de persoon zelf om te beslissen wat hij wil... en daar ook de gevolgen van te dragen.

[bolleke64]

Modbreak:
OFF TOPIC

....

die HGW word je opgedrongen, valt niks te kiezen, heb dat genoeg mee gemaakt, als er alsnog een modem-only moest komen, zegt de klant, daar hebben ze mij niets over gezegd, en nu moet ik 75 eur betalen omdat ik dat nodig heb.


Alleen als je zelf blijft aandringen dan krijg je een modem only.

[krisken]

Modbreak:
OFF TOPIC

..


Zever, Gezever!

Ik heb zelf al tal van installs (laten) plaatsen en telkens ik vroeg om bij de klant zelf een modem only te plaatsen, kreeg hij die. Zelfs een technicus die er geen meer had liggen in de camionette heeft alles geïnstalleerd en kwam 's avonds terug met de modem.

Vroeger was het anders, maar de voorbije 2 jaar is een modem only geen enkel probleem. Het is een kwestie van beleefd vragen en desnoods kordaat weigeren als ze afkomen met de HGW.

[philippe_d]

NOG EENS
STOP AUB DE DISCUSSIE MODEM VERSUS HGW
DIT HELPT HET PROBLEEM VAN DE TS NIET
ALLES WORDT VERWIJDERD ALS OFF-TOPIC

[krisken]

Caps zijn niet nodig Philippe, en volgens mij zelfs tegen de gedragsregels...

Ik wou gewoon de (héél oude) veronderstelling de wereld uit helpen dat wat eerst werd gezegd geen oplossing is. En dat is iets dat best mag geweten worden, voor we nog meer posts met deze leugen zien.

[bolleke64]

Heb je al geprobeerd zonder vpn je nas publiek te krijgen.

Ik heb er vanavond nog een geconfigd, maar zonder VPN dat was ook niet gevraagd.

hgw in dmz naar router, virtual server portfwd gegeven.
ping request aan

en dan werkt dat,

zonder wan ping request werkt het dus niet. De router blocked al voor dat die aan de portforwarding toe komt!!!
firewall mag aanblijven

dus voor VPN ook nodig

[ubremoved_539]

Heb je al geprobeerd zonder vpn je nas publiek te krijgen.

Niet komen wenen nadien als je zoiets als Synolocker binnen krijgt hé !

Ik heb er vanavond nog een geconfigd, maar zonder VPN dat was ook niet gevraagd.

Dat jij onveilig setups installeerd is jou keuze... ik doe dat niet en zal de mensen ook uitleggen waarom ik dat niet doe.

[selder]

Ja, dat is inderdaad wel het slechtste wat je kan doen, een apparaat rechstreeks met een publiek IP adres aan het internet hangen - zelfs al is het maar om te troubleshooten.

[bolleke64]

Je moet ergens beginnen,

dus dat publiek zetten is niet zo'n probleem.

als dat werkt dan je verder sleutelen aan je VPN.

Ik adviseer alleen maar, en doe wat er gevraagd word. De persoon is geïnformeerd en het is aan hem zelf wat hij ermee wil. BTW er hebben er veel aan meegeholpen hem te helpen via zijn draadje niet aan te dringen op VPN en waarom. Nu diezelfde helpers vinden het nu ineens onveilig, bizar

En als we het dan over veiligheid hebben, net zoals de discussie over de HGW 90 % het gross is daar mee gesteld .
dan is voor 90% ook geen VPN noodzakelijk, diezelfde 90% is wel op een of andere manier bezig met onveilig surfen, gewoon omdat die onvoldoende geïnformeerd is wat de gevaren van internet zijn.

Ze zien een kruisje en denken dat het is om af te sluiten maar openen juist een hyperlink en voila weer een virusje binnen, een virus scanner hebben ze meestal wel (voor bestanden alleen) niet om te surfen of voor mail, als ja daar over spreekt "ik wist dat niet, ik dacht heb een virus scanner dus ben ik veilig bezig"

of je nu de voordeur of achterdeur open laat als je niet thuis bent, dat is vragen kom maar binnen.

Dus wat is onveilig???????????????????? Mensen op internet laten zonder dat ze kennis van zaken hebben, dat geeft problemen, denk bv aan een HOAX dit zou niet bestaan als mensen weten wat het is, dus doorsturen aan al vrienden, want al je vrienden MOETEN dit weten.

De meeste miserie komt juist van je eigen onwetende familie/vrienden! Laat iedereen gewaarschuwd zijn. Op facebook gaat er ook weer een virus rond, verschillende vrienden hebben al prijs gehad. tja wat doe je eraan, internet security en mijn kids en vrouw waarschuwen niets open te klikken.

[Steve]

Kleine update...

Ik heb eindelijk wat tijd gevonden om dit nog grondiger te bekijken en nota bene de laatste stap van de troubleshooting te doorlopen, zoals hierboven gesuggereerd (lang vóór de hele HGW- en vervolgens veiligheidsdiscussie waarin het topic ontaard is ): de Synology eens rechtstreeks aan de TN-modem hangen, hem daarbij in de DMZ zettend en voor alle zekerheid ook alle poorten forwardend.

Blijkt het nog niet te werken... maar merk ik tegelijkertijd ook op dat de TN-modem ook kuren vertoont bij het spelen met de settings om het werkend te krijgen. De aangepaste LAN-subnet niet correct willen onthouden (het staat er als X, maar hij kent toch een IP in de range Y toe), de veranderde DMZ niet willen onthouden en meer van dat soort toeren. Meerdere resets gedaan maar zonder resultaat. Best vreemd, want verder nooit problemen met de modem ondervonden (ook niet bij het eerder spelen met die settings), en alle andere externe benaderingen naar m'n thuisnetwerk werkten steeds prima, met uitzondering van VPN dus.

De modem dus omgeruild bij Telenet en ra ra ra: met de nieuwe werkt het perfect. De gebruikelijke opstelling opnieuw van kracht (alle routerfuncties op de HGW desactiveren, m'n eigen router in de DMZ en daar alles instellen) en VPN via PPTP werkt prima. Via L2TP/IPsec niet, maar dat heeft wellicht te maken met de (bij TN geblokkeerde) poort 500 die daarbij komt kijken.

Voor wie het interesseert: beide modems worden door Telenet als "HGW 3.0" aangeduid, maar de "oude" was een Ubee (EVW322E volgens de bestandsnaam van de afbeeldingen hier, diegene met het gele TN-logo) en de "nieuwe" een Motorola SVG6540E.