vpn server en wan ddns

bartman · 07 aug 2014, 17:57

de router is via wanpoort verbonden met de telenetrouter
wan ip is 192.168.0.170
alle local ip(s beginnen met 192.168.1.

als ik vpn server op deze router wil inschakelen staat er
The wireless router currently uses a private WAN IP address (192.168.x.x, 10,x,x,x, or 172.16.x.x). Please configure DDNS service before starting the VPN server.

bij de ddns settings staat er dan
The wireless router currently uses a private WAN IP address (192.168.x.x, 10,x,x,x, or 172.16.x.x).
This router may be in the multiple-NAT environment and DDNS service cannot work in this environment.

betekent dit dat bij de internet connection settings ik "Enable NAT" moet wijzigen van Yes in No?

en wat met NAT passtrought? daar staan alle instellingen op enable, uitgezonderd PPPoE Relay die op disable staat (aan die settings ben ik nog nooit gekomen)

FunkStar · 07 aug 2014, 17:59

Omdat "192.168.0.170" geen WAN IP is.

Staat je router op "auto DHCP" en niet op static? Als deze op static staat zal je van telenet geen WAN IP krijgen.

bartman · 07 aug 2014, 18:15

Wan connection type is er keuze tussen static ip / automatic IP / PPPoE / PPTP en L2TP.
Het staat nu op automatic IP

FunkStar · 07 aug 2014, 18:43

Kabel van Telenet router naar de WAN-poort van je persoonlijke router.
Connection type moet "automatic IP" zijn.

Wat krijg je dan?

Niet vergeten wanneer je dan effectief een WAN-IP hebt je best een dynamic dns service zal gebruiken, behalve als je de optie "vast-ip" hebt wat hoogstwaarschijnlijk niet het geval is.

PS: Post anders een een screenshot van je router configuratie pagina.

Petervanakelyen · 07 aug 2014, 18:51

FunkStar, zijn router krijgt wel degelijk een WAN IP, in het 192.168.0.0/24 subnet.
Het probleem is dat het ding een publiek IP-adres verwacht, wat natuurlijk niet gaat lukken als je achter een all-in-one zit.

bartman · 07 aug 2014, 20:06

hoe plaats ik hier een screenshot van die webpagina van de router?

moet ik iets veranderen aan de instellingen bij mijn telenet?

dit zijn de huidige telenet settings
DMZ adres : 192.168.0.177 (die 177 kan precies veranderd worden) Deze ip nummer is nog dezelfde als toen ik nog met mijn oudere router zat
LAN configuratie
Lan subnet: 192.168.0.1. Hier kan ik de nul veranderen

WAN configuratie
IP adres: 94.225.199.43
GEBRUIKERS (TOESTELLEN) DIE VERBONDEN ZIJN
E0:3F:49:F2:48:78 IPv4: 192.168.0.170
Naam van toestel (host name): *
Verbonden via: Netwerkkabel (RJ45)

07 aug 2014, 20:12

Je router geeft duidelijk aan dat zijn ddns service niet werkt als hij met een private wan ip werkt.
Omdat hij wss gewoon dat ip adres doorgeeft aan de ddns service.
Hij kan dus enkel werken als je een public wan ip krijgt, en dat ga je nooit kunnen krijgen achter een hgw, enkel achter een modem only van telenet.

[ Afbeelding

Post made via mobile device ]

bartman · 07 aug 2014, 20:20

dus is de oplossing aan telenet een modem only vragen of een andere router waarbij het wel gaat?

bartman · 09 aug 2014, 18:38

Kan iemand zeggen of dit dz' wel lukt als ik ddwrt op de router zet?

Verstuurd vanaf mijn Nexus 5 met Tapatalk

09 aug 2014, 19:47

Er zijn naar mijn weten weinig of geen routers die een ddns service kunnen verzorgen als ze zelf op hun wan poort geen extern ip krijgen. Hun software gaat daarvan uit. Je kan natuurlijk een raspberry pi gebruiken, die hebben daar geloof ik wel distro's voor. Of je kan idd een modemonly gaan halen, maar als je al een hgw hebt kan dit tot 75€ kosten voor de ruil.

[ Afbeelding

Post made via mobile device ]

Petervanakelyen · 09 aug 2014, 19:49

DD-WRT kan dat in elk geval wel

ubremoved_2964 · 14 aug 2014, 01:59

home gateway troep buitengooien en modem only vragen

ubremoved_539 · 14 aug 2014, 11:04

ITnetadmin schreef:Er zijn naar mijn weten weinig of geen routers die een ddns service kunnen verzorgen als ze zelf op hun wan poort geen extern ip krijgen. Hun software gaat daarvan uit.

Er is nochtans geen enkele reden waarom een DDNS client z'n public IP-adres moet weten... de DDNS server ziet zelf wel van waar het request komt.

bartman · 14 aug 2014, 13:16

Maar kan ik nu een vpn server activeren op mijn router.als die al achter een Telenet modemrouter hangt of gaat dat niet tenzij ik een router koop die fat wel kan of een Telenet modem only plaats.

Verstuurd vanaf mijn Nexus 5 met Tapatalk

ubremoved_539 · 14 aug 2014, 13:55

bartman schreef:Maar kan ik nu een vpn server activeren op mijn router.als die al achter een Telenet modemrouter hangt

Is vermoedelijk afhankelijk van je VPN server.

bartman schreef:of gaat dat niet tenzij ik een router koop die fat wel kan

Ik heb geen HGW... kan het dus niet voor je testen... misschien andere mensen hier ?

bartman schreef:of een Telenet modem only plaats.

Daar heb je inderdaad het minste beperkingen... maar ook de grootste verantwoordelijkheid en een aantal beperkingen (oa. bij gebruik van Digitale TV). Sommige roepen nogal snel om een modem-only te nemen, maar ik blijf erbij dat dit een bewuste keuze moet zijn waarbij je ten volle begrijpt wat de consequenties ervan zijn !

bartman · 14 aug 2014, 14:39

Ik zou graag bijv vanaf een externe toegang aan mijn bestanden, apparaten kunnen, moet dit dan via een vpn server of is dit portforwarding gebruiken op eigen router en of telenetmodemrouter,

14 aug 2014, 14:42

r2504 schreef: Er is nochtans geen enkele reden waarom een DDNS client z'n public IP-adres moet weten... de DDNS server ziet zelf wel van waar het request komt.

Ik denk dat je dit verkeerd hebt.
Hoewel een DDNS server ziet van waar het request komt, houdt hij daar géén rekening mee. Het is de DDNS client die opgeeft wek IP aan welke DDNS naam gekoppeld moet worden. Ik kan vanop IP A toch ook een request sturen naar de DDNS server om de naam te updaten met het IP van lokatie B ....

Er bestaan wel clients (voorbeeld op PC) die ervoor zorgen dat ze het publiek adres doorgeven. Maar clients op een router geven meestal het WAN IP van de betreffende router door.

bartman schreef:Maar kan ik nu een vpn server activeren op mijn router, als die al achter een Telenet modemrouter hangt of gaat dat niet tenzij ik een router koop die fat wel kan of een Telenet modem only plaats.

Waarom zou dat niet kunnen?
Gewoon in "Mijn Telenet" de poort(en) waarop je VPN luistert (voorbeeld 1723), openzetten naar je router?
Of je router in DMZ zetten?

PS. In je screenshot staat je router op 192.168.0.170, maar DMZ verwijst naar 192.168.0.177? Is hiervoor een reden?

bartman schreef:Ik zou graag bijv vanaf een externe toegang aan mijn bestanden, apparaten kunnen, moet dit dan via een vpn server of is dit portforwarding gebruiken op eigen router en of telenetmodemrouter,

Dat moet niet, maar het is de enige veilige manier!

ubremoved_539 · 14 aug 2014, 15:12

philippe_d schreef:Ik denk dat je dit verkeerd hebt.
Hoewel een DDNS server ziet van waar het request komt, houdt hij daar géén rekening mee. Het is de DDNS client die opgeeft wek IP aan welke DDNS naam gekoppeld moet worden. Ik kan vanop IP A toch ook een request sturen naar de DDNS server om de naam te updaten met het IP van lokatie B ....

Je kan inderdaad vanop een ander adres je DDNS settings beheren... maar voor de normale clients op routers, NAS'sen, of wat dan ook is dat in 99% van de gevallen totaal niet nodig. Het is dus gewoon een kwestie van een goede implementatie te voorzien.

14 aug 2014, 15:48

Oh absoluut, het zit hem in de gebrekkige implementatie. Maar het is wel zo in het merendeel van de routers. Enkel het eigen wan ip; en daar sta je dan als je een hgw hebt.

[ Afbeelding

Post made via mobile device ]

14 aug 2014, 16:43

r2504 schreef: Je kan inderdaad vanop een ander adres je DDNS settings beheren... maar voor de normale clients op routers, NAS'sen, of wat dan ook is dat in 99% van de gevallen totaal niet nodig.

Dat is de theorie, maar de praktijk leert toch dat het anders is.
Dus jij beweert dat bij 99% van de routers wel je extern IP meegestuurd wordt? Heb je enkele voorbeelden van zo'n routers?

bartman · 14 aug 2014, 17:55

philippe_d schreef:PS. In je screenshot staat je router op 192.168.0.170, maar DMZ verwijst naar 192.168.0.177? Is hiervoor een reden?

euh de mijn telenet instelling heb ik ongewijzigd gelaten bij de vervanging van de eigen router. vroger had mijn router het lanip 10.0.0.1 en al de andere lan connecties begonnen ook met 10.0.0.XX
is het beter van die 192,168,0,177 te veranderen in 192,168,0,170?

ubremoved_539 · 14 aug 2014, 23:45

Het gaat hier niet over het LAN IP van je eigen router... maar z'n WAN IP adres (wat natuurlijk moet overstemmen met wat in je DMZ setting van Mijn Telenet staat).

bartman · 14 aug 2014, 23:57

Ik heb op mijn.telenet het wan ip veranderd in 192.168.0.170. Moet ik nu in ergens een verschil merken?

ubremoved_539 · 17 aug 2014, 23:24

Niet echt voor je VPN probleem... ook in je DMZ heb je nog dubbele NAT.

De aanpassing is gewoon om je PC effectief in de DMZ te hebben... wat precies jou bedoeling was.

bartman · 18 aug 2014, 10:45

OK maar ik zou thuis een IP camera willen plaatsen en volgens mij moet het mogelijk zijn om hier op in te loggen en de beelden te bekijken of log je eerder in op het apparaat waar de beelden worden opgeslagen? Moet ik hiervoor dan een von server instellen op mijn router of op mijn synology Nas?

Verstuurd vanaf mijn Nexus 5 met Tapatalk

ubremoved_539 · 18 aug 2014, 11:46

De gouden regel is eigenlijk niets extern beschikbaar maken (hoe meer poorten je open zet hoe meer risico je loopt... denk maar recent aan het Synolocker virus !) maar alles via een VPN opstarten.

bartman · 18 aug 2014, 12:19

is dat dan een vpn server instellen in mijn thuisnetwerk en een vpn client op een apparaat (pc/smartphone) waarmee ik inlog op de vpn server?

ubremoved_539 · 18 aug 2014, 16:10

Inderdaad... en op dat moment is het alsof jij met je client gewoon thuis op je netwerk zit.

bartman · 18 aug 2014, 17:08

wat ik tot nu toe heb geprobeerd
in het configuratiesscherm van de synology vpn server (openvpn gekozen) geactiveerd en de ip range is 192.168.0.0 tot 192.168.0.255 . is dit al correct?
in het synology configuratiecherm kies ik voor routerconfiguratie en selecteer mijn router uit de lijst. ik kies de optie "probeer de router automatisch in te stellen" hierna doorloopt hij een aantal testen waar hij allemaal in slaagt, behalve voor de laatste "regels voor poort doorsturen testen). Daar failed hij.

op mijn router heb ik onder wan -> Virtual server/port forwarding enable portforwarding op yes gezet. Iets verder op dat blad staat Port forwarding list. Deze staat leeg maar kan blijkbaar slechts 2 devices selecteren via het pijltje achter local ip. Deze zijn de synology nas en mijn imac die via utp verbonden is met deze router. Waarom niet ook de andere apparaten die eveneens verbonden zijn met utp aan deze router? Kies ik voor de synology nas uit het lijstje en klik op apply, blijkt dat de router deze niet wil opnemen. ik had dit eerst getest zonder iets te veranderen aan de telenet home gateway router. Ook nadat ik op de telenetrouter het ip adres 192,168,0,0 had aangeduid als te forwarden met port 1194 udp (deze poort zou ik moeten kiezen blijkbaar)

18 aug 2014, 19:08

oei oei wat een verwarrende uitleg ....

Wat jij probeert te doen is dus:

de VPN server op je Synologie te activeren.
de nodige portforwardings in te stellen.

IP ranges:
- Je Telenet router zit dus op 192.168.0.1
- Je eigen router, achter de Telenet Home gateway zit op 192.168.0.170 (WAN) en staat in DMZ op je Telenet HGW.
- Het LAN adres van je eigen router is 192.168.1.1
- De PC's op je lokaal netwerk, alsook jouw Synologie NAS hebben dus een 192.168.1.xx adres, juist?

Wat moet je dan volgens mij doen:

VPN instellen op je Synologie. Hierbij moeten de VPN clients een adres krijgen in de range 192.168.1.xx (en liefst buiten de DHCP range van jouw router). Ik zou dus zeggen: ip range is 192.168.1.200 tot 192.168.1.210 (bijvoorbeeld)
Op je eigen router de VPN poorten openzetten naar de Synologie (standard UDP 1194)
Op de Telenet HGW, de VPN poorten openzetten naar de router (UDP > 192.168.0.170). Dit laatste kan vervallen gezien jouw router in DMZ staat.

bartman · 18 aug 2014, 21:52

vreesde al dat het wat verwarrend overkomt
ik wil vpn maar niet om aan alle apparaten binnen mijn thuisnetwerk te kunnen, enkel en alleen aan mijn nas( en een nog te kopen ipcamera), omdat deze toch blijft constant aanstaan, de andere apparaten zet ik in standby indien niet in gebruik.dus volgens mij moet er geen vpn server op mijn router maar enkel op de synology nas komen.

het klopt dat al mijn bedrade en draadloze apparaten hun ipadres begint met 192.168.1.XX(x) sommige hebben 3 cijfers achteraan, andere slechts 2

zodra ik thuis ben ga ik dit proberen

bartman · 18 aug 2014, 22:53

ik kan helaas op de synologie geen vpn server activeren met als ipadres 192.168.1.0
Het laatste cijfer (de nul) kan zelfs NIET gewijzigd worden

foutmelding: dit ipadres wordt al door een andere vpn server (zou niet weten welke) of netwerkinterface gebruikt. op de instellingen van de eigen router zie ik geen device met dit ipadres (192?168.1.0)

18 aug 2014, 23:07

Ik ga u hetzelfde zeggen dat ik alle netwerkbeheerders vertel als ik hun netwerk zie:
"Blijf in godsnaam weg van de ranges 192.168.x.y waar x waarde 0 of 1 heeft, want dat is gewoon vragen om collisions. En als het een beetje kan zet je die x gewoon in een waarde groter dan 10, dan vermijd je alle mogelijke autoconfig IPs."

[ Afbeelding

Post made via mobile device ]

bartman · 18 aug 2014, 23:45

maar telenet laat voor portforwarding enkel ipadressen toe die beginnen met 192.168.0.X of heeft dit er niets mee te maken

rednax · 19 aug 2014, 00:59

Omdat je eigen router al in de DMZ staat van de telenet Home Gateway hoef je normaal gezien geen poorten meer te forwarden op de Telenet Home Gateway.

Wat je wel moet doen is poort 1194 forwarden op je eigen router naar het IP van je synology nas.

Vervolgens stel je in op de Open VPN Server dat deze IP-adressen mag uitdelen in een bepaalde range (dit moet bij jou een andere range zijn dan 192.168.0.x en 192.168.1.x om conflicten te voorkomen) vb 10.x.x.0 of 192.168.(waarde>10).0 of 172.16.x.0 tot 172.31.x.0
Deze range zal je synology gebruiken om een IP-adres te kunnen geven aan je clients die verbinden met je VPN server.

Dan kies je hoeveel mensen er gelijktijdig met je VPN mogen verbinden en of je compressie wil of niet.

Als dit alles is ingesteld kan je je configuratie exporteren (let wel op: je moet nog je publieke IP-adres toevoegen aan deze file, staat uitgelegd in de README die je mee download) en deze dan importeren op je Open VPN client die dan weer connectie maakt met je server.
Vanaf dan kan je aan elk apparaat in je thuisnetwerk vanop afstand (met het lokale ip 192.168.1.x).

(Als je vanop je lokale netwerk echter een apparaat wil bereiken dat verbonden is met je VPN server zal je wel een route moeten ingeven op je eigen Router, maar ik denk niet dat dit nodig zal zijn in jouw geval)

edit: class B IP-adres aangepast (was al wat laat gisteren

). ITnetadmin heeft volledig gelijk dat enkel 172.16/12 als private range mag gebruikt worden.

19 aug 2014, 02:34

Effe dat laatste corrigeren:
RFC1918 specifieert enkel 172.16/12 als private range, niet de volledige 172/8 block.
Vertaald: 16 ranges, van 172.16.y.y/16 tot 172.31.y.y/16

Dus samengevat zijn je keuzes voor prive ranges:
1 class A range: 10.y.y.y/8
16 class B ranges: van 172.16.y.y/16 tot 172.31.y.y/16
255 class C ranges: 192.168.x.y/24

Waarbij x een getal tussen 0-255 is en deel uitmaakt van de network range (dus elke x is een apart netwerk), en y een getal tussen 0-255 is dat een toestel aanduidt (en die allen deel van hetzelfde netwerk).

Hoewel de classes officieel naar het schijnt niet meer bestaan, houden veel ITers zich er toch nog aan.

Omdat veel producenten routers maken die default een ip krijgen in de 192.168.0.y/24 en 192.168.1.y/24 range, en die range gaan uitdelen via dhcp, loop je enorm veel kans op conflicten als je je eigen netwerk in die range houdt.
Omwille van meer obscure praktijken (bv hp switches die default in de 192.168.2.y/24 range zitten) is het aangeraden om de ranges tot en met 192.168.10.y/24 niet te gebruiken.
(Het vermijden van de 192.168.10.y/24 range op zich, bv, kan handig zijn, want als je er meerdere hebt, en je ooit tegen een ITer over je "10 netwerk" spreekt, gaat die dat al snel verwarren met de 10.y.y.y/8 range; ik spreek uit ervaring

)

Ik vermijd hierbij de nog iets gecompliceerdere details, zoals het nooit gebruiken van 0 en 255 in de laatste block van je IP range (enfin, technisch enkel het eerste en laatste getal van de hele range, maar tis good practice om ze gewoon helemaal niet te gebruiken)

[ Afbeelding

Post made via mobile device ]

ubremoved_539 · 19 aug 2014, 09:47

bartman schreef:maar telenet laat voor portforwarding enkel ipadressen toe die beginnen met 192.168.0.X of heeft dit er niets mee te maken

Je kan de derde byte (die 0 dus) bij Telenet toch gewoon vrij kiezen ?

bartman · 19 aug 2014, 18:17

@r2504: bij mij alleszins toch niet. Ik kan enkel de laatste cijfers veranderen. Of heb je het over het Lan subnet? Zo ja, inderdaad daar kan de derde byte (nu 0) gewijzigd worden. Nu staat er 192.168.0.1

bolleke64 · 19 aug 2014, 18:39

als je hgw in dmz mode zet en je router ziet een niet public adres (10.x.x.x of 192.x.x.x of 176.x.x.x) , als je dan je ddns wil updaten dan ziet de ddns server het niet public adres, dat adres is van wan zijde niet bereikbaar, wel het publieke adres.

dus als je je publieke adres naar de ddns server kunt updaten na DMZ omzetting is het probleem opgelost, dat gaat dus niet, daarom werkt het ook niet.

als je nu DDNS in HGW zou kunnen instellen en dan DMZ naar je router, dan werkt het wel, maar dat kan dus niet. Telenet wil niet dat je DDNS gebruikt

sorry voor de moderators dus weg met die HGW.

19 aug 2014, 18:44

Je kan niet port forwarden naar een IP dat niet in de range zit van de HGW. Geen static routing dus. Maar je kan wel forwarden naar de WAN IP van je eigen router.

[ Afbeelding

Post made via mobile device ]