VPN verbinding met Synology NAS lukt niet

pmortier · ‎23-02-2024

Hoy,

ik heb een Synology NAS DS920+ (DSM 7.2.1) welke ik van buitenaf wil benaderen via VPN om op die manier een 'map network drive' te kunnen doen vanuit Windows.

Op de NAS heb ik de VPN Server geïnstalleerd en gekozen voor L2TP/IPSec met volgende instellingen:

Op de telenet router (Docsis 3.1 Wifi6 - F@st3896LG-TN) heb ik de nodige poorten voor L2TP/IPSec geforward naar mijn NAS:

Voor het benaderen van mijn router gebruik ik DDNS (duckdns) om het extern IP-adres te verkrijgen.

Wanneer ik nu een externe connectie wil maken krijg ik steeds de fout

Wanneer ik met Wireshark naar de berichten kijk dan zie ik dat er met een interne VPN verbinding (welke wel lukt) er 6 berichten op poort 500 over en weer gaan voor de key exchange terwijl er bij een externe VPN verbinding er slechts 4 berichten over en weer gaan:

ip router -> ip nas
ip nas -> ip router
ip router -> ip nas
ip nas -> ip router

.....
ip nas -> ip router
ip nas -> ip router

Waarna na enige tijd de nas nogmaals zijn laatste bericht doorstuurt om uiteindelijk via time-out de verbinding te verbreken.

Is er iemand bij wie dit wel al gelukt is met L2TP/IPsec?

Ik heb ook een poging gedaan met OpenVPN maar ook hier krijg ik geen externe verbinding.

Alvast bedankt voor mogelijke suggesties!

Peter

Snarie · ‎23-02-2024

Je Synology krijgt een intern IP adres van je Telenet modem via NAT.

Om ipsec via NAT op te zetten moet je aan 4 voorwaarden voldoen. (zie verder)

Voorwaarde 3 en 4 zijn niet instelbaar bij de Telenet modem.

Hier gebruik ik IPSEC via een Draytek router die publiek IP krijgt via de Bridging optie op de Telenet modem CV8560E.

IPsec NAT-Traversal

NAT-T (NAT traversal or UDP encapsulation) makes sure that IPsec VPN connections stay open when traffic goes through gateways or devices that use NAT.

When an IP packet passes through a network address translator device, it is changed in a way that is not compatible with IPsec. To protect the original IPsec encoded packet, NAT traversal encapsulates it with an additional layer of UDP and IP headers.

For IPsec to work with NAT traversal, these protocols must be allowed through the NAT interface(s):

IKE - UDP port 500
IPsec NAT-T - UDP port 4500
Encapsulating Security Payload (ESP) - IP protocol number 50
Authentication Header (AH) - IP protocol number 51

Bron: https://sc1.checkpoint.com/documents/R80.30/WebAdminGuides/EN/CP_R80.30_SitetoSiteVPN_AdminGuide/htm...

Arnie · ‎23-02-2024

Ik gebruik achter mijn HGW een Fritzbox, die als IPsec VPN server ingesteld is. Deze router (Fritzbox) is niet ingesteld via de "bridging" (MAC passthrough) functie van de HGW. De externe bereikbaarheid is gewoon via port-forwarding: 500/udp en 4500/udp

Ik kan je afbeeldingen (nog) niet zien, maar heb je inderdaad de port-forwarding juist ingesteld?

   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.

Ex-Netweter · ‎23-02-2024

Een modemwissel of providerwissel zijn de enige twee mogelijke oplossingen voor je probleem. Met de F@st3896LG-TN gaat het niet lukken.

Bij Telenet kan je je huidige modem omwisselen naar de Telenet CV8560E (modem zonder Wifi die bridge-mode ondersteunt).
Je configureert de Telenet CV8560E dan in bridge-mode (MAC pass-through) voor gebruik met een eigen router die L2TP/IPSec pass-through ondersteunt.

Arnie · ‎23-02-2024

Zoals ik schreef, je hebt geen bridge-mode (MAC pass-through) nodig om een IPsec server achter je HGW werkend te krijgen.

Mocht het echter niet lukken, kun je ook de OpenVPN server van de NAS gebruiken als alternatief. In dat geval moet je udp port 1194 port-forwarden.

   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.

Ex-Netweter · ‎24-02-2024

Ik schrijf F@st3896LG-TN, jij schrijft HGW zonder te specifiëren welk model en dat zorgt voor verwarring.

De vraag van de topicstarter is L2TP op de F@st3896LG-TN.

Een reactie zoals "bij mij werkt het wel" op toestel X is niet echt een nuttige bijdrage.

Kan je misschien eens uitleggen hoe je L2TP op de F@st3896LG-TN werkend krijgt? Ik hoor telkens opnieuw dat L2TP met dat model mislukt.

pmortier · ‎25-02-2024

Als ik het goed begrijp gaat het met mijn huidige modem ( F@st3896LG-TN) nooit lukken?

Wanneer ik een vast IP adres zou vragen aan Telenet, dan zal dit dus ook geen soelaas brengen.

Ik heb ook nog mijn vorige modem liggen (CH6643E). Is dit een optie?

Ex-Netweter · ‎26-02-2024

Telenet biedt geen ondersteuning op de "geavanceerde instellingen" via MyTelenet. Er is geen handleiding, geen FAQ, klantendienst weigert hulp, etc...

Op de F@st3896LG-TN is er bovendien geen bridge-mode beschikbaar en er zitten verschillende bugs in de "geavanceerde instellingen" waarvan sommige al meer dan een jaar aanslepen. Sommige functionaliteit zoals port forwarding werkt in bepaalde gevallen niet correct.

Kan een L2TP VPN werken op de F@st3896LG-TN? Heel misschien wel, maar er zijn me geen succesverhalen bekend en Telenet biedt geen ondersteuning.
Op eigen houtje kan je natuurlijk alles uitproberen. Maar daar kan je heel veel tijd mee verspillen.

Op een vorige modem werkt het misschien wel, maar die moet dan opnieuw door de Telenet-klantendienst geactiveerd worden om toegang te krijgen tot het Telenet-netwerk. Een oudere EuroDOCSIS 3.0-modem ondersteunt ook de snelheid van 1 Gbps op het Telenet-netwerk niet meer.

Mijn advies is je huidige modem om te wisselen naar de Telenet CV8560E omdat dit de enige Telenet-modem is die bridge-mode (MAC pass-through) ondersteunt.
Als dan blijkt dat je een bepaalde toepassing zoals een L2TP VPN niet werkend krijgt met de beperkte instellingen op MyTelenet, kan je nog steeds bridge-mode inschakelen en een eigen router gebruiken waarmee je L2TP VPN wel functioneert.

WG94 · ‎26-02-2024

@pmortier schreef:
Ik heb ook nog mijn vorige modem liggen (CH6643E). Is dit een optie?

Dit is een heel oud model dat momenteel uitgefaseerd wordt. Terwijl het dus mogelijk wel werkt, is het maar een tijdelijke oplossing aangezien je dit model binnen afzienbare tijd gaat moeten wisselen. (Daarnaast is de snelheid op dat model bepekt)

@pmortier schreef:
Wanneer ik een vast IP adres zou vragen aan Telenet, dan zal dit dus ook geen soelaas brengen.

Heeft weinig te maken met een vast IP-adres inderdaad. Geen idee wat voor klant je bent; maar houd er rekening mee dat een vast IP enkel beschikbaar is voor Business klanten (particulieren kunnen tegenwoordig geen Business abonnementen meer afnemen).

  WG94 | Krak
  Mistakes are proof that you are trying
  Vergeet niet om likes te geven en/of als oplossing te markeren.

41226 netweters	17788 gesprekken
19216 vragen	6002 oplossingen