bartpoelmans

Level 1
  • 6Posts
  • 1Oplossingen
  • 1Likes

Niet mogelijk om thuis VPN server in DMZ te benaderen

Hallo allemaal,

Ik heb een tijdje terug mijn netwerk geüpgradet en nu wil ik graag een VPN-server hosten bij mij thuis voor een veilige verbinding op openbare netwerken en voor een überhaupt veilige verbinding naar mijn thuis-netwerk.

Opzet van het netwerk is: Ziggo Connectbox - EdgeRouter X - Synology met VPN server

Ziggo Connectbox: DHCP = 192.168.1.1. DMZ is geactiveerd voor 192.68.1.2.

EdgeRouter X: WAN ip = 192.168.1.2. DHCP = 192.168.10.1 voor rest van mijn interne netwerk en eigen firewall.

Synology met VPN server heeft ip 192.168.10.220 (static)

Nu heb ik VPN server geïnstalleerd en geactiveerd op mijn Synology. Dit is L2TP/IPSec. Wanneer ik de VPN-verbinding lokaal in het eigen netwerk test, is alles in orde en correct. Ik kan verbinding maken en ook heb ik toegang naar de daarvoor geautoriseerde services. Echter wanneer ik dit vanuit extern (tel. hotspot) test, wil het maar niet lukken. De clients die ik heb gebruikt als test zijn o.a. mijn laptop welke Windows draait en mijn Android telefoon. PS: De VPN server heb ik express niet op mijn EdgeRouter geactiveerd, zodat niet direct mijn hele netwerk toegankelijk is voor een client.

De benodigde poorten zijn ook opengezet op mijn EgdeRouter X, namelijk protocol UDP voor 1701, 500, 4500. Ik heb ook met protocol TCP getest, maar dit leek niet te helpen. De Synology VPN server geeft ook aan deze specifieke poorten met UDP open te zetten.

Nu vraag ik mij af of de Connectbox de verbinding wel écht doorzet naar mijn EdgeRouter X?! Dat is namelijk wat ik verwacht wanneer ik apparaten in de DMZ plaats. Ik weet dat specifieke poorten worden geblokkeerd door Ziggo zelf, zoals poort 25 (SMTP), maar deze gebruik ik uiteraard niet. De Ziggo Chat heeft mij naar het forum verwezen. Nog een ander belangrijk puntje: Ik heb bewust voor de DMZ-oplossing gekozen, zodat de WiFi-hotspots beschikbaar bijven.

Wat zie ik over het hoofd en wie kan mij helpen met dit probleem, zodat ik mijn interne VPN-server wel kan gebruiken?

Alvast bedankt voor de hulp.

Groeten,

Bart

Oplossing

Geaccepteerde oplossingen
bartpoelmans
Topicstarter
Level 1
  • 6Posts
  • 1Oplossingen
  • 1Likes

Hoi hoi,

Ik heb inmiddels meer onderzoek gedaan naar de opzet en de mogelijkheden en ook de beperkingen en ik heb het inmiddels werkend gekregen.

De volgende stappen uitgevoerd:
CB weer gereset en standaard DHCP van 192.168.178.0/24 laten staan.
ER-X eth0 (WAN) op DHCP geplaatst en een 192.168.178.2 laten uitdelen door CB.
Dit IP-adres in DMZ geplaatst.

Vervolgens op ER-X eerst DNAT regels ingesteld naar een IIS op een pc. Hierbij ook de bijbehorende firewall regels geconfigureerd. Na wat proberen met minimale instellingen dit uiteindelijk werkend gekregen en later ook naar mijn Synology NAS. Ik ben later gezwicht om toch OpenVPN te gebruiken ipv L2TP/IPSec omdat blijkbaar NAT-T nodig is voor doorzetten van het signaal naar een VPN achter een firewall. Dit maakt de verbinding minder veilig volgens o.a. Microsoft. OpenVPN heeft als nadeel dat er aparte client software nodig is maar het bereikbaar maken van de VPN server werd hierdoor ook eenvoudiger.

Eindresultaat is dat ik het werkend heb gekregen met de voorwaarden die ik wilde, namelijk via DMZ van CB. De WiFi verder uitgezet op de CB, zodat deze niet gaat ‘storen’ met eigen geplaatste AP's.

Dit wilde ik nog laten weten en nog bedankt voor het meedenken. Deze vraag kan worden gesloten.

Bekijk in context

10 Reacties 10
efok

Level 17
  • 4014Posts
  • 219Oplossingen
  • 1594Likes

Die poort nummers kloppen wel. Even terug naar de EdgeRouter X. Je kunt hier op verschillende manieren een Port forwarding aanmaken. Je kunt een Port Forwarding doen en automatisch een firewall regel laten toevoegen, onder het tabblad Portforwarding, onder advanced options. Maar je kunt kunt ook onder het kopje NAT handmatig poorten forwarden, en dan moet je onder Firewall policies de toegang nog zelf regelen. Als je dit niet goed doet, heb je misschien wel een poort forwarding ingesteld, maar geen toestemming in de firewall. Kan het zoiets zijn?

Welke firmware heb je op de EdgeRouter? 

bartpoelmans
Topicstarter
Level 1
  • 6Posts
  • 1Oplossingen
  • 1Likes

Volgens mij heb ik versie 1.10 als firmware op mijn edgerouter zitten. Laatst nog geüpdatet. 

Ik heb het eerder inderdaad ook met de DNAT geprobeerd op de WAN IN interface, maar hierbij ook hetzelfde resultaat, maar hier ben ik minder zeker van de correctheid ervan. 

Wanneer ik onder port forwarding show advanced options aanvink, wordt ook de optie getoond om automatisch de port forwarding instellingen in de Firewall toe te passen. Dit staat ook aan. 

Wat ik mij net bedenk wat ook wel goed is om te weten waarom ik denk dat port forwarding in principe werkt is omdat ik nog een andere poort open heb staan voor Synology Cloud Station, 6690 TCP. Deze werkt al vanaf het begin.

Deze poort is voorheen door de Connectbox geforward geweest, maar alle port forwarding rules zijn verwijderd op de Connectbox. Nu wordt deze dus via DMZ naar de EdgeRouter doorverwezen... 

efok

Level 17
  • 4014Posts
  • 219Oplossingen
  • 1594Likes

1.10 is prima. Heb ik ook. De 2.0x is volop in ontwikkeling, maar 1.10 wordt nog gewoon ondersteund. Als je poort 6690 werkend hebt, is het voor de andere poorten niet anders. Dus waar het probleem dan zit?

Heb je externe poorten al eens gescand? (Hoewel dit voor UDP lastiger is.)

bartpoelmans
Topicstarter
Level 1
  • 6Posts
  • 1Oplossingen
  • 1Likes

Hoi @efok ,

Bedankt voor het nagaan. Ik ben momenteel bezig met de poort scans. Ik heb mijn Synology al gecontroleerd en ook de publieke poorten. Deze lijken te kloppen met wat er nodig is. Dit heb ik gedaan met NMAP. De vanuit extern resultaten zijn via mijn mobiele hotspot gedaan, waarbij mijn laptop aan mijn mobiel is gekoppeld geweest.

Vanuit extern:
PORT     STATE         SERVICE
500/udp  open          isakmp
1701/udp open|filtered L2TP
4500/udp open|filtered nat-t-ike
6690/udp open|filtered unknown
6690/tcp  open     cleverdetect

Vanuit intern dezelfde poorten en meer. Enkel 6690 niet, welke ik dan weer niet echt kan plaatsen, maar dat ligt wellicht meer aan 'cleverdetect’.

Mogelijk dat het dan toch ligt aan de firewall instellingen op de edgerouter? Zou het zijn dat de  automatische ‘Enable auto firewall’ enkel voor TCP geldt?

efok

Level 17
  • 4014Posts
  • 219Oplossingen
  • 1594Likes

Ik weet zo niet welke regel de auto-firewall instelt. Ik doe het altijd apart via NAT en de Firewall. Dan kan ik een poort forward laten staan, en hem in de firewall gewoon aan en uit vinken.
 

De poorten komen als filtered terug. Dat suggereert bij UDP vaak wel dat ze open staan, maar blijft wat lastig te interpreteren.
 

Anders zou ik even via ssh inloggen op de Edgerouter X en via:

show firewall name WAN_IN

even kijken welke rules er zijn ingesteld.

Haander

Level 9
  • 344Posts
  • 7Oplossingen
  • 96Likes

Probeer eens een hoger ip nummer in DMZ te zetten. Dus niet 192.168.178.2 maar 192.168.178.22, bijvoorbeeld.

 

Is het niet zo dat de ip uitgifte pas bij een bepaald nummer begint?

En hoger nummer proberen kan geen kwaad in ieder geval.

efok

Level 17
  • 4014Posts
  • 219Oplossingen
  • 1594Likes
Haander wrote:

Probeer eens een hoger ip nummer in DMZ te zetten. Dus niet 192.168.178.2 maar 192.168.178.22, bijvoorbeeld.

 

Is het niet zo dat de ip uitgifte pas bij een bepaald nummer begint?

En hoger nummer proberen kan geen kwaad in ieder geval.

 

Huh? @bartpoelmans  gebruikt een andere range….Zijn edgerouter heeft 192.168.1.2 op zijn WAN interface. Zijn setup moet gewoon werken.

bartpoelmans
Topicstarter
Level 1
  • 6Posts
  • 1Oplossingen
  • 1Likes

Ik zal mij vanavond nog eens verder verdiepen in de nat Firewall. Ik heb inmiddels een remote log server geactiveerd om e.e.a. na te kunnen kijken.

Ik zal de instelling hier weer posten. 

Wordt vervolgd...

bartpoelmans
Topicstarter
Level 1
  • 6Posts
  • 1Oplossingen
  • 1Likes

Hoi,

Ik heb mij eens verder verdiept in hoe alle connecties worden gelegd en hierbij ook de hoe verbindingen worden gelegd. Ik ben tot de conclusie gekomen dat de port 6690 helemaal niet wordt gebruikt. Voor mijn cloud station werd blijkbaar Quickconnect gebruikt, welke de techniek 'punch hole’ gebruikt om een verbinding open te houden in de firewall. Dit kan omdat deze vanuit de Synology naar internet wordt gedaan. De firewall laat vervolgens verkeer over deze tunnel naar binnen, omdat het dan onder 'established’ verkeer valt. 
Overigens ga ik nog bezien of ik dit dan wil behouden, maar ik weet nog niet of dit veiliger is of niet. 

Verder heb ik nog eens een aantal configuraties geprobeerd maar ben er nog niet uit.

Met auto firewall optie aan, geeft het volgende commando 

show firewall name WAN_IN

overigens enkel de default terug. Er is dus niets terug te vinden over de port forwarding ervan. 

Ik ga nog meer in de documentatie duiken van de edgerouter… Ik ben nu wel heel erg geïnteresseerd...

bartpoelmans
Topicstarter
Level 1
  • 6Posts
  • 1Oplossingen
  • 1Likes

Hoi hoi,

Ik heb inmiddels meer onderzoek gedaan naar de opzet en de mogelijkheden en ook de beperkingen en ik heb het inmiddels werkend gekregen.

De volgende stappen uitgevoerd:
CB weer gereset en standaard DHCP van 192.168.178.0/24 laten staan.
ER-X eth0 (WAN) op DHCP geplaatst en een 192.168.178.2 laten uitdelen door CB.
Dit IP-adres in DMZ geplaatst.

Vervolgens op ER-X eerst DNAT regels ingesteld naar een IIS op een pc. Hierbij ook de bijbehorende firewall regels geconfigureerd. Na wat proberen met minimale instellingen dit uiteindelijk werkend gekregen en later ook naar mijn Synology NAS. Ik ben later gezwicht om toch OpenVPN te gebruiken ipv L2TP/IPSec omdat blijkbaar NAT-T nodig is voor doorzetten van het signaal naar een VPN achter een firewall. Dit maakt de verbinding minder veilig volgens o.a. Microsoft. OpenVPN heeft als nadeel dat er aparte client software nodig is maar het bereikbaar maken van de VPN server werd hierdoor ook eenvoudiger.

Eindresultaat is dat ik het werkend heb gekregen met de voorwaarden die ik wilde, namelijk via DMZ van CB. De WiFi verder uitgezet op de CB, zodat deze niet gaat ‘storen’ met eigen geplaatste AP's.

Dit wilde ik nog laten weten en nog bedankt voor het meedenken. Deze vraag kan worden gesloten.

Uitgelicht topic