Beantwoord

OpenVPN Server-Client configuratie vs Port-forwarding

  • 12 February 2019
  • 10 reacties
  • 2913 Bekeken

Goedemiddag,

Ik ben in het bezit van een QNAP TS-659 Pro II NAS server, ook wel NAS genoemd. Hier draai ik OpenVPN server configuratie op. De OpenVPN server configuratie ziet er als volgt uit:



Daarnaast heb ik 2 useraccounts die ik gebruik voor mijn VPN authenticatie. Deze useraccounts hebben ook rechten voor de OpenVPN services.

Ik gebruik een aantal verschillende devices waar ik de OpenVPN cliënt op heb geïnstalleerd (o.a. Apple iPhone X, iPhone 7 en iPad Air 2). Dit betreft de orginele OpenVPN app. Om de devices te kunnen gebruiken van OpenVPN heb ik de vereiste bestanden (openvpn.ovpn en ca.crt) geëxporteerd vanaf de OpenVPN server (NAS). Vervolgens zijn deze ingeladen in de OpenVPN app. Deze zijn bestanden en een in de OpenVPN server gehanteerd useraccount zijn vereist om het profiel in de OpenVPN app aan te kunnen maken. Dit is succesvol uitgevoerd.

Vervolgens moeten er poorten opengezet worden in het modem/router. De modem/router die ik in bezit heb is de T-Mobile Huawei Home Gateway HG659.

Het is niet helemaal duidelijk welke settings geconfigureerd moeten worden in het modem/router. Aan de hand hiervan heb ik de volgende settings in de GUI van het modem/router geconfigureerd: “Port mapping” en “Poortactivering”. Beide settings staan onder “Internet à Doorsturen”.

De configuratie van de “Port mapping” ziet er als volgt uit:





De configuratie van de “Poortactivering” ziet er als volgt uit:





Onder “Internet à Netwerkbeveiliging” heb ik de “Firewall” als volgt ingesteld:



Helaas hebben alle settings die in geconfigureerd heb geen effect gehad. Ik heb meerdere testen uitgevoerd om het werkend te krijgen.

De basisacties die ik uitgevoerd heb zijn:

· Reboot van het modem/router na elke wijziging.
· Soft reset van het modem/router.
· Random poorten opengezet om te kijken of deze wel open gezet werden.
· Poorten middels UPnP vanaf de NAS geactiveerd op het modem/router.

Daarnaast heb ik de DMZ settings aangepast. Ik heb “DMZ inschakelen” aangevinkt. Ook dit had geen effect en kon ik geen VPN-connectie van één van de devices opbouwen.

Is er iemand die mij hierbij zou kunnen helpen? Of weet welke setting ik nog moet configureren? Bij de vorige provider had ik deze setup wel werkend. Want dit stelt ook niet veel voor qua configuratie.

Kijk uit naar jullie feedback!

Thanks alvast!
icon

Beste antwoord door Brian 18 February 2019, 11:38

Bekijk origineel

10 reacties

Reputatie 6
De screenshots komen overeen met al eerdere bevindingen: Er is geen enkel contact tussen je iPhone en de QNAP. Het kan best zijn dat alle UDP pakketten vanaf je iPhone naar je TMT IP adres onderweg gewoon allemaal gedropt worden.
Maar er zijn wel een aantal zaken die je strakker/dwingender zou kunnen zetten.
  • IPv4-only tunnel
  • cellular only (en ook WiFi van iPhone uitschakelen)
Als alternatief:
  • probeer eens uitsluitend met TCP te werken
  • probeer eens met een andere SIMkaart in je iPhone (andere provider)
Doe voordat je opnieuw gaat testen eens en powercycle van de HG659 en check ook of de instellingen wel zijn zoals je die gewild had.
Beetje late reactie, maar ik was in de veronderstelling dat ik de screenshots van de log van mijn OpenVPN app al had gepubliceerd. Maar bij deze alsnog de screenshots:






Ook een paar screenshots van de settings van mijn OpenVPN app:



@tmoesel WAN_IP staat goed. Het IP adres waar hij naar toe wil connecten is het WAN_IP van de modem/router. Dus dit moet geen probleem zijn.

Ik heb op de iPhone opnieuw een profiel aangemaakt. Het klopt inderdaad wat je zegt het openvpn.ovpn bestand verwijst inderdaad naar het ca.crt. Beide zijn ook beschikbaar de het profiel op het moment dat deze aangemaakt is. Ik heb bijvoorbeeld getest door het ca.crt er niet in te zetten. Dan geeft hij gelijk een foutmelding bij het aanmaken van het profiel binnen de OpenVPN app. Hij geeft dan aan dat het ca.crt bestand mist en noodzakelijk is voor het aanmaken van het profiel.

Ik heb gekeken in het logboek van de QNAP, kan daar niks terugvinden over connecties die mogelijk tot stand gebracht gaan worden.

Ik zal in de volgende reactie even het volledige logbestand van de OpenVPN app erin zetten.
Reputatie 6
@timothygoos WAN_IP (Wide Area Network IP adres) is het externe publieke IP adres van je T-Mobile Thuis router. Dat is dus wat je in de Iphone moet invullen waar me je verbinding maakt. En je hebt de staandaard poort voor OpenVPN in gebruik (1194). Dus kort gezegd in internet jargon is moet de Iphone OpenVPN app dus verbinden met WAN_IP:1194

De APN op je iphone staat wel goed, moet met deze waarde geen bottleneck zijn.

Je kan de inhoud van ca.crt ook in het openvpn.ovpn bestand opnemen om maar eens een zijweg te noemen, maar OpenVPN heeft een woud aan opties wat e.v.t. mis kan gaan. Ik kan uit je screenshot niet goed opmaken of er nu wel of geen verbinding is geweest. er gaan wel bytes uit (BYTES_OUT) maar dat zegt niks op die ook aankomen op je QNAP.
Het UDP protocol over internet is 'blind', er is geen bevestiging of het ook het doel heeft bereikt. Kijk daarvoor in de QNAP (logbestanden). Dan zie je wel of er ueberhaupt UDP datapaketten vanaf jouw iphone aangekomen zijn. En dan in de vervolgstappen van versleuteling enz kan veel mis zijn, dat kun je dan goed in de logbestanden zien.
@tmoesel allereerst bedankt voor je reactie. De "Missing translation: nat.application" is de standaard benaming voor het desbetreffende veld. Ik heb even voor de test een "Nieuwe port mapping" aangeklikt, en dan heeft dat zie je dezelfde benaming. Het is dus geen fout van de GUI.

Ik heb nu enkel poort 1194 UDP opengezet. Ondanks dat werkt het nog steeds niet. Ook bij "Poortactivering" staat enkel poort 1194 UDP open.

Wat bedoel je precies met WAN_IP:1194?

Ik heb op een ander WiFi netwerk dezelfde test gedaan. Geen succes. APN van mobiel data heeft de volgende APN waardes:

MOBIELE DATA --> APN: smartsites.t-mobile

PERSOONLIJKE HOTSPOT --> APN: smartsites.t-mobile

Restart en herconfiguratie heb ik ook al geprobeerd.

Wat ik wel zie in de OpenVPN app is dat er geen certifcaat onder mijn profiel hangt. Als ik mijn iPhone connect met mijn laptop middels iTunes en ik ga dan naar Device --> Bestandsindeling --> OpenVPN app, dan zie ik wel het ca.crt en de openvpn.ovpn bestanden staan. Maar ik kan op mijn iPhone niet een certificaat onder mijn OpenVPN profiel selecteren. Mogelijk dat het daaraan ligt.
Reputatie 6
@timothygoos In het eerste screenshot staat o.a. Missing translation: nat.application
Het is mij niet duidelijk waar dat op slaat, lijkt een fatale fout maar eigenlijk geen idee.
Het lijkt dat je met deze instellingen een OpenVPN server in de HG659 aanzet, uit andere zaken blijkt dat dan weer niet.
Misschien kun je een eigen entry maken die alleen UDP van wan_ip:1194 naar qnap_ip:1194 mapt.

Als je in je iPhone X APN op internet hebt staan, kan het zijn dat de UDP paketten helemaal niet aankomen. Dus stel de standaard APN in of test het op een WiFi netwerk van een andere provider dan T-Mobile.
Je moet er in ieder geval zeker van zijn dat UDP paketten vanaf je iPhone ook daadwerkelijk aankomen in de HG659 en dan verder richting de QNAP. T-Mobile gebruikt publieke IP adressen achter private 10.0.0.0/8 adressen. Bij een HG659 restart of herconfiguratie kan het best zijn dat er een tijdje (een dag??) niets meer aankomt. Probeer anders eens TCP tijdelijk als test. UDP is verbindingsloos, het internet kan dat onder omstandigheden (deels) droppen.
Hoi @Sander,

ik probeer van buitenaf mijn NAS te bereiken middels een VPN connectie (OpenVPN) en dit werkt niet.

Zie onderstaande log van mijn OpenVPN app op mijn Apple iPhone X:

Reputatie 7
Hoi @timothygoos,

Ik moet zeggen dat je enorm uitgebreid bent in het vermelden van je setup! Dat is altijd erg fijn, want zo kunnen we veel doelgerichter meedenken. Graag zou ik nog van je willen horen wat er precies niet werkt. Je NAS is verbonden met de Huawei, portforward is ingesteld en VPN is actief. Probeer je van buitenaf je NAS te bereiken? Of kun je van binnenuit je netwerk de NAS of de gegegevens hierop niet bereiken? Lukt het wel als je geen VPN verbinding gebruikt?

Ik/we horen graag/!
Hi @Brian,

Bedankt voor je reactie. Had helaas niet zo heel veel aan de andere topics. Mijn probleem zit hem echt in de settings van het modem/router. De rest is niet aangepast en werkte hiervoor al. Ben dus echt benieuwd naar de configuratie van het modem/router zelf.
Reputatie 7
Hi @timothygoos, ik heb zelf geen ervaring met het configureren van een NAS maar we hebben hier een aantal topics over op de Community, mogelijk kunnen deze je op weg helpen:

NAS van buitenaf
NAS portforwarding
NAS algemene informatie

Reageer