Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd Inlägg

Alla enheter i mitt LAN kan inte nå VPN-server

1
Skriv svar
Permalänk
Medlem

Alla enheter i mitt LAN kan inte nå VPN-server

Jag håller på och försöker skapa en VPN-koppling mellan mitt hem och mina föräldrars för backup, så jag har startat en VPN-server på routern hos päronen, och VPN-client på min egen router hemma. Jag har ställt in nätverket med två subnät:

192.168.1.0/24 = Mitt hemnätverk
192.168.2.0/24 = Off-site

Jag kan från min stationära dator hemma pinga routern som är off-site dvs. "ping 192.168.2.1" svarar, likaså servern som står off-site. När jag däremot loggar in på min lokala NAS via ssh och kör "ping 192.168.2.1" så får jag connection timed out. Varför kan det vara så att en enhet ansluten till samma lokala router kan ansluta, medan en annan inte kan det?

Visuellt för tydlighet:

Lokalt:
Router 192.168.1.1 VPN-klient mot 192.168.2.1 igång
MinPC 192.168.1.110 ping mot 192.168.2.1 OK
NAS1 192.168.1.100 ping mot 192.168.2.1 svarar inte --> varför?

Off-site
Router 192.168.2.1 VPN-Server igång
NAS2 192.168.2.100 ping mot 192.168.1.1 svarar inte (bör väl inte göra det heller, min lokala NAS kör inte VPN-server?)

Jag har ställt in alla enheter på nätverket med fasta ip-nummer så DHCP överlappar inte, och jag har dubbelkollat det via GUI:t till routern samt nmap. Någon som kan tipsa om möjliga orsaker till problemet?

Redigera
Citera flera Citera
Permalänk
Medlem

Inget märkligt instället på NIC:et på NAS:en? Kan NAS:en pinga 192.168.1.1 och .110 (jag menar saker i .1.x nätet)

Visa signatur

CPU: I7 4770K Grafik: Poseidon Platinum GeForce GTX 980Ti Moderkort: Asus Maximus VI Hero Z87 RAM: 16Gb Corsair Dominator Platinum CL9 Nätagg: Corsair HX1050 Gold SSD: Corsair Force GT 240Gb SSHD: Seagate Desktop 4TB Låda: Corsair Graphite 600T

Redigera
Citera flera Citera
Permalänk
Medlem

Pekar NASen mot samma router som din PC? Är routingtabellen där korrekt?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Gurk:

Inget märkligt instället på NIC:et på NAS:en? Kan NAS:en pinga 192.168.1.1 och .110 (jag menar saker i .1.x nätet)

Gå till inlägget

Jag har en static route från datorn till NAS:en för en specifik hemsida, men annars ingenting.
NAS:en kan pinga allt på 192.168.1.*

Skrivet av Krippa75:

Pekar NASen mot samma router som din PC? Är routingtabellen där korrekt?

Gå till inlägget

Hur tar jag reda på detta? Jag kan logga in separat på 192.168.1.1 och 192.168.2.1, dvs de två routrarna, och det är 1.1 som har min lokala NAS, och 2.1 som har off-site-NAS:en dvs. ser i alla fall det helt rätt ut. Har du något tips på vad jag kan undersöka?

Redigera
Citera flera Citera
Permalänk
Medlem

Har du gateway inställd på nasen?

Hur ser inställningarna ut i på VPN i respektive ände?

Redigera
Citera flera Citera
Permalänk
Vila i frid

Gör en trace route så vet du vad som (inte) händer.

tracert 192.168.1.1
och
tracert 192.168.2.1

Wireshark på respektive snöre säger också väldigt mycket.

Visa signatur

https://andersbrink.se/
https://www.userbenchmark.com/UserRun/32673274

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av jocke92:

Har du gateway inställd på nasen?

Hur ser inställningarna ut i på VPN i respektive ände?

Gå till inlägget

Har inte ändrat något om gateway på nasen, har det här scriptet för att köra static routen från min dator som jag nämnde tidigare, kan det vara "PRIVATE_NETWORK"-variabeln och hur den används i scriptet som är problemet?

#!/bin/bash
#
# Change this variable to match your private network.
PRIVATE_NETWORK="192.168.1.0/24"
#
# Change this variable to match your public interface - either eth0 or eth1
PUBLIC_INTERFACE="tun0"

# Set PATH to find iptables
PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/syno/sbin:/usr/syno/bin

# Module list where KERNEL_MODULES_NAT are defined.
IPTABLES_MODULE_LIST="/usr/syno/etc/iptables_modules_list"
source "${IPTABLES_MODULE_LIST}"

# Tool to load kernel modules (modprobe does not work for me)
BIN_SYNOMODULETOOL="/usr/syno/bin/synomoduletool"

# My service name - let's make sure we don't conflict with synology
SERVICE="Skynet_NAT"

# iptable binary
IPTABLES="iptables"

start() {

#clear iptables
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F
iptables -F
iptables -X

# Log execution time
date

# Make sure packet forwarding is enabled.
# 'sysctl -w net.ipv4.ip_forward=1' does not work for me
echo 1 > /proc/sys/net/ipv4/ip_forward

# Count the number of modules so that we can verify if the module
# insertion was successful. We replace whitespaces with newlines
# and count lines.
MODULE_COUNT=$(
echo "${KERNEL_MODULES_NAT}" |
gawk '{ print gensub(/\s+/, "\n", "g") }' |
wc -l
)

# Load the kernel modules necessary for NAT
"${BIN_SYNOMODULETOOL}" --insmod "${SERVICE}" ${KERNEL_MODULES_NAT}
RV=$?

# $BIN_SYNOMODULETOOL returns the number of loaded modules as return value
[[ "${RV}" == "${MODULE_COUNT}" ]] || {
echo >&2 "Error: Modules were not loaded. The following command failed:"
echo >&2 "${BIN_SYNOMODULETOOL}" --insmod "${SERVICE}" ${KERNEL_MODULES_NAT}
exit 1
}

# Turn on NAT.
"${IPTABLES}" -t nat -A POSTROUTING -s "${PRIVATE_NETWORK}" -j MASQUERADE -o "${PUBLIC_INTERFACE}"
RV=$?
[[ "${RV}" == "0" ]] || {
echo >&2 "Error: MASQUERADE rules could not be added. The following command failed:"
echo >&2 "${IPTABLES}" -t nat -A POSTROUTING -s "${PRIVATE_NETWORK}" -j MASQUERADE -o "${PUBLIC_INTERFACE}"
exit 1
}

# Log current nat table
iptables -L -v -t nat
}

case "$1" in
start)
start
exit
;;
*)
# Help message.
echo "Usage: $0 start"
exit 1
;;
esac

Dold text

VPN-Server på 192.168.2.1:

VPN-klient på 192.168.1.1:

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Tommy:

Har inte ändrat något om gateway på nasen, har det här scriptet för att köra static routen från min dator som jag nämnde tidigare, kan det vara "PRIVATE_NETWORK"-variabeln och hur den används i scriptet som är problemet?

VPN-Server på 192.168.2.1:
https://i.imgur.com/4jB8Yda.png

VPN-klient på 192.168.1.1:
https://i.imgur.com/oNHpXY8.png

Gå till inlägget

Det ska fungera så som du satt upp det tycker jag. Du kör client > server modellen.

Angående routen du gjort, så spelar den ingen roll här då du säger att det är i PC:n den är gjord. Jag undrar om du verkligen har satt gateway i nasen, om du aldrig behövt komma åt något på internet från nasen har du inte märkt att den saknas

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av jocke92:

Det ska fungera så som du satt upp det tycker jag. Du kör client > server modellen.

Angående routen du gjort, så spelar den ingen roll här då du säger att det är i PC:n den är gjord. Jag undrar om du verkligen har satt gateway i nasen, om du aldrig behövt komma åt något på internet från nasen har du inte märkt att den saknas

Gå till inlägget

Alltså jag har gjort en static route till en addrtess på min PC enligt detta:
route -p ADD xxx.xxx.xxx.xxx MASK 255.255.255.0 192.168.1.100
och scriptet jag postade nyss körs på NAS:en.

Jag har default gateway som 192.168.1.1 på den lokala NAS:en och 192.168.2.1 på off-site, så det ser rätt ut.
Är det det du syftar på med att ställa in gateway, eller nåt annat?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Tommy:

Alltså jag har gjort en static route till en addrtess på min PC enligt detta:
route -p ADD xxx.xxx.xxx.xxx MASK 255.255.255.0 192.168.1.100
och scriptet jag postade nyss körs på NAS:en.

Jag har default gateway som 192.168.1.1 på den lokala NAS:en och 192.168.2.1 på off-site, så det ser rätt ut.
Är det det du syftar på med att ställa in gateway, eller nåt annat?

Gå till inlägget

Låter som om du har en vpn anslutning i nasen eftersom scriptet pekar på ett tun-interface. Prova stänga ner den tillfälligt och testa. Tror inte det är scriptet i sig utan att den skickar allt som inte är LAN över vpn-tunneln som ligger inställd direkt i nasen.

Det kan fungera att göra en route för 192.168.2.0/24 nätet i nasen mot din router, beroende på vad den prioriterar. Statisk route vs VPN

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av jocke92:

Låter som om du har en vpn anslutning i nasen eftersom scriptet pekar på ett tun-interface. Prova stänga ner den tillfälligt och testa. Tror inte det är scriptet i sig utan att den skickar allt som inte är LAN över vpn-tunneln som ligger inställd direkt i nasen.

Det kan fungera att göra en route för 192.168.2.0/24 nätet i nasen mot din router, beroende på vad den prioriterar. Statisk route vs VPN

Gå till inlägget

Ja det stämmer att jag har en vpn-anslutning på NAS:en, och det fungerar att pinga 192.168.2.1 så fort jag kopplar ifrån VPN-anslutningen på NAS:en, så det är det som är problemet.

Hur gör jag då för att se till att trafik till/från 192.168.2.* inte går via VPN:en om man även tar hänsyn till scriptet jag kör. Kan jag ändra PRIVATE_NETWORK variabeln i scriptet till 192.168.0.0/24 eller måste jag göra något annat? Jag vill vara helt säker på att det bara är trafik i mitt LAN som inte går via VPN:en på min NAS.

Redigera
Citera flera Citera
Permalänk
Medlem

@jocke92 visste du hur man lägger till en extra route i synologys NAS, eller i största allmänhet?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Tommy:

@jocke92 visste du hur man lägger till en extra route i synologys NAS, eller i största allmänhet?

Gå till inlägget

Nej intei synology men kika här, https://forum.synology.com/enu/viewtopic.php?t=125581

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av jocke92:

Nej intei synology men kika här, https://forum.synology.com/enu/viewtopic.php?t=125581

Gå till inlägget

Jag provade att göra enligt förslaget i den där tråden, men det verkar inte funka för min del. :/

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara