Alla enheter i mitt LAN kan inte nå VPN-server

Trädvy Permalänk
Medlem
Plats
Luleå
Registrerad
Jan 2004

Alla enheter i mitt LAN kan inte nå VPN-server

Jag håller på och försöker skapa en VPN-koppling mellan mitt hem och mina föräldrars för backup, så jag har startat en VPN-server på routern hos päronen, och VPN-client på min egen router hemma. Jag har ställt in nätverket med två subnät:

192.168.1.0/24 = Mitt hemnätverk
192.168.2.0/24 = Off-site

Jag kan från min stationära dator hemma pinga routern som är off-site dvs. "ping 192.168.2.1" svarar, likaså servern som står off-site. När jag däremot loggar in på min lokala NAS via ssh och kör "ping 192.168.2.1" så får jag connection timed out. Varför kan det vara så att en enhet ansluten till samma lokala router kan ansluta, medan en annan inte kan det?

Visuellt för tydlighet:

Lokalt:
Router 192.168.1.1 VPN-klient mot 192.168.2.1 igång
MinPC 192.168.1.110 ping mot 192.168.2.1 OK
NAS1 192.168.1.100 ping mot 192.168.2.1 svarar inte --> varför?

Off-site
Router 192.168.2.1 VPN-Server igång
NAS2 192.168.2.100 ping mot 192.168.1.1 svarar inte (bör väl inte göra det heller, min lokala NAS kör inte VPN-server?)

Jag har ställt in alla enheter på nätverket med fasta ip-nummer så DHCP överlappar inte, och jag har dubbelkollat det via GUI:t till routern samt nmap. Någon som kan tipsa om möjliga orsaker till problemet?

Trädvy Permalänk
Medlem
Registrerad
Jul 2004

Inget märkligt instället på NIC:et på NAS:en? Kan NAS:en pinga 192.168.1.1 och .110 (jag menar saker i .1.x nätet)

CPU: I7 4770K Grafik: Poseidon Platinum GeForce GTX 980Ti Moderkort: Asus Maximus VI Hero Z87 RAM: 16Gb Corsair Dominator Platinum CL9 Nätagg: Corsair HX1050 Gold SSD: Corsair Force GT 240Gb SSHD: Seagate Desktop 4TB Låda: Corsair Graphite 600T

Trädvy Permalänk
Medlem
Registrerad
Dec 2012

Pekar NASen mot samma router som din PC? Är routingtabellen där korrekt?

Trädvy Permalänk
Medlem
Plats
Luleå
Registrerad
Jan 2004
Skrivet av Gurk:

Inget märkligt instället på NIC:et på NAS:en? Kan NAS:en pinga 192.168.1.1 och .110 (jag menar saker i .1.x nätet)

Jag har en static route från datorn till NAS:en för en specifik hemsida, men annars ingenting.
NAS:en kan pinga allt på 192.168.1.*

Skrivet av Krippa75:

Pekar NASen mot samma router som din PC? Är routingtabellen där korrekt?

Hur tar jag reda på detta? Jag kan logga in separat på 192.168.1.1 och 192.168.2.1, dvs de två routrarna, och det är 1.1 som har min lokala NAS, och 2.1 som har off-site-NAS:en dvs. ser i alla fall det helt rätt ut. Har du något tips på vad jag kan undersöka?

Trädvy Permalänk
Medlem
Registrerad
Dec 2008

Har du gateway inställd på nasen?

Hur ser inställningarna ut i på VPN i respektive ände?

Trädvy Permalänk
Medlem
Plats
Hedesunda
Registrerad
Dec 2005

Gör en trace route så vet du vad som (inte) händer.

tracert 192.168.1.1
och
tracert 192.168.2.1

Wireshark på respektive snöre säger också väldigt mycket.

Trädvy Permalänk
Medlem
Plats
Luleå
Registrerad
Jan 2004
Skrivet av jocke92:

Har du gateway inställd på nasen?

Hur ser inställningarna ut i på VPN i respektive ände?

Har inte ändrat något om gateway på nasen, har det här scriptet för att köra static routen från min dator som jag nämnde tidigare, kan det vara "PRIVATE_NETWORK"-variabeln och hur den används i scriptet som är problemet?

#!/bin/bash
#
# Change this variable to match your private network.
PRIVATE_NETWORK="192.168.1.0/24"
#
# Change this variable to match your public interface - either eth0 or eth1
PUBLIC_INTERFACE="tun0"

# Set PATH to find iptables
PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/syno/sbin:/usr/syno/bin

# Module list where KERNEL_MODULES_NAT are defined.
IPTABLES_MODULE_LIST="/usr/syno/etc/iptables_modules_list"
source "${IPTABLES_MODULE_LIST}"

# Tool to load kernel modules (modprobe does not work for me)
BIN_SYNOMODULETOOL="/usr/syno/bin/synomoduletool"

# My service name - let's make sure we don't conflict with synology
SERVICE="Skynet_NAT"

# iptable binary
IPTABLES="iptables"

start() {

#clear iptables
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F
iptables -F
iptables -X

# Log execution time
date

# Make sure packet forwarding is enabled.
# 'sysctl -w net.ipv4.ip_forward=1' does not work for me
echo 1 > /proc/sys/net/ipv4/ip_forward

# Count the number of modules so that we can verify if the module
# insertion was successful. We replace whitespaces with newlines
# and count lines.
MODULE_COUNT=$(
echo "${KERNEL_MODULES_NAT}" |
gawk '{ print gensub(/\s+/, "\n", "g") }' |
wc -l
)

# Load the kernel modules necessary for NAT
"${BIN_SYNOMODULETOOL}" --insmod "${SERVICE}" ${KERNEL_MODULES_NAT}
RV=$?

# $BIN_SYNOMODULETOOL returns the number of loaded modules as return value
[[ "${RV}" == "${MODULE_COUNT}" ]] || {
echo >&2 "Error: Modules were not loaded. The following command failed:"
echo >&2 "${BIN_SYNOMODULETOOL}" --insmod "${SERVICE}" ${KERNEL_MODULES_NAT}
exit 1
}

# Turn on NAT.
"${IPTABLES}" -t nat -A POSTROUTING -s "${PRIVATE_NETWORK}" -j MASQUERADE -o "${PUBLIC_INTERFACE}"
RV=$?
[[ "${RV}" == "0" ]] || {
echo >&2 "Error: MASQUERADE rules could not be added. The following command failed:"
echo >&2 "${IPTABLES}" -t nat -A POSTROUTING -s "${PRIVATE_NETWORK}" -j MASQUERADE -o "${PUBLIC_INTERFACE}"
exit 1
}

# Log current nat table
iptables -L -v -t nat
}

case "$1" in
start)
start
exit
;;
*)
# Help message.
echo "Usage: $0 start"
exit 1
;;
esac

Dold text

VPN-Server på 192.168.2.1:

VPN-klient på 192.168.1.1:

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av Cinder:

Har inte ändrat något om gateway på nasen, har det här scriptet för att köra static routen från min dator som jag nämnde tidigare, kan det vara "PRIVATE_NETWORK"-variabeln och hur den används i scriptet som är problemet?

VPN-Server på 192.168.2.1:
https://i.imgur.com/4jB8Yda.png

VPN-klient på 192.168.1.1:
https://i.imgur.com/oNHpXY8.png

Det ska fungera så som du satt upp det tycker jag. Du kör client > server modellen.

Angående routen du gjort, så spelar den ingen roll här då du säger att det är i PC:n den är gjord. Jag undrar om du verkligen har satt gateway i nasen, om du aldrig behövt komma åt något på internet från nasen har du inte märkt att den saknas

Trädvy Permalänk
Medlem
Plats
Luleå
Registrerad
Jan 2004
Skrivet av jocke92:

Det ska fungera så som du satt upp det tycker jag. Du kör client > server modellen.

Angående routen du gjort, så spelar den ingen roll här då du säger att det är i PC:n den är gjord. Jag undrar om du verkligen har satt gateway i nasen, om du aldrig behövt komma åt något på internet från nasen har du inte märkt att den saknas

Alltså jag har gjort en static route till en addrtess på min PC enligt detta:
route -p ADD xxx.xxx.xxx.xxx MASK 255.255.255.0 192.168.1.100
och scriptet jag postade nyss körs på NAS:en.

Jag har default gateway som 192.168.1.1 på den lokala NAS:en och 192.168.2.1 på off-site, så det ser rätt ut.
Är det det du syftar på med att ställa in gateway, eller nåt annat?

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av Cinder:

Alltså jag har gjort en static route till en addrtess på min PC enligt detta:
route -p ADD xxx.xxx.xxx.xxx MASK 255.255.255.0 192.168.1.100
och scriptet jag postade nyss körs på NAS:en.

Jag har default gateway som 192.168.1.1 på den lokala NAS:en och 192.168.2.1 på off-site, så det ser rätt ut.
Är det det du syftar på med att ställa in gateway, eller nåt annat?

Låter som om du har en vpn anslutning i nasen eftersom scriptet pekar på ett tun-interface. Prova stänga ner den tillfälligt och testa. Tror inte det är scriptet i sig utan att den skickar allt som inte är LAN över vpn-tunneln som ligger inställd direkt i nasen.

Det kan fungera att göra en route för 192.168.2.0/24 nätet i nasen mot din router, beroende på vad den prioriterar. Statisk route vs VPN

Trädvy Permalänk
Medlem
Plats
Luleå
Registrerad
Jan 2004
Skrivet av jocke92:

Låter som om du har en vpn anslutning i nasen eftersom scriptet pekar på ett tun-interface. Prova stänga ner den tillfälligt och testa. Tror inte det är scriptet i sig utan att den skickar allt som inte är LAN över vpn-tunneln som ligger inställd direkt i nasen.

Det kan fungera att göra en route för 192.168.2.0/24 nätet i nasen mot din router, beroende på vad den prioriterar. Statisk route vs VPN

Ja det stämmer att jag har en vpn-anslutning på NAS:en, och det fungerar att pinga 192.168.2.1 så fort jag kopplar ifrån VPN-anslutningen på NAS:en, så det är det som är problemet.

Hur gör jag då för att se till att trafik till/från 192.168.2.* inte går via VPN:en om man även tar hänsyn till scriptet jag kör. Kan jag ändra PRIVATE_NETWORK variabeln i scriptet till 192.168.0.0/24 eller måste jag göra något annat? Jag vill vara helt säker på att det bara är trafik i mitt LAN som inte går via VPN:en på min NAS.

Trädvy Permalänk
Medlem
Plats
Luleå
Registrerad
Jan 2004

@jocke92 visste du hur man lägger till en extra route i synologys NAS, eller i största allmänhet?

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av Cinder:

@jocke92 visste du hur man lägger till en extra route i synologys NAS, eller i största allmänhet?

Nej intei synology men kika här, https://forum.synology.com/enu/viewtopic.php?t=125581

Trädvy Permalänk
Medlem
Plats
Luleå
Registrerad
Jan 2004
Skrivet av jocke92:

Jag provade att göra enligt förslaget i den där tråden, men det verkar inte funka för min del. :/