VPN op je Android via Synology NAS

Door K-Jay op dinsdag 17 oktober 2017 11:15 - Reacties (18)
Categorie: -, Views: 5.733

Op het moment van schrijven is de Krack-kwetsbaarheid hot news. Een goed moment om eens aan de slag te gaan met een veilige VPN-verbinding op je Android-telefoon.

Let op: gebruik maken van VPN lost het Krack-probleem niet op. Je moet nog steeds je pc/telefoon/router updaten. Wel is het zo dat je gegevensverkeer door VPN versleuteld is, dus een mogelijke aanvaller kan niet zo veel met jouw data :)

Onlangs heb ik een Android-telefoon (Wileyfox Swift 2x) gekocht. Het kostte wat moeite om een always-on VPN-verbinding op te zetten via mijn Synology NAS, maar uiteindelijk is dat gelukt. Deze blogpost is dus ook een geheugensteun voor mezelf.
Als bonus vertel ik aan het einde hoe je via deze VPN-verbinding advertenties uit je internetverkeer kan weren.

1. VPN instellen op Synology NAS
Zorg dat je NAS is bijgewerkt naar de meeste recente versie van DSM. Ga naar Package Center en installeer VPN Server.
Open VPN Server en klik linksonderin op L2TP/IPSec. Vul de velden in:

https://tweakers.net/ext/f/J0i2ed81e57AaKhBAO0DiNor/full.png

- Kies bij Dynamisch IP-adres een IP-adres in de range van je lokale netwerk
- Verzin een wachtwoord(zin) als voorafgedeelde sleutel
Een gedetailleerd stappenplan vind je bij de Synology Knowledge Base.

2. Rechten instellen
Klik in VPN Server op Rechten. Zorg dat bij minstens een gebruiker een vinkje staat bij L2TP/IPSec. Indien gewenst kun je hier een aparte gebruiker voor aanmaken.

3. Poorten openzetten
Als je op Toepassen klikt krijg je de melding dat je drie poorten moet openzetten op je router. Hoe dit moet, hangt af van het merk van je router. In dd-wrt ziet het er zo uit:

https://tweakers.net/ext/f/GqN0k4mwOsbw2DaprBVDwWE0/full.png

4. Always-on VPN instellen op Android
Ga op je Android-telefoon naar de VPN-instellingen en voeg een nieuw profiel toe:
- Verzin een naam voor het profiel
- Type=L2TP/IPSec PSK
- Serveradres = het externe IP-adres van de verbinding waar je NAS staat. Hier moet je een IP-adres invullen, met een ddns-adres kun je de optie Always-on niet opslaan.
- Onder geavanceerde opties vul je bij DNS-server "8.8.8.8" in. Dat is de DNS-server van Google. Je kunt ook voor een ander adres kiezen natuurlijk. Als je maar iets invult, want anders kun je de optie Always-on niet gebruiken.
- Onder Gebruikersnaam/wachtwoord vul je de credentials in van je DSM-gebruiker die rechten heeft op VPN (zie stap 2)
- Vink Always-on VPN aan.
Klik op Opslaan. Als dat uitgegrijsd is, ben je ergens een instelling vergeten.

Als alles goed gegaan is ben je nu altijd verbonden via VPN. Er staat dan een sleutel-symbool in je bovenbalk:

https://tweakers.net/ext/f/jNMFlAXA5UifCsNyZRMrikHW/full.png

5. Optioneel: geen advertenties meer dankzij pi-hole.
Naast mijn Synology NAS heb ik een raspberry pi met mijn netwerk verbonden. Hierop draait pi-hole. Deze software zorgt ervoor dat alle advertenties uit je internetverkeer gefilterd worden. Dankzij VPN kun je ook op je telefoon hiervan profiteren!
1. Installeer pi-hole op een raspberry pi en neem deze op in je netwerk
2. Geef het IP-adres van je pi-hole als handmatige DNS-server op in de instellingen van VPN Server (zie stap 1)
3. Profit! Bijkomend voordeel is dat je een stuk soepeler surft op je telefoon, omdat er geen advertenties meer geladen worden.

Volgende: Domotica met je oude schakelaar! 11-'17 Domotica met je oude schakelaar!
Volgende: Load cell mod voor t3pa 06-'17 Load cell mod voor t3pa

Reacties


Door Tweakers user Gilotto, dinsdag 17 oktober 2017 11:54

Bedankt voor de duidelijke handleiding! Ik was toevallig ook op zoek naar een VPN oplossing voor mijn telefoon.
Ik wilde dit via openVPN instellen.
Jouw oplossing is makkelijk aangezien je dan geen aparte app nodig hebt op je android device.

Door Tweakers user Mmore, dinsdag 17 oktober 2017 12:51

Als je docker hebt op je Synology (of een ander apparaat) (of gewoon een LXC container/linux systeem hebt) dan is pritunl een uitstekende backend voor openVPN imo.

https://pritunl.com/
https://hub.docker.com/r/jippi/pritunl/

Met pritunl maak je eenvoudig vanuit een webgui gebruikers aan en download je een zip bestandje die de openVPN client direct kan lezen en gebruiken, zowel op mobiel als andere apparaten. En vooral fijn dat logs goed bijgehouden worden en je makkelijk functies zoals 2FA kan toevoegen.

:Y)

[Reactie gewijzigd op dinsdag 17 oktober 2017 12:53]


Door Tweakers user masauri, dinsdag 17 oktober 2017 13:14

Bedankt voor de handleiding!
Héél nuttige informatie en goed duidelijk !

Door Tweakers user Gilotto, dinsdag 17 oktober 2017 13:16

Mmore schreef op dinsdag 17 oktober 2017 @ 12:51:
[...]
Als je docker hebt op je Synology (of een ander apparaat) (of gewoon een LXC container/linux systeem hebt) dan is pritunl een uitstekende backend voor openVPN imo.

https://pritunl.com/
Bedankt voor de link. Kende pritunl nog niet. Ik heb helaas geen docker ondersteuning op mijn Synology. Ik heb wel een Pi liggen. Misschien kan die het draaien samen met Pi-hole :)

Door Tweakers user HvanL, dinsdag 17 oktober 2017 13:32

pi-hole kan ook draaien op synology ;)

https://discourse.pi-hole...ole-on-a-synology-nas/289

[Reactie gewijzigd op dinsdag 17 oktober 2017 13:33]


Door Hendrik, dinsdag 17 oktober 2017 13:46

Mag ik vragen waarom je voorstelt de DNS server aan te passen naar 8.8.8.8? Zonder deze aanpassing zou de VPN ook prima moeten werken. En een VPN instellen vanwege privacy, om vervolgens je DNS verkeer direct naar Google te sturen lijkt mij op zijn minst merkwaardig.

Overigens kun je voor Synology ook de DNS Server package installeren, en die als ad-blocker gebruiken. Handig als je geen Raspberry Pi hebt. Bijkomend voordeel vind ik, is dat de DNS Server van Synology voor een geblokkeerd domein NXDOMAIN teruggeeft (domein bestaat niet), terwijl Pi-hole je doorverwijst naar een webpagina op de raspberry zelf.

Door Tweakers user K-Jay, dinsdag 17 oktober 2017 13:49

Hendrik schreef op dinsdag 17 oktober 2017 @ 13:46:
Mag ik vragen waarom je voorstelt de DNS server aan te passen naar 8.8.8.8? Zonder deze aanpassing zou de VPN ook prima moeten werken. En een VPN instellen vanwege privacy, om vervolgens je DNS verkeer direct naar Google te sturen lijkt mij op zijn minst merkwaardig.
Je moet iets invullen bij DNS, anders kun je de optie Always-on niet gebruiken. Ik zal een extra zinnetje toevoegen over DNS.

[Reactie gewijzigd op dinsdag 17 oktober 2017 13:51]


Door Hendrik, dinsdag 17 oktober 2017 15:07

Ok, duidelijk. Dat het verplicht is om Always-on te kunnen gebruiken kon ik er niet uit opmaken.

Overigens wel vreemd dat dit verplicht is om Always-on te kunnen gebruiken, net als de eis om een IP-adres in plaats van een ddns-adres te gebruiken. Iemand een idee of daar een reden voor is?

Door Tweakers user armageddon_2k1, dinsdag 17 oktober 2017 20:21

Mmore schreef op dinsdag 17 oktober 2017 @ 12:51:
[...]
Als je docker hebt op je Synology (of een ander apparaat) (of gewoon een LXC container/linux systeem hebt) dan is pritunl een uitstekende backend voor openVPN imo.
Synology heeft toch gewoon native OpenVPN ondersteuning?

Door Tweakers user Snake, dinsdag 17 oktober 2017 20:32

Hendrik schreef op dinsdag 17 oktober 2017 @ 15:07:
Ok, duidelijk. Dat het verplicht is om Always-on te kunnen gebruiken kon ik er niet uit opmaken.

Overigens wel vreemd dat dit verplicht is om Always-on te kunnen gebruiken, net als de eis om een IP-adres in plaats van een ddns-adres te gebruiken. Iemand een idee of daar een reden voor is?
DNS lookup kan nog altijd gefaked worden, als jij bijvoorbeeld connect met mijn rogue AP die jouw een fake IP teruggeeft.


Door Tweakers user Thedr, woensdag 18 oktober 2017 10:24

Nice, was al een tijdje op zoek naar een tutorial hoe dat voor elkaar te krijgen.

Draai al een tijd OpenVPN, misschien ook maar eens een continue VPN opzetten zoals hier beschreven. Ook dank daarvoor!

Door Tweakers user ASS-Ware, donderdag 19 oktober 2017 00:03

armageddon_2k1 schreef op dinsdag 17 oktober 2017 @ 20:21:
[...]


Synology heeft toch gewoon native OpenVPN ondersteuning?
Yup, en die kun je gewoon op poort 443 laten draaien en die wordt nergens geblockt.

Door Tweakers user _ferry_, donderdag 19 oktober 2017 10:51

Gebruikte al OpenVPN, maar deze er ook nog even aan toegevoegd. Gek genoeg doet hij het op 1 telefoon wel, en op de andere niet.

Vergeet trouwens ook niet om de PSK in te vullen. Nouja, vergeten kun je het niet want het is een verplichte instelling :P

Door Tweakers user macnerd, vrijdag 20 oktober 2017 00:09

Bookmarked! Kan er alleen nog niks mee want mijn Synology is een jaartje of 10 oud ;(
Een nieuwe staat wel op mijn wensenlijstje.

Gebruik je als je op een mobiele verbinding zit (bv 4G) ook VPN?

Door Tweakers user K-Jay, vrijdag 20 oktober 2017 09:09

macnerd schreef op vrijdag 20 oktober 2017 @ 00:09:
Gebruik je als je op een mobiele verbinding zit (bv 4G) ook VPN?
Yep, omdat ik zo via 4g ook gebruik kan maken van pi-hole :)

Door Tweakers user Pietervs, zaterdag 18 november 2017 00:45

Leuke handleiding!

Ik ga hier mee aan de slag :)

Door Tweakers user Pietervs, maandag 27 november 2017 21:57

Ok, eindelijk tijd voor gemaakt :)

Handleiding is prima! Ik heb het aan de praat gekregen op mijn telefoon.
Pihole had ik al draaien op een Raspberry, dus die heb ik ook ingesteld.

Gekke is alleen, dat met "Always On" mijn Wifi niet meer werkt als ik thuis ben. Ik heb dat nog niet buitenshuis geprobeerd. Lijkt er een beetje op dat het verkeer via mijn router naar het externe adres wordt omgeleid, waarna het getunneld wordt door de NAS, waardoor er een loop ontstaat in het netwerkverkeer. ;(
Terwijl ik dit zit te typen krijg ik verbinding via mijn wifi :? Heeft blijkbaar toch ff nodig voor het verkeer goed gerouteerd wordt.

Bedankt! :)

Reactie formulier
(verplicht)
(verplicht, maar wordt niet getoond)
(optioneel)