OpenVPN werkt, maar ik heb geen toegang tot mijn 192.168.3.x netwerk via mijn Experia Box V10

De computers maken verbinding met de NAS, maar de NAS lijkt de weg niet terug te vinden naar de computer. De NAS verteld het IP nummer van de tunnel aan de client, maar verdere data verstuurd die niet als ik het goed kan verworden zo. Maar tot nog toe probeer ik duidelijk te maken wat ik heb en wat ik wil, in de hoop een oplossing te krijgen, Maar ik heb ook nog niets veranderd sins mijn eerste bericht. Dus ik denk dat mijn situatie en mijn probleem duidelijk moet zijn nu.

Als ik vanaf mijn client een ping naar 192.168.2.x doe. krijg ik 100% lost. Ik wil dinsdag kijken wat er gebeurt als ik 10.8.0.1 ping. Want ik ben nu thuis en dinsdag weer in de loods. 

Maar als ik het voor elkaar kan krijgen dat ik via een hotspot een goede verbinding krijgen, dan zal het ook vanuit de loods wel werken denk ik.

Wat logisch is. Jouw cliënt in de loods heeft helemaal niets te zoeken op het netwerk van 192.168.2.x. tenzij je op OpenVPN en route daarvoor ingesteld hebt.

Ik neem aan dat OpenVPN zo ingesteld is dat de QNAP zelf virtueel 10.8.0.1 is en de clients 10.8.0.x krijgen. Dan zou je de services van de NAS gewoon op 10.8.0.1 moeten kunnen bereiken.

Zojuist nog eens getest met OpenVPN server op een OPNSense router virtuele machine op 192.168.5.1 met Linux client. 

Met “verb 3” in de client configuratie wordt op de client gelogd: 

2026-05-25 06:12:57 OPTIONS IMPORT: --ifconfig/up options modified
2026-05-25 06:12:57 OPTIONS IMPORT: route options modified
2026-05-25 06:12:57 OPTIONS IMPORT: route-related options modified
2026-05-25 06:12:57 OPTIONS IMPORT: tun-mtu set to 1500
2026-05-25 06:12:57 net_route_v4_best_gw query: dst 0.0.0.0
2026-05-25 06:12:57 net_route_v4_best_gw result: via 192.168.5.1 dev enp1s0
2026-05-25 06:12:57 ROUTE_GATEWAY 192.168.5.1/255.255.255.0 IFACE=enp1s0 HWADDR=52:54:00:7f:c3:98
2026-05-25 06:12:57 TUN/TAP device tun0 opened
2026-05-25 06:12:57 net_iface_mtu_set: mtu 1500 for tun0
2026-05-25 06:12:57 net_iface_up: set tun0 up
2026-05-25 06:12:57 net_addr_v4_add: 10.8.0.2/24 dev tun0
2026-05-25 06:12:57 net_iface_mtu_set: mtu 1500 for tun0
2026-05-25 06:12:57 net_iface_up: set tun0 up
2026-05-25 06:12:57 net_addr_v6_add: fc00:8::1000/64 dev tun0
2026-05-25 06:12:57 net_route_v4_add: 192.168.2.0/24 via 10.8.0.1 dev [NULL] table 0 metric -1
2026-05-25 06:12:57 Initialization Sequence Completed
2026-05-25 06:12:57 Data Channel: cipher 'AES-256-GCM', peer-id: 1
2026-05-25 06:12:57 Timers: ping-restart 120
2026-05-25 06:12:57 Protocol options: protocol-flags cc-exit tls-ekm dyn-tls-crypt

Vergeet de “v6” regels, dat is IPv6.

Het 192.168.2.0/24 netwerk wordt “gepushed” vanaf de server,
dat kan ook op de client door “route 192.168.2.0 255.255.255.0” aan de configuratie toe te voegen. 

10.8.0.1 is te pingen, en om het 192.168.2.0/24 netwerk te bereiken moest op de OpenVPN server  een NAT regel toegevoegd worden van OpenVPN netwerk  naar 192.168.2.x  adres. 

Standaard geeft de QVPN service op de QNAP geen toegang op het hele netwerk. Waarom zou je dat overigens willen???

Als je dat echt wilt zijn er nog de vinkjes voor "Gebruik deze gateway als standaard gateway voor VPN-apparaten" (Enable "Redirect Gateway") en "Sta VPN-clients toe om toegang te krijgen tot het lokale netwerk" ("Allow VPN clients to access the local network").

Als die opties niet aan staan kun je 192.168.2.0/24 niet bereiken en moet je de QNAP bereiken via zijn eigen OpenVPN IP.

De configs in QVPN zijn niet direct toegankelijk en als je die al aanpast via SSH, dan kunnen ze bij een restart overschreven worden. Of je moet dus met de .ovpn op de cliënt kunnen regelen. Maar de vinkjes in de server gui zijn natuurlijk makkelijker.

Indien nuttig heeft de Fritz!Box die KPN aanbiedt wel static routes
Also, een ingebouwde Wireguard server.

Wat heeft een static route voor zin hier?

PC in loods (192.168.3.xxx) ↔ VPN-Cliënt (10.x.x.x) ↔ Router 1 (195.240.zzz.zzz) ↔ Router 2 (195.121.nnn.nnn) ↔ NAS (192.168.2.yyy/10.y.y.y)

Een cliënt achter router 1 kan niet bereiken de VPN server achter router 2 via 192.168.xxx.xxx en visa versa. Om ze te bereiken moet de WAN-adressen van beide routers gebruikt worden.

De VPN verbinding werkt zover ik begrijp. Dus neem ik wel aan dat de OpenVPN gewoon de externe ip van thuis gebruikt om verbinding te maken. De vraag is echter wat je ermee wilt doen. Eerst werd gezegd dat alleen de NAS beschikbaar moest zijn voor de clients in de loods. Maar later wordt er over 192.168.2.0/24 gesproken. Maar 192.168.2.0/24 is helemaal niet nodig omdat de NAS voor OpenVPN beschikbaar is op zijn eigen OpenVPN IP (als OpenVPN server zijnde).

Ja, de NAS is de VPN-server tegelijk en is bereikbaar zonder verdere maatregels indien een werkende VPN-verbinding bestaat. Om een apparaat achter de NAS (NAS met 2 LAN-porten) bereikbaar te maken heeft men IP forwarding en NAT-regels binnen de NAS nodig

sudo sysctl -w net.ipv4.ip_forward=1
sudo sysctl -w net.ipv6.conf.all.forwarding=1
sudo firewall-cmd --permanent --zone=public --add-masquerade

Ik heb een heleboel zitten puzzelen, maar nu blijkt het heel eenvoudig de firewall te zijn war ik moest vertellen dat 10.8.0.0/24 toegang moet hebben..

Nadat ik dat had toegevoegd werkt het.

Hoi ​@Frits van Leeuwen, welkom op onze community! Ik heb hier zelf helemaal geen verstand van maar ik zie dat jullie er met z'n allen echt heel goed meegedacht hebben.

Fijn dat het werkt!