VPN Opzetten met 2 Zyxel P-2612HW-F1 routers

woensdag 3 maart 2010 21:16

Acties:

0 Henk 'm!

Moderator General Chat / Wonen & Mobiliteit

Topicstarter

Ik heb sinds kort 100/100 Glasvezel en iemand anders uit dezelfde plaats ook. Wij hebben allebei de Zyxel P-2612HW-F1 router en deze heeft een VPN optie.

Omdat ik een NAS heb en we die nu al samen gebruiken, wil ik graag een VPN opzetten waarmee hij dus ook van de lokale functionaliteiten gebruik kan maken, door bijvoorbeeld met zijn mediaspeler de NAS als netwerkschijf te benaderen. De NAS zelf (Synology DS 409+) zou zelf uitgerust kunnen worden met OpenVPN, maar dat moet met een omweg en ik regel dit liever via de router zelf die hier al een optie voor lijkt te hebben.

Op de Zyxel website heb ik verklaringen voor de in te vullen termen gevonden en op basis daarvan wat keuzes gemaakt en ingevuld. Hij heeft precies hetzelfde ingevuld, waar natuurlijk de lokale en niet lokale gegevens zijn omgedraaid.

Dit zijn op dit moment de instellingen:

Afbeeldingslocatie: http://i49.tinypic.com/2ppk7xw.jpg

Afbeeldingslocatie: http://i49.tinypic.com/2ppk7xw.jpg

Afbeeldingslocatie: http://i47.tinypic.com/2mx0j1s.jpg

Nadat wij allebei de VPN's hebben geactiveerd zie ik in de logs wel wat IPSEC/IKE regels langskomen, van beide IP's, maar ik kan de 1-2 interne IP's van de ander niet benaderen of pingen, de VPN lijkt dus niet opgezet te worden. Ik neem aan dat ik er goed aan heb gedaan mijn router in een andere range te zetten? Of juist niet en moet die van mij ook met 192.168.1 beginnen en moet ik ipv met 33 te starten met bijvoorbeeld .1.50 beginnen?

Ik zie ook opties om certificaten aan te maken, te exporteren en te importeren, is dat nodig, of optioneel? Kan iemand aangeven of ik op de goede weg zit, of een fout maak? Bedankt.

Replace fear of the unknown with curiosity | 54 kWh thuisaccu's | Tesla Model Y LR & Model 3 SR+ | Totaal 190 kWh opslag | 10.660 Wp zonnepanelen

woensdag 3 maart 2010 21:28

Acties:

0 Henk 'm!

arjants

Heb je de poorten ook aan de firewall toegevoegd?
Certificaten zijn verder niet nodig, subnetten moeten wel verschillend zijn.
Zet nat traversal eens uit als test

[ Voor 12% gewijzigd door arjants op 03-03-2010 21:28 ]

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

woensdag 3 maart 2010 21:41

Acties:

0 Henk 'm!

Taro

Moderator General Chat / Wonen & Mobiliteit

Topicstarter

Port 1723 neem ik aan? Ja. Of een ander of meerdere?

Ik weet alleen niet of ik deze via de rule WAN to LAN of WAN to WAN/ROUTER moet aanmaken? Sowieso allemaal wat vaag geregeld naar mijn idee

Na je antwoord zal ik het even testen, bedankt.

Replace fear of the unknown with curiosity | 54 kWh thuisaccu's | Tesla Model Y LR & Model 3 SR+ | Totaal 190 kWh opslag | 10.660 Wp zonnepanelen

zondag 7 maart 2010 18:48

Acties:

0 Henk 'm!

Taro

Moderator General Chat / Wonen & Mobiliteit

Topicstarter

Iemand nog een idee? De Firewall was geen oorzaak, ook het helemaal uitschakelen ervan heeft geen effect.

Replace fear of the unknown with curiosity | 54 kWh thuisaccu's | Tesla Model Y LR & Model 3 SR+ | Totaal 190 kWh opslag | 10.660 Wp zonnepanelen

maandag 15 maart 2010 13:17

Acties:

0 Henk 'm!

Taro

Moderator General Chat / Wonen & Mobiliteit

Topicstarter

Is er misschien iemand die ervaring heeft met deze router of VPN instellingen? Het lukt nog steeds niet, maar de bevestiging dat ik op de goede weg ben aan de hand van bovenstaande screenshots zou al fijn zijn, bedankt.

Replace fear of the unknown with curiosity | 54 kWh thuisaccu's | Tesla Model Y LR & Model 3 SR+ | Totaal 190 kWh opslag | 10.660 Wp zonnepanelen

maandag 15 maart 2010 22:11

Acties:

0 Henk 'm!

The-Source

Wat ik ff afvraag is er wel en VPN server in de router zit. Want zo de instellingen te zijn zijn dat client instellingen en geen server.
Verder zou ik de local en remote naar 1ip adres zetten want er wordt namelijk maar 1 connectie gemaakt met 1 ip adres.
edit:
Want wat jij eigenlijk wil is een lan - lan verbinding ipv dat er 1tje in het lan van de ander wordt opgenomen.
In mijn draytek modem/router kan ik dat overigens wel afzonderlijk opgeven en wat daarbij vooral iets is waarbij je moet opletten is call direction, (dial in/ dial out/ both)

edit2: en de site is dusdanig brak dat ik de pdf niet kan checken of me vermoede klopt (wel of geen vpn server)

[ Voor 45% gewijzigd door The-Source op 15-03-2010 22:22 ]

Taal fouten inbegrepen ;)
Mijn AI Art YouTube kanaal

donderdag 18 maart 2010 22:40

Acties:

0 Henk 'm!

Taro

Moderator General Chat / Wonen & Mobiliteit

Topicstarter

Inmiddels is het me gelukt en is de VPN tunnel actief. Nu kan ik alleen geen IP's bij de ander pingen of benaderen, behalve die van de andere router.

Via telnet heb ik ipsec dial 1 uitgevoerd en toen werd de verbinding actief, heb ook http://www.valadissupport...p?submit=show&fn=z2z.html en http://www.valadissupport.nl/vpndebug.html gevolgd.

Allow all traffic through netbios staat aan, ik heb beide firewalls voor de zekerheid even helemaal uitgezet. Via tracert krijg ik na de andere router ook geen response meer.

Ik heb nu mijn local adres op single 192.168.2.34 gezet en remote nog op 192.168.1.0 met subnet 255.255.255.0, is dat goed? Eigenlijk wil ik dat de ander alleen bij mijn .2.34 adres kan, de rest hoeft niet, daar heb je dus wel gelijk in. Enig idee hoe ik nu verder kom? Bedankt.

Replace fear of the unknown with curiosity | 54 kWh thuisaccu's | Tesla Model Y LR & Model 3 SR+ | Totaal 190 kWh opslag | 10.660 Wp zonnepanelen

zaterdag 20 maart 2010 19:10

Acties:

0 Henk 'm!

Taro

Moderator General Chat / Wonen & Mobiliteit

Topicstarter

Helaas, met een enkel IP werkt dit ook niet.

Ik heb nu local: 192.168.2.0 / 255.255.255.0 en remote: 192.168.1.0 / 255.255.255.0. Ik heb zelf IP 192.168.2.33 en kan 192.168.1.1 (de router van de ander dus) pingen, maar 192.168.1.33 (PC van de ander) kan ik niet pingen. Hij kan ook niets in mijn netwerk pingen, behalve mijn router.

Ik lees hier en daar dingen over routes aanmaken enzo, in de router kan dat ook, maar vul ik bijvoorbeeld:

destination ip: 192.168.1.33
subnet: 255.255.255.0
gateway: 192.168.1.1

in, dan krijg ik een error op de gateway. Vul ik daar .2.1 in, dan heeft het volgens mij geen nut?

[ Voor 25% gewijzigd door Taro op 20-03-2010 19:43 . Reden: Iets verder gekomen... ]

Replace fear of the unknown with curiosity | 54 kWh thuisaccu's | Tesla Model Y LR & Model 3 SR+ | Totaal 190 kWh opslag | 10.660 Wp zonnepanelen

zondag 21 maart 2010 14:25

Acties:

0 Henk 'm!

The-Source

En probeer subnetmasker 255.255.254.0 eens. (mits je 192.168.1.x en 192.168.2.x als reeksen aan blijft houden.

Taal fouten inbegrepen ;)
Mijn AI Art YouTube kanaal

maandag 22 maart 2010 19:02

Acties:

0 Henk 'm!

Taro

Moderator General Chat / Wonen & Mobiliteit

Topicstarter

Helaas, dat werkt ook niet. Kan het dus zijn dat ik iets met static routes moet gaan doen? Zo ja, welke moet ik dan toevoegen in de routers?

Ik heb inderdaad die 2 reeksen aangehouden. Pingen werkt nog steeds niet.

Replace fear of the unknown with curiosity | 54 kWh thuisaccu's | Tesla Model Y LR & Model 3 SR+ | Totaal 190 kWh opslag | 10.660 Wp zonnepanelen

maandag 22 maart 2010 22:49

Acties:

0 Henk 'm!

The-Source

Laat hem dan via het subnet masker dwingen om het lokaal te zoeken. Dus 255.255.0.0, en doe naast een ping eens een tracert zodat je kunt zien waar het mis gaat.

Taal fouten inbegrepen ;)
Mijn AI Art YouTube kanaal

maandag 22 maart 2010 22:54

Acties:

0 Henk 'm!

leuk_he

1. Controleer de kabel!

die 192.168.1 en 2 zijn toch wel adressen buiten de range die de router normaal toekend? (niet zeker weten...)

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

dinsdag 23 maart 2010 13:17

Acties:

0 Henk 'm!

Taro

Moderator General Chat / Wonen & Mobiliteit

Topicstarter

leuk_he schreef op maandag 22 maart 2010 @ 22:54:
die 192.168.1 en 2 zijn toch wel adressen buiten de range die de router normaal toekend? (niet zeker weten...)

Mijn router heeft IP 192.168.2.1 en start met uitgeven op 192.168.2.33, de ander heeft IP 192.168.1.1 en start met 192.168.1.33 (Standaard voor Zyxel's blijkbaar).

Ik kan dit natuurlijk anders instellen, maar het zou fijn zijn als we de 2 netwerken, via internet, aan elkaar kunnen knopen. Of ben ik dan nu helemaal verkeerd bezig en kan je nooit bij IP's van de andere range komen op deze manier? Is het ook eventueel mogelijk om ze beiden in 192.168.1.x te zetten, waar er 1 begint bij .1.1 en de ander bij .1.50 ofzo? Of maakt dat niet uit?

Replace fear of the unknown with curiosity | 54 kWh thuisaccu's | Tesla Model Y LR & Model 3 SR+ | Totaal 190 kWh opslag | 10.660 Wp zonnepanelen

woensdag 24 maart 2010 19:48

Acties:

0 Henk 'm!

Taro

Moderator General Chat / Wonen & Mobiliteit

Topicstarter

klaasbram schreef op maandag 22 maart 2010 @ 22:49:
Laat hem dan via het subnet masker dwingen om het lokaal te zoeken. Dus 255.255.0.0, en doe naast een ping eens een tracert zodat je kunt zien waar het mis gaat.

Als ik dit instel, is de router intern niet meer bereikbaar, alleen via het externe IP, dat lijkt me ook niet goed.

Als ik alles weer op 255.255.255/254.0 zet zien de pings en tracerts er zo uit:

Ping:

Pingen naar 192.168.1.1 met 32 bytes aan gegevens:
Antwoord van 192.168.1.1: bytes=32 tijd=2 ms TTL=253
Antwoord van 192.168.1.1: bytes=32 tijd=2 ms TTL=253
Antwoord van 192.168.1.1: bytes=32 tijd=2 ms TTL=253
Antwoord van 192.168.1.1: bytes=32 tijd=2 ms TTL=253

Ping-statistieken voor 192.168.1.1:
Pakketten: verzonden = 4, ontvangen = 4, verloren = 0
(0% verlies).

De gemiddelde tijd voor het uitvoeren van één bewerking in milliseconden:
Minimum = 2ms, Maximum = 2ms, Gemiddelde = 2ms

Tracert naar de router:
tracert 192.168.1.1

Traceren van de route naar 192.168.1.1 via maximaal 30 hops

1 23 ms 27 ms 18 ms 192.168.2.1
2 * * * Time-out bij opdracht.
3 * * * Time-out bij opdracht.
4 * * * Time-out bij opdracht.
5 * * * Time-out bij opdracht.
6 * * * Time-out bij opdracht.
7 * * * Time-out bij opdracht.
8 * * * Time-out bij opdracht.
9 * * * Time-out bij opdracht.
10 * * * Time-out bij opdracht.
11 * * * Time-out bij opdracht.
12 * * * Time-out bij opdracht.
13 * * * Time-out bij opdracht.
14 * * * Time-out bij opdracht.
15 * * * Time-out bij opdracht.
16 * * * Time-out bij opdracht.
17 * * * Time-out bij opdracht.
18 * * * Time-out bij opdracht.
19 * * * Time-out bij opdracht.
20 * * * Time-out bij opdracht.

Tracert naar een pc bij de ander:
tracert 192.168.1.34

Traceren van de route naar 192.168.1.34 via maximaal 30 hops

1 12 ms 14 ms 20 ms 192.168.2.1
2 * * * Time-out bij opdracht.
3 * * * Time-out bij opdracht.
4 * * * Time-out bij opdracht.
5 * * * Time-out bij opdracht.
6 * * * Time-out bij opdracht.
7 * * * Time-out bij opdracht.
8 * * * Time-out bij opdracht.
9 * * * Time-out bij opdracht.
10 * * * Time-out bij opdracht.

Dit pingen doe ik vanaf 192.168.2.34

[ Voor 76% gewijzigd door Taro op 24-03-2010 19:57 ]

Replace fear of the unknown with curiosity | 54 kWh thuisaccu's | Tesla Model Y LR & Model 3 SR+ | Totaal 190 kWh opslag | 10.660 Wp zonnepanelen

vrijdag 26 maart 2010 19:03

Acties:

0 Henk 'm!

The-Source

Taro schreef op dinsdag 23 maart 2010 @ 13:17:
[...]

Mijn router heeft IP 192.168.2.1 en start met uitgeven op 192.168.2.33, de ander heeft IP 192.168.1.1 en start met 192.168.1.33 (Standaard voor Zyxel's blijkbaar).

Ik kan dit natuurlijk anders instellen, maar het zou fijn zijn als we de 2 netwerken, via internet, aan elkaar kunnen knopen. Of ben ik dan nu helemaal verkeerd bezig en kan je nooit bij IP's van de andere range komen op deze manier? Is het ook eventueel mogelijk om ze beiden in 192.168.1.x te zetten, waar er 1 begint bij .1.1 en de ander bij .1.50 ofzo? Of maakt dat niet uit?

Dat is mogelijk. Een mooie indeling zou dan eerder zijn dat de ene bij 1.100 en de andere 1.200.
Of als er veel clients te verwachten zijn dan zou je de laatste range eerder moeten beginnen. De Poolsize stel je in ieder geval lager in dan het eerste getal van de volgende range. In het bovenstaande voorbeeld zou de poolsize niet groter mogen zijn dan 99 en bij de 2e niet groter dan 54.
De defaultgateway zou dus altijd op het adres van de lokale router moeten staan

Maar mijn vermoede is dat er iets mis is in je vpn. En het ping commando antwoord via het interne gedeelte van je lokale router. Maar omdat ik de handleiding er destijds niet bij kon pakken ivm brakke site weet ik nog steeds niet of er wel een vpn server in je router zit.

Taal fouten inbegrepen ;)
Mijn AI Art YouTube kanaal

zaterdag 27 maart 2010 21:57

Acties:

0 Henk 'm!

Taro

Moderator General Chat / Wonen & Mobiliteit

Topicstarter

Bedankt, maar er wordt wel een VPN tunnel opgezet, is dat niet alleen mogelijk als er een VPN server aanwezig is?

Replace fear of the unknown with curiosity | 54 kWh thuisaccu's | Tesla Model Y LR & Model 3 SR+ | Totaal 190 kWh opslag | 10.660 Wp zonnepanelen

zondag 28 maart 2010 14:37

Acties:

0 Henk 'm!

The-Source

Kun je in 1 van de routers zien dat de ander verbonden is? (security -> vpn -> monitor)
Wat me opvalt in de handleiding is dat ze steeds zyxel dit (lokaal) en dan remote Ipsec router. Ze zeggen bv nooit dat het dezelfde router kan zijn. (maar dat hoeft niets te betekenen).
Verder nog wat leesvoer : ftp://ftp.zyxel.dk/P-2612.../P-2612HW-F1_3.70_ed1.pdf
En dan vanaf pagina 260.
Op pagina 265 het stukje local ook even goed bekijken. (eigenlijk alle velden want hierbij staat duidelijk waar ze voor dienen etc).
Wat ik overigens wel mis een keep alive ip adres zodat de verbinding up blijft en dial directions.
Maar in ieder geval succes met lezen en uitproberen

edit het voorbeeld op pagina 289 komt in de buurt wat jij wil maar dan met maar 1 vestiging

[ Voor 6% gewijzigd door The-Source op 28-03-2010 14:40 ]

Taal fouten inbegrepen ;)
Mijn AI Art YouTube kanaal

zondag 28 maart 2010 18:23

Acties:

0 Henk 'm!

Taro

Moderator General Chat / Wonen & Mobiliteit

Topicstarter

Ik ga die PDF nog doornemen, maar de VPN tunnel is actief en staat ook bij monitor, bij beide routers. Dat is al sinds mijn post van 18 maart zo trouwens. Ik kan dus ook de andere router via zijn interne IP pingen, ik kan alleen niet bij andere IP's in het andere netwerk.

Edit: Gelezen, wel nav hiervan range met 2 IP adressen gebruikt ipv .0 met een subnet. Verder geen succes, alles werkt, tunnel wordt opgezet met fase 1 & 2, maar kan de andere IP adressen nog steeds niet pingen.

[ Voor 28% gewijzigd door Taro op 28-03-2010 19:07 ]

Replace fear of the unknown with curiosity | 54 kWh thuisaccu's | Tesla Model Y LR & Model 3 SR+ | Totaal 190 kWh opslag | 10.660 Wp zonnepanelen

zondag 28 maart 2010 19:24

Acties:

0 Henk 'm!

Verwijderd

Als je de routers in dezelfde range (192.168.1.x) aan beide kanten wilt zetten zou je je beter een mooi rond, als in binaire rond, subnet moeten kiezen. Dus router A 192.168.1.1 en router B op 192.168.1.128.

Als subnet kies je dan van 255.255.255.128 oftewel allemaal 1 behalve de laaste 7 bits. Het 8e bit wordt zo een soort selectie bitje dat bepaalt of een pakketje de VPN over zou moeten of niet. Je zou dan static routes moeten opzetten zodat alle pakketjes op hun eigen helft blijven. Lees bijvoorbeeld ook de Wikipedia pagina.

Ook zul je of (semi-)statische DHCP moeten gaan doen of alle DHCP packtjes firewallen anders gaan de DHCP servers in de beide routers mekaar lastig vallen en krijgen PC's op het ene netwerk instructies om de router op het andere netwerk te gaan gebruiken en gaat al je internet verkeer 2x over de VPN heen en dat wil je niet.

Kortom het kan wel maar of de Zyxel routers het ook kunnen weet ik. Je zou ook eens kunnen kijken naar de dd-wrt firmware daarin kan dit zeker en dan kun je bijvoorbeeld ook OpenVPN, IPv6, en meer gebruiken.

zondag 28 maart 2010 20:40

Acties:

0 Henk 'm!

Taro

Moderator General Chat / Wonen & Mobiliteit

Topicstarter

Bedankt klaasbram & Docey, maar iets dat ik "even" wilde proberen en mij leuk leek als het zou werken, wordt me nu teveel gedoe om voor elkaar te krijgen. Ik kan me er wel verder in gaan verdiepen, maar ik los het wel met bijvoorbeeld FTP op, dat blijft ook werken als bijvoorbeeld 1 van de 2 routers wordt vervangen door een ander type. Mocht iemand ooit iets hebben van "Als je dit zo instelt en dit zo, dat is voldoende", dan probeer ik het alsnog, maar het lijkt een stuk complexer te zijn

Replace fear of the unknown with curiosity | 54 kWh thuisaccu's | Tesla Model Y LR & Model 3 SR+ | Totaal 190 kWh opslag | 10.660 Wp zonnepanelen

zondag 28 maart 2010 20:56

Acties:

0 Henk 'm!

Verwijderd

Geen probleem joh. Ik heb het ook nooit werkend gekregen op mijn routers (Linksys rv42).

Uiteindelijk heb ik toen gewoon op een oude Pentium III Linux geinstalleerd met OpenVPN en had ik het binnen een dag werkend. Ik ben gewoon voor een apart VPN netwerk gegaan op 10.5.43.x terwijl mijn LAN draait op 192.168.1.x en elke client die aan de VPN wilde meedoende installeerde gewoon de client en kreeg een extra virtuele netwerkkaart met een virtueel IP. Voor de externe clients moest ik gewoon port-forwarding aanzetten.

Mischien moet jij het ook eens in die richting zoeken want zoals ik al zei: Ik kreeg het ook niet werkend

zondag 28 maart 2010 21:56

Acties:

0 Henk 'm!

KennieNL

zet iig je local en remote op de optie subnet met 192.168.1.0 / 255.255.255.0 en de andere op subnet met 192.168.2.0 / 255.255.255.0

verder probeer het eens zonder nat-traversal.

je tunnel komt wel up, maar for some reason komt er geen traffic over.

zondag 28 maart 2010 22:03

Acties:

0 Henk 'm!

Verwijderd

waarschijnlijk het ontbreken van een static route van 192.168.1.x -> 192.168.2.x en visa versa

Onderwerpen