Ik heb thuis en bij m'n ouders twee virtuele machines draaien als soft-router. Ik gebruik daarbij zeroshell als software pakket wat op zich goed bevalt omdat ik inmiddels redelijk begrijp hoe het werkt.
Ik blijf echter problemen houden met de server bij m'n ouders. Er draaien daar 2 virtuele machines op de server en af en toe loopt een virtuele machine vast. Dat probleem lijkt in de hardware configuratie van die server te zitten maar dat betekend dus dat af en toe de soft-router niet meer reageert.
Om de betrouwbaarheid wat te verbeteren zit ik er over te denken om 2 keer een EdgeRouter Lite te kopen zodat ieder geval de internet verbinding altijd blijft werken en ik eventueel op afstand de resterende virtuele machine kan resetten. Al hoop ik eigenlijk dat de ellende weg is als ik de virtuele soft-router verwijder.
Ik weet alleen niet zeker of de EdgeRouter mijn huidige configuratie kan vervangen.
Ik heb nu dus twee LAN omgevingen. Elk met een eigen subnet en DHCP. Deze zijn via internet met een VPN tunnel aan elkaar gerouteerd. Internetverkeer gaat op beide locaties gewoon via de gateway het internet op. LAN-to-LAN verkeer zou dus via de VPN tunnel moeten gaan. Vanaf internet kan ik ook client-to-LAN VPN opzetten via openVPN, PPTP of IPsec. Dit kan zowel bij mij thuis als bij mijn ouders (voor het geval de LAN-to-LAN verbinding plat ligt.)
Dit zou tot nu toe geen probleem mogen zijn lijkt mij
Ik heb bij mij thuis o.a. een webserver en mailserver draaien. Deze zijn via NAT vanaf internet bereikbaar.
Lijkt me ook geen probleem
Op beide locaties heb ik ook wifi draaien. Deze wifi-netwerken zijn niet beveiligd. De gateway heeft op deze interface NAT draaien en een firewall. Om te kunnen internetten maak ik met me mobiel/laptop een PPTP of IPsec VPN verbinding met de gateway. Dit VPN verkeer kan via de gateway het internet op maar dus ook richting de rest van het LAN.
Dit verhaal stamt nog uit de tijd dat het aanzetten van de WEB encryptie op de AP een negatieve invloed had op de verbindingssnelheid. En roaming van AP naar AP werkte niet goed met WEB aan. Bovendien was WEB helemaal niet zo veilig, een paar GB data aftappen was voldoende om achter de sleutels te komen.
Voor gasten laat ik op de wifi tegenwoordig wel DNS (tcp/udp 53) toe en whatsapp via poort 5222 het internet op. Zodoende hoeft niemand codes in te voeren. Voor vaste gebruikers met een ge-whitelist MAC-adres is ook HTTPS beschikbaar. Dat verkeer is end-to-end encrypted dus niet af te luisteren op een open wifi.
Kan ik op de EdgeRouter voor beide interfaces een aparte NAT tabel hanteren? Ik wil op beide interfaces VPN toelaten maar vanaf internet is ook http en mail beschikbaar terwijl dit vanaf de wifi niet bereikbaar mag zijn. Vanaf de wifi moet ik de firewall wel juist weer zo kunnen instellen dat 443 en 5222 wel naar internet mag(buiten de NAT om)
Verder rommel ik nu wat met de DNS server op de gateway om te zorgen dat verkeer naar de mailserver en webserver via de VPN tunnel loopt en niet via internet. mail.mijndomein.nl geeft bij een DNS op internet mijn externe IP maar vanaf het LAN op beide locaties dus het interne IP van de mailserver. Idem voor de webserver. Ik heb ook nog intern een aantal DNS servers voor het lokale domein. mijndomein.local aanvragen worden nu door de gateway doorgestuurd naar de domeincontroller.
Verder misbruik ik de DNS server op de gateways om wat externe domeinen (ad-servers) te blokkeren. Hier staan nu dus een stuk of 300 domeinnamen in. Maar dat zou eventueel ook via een web-content filter op te lossen moeten zijn. Misschien zelfs met een Error-451 ipv een 404?
Omdat android tegenwoordig steeds moeilijker doet met automatisch verbinden met wifi als daar geen volledig internet beschikbaar is wil ik misschien op mijn AP met aparte netwerken gaan werken voor gasten (open wifi maar alleen 443 en 5222), 'vaste gasten' (WPA2 wifi met volledig internet) en vaste gebruikers(WPA2 wifi met internet en LAN). Dit verkeer komt dan als VLAN uit de AP rollen.
Snapt de EgdeRouter dit?[Voor 6% gewijzigd door NBK op 23-12-2015 15:52]