VPN via router, en met een cliënt verbinden?

Wat voor router ? En heb je al eens gezocht op de naam van de router + vpn ? Volgens mij is het de bedoeling om een vpn op de router te configureren en dus niet via een VPN provider.

Gezien ze je dit vragen op werk lijkt me het handig om het eerst even samen met iemand anders te doen? Je mag aannemen dat ze het niet voor niets vragen, waarschijnlijk krijg je meer van deze VPN taakjes. En dan is het wel fijn om alles te weten van een betrouwbare bron.

Plus dat dit een hele specifiek scenario zal zijn, waar wij gewoon veel meer moeten weten. Informatie die collega's al zullen weten.

Verwijderd schreef op woensdag 21 oktober 2015 @ 10:53:
[...]


Dank, ik heb een Draytek 2920n.
En het lijkt mij ook om een VPN in de router te configureren.

Draytek werkt alleen goed naar Draytek. Houd er rekening mee dat de NAT throughput instort als je IPsec verbindingen met encryptie maakt vanaf een 2920. De 2920 is al een wat oudere router die niet erg snel is.

Omdat encryptie nogal wat rekenkracht vereist van zo'n router. Daarom stort je NAT throughput in en dat kan een belemmering zijn.

-edit-
Niet alleen je statische forwardings, maar ook alle dynamische forwardings dus!

[ Voor 26% gewijzigd door Trommelrem op 21-10-2015 11:07 ]

ADSL, VDSL, glas of coax?

Ik denk dat het wel handig is wat beter te beschrijven wat je nu precies wilt bereiken......

Je zegt dat er een router is en een PC/server. Welke kant is veilig en welke kant moet veilig worden? Dat bepaalt namelijk volledig waar je welk werk zult moeten gaan doen.....

Ofwel: Wat is je topografie, waar ligt de verbinding, wat wordt als veilig gezien, wat moet veilig worden, wat voor soort verkeer loopt er, is er verkeer wat niet veilig hoeft?

Panden onderling verbinden met fatsoenlijke vpn routers.
Wel zorgen dat elk pand inter een apart subnet gebruikt, anders krijg je routing issue's

[ Voor 44% gewijzigd door KillerAce_NL op 21-10-2015 11:24 ]

Dus gewoon een site to site VPN.

Draytek kan dat prima, echter houd dus rekening mee met de limieten (geldt voor alle merken, ook voor Cisco's). De Draytek 2920 kan nog net die Ziggo verbinding aan, maar bij de volgende snelheidsupgrade zal je merken dat je internet ineens heel traag wordt door de 2920.

Als je al Draytek gewend bent, overweeg dan de 2925 of de 2860, afhankelijk van de snelheden op de lokaties. Site to site van Draytek naar Draytek is net als de was doen. Het is heel simpel en het werkt altijd.

[ Voor 10% gewijzigd door Trommelrem op 21-10-2015 11:26 ]

Wat je dus in feite wilt hebben is een virtual LAN tussen alle locaties, voor verkeer wat tussen PCs op die locaties loopt. Verkeer wat níet tussen die PCs gaat mag (ik zou zeggen: moet vanwege performance) over de open verbinding lopen.

Dit is geen eenvoudige situatie. Dit is niet op te lossen met een eenvoudige configuratie van de router. Ik zou je sterk adviseren hier een externe specialist voor in te huren.

De enige serieuze optie die ik zie is een hub-spoke systeem opzetten waarbij de glasvezel locatie als hub neergezet wordt en iedere andere locatie als spoke een VPN verbinding maakt met de hub. Vervolgens moet je zorgen dat alleen verkeer naar de andere PCs via de VPN gerouteerd wordt.

De opmerking van Trommelrem gaat niet op. De draytek kan alleen álles routeren over de VPN of niets. DIe is dus ongeschikt. Voor de 2925 geld hetzelfde (nagenoeg dezelfde firmware). De 2860 ken ik niet maar ik verwacht dat hier hetzelfde verhaal voor op gaat.

pand 1: 192.168.1.x mask 255.255.255.0
pand 2: 192.168.2.x idem
pand 3: 192.168.3.x idem

Gateway op elke locatie blijft de huidige gateway, zodat verbindingen naar het internet (0.0.0.0) gewoon netjes over de externe lijn gaat en verkeer naar 1 van de panden over de VPN tunnel. Je dient dan wel in pand 2 en 3 een route maken voor de subnets van elkaar en dat deze over de gateway moet van pand 1.

Dan tussen de panden een site2site VPN opzetten, pand 2 en 3 verbinden naar pand 1.
Routering / firewall rules checken.

dan heb je "1 netwerk" en kan je van alle locaties naar elke pc verbinden.

Croga schreef op woensdag 21 oktober 2015 @ 11:27:
Wat je dus in feite wilt hebben is een virtual LAN tussen alle locaties, voor verkeer wat tussen PCs op die locaties loopt. Verkeer wat níet tussen die PCs gaat mag (ik zou zeggen: moet vanwege performance) over de open verbinding lopen.

Dit is geen eenvoudige situatie. Dit is niet op te lossen met een eenvoudige configuratie van de router. Ik zou je sterk adviseren hier een externe specialist voor in te huren.

Wat ben je toch een doemdenker

Het is niets meer dan een IPsec tunnel maken, encryptie eroverheen gooien en de routes controleren. Draytek maakt zelf de routes aan. En eventueel kun je zelf nog routes toevoegen, als je perse met een hub and spoke systeem wilt werken.

De enige serieuze optie die ik zie is een hub-spoke systeem opzetten waarbij de glasvezel locatie als hub neergezet wordt en iedere andere locatie als spoke een VPN verbinding maakt met de hub. Vervolgens moet je zorgen dat alleen verkeer naar de andere PCs via de VPN gerouteerd wordt.

De opmerking van Trommelrem gaat niet op. De draytek kan alleen álles routeren over de VPN of niets. DIe is dus ongeschikt. Voor de 2925 geld hetzelfde (nagenoeg dezelfde firmware). De 2860 ken ik niet maar ik verwacht dat hier hetzelfde verhaal voor op gaat.

Owja? Bron?

Draytek is ook gewoon een router en kan prima bepalen welk verkeer over welke route moet. De default instelling is zelfs dat het default verkeer over de normale internetverbinding gaat en dat de subnets van de VPN's gewoon over de VPN gaan.

Wat jij bedoelt is dat als je een VPN maakt bij RoutIT, dat dan inderdaad alle verkeer over de VPN gaat.

[ Voor 3% gewijzigd door Trommelrem op 21-10-2015 11:32 ]