VPN opzetten naar LAN

renevanh schreef op woensdag 20 januari 2016 @ 22:24:
- Name resolving voor het LAN moet werken, de ERP software werkt uitsluitend met de hostnaam, niet met het IP-adres (hoe verzinnen ze het...).

Wat bedoel je met name resolving? In een 'simpel' LAN hebben devices geen DNS entry op een lokale resolver. Bedoel je NetBIOS name resolution?

Ik aan de slag. Eerst OpenVPN geprobeerd. Verbinding komt tot stand, pingen naar VPN interface kan, maar name resolve en lokale interface niet. Best wat zitten knoeien maar niet aan de praat gekregen.

Je zult in ieder geval uit moeten zoeken of je op layer 2 moet kunnen communiceren (tap in OpenVPN-land) en of je in hetzelfde subnet moet zitten (vermoed ik wel als je echt niet om NetBIOS heen kunt).

Ingebouwde VPN van Windows geprobeerd, ook weinig succes. File sharing werkt over IPv6 prima, over IPv4 niet. Idem voor name resolving die over IPv6 de VPN interface bereikt, niet de lokale. Ik krijg geen verbinding met de lokale interface en dus geen contact met de applicatieserver. Redelijk zitten knoeien met de routing binnen Windows, maar zonder succes.

Wat is de lokale interface?

Daar werd vooral heel moeilijk gedaan met 'wij weten het wel maar als je het niet kan mag je het niet doen' gedrag
Is er hier iemand die een goede tip heeft of mij kan bijstaan? Ik wil er ook van leren, maar nu zit ik vast

Wij weten het misschien wel, maar alleen als je je OpenVPN config post

Ipforwarding moet ook aanstaan, staat die aan? Daarnaast heb ik hier een static route in mijn router.

https://openvpn.net/index...enable-ip-forwarding.html

[ Voor 16% gewijzigd door xzaz op 21-01-2016 12:08 ]

Ik wil dat alles in het netwerk 192.68.1.x beschikbaar is voor de 10.8.1.x netwerk. Ik heb een static route in mijn router zodat ik overal bij kan via het subnet van de vpn.

Daarnaast heb ik ook gemerkt dat veel router 1194 UDP/TCP niet leuk vinden, ik denk dat deze standaard in gebruik is / gereserveerd is voor (niet altijd) beschikbare ingebouwde VPN. Ik heb dus een andere poort gepakt op UDP.

[ Voor 8% gewijzigd door xzaz op 22-01-2016 15:59 ]

Waarop draaide je OpenVPN? Op de internetrouter of op de server met het ERP-pakket? Of weer ergens anders?

Welke VPN-oplossing je ook kiest, namen resolven gaat een dingetje zijn. Het makkelijkste is om op de PC met de VN-client een entry op te nemen in het hosts-bestand. Iedere naam die gebruikt wordt (waarschijnlijk alleen de computernaam van de ERP-server) zet je erin, met het juiste IP-adres (192.168.178.x).

Als je de VPN termineert op de internetrouter dan kan het hele netwerk probleemloos (onder voorbehoud van de firewall op je router uiteraard) bij je VPN-client (voor retourverkeer), en als je in de VPN-instellingen opgeeft dat je client het subnet 192.168.178.0/24 kan vinden via de VPN-server dan kan je client ook naar binnen.

Draai je de VPN-server op de ERP-server dan kunnen er rare dingen gebeuren wanneer je via een bepaald IP naar een ander IP op diezelfde server gaat, het retourpad kon dan wel eens erg vreemd lopen (of geprobeerd worden en mislukken ).

Welke router betreft het? Een Ziggo UBEE (gegokt aan de hand van het IP)? Doet hij ook Wifi en zo ja, wordt die (van de router dus, niet een los AP) ook gebruikt ?

Wat Paul hierboven suggereert mbt. hostnames is ook een goede - als het werkt met entries in je hosts file dan is NetBIOS blijkbaar geen vereiste, en zou je er met een paar juiste routes moeten zijn.

Grootste probleem wat ik daar zie is wat hij ook al aanstipt, als je VPN gateway niet de primaire router is heb je een extra route op je router nodig. Bij veel SoHo-routers kun je dat simpelweg niet configureren.

Alternatief blijft uiteraard om te switchen van tun naar tap, dan verdwijnen alle routingproblemen opeens als sneeuw voor de zon. Vereist wel wat extra configuratiehandelingen op de VPN server - je zult de netwerkinterface richting het LAN in een bridge moeten hangen met de tap interface van OpenVPN..

Waar het op neerkomt is eigenlijk heel simpel op te lossen via een paar truukjes.

Je kan het eventueel via openvpn doen of zelfs via een SSH/SSL tunnel met een linux kastje zo simpel als een raspberry pi.

Ik wil best een keer met je meekijken naar je openvpn configuratie en het samen met je even oplossen via webex/skype etc.

Voor openvpn heb je twee dingen nodig om dit werkend te krijgen :

* je gebruikt in general dev tun , dev tap is de ouderwetse manier en kan wel werken maar is in mijn ervaring een stuk instabieler tijdens gebruik.

1 ) je moet het ip van de "server" kunnen pingen vanaf je vpn verbinding. Dit kan je doen doen door inderdaad de route mee te pushen : push "route 192.168.1.0 255.255.255.0"
zoals je in je server config hebt aanstaan.

Als je dus vanaf de "remote werkplek" ingelogd bent op de openvpn en je het ip kan pingen dan is het heel simpel om via een truukje het op "hostname" available te maken.

er zijn middelen via openvpn (registerdns / push option "DOMAIN") etc om hostnames door te sturen maar dat is soms erg ingewikkeld om lekker aan de praat te krijgen (en goed voor kopzorgen).

Aangezien het om 1 persoon gaat is het in dit geval veel makkelijker om even in zijn hosts file te gaan (in windows) en dan het ip adres van de "server" en de "servernaam" toe te voegen in de etc/hosts.

Als je dan via command prompt / shell een nslookup zou doen of een ping "servernaam" dan pakt hij de ingestelde waardes vanuit je hosts file en dan zou hij gewoon moeten kunnen verbinden.

Een andere optie zou zijn om bv via een (linux) bak een ssh-tunnel op te zetten en dan door bv putty of myendtunnel ervoor te zorgen dat hij de port forward naar localhost:4506 , dan zou je daarna wel in de hosts file op de client dit toevoegen : 127.0.1.1 servernaam

Lemme know if you need more help

Gebruik geen Raspberry Pi throughput is te laag. Wat je probleem is, is dat NetBIOS niet cross-subnet werkt. Hier zijn twee opties voor:

- Geen NetBIOS gebruiken
- NetBIOS relay gebruiken

Ander probleem is dat de Ubee firmware standaard niet lekker werkt met een netwerk waar onbekende routering of subnets rondspoken... komt voornamelijk door de standaard iptables2 setup die op de firmware ingebouwd zit. Dat kan je helaas niet veranderen, en zelfs al zou je aan het hacken gaan (het kan wel via een seriele console die je op het PCB van de modem kan vinden), dan is het bij de eerstvolgende TFTP boot of firmware update van de provider weer weg.

Wat je nodig hebt:

- Een fatsoenlijke router/firewall
- Een systeem dat NetBIOS kan relayen (of je gebruikt NetBIOS gewoon niet)

Wat je waarschijnlijk beter niet kan doen:

- Layer2 VPN opzetten (niet bepaald veilig voor thuisgebruik)
- RDP / terminal server optuigen (duur)
- Tinc, SSL VPN, ngrok, socks proxies, ssh tunneling, TeamViewer, Hamachi enz. (niet geschikt)

Wat ik je suggereer:

- als je low-budget werkt: een pfSense firewall
- kan kant-en-klaar bij netgate besteld worden als je net wat meer te besteden hebt
- in een VM als je niks te besteden hebt

met pfSense kan je dan je WAN IP van je kabelverbinding door bridge modus beter gebruiken, bijvoorbeeld wel poort 1194 gebruiken in plaats van wat Ubee/provider vind. Daarnaast zit OpenVPN, IPSec, L2TP enz. ingebouwd, inclusief een NetBIOS relay, en fatsoenlijke subnet routing, NAT en DNS services. Dit kan natuurlijk ook met een apparaat van een random netwerk leverancier, bijv. Cisco, HP, Juniper enz. Kost je een tienvoud in zal in je huidige situatie weinig tot geen toegevoegde waarde hebben.

Wat je qua setup dan waarschijnlijk nodig hebt:

- OpenVPN server aanmaken (duh)
- Lokale subnets die je wil kunnen bereiken toevoegen in de configuratie voor de OpenVPN server die je net aangemaakt hebt
- NetBIOS bridging aan zetten
- DNS push aan zetten

het is ook praktisch om Client Export Utility te installeren in de pfSense package manager, dan kan je met 1 druk op de knop voor Windows, OSX, Linux, Android, iOS enz. kant en klare configuraties en packages exporteren per gebruiker. Die stuur je dan naar de persoon die moet verbinden en die kan dan met een paar klikken de VPN client + juiste configuratie gebruiken. Moet natuurlijk wel met eigen username en password inloggen. Je kan interne authenticatie gebruiken door lokaal gewoon users toe te voegen, maar je kan het ook aan Active Directory koppelen waardoor mensen hun bestaande accounts kunnen gebruiken.