Verbing met ASUS Router als VPN Client

dinsdag 2 augustus 2016 11:46

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ik ben in het bezit van een ASUS RT-AC66U router. Deze is via de WAN poort verbonden met mijn ExperiaBox V9. De ASUS router zit in de DMZ. Mijn interne netwerk maakt verbinding met de ASUS (DHCP).
Alles werkt naar behoren. Ik kan de router vanaf het WAN benaderen en configureren. De router is geconfigureerd als VPN server en ook dit werkt perfect. Verbinding is snel en stabiel.

Echter, als ik de ASUS als VPN client configureer (account bij TotalVPN) en de VPN connectie activeer dan kom ik niet meer vanaf het WAN op de router. De VPN verbinding werkt perfect. Ik zie dat ik via een IP adres van de VPN server van TotalVPN op het internet kom. Ik ben geen specialist in netwerken en begrijp niet waarom ik mijn router niet meer kan bereiken vanuit het WAN. Als ik de VPN client in de ASUS weer deactiveer dan is alles weer in orde. Kan iemand mij hiermee helpen?

Ik heb alle settings al doorlopen en ook een supportticket geopend bij TotalVPN. Maar die begrijpen mijn vraag niet (ze denken helaas nog steeds dat ik geen VPN verbinding kan maken met de VPN server van TotalVPN).

dinsdag 2 augustus 2016 11:49

Acties:

0 Henk 'm!

jeroen3

Omdat je dan met het WAN IP adres van de VPN tunnel moet verbinden. Toch?
De WAN verbinding van de asus word toch door de tunnel gelegd?

dinsdag 2 augustus 2016 11:59

Acties:

0 Henk 'm!

daxy

Ik denk dat dit gebeurt:
Pakketjes van WAN komen op interface eth0 binnen maar worden uitgestuurd via een tun interface van je VPN client.
Linux vindt dit meestal niet erg leuk want hij verwacht dat pakketjes op 1 interface binnen komen en daar ook weer uit gaan.
Ik weet niet of het werkt en of dit inderdaad je probleem is, maar je kan eens kijken of het werkt als je de Reverse Path Filters aanpast naar 0.
Voor het aanpassen zie: http://tldp.org/HOWTO/Adv...WTO/lartc.kernel.rpf.html
Voor het verschil in waardes zie: https://www.kernel.org/do.../networking/ip-sysctl.txt (kijk bij rp_filter)

Let us know.

Do not argue with a fool. He will drag you down to his level and beat you with experience.

dinsdag 2 augustus 2016 12:01

Acties:

0 Henk 'm!

wizai

Heeft de VPN Client voorheen wel gewerkt?
Wat voor ip adres krijgt je ASUS, komt dit ip adres uit de DHCP pool van de Experiabox?

Anjunabeats

dinsdag 2 augustus 2016 12:13

Acties:

+1 Henk 'm!

Verwijderd

Topicstarter

Dank voor de reacties.

@wizai: VPN client werkt prima. Daar is geen probleem. De ASUS heeft een static DHCP binding. Werkt allemaal naar behoren. Ik heb dus twee subnetten, 1x vanuit V9 (192.168.2.x) en 1x vanuit ASUS (192.168.1.x). Alle apparaten zitten in het laatste subnet aangezien ze via de ASUS verbinding maken (wired en wireless). Ik kan vanuit het LAN zowel de ASUS (192.168.1.1) en de V9 (192.168.2.254) benaderen.
Ook kan ik vanuit het WAN de ASUS benaderen via poort 8080/8443.
Echter, als ik de VPN client in de ASUS activeer kom ik niet meer vanuit het WAN op deze router. Hij blijft stil.

@daxy: ik denk dat je helemaal gelijk hebt. Begrijp ik het goed dat het volgende gebeurd: ik probeer mijn ASUS te benaderen via het IP adres uitgegeven door mijn ISP (KPN,86.84.x.x). Vervolgens verstuurt de ASUS zijn antwoord via de VPN tunnel van TotalVPN (amsterdam.unifiedvpn.com = 45.32.232.227).
Helaas dat ik je oplossing niet begrijp, maar dat ligt helemaal aan mij. Zijn dit aanpassingen in de ASUS router?

dinsdag 2 augustus 2016 13:13

Acties:

0 Henk 'm!

daxy

Verwijderd schreef op dinsdag 02 augustus 2016 @ 12:13:
@daxy: ik denk dat je helemaal gelijk hebt. Begrijp ik het goed dat het volgende gebeurd: ik probeer mijn ASUS te benaderen via het IP adres uitgegeven door mijn ISP (KPN,86.84.x.x). Vervolgens verstuurt de ASUS zijn antwoord via de VPN tunnel van TotalVPN (amsterdam.unifiedvpn.com = 45.32.232.227).
Helaas dat ik je oplossing niet begrijp, maar dat ligt helemaal aan mij. Zijn dit aanpassingen in de ASUS router?

Inderdaad, dit lijkt mij ook. bi-directional routing heet dit ook wel. Standaard werkt dit dus niet op Linux maar je kan het wel aanzetten. Je Asus router draait gewoon een Linux versie en op mij Asus kan ik inderdaad zien dat RP_Filter (aka bi-directioneel routing) uit staat:

admin@RT-AC87U-A6D8:/tmp/home/root# cat /proc/sys/net/ipv4/conf/eth0/rp_filter
1
admin@RT-AC87U-A6D8:/tmp/home/root#

Draai je Merlin of de stock Asus versie?
Als je Merlin draait dan kan je met SSH inloggen op je router.
Vervolgens moet je de instellingen aanpassen voor iedere file met:

admin@RT-AC87U-A6D8:/tmp/home/root# echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter
admin@RT-AC87U-A6D8:/tmp/home/root# echo 0 > /proc/sys/net/ipv4/conf/br0/rp_filter
etc.

Als je dit gedaan hebt, kijk dan eens of het wel werkt.
Let op: Deze aanpassing is weer ongedaan na een reboot. Zodra het werkt zal je dus even een opstart script/setting moeten maken waarin dit automatisch gebeurd na een reboot. Maar kijk eerst even of het werkt

Do not argue with a fool. He will drag you down to his level and beat you with experience.

dinsdag 2 augustus 2016 13:49

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Draai je Merlin of de stock Asus versie?
Als je Merlin draait dan kan je met SSH inloggen op je router.
Vervolgens moet je de instellingen aanpassen voor iedere file met:
admin@RT-AC87U-A6D8:/tmp/home/root# echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter
admin@RT-AC87U-A6D8:/tmp/home/root# echo 0 > /proc/sys/net/ipv4/conf/br0/rp_filter
etc.

Dank! Ik was, met name door jouw hulp, al een stuk verder. Heb inmiddels de Merlin firmware draaiend (de beta versie 380.61 aangezien de huidige versie wordt geblokkeerd door ASUS doordat deze niet gecertificeerd zou zijn??). Ook heb ik WinSCP geïnstalleerd. Ik begrijp dat de rp_filter waarde standaard op 1 staat (Strict mode) en dat deze moet worden gezet op 0 (No source validation). Ook heb ik een link gevonden naar een document van Don DeGracia met meer uitleg voor router/linux/vpn newbies.
Ik begrijp dat je via een opdrachtregel binnen WinSCP scriptregels kunt uitvoeren en dat je ze, door ze op te slaan in de juiste directory, in het juiste formaat en juiste bestandsformaat, automatisch kunt laten uitvoeren.

Wat ik nog niet helemaal begrijp is voor welke files ik dat allemaal moet doen: alle files onder /ipv4? Dus ook /default, /lo, /tun21 (= VPN tunnel?), /vlan1, /vlan2 etc... en niet alleen /eth0, /eth1, /eth2

Groeten

dinsdag 2 augustus 2016 15:12

Acties:

0 Henk 'm!

daxy

Verwijderd schreef op dinsdag 02 augustus 2016 @ 13:49:
[...]

Dank! Ik was, met name door jouw hulp, al een stuk verder. Heb inmiddels de Merlin firmware draaiend (de beta versie 380.61 aangezien de huidige versie wordt geblokkeerd door ASUS doordat deze niet gecertificeerd zou zijn??). Ook heb ik WinSCP geïnstalleerd. Ik begrijp dat de rp_filter waarde standaard op 1 staat (Strict mode) en dat deze moet worden gezet op 0 (No source validation). Ook heb ik een link gevonden naar een document van Don DeGracia met meer uitleg voor router/linux/vpn newbies.
Ik begrijp dat je via een opdrachtregel binnen WinSCP scriptregels kunt uitvoeren en dat je ze, door ze op te slaan in de juiste directory, in het juiste formaat en juiste bestandsformaat, automatisch kunt laten uitvoeren.

Wat ik nog niet helemaal begrijp is voor welke files ik dat allemaal moet doen: alle files onder /ipv4? Dus ook /default, /lo, /tun21 (= VPN tunnel?), /vlan1, /vlan2 etc... en niet alleen /eth0, /eth1, /eth2

Groeten

WinSCP is geloof ik meer om bestanden te kopiëren, je kunt beter Putty gebruiken om toegang te krijgen.
Ik zou in eerste instantie alles aanpassen, ik weet namelijk niet welke je precies moet aanpassen. Het kan vrij weinig kwaad en na een reboot is toch alles weer terug

Trial and error

Do not argue with a fool. He will drag you down to his level and beat you with experience.

Onderwerpen

Vraag

Alle reacties