twee vpn connecties op netgear r7000

Ik denk dat je wat dingetjes door elkaar aan het halen bent.

Wat je wil, is twee WiFi netwerken, waarvan 1 op de reguliere manier via je router naar buiten gaat en de andere over een VPN gestuurd wordt.

Allereerst heb je dan een router nodig die de volgende dingen kan:
1) Meerdere WiFi SSID's serveren
2) Een koppeling kan leggen tussen een nader te defineren ingang (in jouw geval een specifiek WiFi SSID, maar mag netzogoed een LAN poort zijn)
3) Ondersteuning voor het correcte VPN protocol
4) De VPN verbinding als een routeerbare netwerkinterface gebruikt.

Nu is de combinatie van VPN en koppelen tussen interface en VPN niet zo vreemd, maar de mogelijkheid om dat per SSID of LAN poort op te geven is wat meer high-end en zal je niet zomaar tegenkomen op consumenten materiaal.
Daarbij is het alles via VPN of niks via VPN, in de meeste gevallen. Mogelijk dat een router voor kleine bedrijven daar wel de functionaliteit voor biedt. Maar die zijn in de regel flink prijziger dan consumentenmateriaal.

Verder moet je VPN provider ook nog de mogelijkheid aanbieden dat je je VPN abbo kan gebruiken voor bridging. Want dat is wat je eigenlijk doet. Je maakt een bridge tussen jouw LAN (of afgesloten WiFi) en hun LAN.
Dat kan prima geblokkeerd zijn. Sterker nog, dat is meestal geblokkeerd, tenzij ze specifiek aangeven van niet.

Verder lijkt Vypr een aangepaste versie van OpenVPN te gebruiken. Chameleon is geen protocol, maar een marketing naam voor OpenVPN met scrambling patch. Absoluut 0,0 kans dat ook maar enige willekeurige router op de markt dat gaat ondersteunen.

Kortom, ookal zou je een router kopen die VPN aan een SSID kan koppelen, dan gaat het alsnog niet lukken. Allereerst omdat commerciele VPN oplossingen in de meeste gevallen geen bridging ondersteunen, en anders wel omdat het protocol non-standaard is en er geen enkel apparaat op de markt is wat het ondersteunt.


Maargoed, wat wel een oplossing is:
Koop een RaspberryPi (of iets vergelijkbaars zoals een OrangePi of een Odroid C2 ofzo), zet daar een variant van Linux op (Raspbian is lekker standaard en goed gedocumenteerd) en installeer dan OpenVPN of SoftEther VPN Server.
Zorg dat je een LAN aansluiting hebt naar je router en een WiFi stick op USB die in AccessPoint mode kan draaien.

Huur dan een VPS (Virtual Private Server) in de USA en installeer daar ook OpenVPN of SoftEther VPN Server op.
Configureer OpenVPN of SoftEther om een Bridge verbinding te leggen tussen jouw RaspberryPi(of alternatief) en zichzelf.
Zorg dat de VPS kant iets van IPTables' Masquerade of SoftEther VirtualNAT heeft zodat hij kan routeren.

Gebruik IPTables of SoftEther's Localbridge functie op de RaspberryPi om het WiFi stickje direct aan het VPN te koppelen.

Log met je devices thuis in op het WiFi Accesspoint wat wordt geserveerd door je RaspberryPi(of alternatief) en voila, je data wordt gerouteerd naar waar de VPS staat en gaat daar vandaan het internet op.

McKaamos schreef op woensdag 7 december 2016 @ 16:58:

Kortom, ook al zou je een router kopen die VPN aan een SSID kan koppelen, dan gaat het alsnog niet lukken. Allereerst omdat commerciele VPN oplossingen in de meeste gevallen geen bridging ondersteunen, en anders wel omdat het protocol non-standaard is en er geen enkel apparaat op de markt is wat het ondersteunt.

Echt wel.

Ik heb hier zelfs drie VPN's draaien op een Mikrotik (kastje van nog geen drie tientjes), en twee SSID's.

En ze gaan allemaal daar waar ze horen te gaan.

Ook als ik een desktop aansluit, wordt er op IP adres (URL) gefilterd. M.a.w: Als er een request komt voor IP 215.24.26.214 (als voorbeeld), dan gaat het via VPN 1. Komt er iets voor als nu.nl of tweakers.net, dan gaan men helemaal de VPN niet op, maar meteen naar Ziggo etc....

Het is niet makkelijk, maar kan wel.

Draait als een zonnetje. Je moet wel natuurlijk twee VPN providers hebben (of twee accounts met verschillende "inbelpunten" (USA en UK bijvoorbeeld).

Verwijderd schreef op woensdag 7 december 2016 @ 17:38:
[...]


Echt wel.

Ik heb hier zelfs drie VPN's draaien op een Mikrotik (kastje van nog geen drie tientjes), en twee SSID's.

En ze gaan allemaal daar waar ze horen te gaan.

Ook als ik een desktop aansluit, wordt er op IP adres (URL) gefilterd. M.a.w: Als er een request komt voor IP 215.24.26.214 (als voorbeeld), dan gaat het via VPN 1. Komt er iets voor als nu.nl of tweakers.net, dan gaan men helemaal de VPN niet op, maar meteen naar Ziggo etc....

Het is niet makkelijk, maar kan wel.

Draait als een zonnetje. Je moet wel natuurlijk twee VPN providers hebben (of twee accounts met verschillende "inbelpunten" (USA en UK bijvoorbeeld).

Naja, dan is dat de uitzondering op de regel. De meeste apparatuur kan dat niet.

Maargoed, dan zit je alsnog met de aangepaste variant van OpenVPN die gebruikt wordt door Vypr. Of kan je ook nog je eigen gerolde versie van OpenVPN op dat ding draaien?

[ Voor 9% gewijzigd door McKaamos op 07-12-2016 17:41 ]

Verwijderd schreef op woensdag 7 december 2016 @ 17:57:
aller eerst bedankt voor de reply zo snel!

heb nog een vraag. nu kan ik met aanbieder vypr op 1 imac verbinding maken met usa. en me 2e imac connecten met vypr uk. maar zou het liefst t dus direct standaard al bij de router geregeld hebben.
dus via software die connect kan ik twee vpn verbindingen krijgen na verschillende locaties op 1 abonnment.
kan ik anders aan mijn adsl router twee netgear r7000 routers hangen met wrt firmware dat ik zo de twee ssid werkend krijg met 1 vpn uk en 1 vpn usa

met openvpn software en een dedicated machine met centos erop werkt wel, maar krijg ik proxy meldingen voor netflix.
zou je die openvpn met scrambling patch zelf ook kunnen opzetten?

Waar heb jij die dedicated machine staan dan? Vast niet in de USA, of wel?

En ja, OpenVPN is opensource en er zijn patches beschikbaar die scrambling toevoegen.
Welke het precies moet zijn? Schiet mij maar lek. Maar het bestaat en je kan het inderdaad zelf compilen.

McKaamos schreef op woensdag 7 december 2016 @ 16:58:
Allereerst omdat commerciele VPN oplossingen in de meeste gevallen geen bridging ondersteunen, en anders wel omdat het protocol non-standaard is en er geen enkel apparaat op de markt is wat het ondersteunt.

Met alles eens, behalve dit stuk.

Je wilt helemaal niet bridgen; er is ook geen enkele use case voor VPN providers om dat te ondersteunen.

Wat je wel zult moeten doen is een aparte routetabel hanteren voor de SSIDs in kwestie. Dat gaat inderdaad niet lukken zonder 'geavanceerde router' (OpenWRT, MikroTik..)

Verwijderd schreef op woensdag 7 december 2016 @ 17:57:
zou je die openvpn met scrambling patch zelf ook kunnen opzetten?

Belangrijkere vraag: waarom? Want volgens mij snap je niet wat een 'scrambling' patch inhoudt. Nu ben ik niet in detail bekend met de desbetreffende provider, maar die term wordt in de Tor-wereld gebruikt voor obfuscatie van je VPN-tunnel.

Dat is handig als je in China zit en men OpenVPN (het protocol) actief probeert te blokkeren, in jouw geval heeft het geen énkel nut. Wat het bovenal niet doet is je verkeer voor Netflix 'verstoppen'; zij zien uberhaupt enkel verkeer pas vanaf het eindpunt van je tunnel, en in het geval van een commerciële VPN-provider is er een redelijke kans dat zij het IP-adres ook kennen als VPN-dienst.

eentje locatie frankrijk. andere moet ik kijken.
zijn van online.net. was toen meer om te testen of t openvpn server opzetten beetje te doen was

Ik kan me voorstellen dat Netflix OVH ook op de blacklist heeft staan. Veel te goedkope hosting, no brainer voor al die VPN-providers om daar ook een node neer te zetten.

Het beste is om een VPS'je te nemen in een kleine onbekende IP-reeks, dan weet je zeker dat hij niet geblacklist is.

Thralas schreef op woensdag 7 december 2016 @ 19:35:
[...]


Met alles eens, behalve dit stuk.

Je wilt helemaal niet bridgen; er is ook geen enkele use case voor VPN providers om dat te ondersteunen.

Wat je wel zult moeten doen is een aparte routetabel hanteren voor de SSIDs in kwestie. Dat gaat inderdaad niet lukken zonder 'geavanceerde router' (OpenWRT, MikroTik..)


[...]


Belangrijkere vraag: waarom? Want volgens mij snap je niet wat een 'scrambling' patch inhoudt. Nu ben ik niet in detail bekend met de desbetreffende provider, maar die term wordt in de Tor-wereld gebruikt voor obfuscatie van je VPN-tunnel.

Dat is handig als je in China zit en men OpenVPN (het protocol) actief probeert te blokkeren, in jouw geval heeft het geen énkel nut. Wat het bovenal niet doet is je verkeer voor Netflix 'verstoppen'; zij zien uberhaupt enkel verkeer pas vanaf het eindpunt van je tunnel, en in het geval van een commerciële VPN-provider is er een redelijke kans dat zij het IP-adres ook kennen als VPN-dienst.


[...]


Ik kan me voorstellen dat Netflix OVH ook op de blacklist heeft staan. Veel te goedkope hosting, no brainer voor al die VPN-providers om daar ook een node neer te zetten.

Het beste is om een VPS'je te nemen in een kleine onbekende IP-reeks, dan weet je zeker dat hij niet geblacklist is.

Het ging ook niet zozeer om het 'waarom' van de scrambling patch, maar meer om het feit dat Vypr VPN dat gebruikt en je aan beide kanten zal moeten matchen, wil je een verbinding tot stand kunnen brengen.
Probleem is dat er meerdere verschillende methodes zijn en dus ook verschillende patches die je kan toepassen op een OpenVPN build. En dan moet je maar hopen dat dat de correcte is om te connecten met Vypr.
Voor hetzelfde geld hebben ze hun eigen versie van zo'n patch gemaakt. En dan kan je het wel schudden.
Eitherway, in geen van beide gevallen krijg je dat in de gemiddelde router gepropt, zonder flink werk te verzetten. DDWRT/OpenWRT en dergelijke opensource firmwares zijn uiteraard prima te verbouwen, maar de vraag is of je dat wil gezien de hoeveelheid werk en kennis die daar in gaat zitten.

Anderzeids is het voor de OP voldoende om een doodsimpel, totaal unencrypted PPTP tunneltje neer te leggen.
Het is niet alsof Netflix tussen NL en USA monitort wat er over de lijn vliegt, en dus hebben ze ook geen weet van het feit dat hij een tussenstop maakt via een VPN server. Zolang het maar lijkt alsof hij in de USA zit, dan is het al lang prima. Scrambling en zware encryptie zijn absoluut zinloos voor deze use-case.
En dat is dan ook meteen wat de OP totaal lijkt te hebben gemist. Als een VPN server niet in het land van bestemming staat, dan heb je er gewoon niets aan. Het gaat niet om het anonimiseren, maar om het verplaatsen van de plek waar jouw traffic het web op gaat.
Dát is, for all intents and purposes, jouw GeoIP lokatie en daarop baseert een dienst als Netflix (of de BBC iPlayer, of wat dan ook voor geoblocked videodienst) wat jouw lokatie is.

Wat betreft het bridgen ben ik het niet volledig met je eens.
Als je meerdere clients aan 1 verbinding hangt, waarbij je een accesspoint direct aan een VPN connectie knoopt, zullen die meerdere clients ook allemaal een eigen IP willen opvragen en zullen allen een eigen MAC-adres hebben. Dat wordt vaak geblokkeerd, maar is wel handig om te kunnen.
En ja, je kan natuurlijk nog weer een laagje NAT er tussen drukken. Dan heb je dat probleem waarschijnlijk al niet meer, maar voegt wel weer een extra laag complexiteit toe.
Het is al veel gevraagd voor de meeste apparaten om uberhaupt VPN aan een apparte LAN poort te knopen, laat staan dat daar dan ook meteen weer even een laagje NAT aan vast zit.
Niet dat een eigen VPN server ergens neer dumpen ook maar op enige wijze simpeler is, maar dat terzeide