VPN bridge twee thuis netwerken? - Netwerken

dinsdag 31 januari 2017 18:39

Acties:

sdk1985

Topicstarter

Wat is voor de thuismarkt een handige oplossing om twee netwerken aan elkaar te koppelen? Het liefst een set en forget oplossing zodat ik er niet regelmatig vragen over krijg.

Wat moet werken
-Printer
-Fileshares op NAS

Speelgoed dat reeds beschikbaar is
-Ziggo technicolor modem x2
- pricewatch: Netgear Nighthawk R7000 - AC1900 Smart WiFi Router (in access point modus)
- pricewatch: Netgear Prosafe GSS108E Click Switch + 2 USB Charging ports
-Windows 10 gebaseerde zelfbouw NAS

R7000:
Met de R7000 kon ik zo 1,2,3 niet zo veel omdat de ingebouwde vpn server aldaar niet werkt in access point modus. In bridge modus laten zetten van de technicolor is voor de R7000 is geen optie ivm wegvallen Ziggo Wifi Hotspot. In 'normale' modus met de DHCP server uit kun je wel de VPN service inschakelen maar het lukte niet te verbinden. Vermoedelijk omdat hij zijn eigen IP niet weet (0.0.0.0) omdat de R7000 op deze manier denkt dat hij niet is verbonden met het internet. (in de client3.ovpn heb ik het ip aangepast).

Windows NAS
Zelf openvpn server installeren op de NAS was ook geen overweldigend success (certificaat generatie heel gedoe voor een extra aapraat/user)

Technicolor
Binnen de Ziggo modem zie ik zo 1,2,3 geen vpn/bridge mogelijkheden zoals die ooit in een grijs verleden wel in mijn ADSL modem (Draytek vigor) zaten.

Iemand wellicht nog een handige oplossing die ik over het hoofd zie?

[ Voor 19% gewijzigd door sdk1985 op 31-01-2017 18:59 ]

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

dinsdag 31 januari 2017 18:55

Acties:

laurens0619

2x een goedkope mikrotik hap lite kopen en ethernet over ip activeren. Dan gaat alles door de tunnel, ook multicast (fileshare autodiscovery) verkeer. Heb ik ooit opgezet en was echt met een aantal klikken te realiseren en transparant.

Let even goed op welke snelheid en protocollen je nodig hebt. Een openvpn doet bv het niet zo goed op cpus van goedkope routers

Als je aan beide kanten een windows nas hebt staan kun je het daar ook wel mee doen.. je kunt zelfs virtueel mikrotik draaien om het eens te testen of voor productie

Edit:

Ethernet over IP (EoIP) Tunneling is a MikroTik RouterOS protocol that creates an Ethernet tunnel between two routers on top of an IP connection. The EoIP tunnel may run over IPIP tunnel, PPTP tunnel or any other connection capable of transporting IP.
When the bridging function of the router is enabled, all Ethernet traffic (all Ethernet protocols) will be bridged just as if there where a physical Ethernet interface and cable between the two routers (with bridging enabled). This protocol makes multiple network schemes possible.

Network setups with EoIP interfaces:
Possibility to bridge LANs over the Internet
Possibility to bridge LANs over encrypted tunnels
Possibility to bridge LANs over 802.11b 'ad-hoc' wireless networks

[ Voor 59% gewijzigd door laurens0619 op 31-01-2017 18:59 ]

CISSP! Drop your encryption keys!

dinsdag 31 januari 2017 19:04

Acties:

sdk1985

Topicstarter

laurens0619 schreef op dinsdag 31 januari 2017 @ 18:55:
2x een goedkope mikrotik hap lite kopen en ethernet over ip activeren. Dan gaat alles door de tunnel, ook multicast (fileshare autodiscovery) verkeer. Heb ik ooit opgezet en was echt met een aantal klikken te realiseren en transparant.

Klinkt goed. Staat nu aan één kant een G4400 nas met 8 GB ram. Andere kant zou ik een E-350 neer kunnen zetten met 4 GB ram. Maar die is niet bijster snel.

Snap het alleen praktisch nog niet helemaal. Want ik neem aan dat de DHCP servers dan ruzie krijgen. Dat zou betekenen dat ik aan één kant de DHCP server moet uitzetten. Echter op die manier gaat al het verkeer via één van de netwerken lopen. Dat is ook weer niet de bedoeling. Het doel is puur die printer en fileshares toegankelijk maken.

Misschien kan ik met die managed switch het zo instellen dat het andere netwerk alleen bij de printer en NAS kan en dat DHCP verzoeken worden afgeketst? Of is er iets simpelers.

[ Voor 35% gewijzigd door sdk1985 op 31-01-2017 19:08 ]

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

dinsdag 31 januari 2017 19:16

Acties:

laurens0619

Bridgen op layer 2 krijgen dhcp servers idd ruzie. dat broadcast verkeer kun je met firewall regels afvangen maar niet de meest sjieke oplossing. Je moet ook even kijken of je ip adress spaces overlappen.

Ik zou dan niet op layer 2 bridgen maar via een vpn idd. Meest eenvoudige is dan ook afwijkendr ip spaces te gebruiken. Je clients proberen standaard via de default gateway naar de afwijkendr ip space te gaan dus meest makkelijke als de default gateway dit netwerk kent. Vpn regelen in je huidige df gw (internet routers) is dus aan te raden. Alternatief zijn static routes in je clients of op de routers naar een andere router.

Fileshare en printer zou gewoon werken maar je moet er rekening mee houden dat autodiscovery niet werkt en \\netbiosnaam ook niet. Dat is eenvoudig op te lossen met dns (\\nas.remote oid), entries in je hostfile of WINS. Alternatjef is \\ip gebruiken

Lees anders dit topic ff door: 2 aparte netwerken via lan met elkaar verbinden

Verschil is dat het daar om een fysieke utp kabel ging maar in principe komt routering/dubbele netwerken op hetzelfde neer

[ Voor 11% gewijzigd door laurens0619 op 31-01-2017 19:18 ]

CISSP! Drop your encryption keys!

dinsdag 31 januari 2017 19:37

Acties:

sdk1985

Topicstarter

Bedankt ik zou inderdaad één van de twee een ander bereik kunnen geven (192.168.178.x >>> 192.168.179.x) om de DHCP op te lossen. Dat de NAS zelf dan via IP moet is niet zo erg, kan daar ook nog wel een subdomein voor inschakelen (pcx.domein.nl).

Dat topic ga ik eens eens doorlezen.

Ik had overigens verwacht dat er wel een simpele software matige oplossing zou bestaan voor ethernet over ip. Jaren geleden had ik namelijk via de Hamachi software (onbedoeld) toegang tot printers in iemand anders zijn netwerk. Dat programma zorgde gewoon voor een virtuele netwerk adapter. Daarmee ging al het 'normale' verkeer via de gewone internet verbinding (192.x) en de andere shares waren via het 7.x netwerk te bereiken. Deze adapter kon je vervolgens delen met andere computers binnen je netwerk.

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

dinsdag 31 januari 2017 19:53

Acties:

laurens0619

Ja als je op iedere "src" pc zoiets hebt als hamachi gaat dat wel werken. Die software regelt namelijk ook de static routes naar de overkant in. De pc aan de andere kant met amachi kan nl het verkeer doorzetten naar de printer.

Dat gaat je met openvpn software ook lukken maar die moet je dan op iedere client draaien. Weet niet precies hoe dat adapter delen dan zou werken..

CISSP! Drop your encryption keys!

dinsdag 31 januari 2017 20:03

Acties:

sdk1985

Topicstarter

Ik doelde meer op deze optie:

Afbeeldingslocatie: https://tweakers.net/ext/f/V1sTMMeZ3hQ3vvmwibXZGjY4/full.png

Als ik het goed begrijp zou ik dit op één computer/nas aan kunnen zetten op netwerk A en dan verbinden met een server die bij netwerk B staat. Vervolgens kunnen alle apparaten op netwerk A bij de diensten van netwerk B.

Een server zou dan alsnog openvpn kunnen zijn of een fool proof dienst als Hamachi.

Dit is dan even een softwarematig alternatief voor jou microtik suggestie (als softwarematig te lastig wordt dan koop ik er daar wel twee van).

[ Voor 3% gewijzigd door sdk1985 op 31-01-2017 20:03 ]

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

dinsdag 31 januari 2017 20:08

Acties:

T.Kreeftmeijer

Thomas Kreeftmeijer

Kan je niet de router instellen als VPN client? Dan zit wel gelijk het hele netwerk in hetzelfde netwerk, maar is veel makkelijker dan op alle apparaten een VPN client instellen.

13 000 Zeemijl - documentaire - Soms maakt al die keus het er niet makkelijker op.

dinsdag 31 januari 2017 20:22

Acties:

laurens0619

Als je dat vinkje aanzet dan wordt je pc router en gaat zelfs een (extra) dhcp server aan. Dat gaat hem niet worden

CISSP! Drop your encryption keys!

dinsdag 31 januari 2017 20:46

Acties:

sdk1985

Topicstarter

Hah, dat gaat hem niet worden dan. Overal een VPN client installeren ook niet overigens.

Om het even concreet te maken: Wat zijn nu precies mijn software mogelijkheden op het moment dat ik niet voor 2x mikrotik hap lite ga maar 2x een NAS plaats?

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

dinsdag 31 januari 2017 20:57

Acties:

T.Kreeftmeijer

Thomas Kreeftmeijer

Je hebt op 1 plek een VPN server nodig en op de andere plek een VPN client. Dan kunnen als het goed is beide locaties met elkaar communiceren. Ik weet niet zeker of dit zo gaat, maar als het goed is werkt het wel zo. (Kan iemand dit even controleren, ik ben zelf nog niet helemaal in het VPN verhaal?) Je hebt dus 1 mikrotik nodig als router en de technicolour in bridge nodig. Bedenk wel dat de maximale snelheid de upload snelheid van de serverkant is.

13 000 Zeemijl - documentaire - Soms maakt al die keus het er niet makkelijker op.

dinsdag 31 januari 2017 21:42

Acties:

laurens0619

Met 2x een nas kun je een als vpn server en andere als client instellen. Verder zorgen dat ze verkeer kunnen routeren (bv via nat/internet deling maar wel ff opaasen dat je dat zonder dhcp server doet) naar die vpn. Op je huidige routers stel je dan static routes in dat verkeer naar ander subnet via de nas gateway moet. Als static routes niet lukken (wat me oneaarschijnlijk lijlt) dan stel je deze routes in op je clients.

[ Voor 9% gewijzigd door laurens0619 op 31-01-2017 21:44 ]

CISSP! Drop your encryption keys!

dinsdag 7 februari 2017 21:26

Acties:

sdk1985

Topicstarter

Heb ondertussen de twee boxjes binnen en heb aan beide kanten een Eoip tunnel toegevoegd. Dat blijkt helaas niet voldoende want heb nog geen connectiviteit.

Lan1=192.168.178.0/24
Lan2=192.168.279.0/24

In de documentatie maken ze ook nog een bridge. Dus ik heb bij Bridge>Ports ook de EOP tunnel aan "Bridge" toegevoegd. Iemand een idee wat ik mis?

Deze tutorial doet het net even anders (=extern ip toewijzen aan ehter1, masquerade toevoegen) maar waarom ontgaat mij helaas: https://www.techonia.com/5761/mikrotik-eoip-tunnel-in-action .

[ Voor 5% gewijzigd door sdk1985 op 07-02-2017 21:35 ]

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

dinsdag 7 februari 2017 21:40

Acties:

laurens0619

laurens0619 schreef op dinsdag 31 januari 2017 @ 19:16:
Bridgen op layer 2 krijgen dhcp servers idd ruzie. dat broadcast verkeer kun je met firewall regels afvangen maar niet de meest sjieke oplossing. Je moet ook even kijken of je ip adress spaces overlappen.

Ik zou dan niet op layer 2 bridgen maar via een vpn idd. Meest eenvoudige is dan ook afwijkendr ip spaces te gebruiken. Je clients proberen standaard via de default gateway naar de afwijkendr ip space te gaan dus meest makkelijke als de default gateway dit netwerk kent. Vpn regelen in je huidige df gw (internet routers) is dus aan te raden. Alternatief zijn static routes in je clients of op de routers naar een andere router.

Fileshare en printer zou gewoon werken maar je moet er rekening mee houden dat autodiscovery niet werkt en \\netbiosnaam ook niet. Dat is eenvoudig op te lossen met dns (\\nas.remote oid), entries in je hostfile of WINS. Alternatjef is \\ip gebruiken

Lees anders dit topic ff door: 2 aparte netwerken via lan met elkaar verbinden

Verschil is dat het daar om een fysieke utp kabel ging maar in principe komt routering/dubbele netwerken op hetzelfde neer

Waarom de layer 2 vpn niet werkt weet ik niet, moet je iets meer info voor geven. Maar zie mn eersere post, zou eerder een vpn opbouwen (of layer 2 (eg dhcp) filteren)

Edit: ah ff je link gelezen, die oplossing kan ook prima omdat hij nat toepast ipv bridge. Dan los je ook je dhcp issues op ja

[ Voor 4% gewijzigd door laurens0619 op 07-02-2017 21:42 ]

CISSP! Drop your encryption keys!

woensdag 8 februari 2017 21:33

Acties:

sdk1985

Topicstarter

De oplossing van de link werkte semi.

MT1= 192.168.178.x / 84.104.x
/ip address add address=84.104.x/24 interface=ether2-master
/ip route add dst-address=0.0.0.0/0 gateway=192.168.178.1
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.178.0/24
/ip address add address=10.10.10.1/30 interface=eoip-oosterhout
/ip route add dst-address=192.168.179.0/24 gateway=10.10.10.2

MT=192.168.179.x / 213.x
/ip address add address=213.x/24 interface=ether2-master
/ip route add dst-address=0.0.0.0/0 gateway=192.168.179.1
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.179.0/24
/ip address add address=10.10.10.2/30 interface=eoip-breda
/ip route add dst-address=192.168.178.0/24 gateway=10.10.10.1

Werkte zo ver dat de eoip tunnel nu wel werd weergegeven als reachable. Pingen ging nog steeds niet (maar kan zijn dat Ziggo die blokkeert). Echter de enige manier om je juiste routes actief te krijgen (dus dat 192.168.179.x via andere gateway moet) was de Mikrotik als DHCP server instellen. Daarna werd mijn verbinding traag en instabiel.

Wat je nu precies aanraad dat ik wel doe kan ik eerlijk gezegd niet volgen, kan ik nog iets met die boxjes dat wel gaat werken? Als ik naar \\192.168.179.10 kan vanaf het andere netwerk dan is het prima.

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.