VPN provider, VPN lokaal, travelrouters etc - Zit ik goed?

Ik heb dezelfde router (TP-link Archer C7 v2), en heb via DD-WRT een OpenVPN server opgezet, dit stelde me instaat om via een OpenVPN verbinding al m'n netwerk verkeer via m'n thuis netwerk te laten lopen.

Als jij je NAS gebruikt als VPN server zul je waarschijnlijk alleen toegang hebben tot je NAS, tenzij de NAS een routing oplossing biedt om je met het interne thuisnetwerk te verbinden. Daarnaast zul je vanuit je router poorten moeten forewarden naar je NAS.

Ik ben zelf overgestapt naar Pfsense, OpenVPN configureren, en clients aanmaken is een stuk makkelijker dan in DD-WRT, en heb toegang tot m'n gehele thuis netwerk.

CollisionNL schreef op woensdag 3 januari 2018 @ 11:15:
Gehele netwerk via een VPN
In mijn huidige situatie heb ik geen VPN verbinding, mijn router ondersteunt ook geen VPN. (TP-link Archer C7 v2). Door mijn router te verbinden met een VPN provider laat ik al mijn verkeer vanuit thuis lopen via de provider. (voordelen zijn bekend)

Benodigde aanpassing aan netwerk: Router vervangen voor router met VPN mogelijkheid (OpenWRT op de C7 of iets als Pfsense zelfbouw)

Klopt dit?

Je kunt inderdaad op sommige routers/firmwares instellen om al het verkeer via een VPN te laten lopen. Let wel op dat je een flinke belasting op de CPU van de router zet met een VPN. Vele routers zullen het bij 5 à 20 Mbit/s het wel welletjes vinden.

Afhankelijk wat je probeert te verbergen, verleg je daarmee alleen je probleem van je ISP naar je VPN-provider. In ieder geval is het technisch mogelijk!

Waarom wil je al je internetverkeer via een VPN laten lopen?

CollisionNL schreef op woensdag 3 januari 2018 @ 11:15:
Via VPN verbinden met mijn Synology NAS of nieuwe router (wereldwijd)
Ik merk dat ik steeds vaker van buitenaf toegang nodig heb tot mijn netwerk. Ook ga ik meer reizen en wil dat deze verbinding zo veilig mogelijk gebeurt. Ik heb thuis een recente Synology NAS staan welke VPN mogelijkheden bied.

Door mijn apparatuur (mobiel + laptop etc) te verbinden via VPN maak ik een tunnel met mijn thuisnetwerk waardoor mijn verkeer versleuteld is en ik toegang heb tot mijn gehele netwerk.

Klopt het dat:

• Als ik de VPN van mijn Syno NAS gebruik alleen toegang heb tot mijn NAS?

Het ligt eraan hoe de VPN-server op jouw NAS/router wordt ingeregeld. Het kan zijn dat het net is of je gewoon aangesloten bent op je LAN-netwerk, of je kunt in een ander netwerk (voor VPN-clients) zitten dat toegang heeft tot je LAN-netwerk.

CollisionNL schreef op woensdag 3 januari 2018 @ 11:15:

• Ik naast een uitgaande VPN verbinding voor mijn hele netwerk met de eventuele nieuwe router, tegelijk een VPN verbinding kan opzetten van buitenaf naar mijn netwerk?

De verschillende VPN verbindingen moet je apart zien. De VPN verbinding met je VPN-provider staat los van de VPN-verbinding tussen jouw NAS/router. Dus ja, dat kan.

CollisionNL schreef op woensdag 3 januari 2018 @ 11:15:
Het inzetten van een travel router om o.a. het proces te vermakelijke in hotels en Airbnb etc.
Als ik een travel router meeneem, deze verbind met het netwerk van mijn verblijf kan ik al mijn verkeer versleuteld laten lopen via deze router naar mijn thuis router?

Kan, maar vraagt veel van een travelrouter. Verwacht dus dan maar een verbinding van enkele Mbit/s. Daarnaast heb je flink complexe instellingen nodig om dat proces gemakkelijk te laten verlopen.

Hou er rekening mee dat de meeste dial-up VPN's gelimiteerd zijn in de snelheden die gehaald kunnen worden (ook weer afhankelijk van de router/VPN-server die gebruikt wordt uiteraard). Zo kan je op een SSL-VPN er bijvoorbeeld tegenaan lopen dat je een overdracht haalt van 20MBit, ondanks dat je een 100/100 verbinding gebruikt aan beide kanten.
Mocht het dus om "vaste" locaties gaan, dan is een site-to-site VPN maken een stuk logischer, maar nog fraaier is als je de hele VPN constructie niet nodig hebt natuurlijk. Hou verder ook rekening met routing-rules. Vaak dat je op je VPN-connectie op de clients split-tunneling wilt gebruiken, zodat traffic voor het LAN achter de VPN over de VPN gaat, maar traffic richting internet wel nog steeds de default gateway blijft gebruiken. Daarmee wordt automatisch dus ook DNS plots weer heel belangrijk. Als je een FQDN probeert te benaderen en je resolved tegen bijvoorbeeld de Google DNS, dan zal je worden verwezen naar je WAN-IP, terwijl je op het LAN-IP de boel had willen benaderen. Dan moet je dus ofwel een lokale DNS-server gebruiken die je zelf kan beheren, ofwel je hostfile aanpassen (of natuurlijk op IP benaderen, alhoewel dat niet altijd werkt. Den bijvoorbeeld aan websites op host-headers; dan moet je dus wel je hostfile of een beheerde DNS gaan gebruiken).
Het is dus allemaal vrij kritisch, maar als je snapt waar je mee bezig bent niet heel complex.

@CollisionNL, met een Pfsense bouw heb je waarschijnlijk een veel betere CPU om de benodigde cryptografie uit te voeren. Daarmee heb je dus de bottleneck niet op jouw router's CPU.

Als je voor een Pfsense bouw gaat, dan kun je daar je VPN client en VPN server op draaien. Die zou beiden zonder problemen op kunnen draaien ondanks dat het dus 2 aparte dingen zijn.

Per device is sneller, want de soc/cpu in de door jouw genoemde apparaten is veel beter dan die van ongeveer alle travelrouters.

De snelheid wordt grotendeels bepaald door de crypto-performance van je VPN-eindapparaat (router, PC, Raspberry Pi, Synology, whatever je gebruikt om de tunnel op te zetten).

Met een TP-Link Archer C7 mag je van geluk spreken als je ~10 Mbps haalt met een OpenVPN tunnel (uitgaande van OpenWRT firmware en AES-256-CBC crypto).

Voor snelheden van 100 Mbps en meer heb je al een aardige server nodig (denk aan een redelijk recente Intel of AMD CPU met AES-NI support).

CollisionNL schreef op woensdag 3 januari 2018 @ 13:41:
@donny007
Dan praten we denk ik over een i3 of nieuwste Pentium?

Beide zijn prima keuzes voor een pfSense OpenVPN bak.

Welke CPU je precies kiest hangt voornamelijk af van het budget, het maximale gewenste energieverbruik en de beoogde performance.

CollisionNL schreef op woensdag 3 januari 2018 @ 14:11:
@donny007 draai jij zelf een pfSense bak?

Zo ja: Welke hardware specs?

@CaDje Welke hardware specs heb jij voor je pfSense bak?

Zelf draai ik pfSense virtueel op mijn homeserver, dat is een wat ouder systeem met een AMD FX-6300 CPU.

Mijn internetverbinding is ~95 Mbps, met NordVPN haal ik ~90 Mbps (met 50% CPU belasting op de server).

Ik gebruik de VPN tunnel alleen om te downloaden, mijn reguliere internetverkeer gaat rechtstreeks naar buiten toe.

CollisionNL schreef op woensdag 3 januari 2018 @ 13:22:
@kroegtijger
Ik zit te denken aan een VPN provider als NordVPN (is een voorbeeld sta volledig open voor alternatieven)
Misschien een domme vraag; maar dan verbind ik toch rechtstreeks op hun servers en dus niet via een dial-up? Dit gaat dan ook over de verbinding tussen mijn thuisnetwerk en de VPNprovider?

Dat is een mogelijkheid inderdaad, maar vaak kan je er ook dial-ups naartoe maken. Het is maar net welke connecties er door je VPN-provider worden ondersteund. Ga je zelf je VPN realiseren, dan ben je dus zelf de server en maak je geen gebruik van een derde partij.

Ik verbind dan toch mijn router rechtstreeks op hun server:
Lan <--> Router <-(VPN)-> VPNserver <--> web

Als het je gaat om anoniem toegang naar het internet toe dan is dat de logische constructie. Als je secure verbinding naar je eigen omgeving wilt maken zou ik het zo niet inrichten, en zou ik dus een VPN naar m'n eigen internetverbinding opzetten.

[...]

Wat zou een alternatief zijn voor mijn situatie?

Ook hier weer, afhankelijk van wat de bedoeling is. Je kan denken voor data-overdracht aan SFTP (let op, verwar dit NIET met FTPS, wat ftp met SSL is en dus je data unecrypted verstuurd) om een voorbeeldje te geven.

Is het niet mogelijk om bijvoorbeeld standaard al het verkeer van mijn mobiel via mijn thuisnetwerk te laten lopen?
Even visueel:
Iphone <-(mijnVPN)-> Router <--> Web
of:
Iphone <-(mijnVPN)-> Router <-(VPN)-> VPNserver <--> web

Als je het graag zou willen kan dat ja, maar dan maak je dus met je iPhone een dialup naar je eigen omgeving indien je over 3G / 4G werkt, en dan ontsluit je via die weg jezelf weer naar het internet toe. Niet aan te raden want is relatief traag, maar het kan wel. Ook via externe wifi's zal dat werken, maar met je lokale Wifi wordt dat alweer wat lastiger omdat je dan normaal gesproken op het WAN-IP probeert te verbinden van binnenuit je eigen netwerk wat zeer waarschijnlijk zal mislukken.

Dan heb ik toch geen last van Routingrules/split-tunneling? Dit zal alleen niet optimaal zijn voor de performance denk ik. Of praat ik nu onzin?

Zolang je nooit op je eigen netwerk zit, zal je er vrijwel geen last van hebben. Wel van een trage verbinding en een hele hoop mobiele data-traffic die je gaat genereren dan uiteraard.

Het principe DNS ken ik maar het zelf bouwen/beheren van een DNS-server is onbekend terrein.

Het bouwen / beheren ervan is daarmee kinderlijk eenvoudig op een Windows-omgeving. In Linux wordt het al iets lastiger, maar ook niet wereldschokkend. De meeste routers hebben wel wat aan basis-functionaliteit qua DNS-beheer (vaak alleen A-records) en een host-file aanpassen is ook geen rocket-science. Oftewel, moeilijk is het niet maar je moet wel vooraf goed bedenken wat je wilt voordat je gaat bouwen.

Als ik ben verbonden via de VPN en ik wil op IP benaderen, kan ik dan gewoon het LAN IP: 192.168.1.XX gebruiken? En wat zou een reden kunnen zijn dat dit niet altijd werkt?

op IP zal het probleem niet spelen; daarop adresseer je direct waar je heen wilt en klopt het dus in principe altijd. Op hsotname wordt het een ander verhaal. Split tunneling gebruik je om default gateway en het VPN-netwerksegment alletwee te kunnen benaderen. Alle packages bedoeld voor het subnet van de VPN worden op de gateway (IP van je VPN) afgeleverd, de rest gewoon op default gateway.

heeft het geen wat jij beschrijft een steile leercurve?

Met wat basis-kennis van netwerken en subnetten is het geen probleem en kom je er wel uit. Als kennis over subnetting, gateways etc ontbreekt heb je nog wat te doen voordat je je aan dit soort setups gaat wagen

@Groentjuh
Duidelijk, dan is dat sowieso de beste optie denk ik.

Als ik u was zou ik gewoon een leuke project van maken en een pfsense bak bouwen ofwel kopen.
In pfsense is echt gemakkelijk om openvpn server te configureren en ook geweldige client export tool!

Aangezien je alles over vpn wilt zou ik dan ook pihole configueren wat leuk is zodat je nergens ads krijgt te zien.

Is je internet provider rechtreeks op router aangesloten of heeft het eigen modem, router?

Wel rekening daarmee houden inverband met port forward.

CollisionNL schreef op woensdag 3 januari 2018 @ 14:11:
@donny007 draai jij zelf een pfSense bak?

Zo ja: Welke hardware specs?

@CaDje Welke hardware specs heb jij voor je pfSense bak?

Ik gebruik zelf deze: https://www.pcengines.ch/apu2c4.htm
Over de snelheid kan ik niet zo heel veel zeggen, behalve dat ik m'n max upload van 20Mbit (wat dus de download op de client wordt) makkelijk haal.

CollisionNL schreef op woensdag 3 januari 2018 @ 15:15:
@donny007
Ben je tevreden over NordVPN?

Ik heb het nu net twee weken. Het werkt prima, snelheden zijn meestal goed en de verbinding is stabiel.

Een nadeel van NordVPN is dat iedere server een aparte config met eigen certificaat en TLS key heeft, dat maakt het schakelen tussen verschillende servers iets lastiger (meer handmatige acties). Bij mijn vorige VPN provider (AirVPN) had ik één config die direct werkte op alle servers.

Zo te zien 60+. Zou jij eens kunnen kijken aangezien je ervaring hebt met pf en de apu2c4?
_{NB Local cables used are CAT6 SSTP
iperf is TCP, buffer length 8KB on apu2c4
OpenVPN settings are LZO with AES-128-CBC SHA1 160bit
NIC MTU’s are 1500
no iptables rules running on server and laptop
speed is in megabit per second}

AES-256-CBC/GCM is tegenwoordig de standaard bij publieke VPN diensten, AES-128 kom je niet vaak tegen. Met AES-256 verwacht ik geen denderende prestaties van zo'n embedded bordje.

Bij NordVPN kun je (afhankelijk van de server) ook kiezen voor AES-256-GCM, dat kan iets sneller zijn dan AES-CBC (afhankelijk van de hardwaremogelijkheden en package sizes) .

[ Voor 13% gewijzigd door donny007 op 03-01-2018 19:22 ]

@CaDje
Dat is mooi spul! Ziet er super uit.
Als ik google krijg ik het volgende:
https://forum.pfsense.org/index.php?topic=123336.0

Link in eerste post:
https://pastebin.com/8bAgxRaR

Zo te zien 60+. Zou jij eens kunnen kijken aangezien je ervaring hebt met pf en de apu2c4?
_{NB Local cables used are CAT6 SSTP
iperf is TCP, buffer length 8KB on apu2c4
OpenVPN settings are LZO with AES-128-CBC SHA1 160bit
NIC MTU’s are 1500
no iptables rules running on server and laptop
speed is in megabit per second}

Ik heb even een korte test gedaan, van mijn pc via het thuis netwerk naar de pfsense open vpn sever verbonden (al het internet verkeer loopt via de vpn).

Settings zijn vergelijkbaar met hierboven met als uitzondering AES-128-CBC = AES-256-CBC
download snelheid is ~90Mbit.

CaDje schreef op woensdag 3 januari 2018 @ 21:01:
[...]


Ik heb even een korte test gedaan, van mijn pc via het thuis netwerk naar de pfsense open vpn sever verbonden (al het internet verkeer loopt via de vpn).

Settings zijn vergelijkbaar met hierboven met als uitzondering AES-128-CBC = AES-256-CBC
download snelheid is ~90Mbit.

Hoe heb je dit precies gemeten?

Met LZO compressie ingeschakeld zie je met goed comprimeerbare testdata véél hogere snelheden dan bij normaal dataverkeer.

CollisionNL schreef op woensdag 3 januari 2018 @ 23:31:
[...]

Wanneer zou je schakelen van land? Als je specifieke content wil bereiken?

Bij drukte wil de snelheid nog wel eens inzakken, dan switch ik graag naar een wat minder zwaar belaste server (dat kan een andere server in hetzelfde land zijn, of eentje in een ander land).

Als je niet (veel) gaat downloaden maakt het niet echt uit welke je kiest, alle servers zijn snel genoeg voor casual browsen en een beetje streamen.

[ Voor 3% gewijzigd door donny007 op 03-01-2018 23:52 ]

Check zeker ook even dit topic. Ben zelf naar een Qotom aan het kijken

@CollisionNL voor hardware builds kun je het beste even een nieuw topic aanmaken in de DAA, aangezien het dan niet meer zo heel veel met netwerken te maken heeft.

@CollisionNL Geen probleem natuurlijk.