Ik ben als test projectje aan het proberen van een hub and spoke VPN set-up aan de gang te krijgen.
Op dit ogenblik om het eenvoudig te maken de hub en twee spokes (clients), gebruik makende van pptp (yup, shitty security en performance etc, is gewoon om te testen, kan later altijd naar openvpn gaan).
De vpn server die als hub moet werken is een asus dd-wrt router (een RT-AC68u) achter mijn internet modem thuis, staat in de dmz zodat alles op het publiek IP adres aan mij toegewezen door mijn ISP, rechtstreeks op die asus router uitkomt.
De clients zijn linksys dd-wrt routers die aan het internet kunnen via hun wan poort (achter een ISP modem waar ik geen toegang tot heb).
Ik heb ervoor gezorgd dat er geen overlap is in de subnetten, dus het thuisnetwerk (achter de VPN server router) zit op 192.168.1.xxx, de twee andere locaties op 192.168.2.xxx en 192.168.3.xxx respectievelijk.
De vpn server zelf wijst dynamisch een ip adres toe aan de vpn clients in de 192.168.1.150 - 179 range.
Voor zover ik kan vinden kan ik geen vast IP adres toewijzen aan een vpn client gebaseerd op username van de vpnclient?
Zoals te verwachten, de clients creëren dus zonder problemen de vpn tunnels naar de hub, al de resources die aan de hub/vpn server aangesloten zijn (een nas, een netwerk printer en eventuele andere PC verbonden met dat netwerk) zijn zichtbaar vanaf pc's achter de client routers alsof je op het thuis netwerk zelf zit.
Het doel nu is als eerste stap de pc's of andere resources achter de client routers zichtbaar te krijgen vanaf het thuis netwerk, dus ik zou thuis vanaf een PC met ip-adres 192.168.1.25 een pc achter een client router met IP adres 192.168.2.24 door de vpn tunnel heen moeten kunnen pingen.
En als tweede stap communicatie rechtstreeks van client 1 naar client twee, dus pingen bijvoorbeeld van 192.168.2.26 naar 192.168.3.25 en vice versa.
Dat alle verkeer over de hub (mijn thuisnetwerk) moet passeren is geen probleem, ten eerste heb ik een nogal redelijke verbinding daar (400Mbps down, 40 Mbps up), en ten tweede heb ik gewoon geen grote bandbreedte nodig.
Dus voor zover ik het allemaal goed begrijp ga ik voor stap 1 statische routes moeten creëren op de hub en firewall rules op de clients, en voor stap twee zullen er dan ook nog statische routes aan de kant van de clients moeten bijkomen?
Ik ben een absolute newbie als het op routing tables en dergelijk aankomt, werk liefst vanuit de GUI van de routers, maar indien nodig kan ik ook telnetten in de routers via putty /busybox.
Iemand die me op het juiste pad kan zetten?
Heb al met een aantal IT pro's gesproken die dat op één twee drie in gang zouden krijgen, moest ik op alle locaties Cisco of Juniper commerciële routers hebben staan, wanneer het SOHO routertjes van 150€ betreft hebben ze het blijkbaar lastiger
Op dit ogenblik om het eenvoudig te maken de hub en twee spokes (clients), gebruik makende van pptp (yup, shitty security en performance etc, is gewoon om te testen, kan later altijd naar openvpn gaan).
De vpn server die als hub moet werken is een asus dd-wrt router (een RT-AC68u) achter mijn internet modem thuis, staat in de dmz zodat alles op het publiek IP adres aan mij toegewezen door mijn ISP, rechtstreeks op die asus router uitkomt.
De clients zijn linksys dd-wrt routers die aan het internet kunnen via hun wan poort (achter een ISP modem waar ik geen toegang tot heb).
Ik heb ervoor gezorgd dat er geen overlap is in de subnetten, dus het thuisnetwerk (achter de VPN server router) zit op 192.168.1.xxx, de twee andere locaties op 192.168.2.xxx en 192.168.3.xxx respectievelijk.
De vpn server zelf wijst dynamisch een ip adres toe aan de vpn clients in de 192.168.1.150 - 179 range.
Voor zover ik kan vinden kan ik geen vast IP adres toewijzen aan een vpn client gebaseerd op username van de vpnclient?
Zoals te verwachten, de clients creëren dus zonder problemen de vpn tunnels naar de hub, al de resources die aan de hub/vpn server aangesloten zijn (een nas, een netwerk printer en eventuele andere PC verbonden met dat netwerk) zijn zichtbaar vanaf pc's achter de client routers alsof je op het thuis netwerk zelf zit.
Het doel nu is als eerste stap de pc's of andere resources achter de client routers zichtbaar te krijgen vanaf het thuis netwerk, dus ik zou thuis vanaf een PC met ip-adres 192.168.1.25 een pc achter een client router met IP adres 192.168.2.24 door de vpn tunnel heen moeten kunnen pingen.
En als tweede stap communicatie rechtstreeks van client 1 naar client twee, dus pingen bijvoorbeeld van 192.168.2.26 naar 192.168.3.25 en vice versa.
Dat alle verkeer over de hub (mijn thuisnetwerk) moet passeren is geen probleem, ten eerste heb ik een nogal redelijke verbinding daar (400Mbps down, 40 Mbps up), en ten tweede heb ik gewoon geen grote bandbreedte nodig.
Dus voor zover ik het allemaal goed begrijp ga ik voor stap 1 statische routes moeten creëren op de hub en firewall rules op de clients, en voor stap twee zullen er dan ook nog statische routes aan de kant van de clients moeten bijkomen?
Ik ben een absolute newbie als het op routing tables en dergelijk aankomt, werk liefst vanuit de GUI van de routers, maar indien nodig kan ik ook telnetten in de routers via putty /busybox.
Iemand die me op het juiste pad kan zetten?
Heb al met een aantal IT pro's gesproken die dat op één twee drie in gang zouden krijgen, moest ik op alle locaties Cisco of Juniper commerciële routers hebben staan, wanneer het SOHO routertjes van 150€ betreft hebben ze het blijkbaar lastiger
