VPN Router gezocht

vrijdag 8 juni 2018 21:19

XBL: OctagonQontrol

FulcoS schreef op zaterdag 9 juni 2018 @ 18:34:
De vraag is duidelijk (WAN en LAN impliceert verschillende netwerken).

Niet altijd; ook over een WAN verbinding (zeg even van Ziggo naar KPN) kan er een tunnel liggen waar LAN-verkeer overheen gaat. Je gaf initieel wel aan dat het over internet ging maar simpel gezegd gaat elke verbinding "buitenshuis / buiten kantoor" over een internetlijn van een ISP maar dat impliceert niet direct dat je over een publiek netwerk gaat. Daar kan dan ook een stukje "miscommunicatie" zijn ontstaan over je routering/subnetting.

Ik geef om veiligheidsredenen (hackers) geen topologie van mijn netwerk.

Absoluut geen probleem maar dan is het lastig aanhaken. Heb net even het topic teruggelezen en, naar mijn mening, zijn een aantal vragen (van ons) niet beantwoord maar die wel redelijk essentieel zijn voor het bieden van een solide/mooie oplossing.

Alleen al op protocolair niveau zijn er meerdere mogelijkheden gegeven, op applicatie-niveau ook enkele suggesties en op functioneel niveau zijn er bepaalde mensen (mezelf inclusief) die aangeven dat het eenvoudigweg niet gaat werken. Of, niet werkt zolang je niet de antwoorden kan spiegelen tegen je infra en dan kan beantwoorden "ja hoor, dat kan" of "nee, die vraag is inderdaad hier niet mogelijk".

Daarna struikelen we een beetje over "basale" vragen zoals hoe je iets moet routeren. Mijn aanname, op basis van de startpost, is dat je dit eigenlijk al zou weten en dat je met een mogelijk duidelijk antwoord zoals "koop apparaat X en prik die op LAN-poort 2 van je Fritz" klaar zou zijn.

Ik wil best nog een poging doen om een (hernieuwde) vraagstelling te bekijken en beantwoorden maar aangezien een VPN (of dat nou voor een Netflix-stream is of voor een bedrijf als Facebook) loopt over meerdere lagen van het OSI model, is het wel handiger dat we daar iets van mogen weten van jouw infra.

Hier nog wat extra vragen, mocht je zin hebben:
- je hebt 1 verbinding/ISP; hoe wil je een VPN opzetten als die lijn eruit ligt?
- je hebt 1 type device (Apple) waarmee je wil connecten; welke (native) client heeft jouw voorkeur?
- je hebt meerdere devices die "VPN server" kunnen spelen; welke beheer/ken je het beste?

Mijn mening, maar dat is op basis van wat ik lees: configureer L2TP over IPSec of SSTP VPN op je Windows Server, configureer AD-integrated authentication en, indien mogelijk, zet een MAC-filter of anderszins "device control" erop. En als je daarna je routes naar de rest van het netwerk configureert, maakt dan geen static routes aan maar configureer dat als "post job" op je VPN-connectie.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

Acties:

Thralas

Welke opties heb je zelf al gevonden?

vrijdag 8 juni 2018 21:20

Acties:

Firedragon

Heeft de Fritzbox geen vpn?

vrijdag 8 juni 2018 21:24

Acties:

TheBorg

Resistance is futile.

Firedragon schreef op vrijdag 8 juni 2018 @ 21:20:
Heeft de Fritzbox geen vpn?

Zeker wel. Nooit geprobeerd want heel snel zal het niet zijn maar voor een mobieltje wat muziek streamen lijkt me geen probleem.

https://nl.avm.de/service...-iOS-bijvoorbeeld-iPhone/

vrijdag 8 juni 2018 21:25

Acties:

zaterdag 9 juni 2018 12:09

XBL: OctagonQontrol

Als je geen DSL hoeft, welke infra heb je dan wel qua WAN-verbinding?

Of heb je, bijvoorbeeld, al een beetje NAS staan want die kunnen ook VPN-server spelen. Of een VM optuigen op je LAN als VPN-server?

Over hoeveel concurrent connecties hebben we het eigenlijk?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

Acties:

zaterdag 9 juni 2018 12:13

Topicstarter

Het klopt, de Fritzbox en andere aanwezige apperatuur kunnen ook een VPN Server runnen. Om “veiliheids” redenen laat ik de precieze netwerk layout achterwege. Het gaat maar om 1 verbinding. Ik zoek een veilige, onafhankelijke Router (onafhankelijk van aanwezige appwratuur), die ook toegang geeft als de rest “plat” ligt.
Fulco

Acties:

zaterdag 9 juni 2018 12:17

XBL: OctagonQontrol

Veiligheidsredenen? En dan zelf een "€100 device" niet kunnen bedenken?

Heb een redundante lijn dan? In hoeverre heb je een DMZ of VLAN voor je vraagstelling? Hoe wil je 2 routers "aktief" hebben op hetzelfde subnet en dus over de nieuwe nog inbellen als "de rest" plat ligt?

Ik lees een grotere/achterliggende vraag en uitdaging en denk persoonlijk dat dit topic dan wel iets te summier is opgezet.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

Acties:

zaterdag 9 juni 2018 12:21

FulcoS schreef op zaterdag 9 juni 2018 @ 12:09:
Het klopt, de Fritzbox en andere aanwezige apperatuur kunnen ook een VPN Server runnen. Om “veiliheids” redenen laat ik de precieze netwerk layout achterwege. Het gaat maar om 1 verbinding. Ik zoek een veilige, onafhankelijke Router (onafhankelijk van aanwezige appwratuur), die ook toegang geeft als de rest “plat” ligt.
Fulco

Als je Fritzbox platligt, dan is je netwerk toch niet meer bereikbaar (WAN IP reageert niet vanuit buiten)? Dus of je die VPN server nou op de Fritzbox draait of niet, het functioneren van de VPN zal altijd afhankelijk blijven van de Fritzbox.

Stel, er is een 2% kans dat de voeding van de Fritzbox het begeeft tijdens je reis naar Timboektoe. Als je de VPN op de Fritzbox draait dan is je faalkans dus 2%. Maar als je die VPN op een 2e apparaat draait, waarvan de voeding een 1% faalkans heeft, dan is je faalkans 1-(0.98*0.99) = 3%.

[ Voor 31% gewijzigd door Antique op 09-06-2018 12:24 ]

Acties:

zaterdag 9 juni 2018 12:21

Topicstarter

Ik bedoelde eigelijk de NAS etc. De Fritzbox is in vergelijking met de rest het stabielst.

Acties:

NeHoX

Gamer + PV

Draytek of een interne Nas.

23x330Wp NNO & 8x405Wp op Zuid = 10.830Wp

zaterdag 9 juni 2018 12:26

Acties:

zaterdag 9 juni 2018 12:28

XBL: OctagonQontrol

FulcoS schreef op zaterdag 9 juni 2018 @ 12:21:
Ik bedoelde eigelijk de NAS etc. De Fritzbox is in vergelijking met de rest het stabielst.

En dan? Stel dat je wel de FB gaat gebruiken en "alles erachter" ligt plat, wat is dan de bedoeling van je VPN? Neem aan dat je je kritieke apparatuur niet allemaal van een KVM / DRAC / vPro oplossing hebt voorzien?

En andersom; stel dat de FB dood is of de ISP heeft 9 dagen downtime, en jij zit net 900km verderop op een strand. Hoe wordt de interne & exterme routering dan geregeld?

NeHoX schreef op zaterdag 9 juni 2018 @ 12:21:
Draytek of een interne Nas.

Want een Draytek goochelt er magisch een extra WAN IP bij op een andere aansluiting/ISP?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

Acties:

zaterdag 9 juni 2018 12:35

FulcoS schreef op zaterdag 9 juni 2018 @ 12:21:
Ik bedoelde eigelijk de NAS etc. De Fritzbox is in vergelijking met de rest het stabielst.

Geef nu eens een concreet argument waarom die VPN niet op de Fritzbox zou kunnen.

Je reactie is vaag: op wie reageer je? Welke zin in een vorige post van jezelf probeer je te verduidelijken met "ik bedoelde de NAS"? Wat heeft dit met de VPN te maken?

Je begrijpt hopelijk wel dat je, zodra je vanuit buiten met de VPN bent verbonden, sowieso toegang hebt tot alle apparaten op je thuisnetwerk*. Dus je zal bij je NAS kunnen, of die VPN nu op de Fritzbox draait of ergens anders. Het enige waar het van af hangt, is die 1%/2%/3% berekening die ik hierboven uitvoer. Die valt in het voordeel uit van alles-op-de-Fritzbox, tenzij je een 2e WAN IP neemt (onwaarschijnlijk) of de kwaliteit van de software ter discussie staat.

* geavanceerd VLAN/subnet gedoe met firewall regels voor verkeer daartussen, even daargelaten

[ Voor 13% gewijzigd door Antique op 09-06-2018 12:32 ]

Acties:

zaterdag 9 juni 2018 12:36

Op basis van je huidige informatie is het advies om de VPN server van je Fritzbox te gebruiken.

Goed? Dan zijn we klaar.

Niet goed? Geef dan eindelijk eens concreet aan wat daarop tegen is.

Acties:

zaterdag 9 juni 2018 13:12

XBL: OctagonQontrol

Je Cisco praat IPSec en je iPhone praat IPSec...

Ik zie steeds minder uitdagingen; je hebt dus een Fritz een Cisco en een NAS. 3 opties voor enige vorm van VPN. Alledrie zo (on)veilig als de zwakste schakel in het netwerk.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

Acties:

zaterdag 9 juni 2018 13:14

XBL: OctagonQontrol

FulcoS schreef op zaterdag 9 juni 2018 @ 12:58:
[...]

Hoe kom ik dan bij mijn LAN op het andere subnet? Deze zit daar niet aan vast. WAN en LAN zitten via een Windows Server (die ook VPN ondersteund, dus DE beste kandidaat is) aan elkaar vast.

Routering configureren tussen verschillende subnets?

Maaruh, niet om het een of ander; je hebt het eerder over veiligheid etc en je hebt wel een Windows-machine relatief direct aan de WAN-kant ingeprikt?

FulcoS schreef op zaterdag 9 juni 2018 @ 12:59:
[...]

Ik krijg de Cisco VPN niet aan de praat. Natuurlijk ga ik geen 3. VPN servers aanzetten.

Ik snap zeker wel dat je geen 3 VPN-servers aanzet maar zoals je hierboven zegt, heb je ook een Windows Server met VPN ondersteuning dus je hebt nu dus 4 mogelijke manieren om een VPN op te zetten.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

Acties:

DJSmiley

Maar welke kandidaten heb je zelf al op het oog?

Het idee is wel dat je zelf ook wat zoekt. Waarom voldoet een Fritzbox/Draytek/Asus/Mikrotik/Edgerouter/OpenWRTding/nasding niet?
Het lijkt erop dat je wel *iets* hebt bekeken, maar dat is uit de startpost niet te herleiden. Die komt (onbedoeld?) wel lui over, alsof je zelf niets bekeken hebt.

Maar ontopic:

Een simpele Mikrotik?

L2TP voor je iPhone, eventueel SSTP (dan kun je ook een vpn opzetten in een dichtgespijkerde omgeving - sstp werkt over poort 443).

Kost je 50 eur pricewatch: MikroTik Routerboard RB750Gr3 - hEX

Je kan m ook via POE voeden (dus dubbele voeding) en in de USB poort kun je een 4G dongle stoppen.
Beide voedingen op een aparte groep/fase/aardlek en je bent een eind

zaterdag 9 juni 2018 14:38

Acties:

mjl

Ugh

Of gewoon een simpele asus rt-ac88u? Even wat reviews aflopen maar ik meen me te herinneren dat die een verbazingwekkend goede vpn doorvoer heeft.

-------

zaterdag 9 juni 2018 14:42

Acties:

prutser001

Vaak zit het tegen en soms zi

PiVPN? OpenVPN connect?

Gebruik het zelf op Android/Windows etc en werkt perfect.

Asus Z390 Maximus IX Hero, Intel 9900K, RTX3080, 64GB DDR4 3000, 2TB NVME, Samsung 850Evo 1TB, 4 x 14TB Toshiba, Be Quiet SB 801, Samsung 34"

zaterdag 9 juni 2018 14:46

Acties:

wouter.N

Edgerouter X
pricewatch: Ubiquiti EdgeRouter X

zaterdag 9 juni 2018 16:44

Acties:

zaterdag 9 juni 2018 16:54

FulcoS schreef op zaterdag 9 juni 2018 @ 12:58:
[...]

Hoe kom ik dan bij mijn LAN op het andere subnet? Deze zit daar niet aan vast. WAN en LAN zitten via een Windows Server (die ook VPN ondersteund, dus DE beste kandidaat is) aan elkaar vast.

T/m mijn vorige post wisten wij niet van het bestaan van een "LAN op een ander subnet". Hoe kun je dan verwachten dat we daar rekening mee houden?

Als je goed advies wilt, zul je toch echt de nodige informatie moeten leveren. Zijn er nog meer ongenoemde bijzonderheden aan je netwerk? Misschien dat een tekening / schema een goed idee is.

FulcoS schreef op zaterdag 9 juni 2018 @ 12:33:
Fritzbox: WAN en LAN hebben ander subnet.

Wat bedoel je hier mee? Kun je het uittekenen? Weet je zeker dat je het concept subnet begrijpt?

Het lijkt een beetje alsof je een netwerk hebt draaien dat op het randje zit van je kennis en ervaring. Dat is prima in een testomgeving, maar niet aan het internet.

Acties:

Kasper1985

- off topic -

Dit doet me een beetje denken aan de gemiddelde klant die ik 3-4 keer per dag tegen kom;

Klant: het werkt niet

“Gebruikt u A of B en als u dan A of B gebruikt hoe hebt u dat dan ingesteld?”

Klant: Ja

anderen denken dat het internet is verbonden met een glazen bol ofzo en dat “we” daar gebruik van kunnen maken ofzo.

zaterdag 9 juni 2018 16:54

Acties:

zaterdag 9 juni 2018 17:09

XBL: OctagonQontrol

Antique schreef op zaterdag 9 juni 2018 @ 16:44:
[...]
Wat bedoel je hier mee? Kun je het uittekenen? Weet je zeker dat je het concept subnet begrijpt?

Het lijkt een beetje alsof je een netwerk hebt draaien dat op het randje zit van je kennis en ervaring. Dat is prima in een testomgeving, maar niet aan het internet.

WAN en LAN zitten toch niet in hetzelfde netwerk? Simpel gezegd, als mijn WAP-IP iets is van 48.48.13.9, dan neem ik aan dat dat volledig anders is dan 10.10.0.3 op de genoemde Windows Server? Het subnet (alhoewel dat gelijk kan zijn afhankelijk van het aantal IP-adressen), lijkt me dan ook anders. Met /16 op je WAN-omgeving, heeft de ISP dus 65K abonnees te adresseren; vaak/vaker zie je intern /24 tot /27 afhankelijk van de omgeving.

Andersom, ik denk dat topicstarter "ook" in de war gaat komen met uitleggen wat/waar bedoeld wordt want als je over WAN binnekomt op je VPN-server, kan je het nog steeds als "WAN verbinding zien" ondanks dat de DHCP-scope van de VPN-server een C-klasse is maar tegelijkertijd een andere C-klasse dan het interne netwerk van alle clients. Zelfs met hetzelfde subnet op beide C-klasse netwerken, zal je dus wel moeten routeren.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

Acties:

Verwijderd

FulcoS schreef op zaterdag 9 juni 2018 @ 12:33:
Fritzbox: WAN en LAN hebben ander subnet.

Dat mag ik hopen ja, want met gelijke subnets gaat het niet werken...

zaterdag 9 juni 2018 17:15

Acties:

powerboat

2x pfsense/opnsense in HA zetten i.c.m. 2 wan 4 ip adressen

zaterdag 9 juni 2018 18:34

Acties:

zaterdag 9 juni 2018 19:00

Topicstarter

Allemaal bedankt voor de reacties.

Ik begrijp niet waarom sommige reacties zoveel commentaar bevatten.
De vraag is duidelijk (WAN en LAN impliceert verschillende netwerken).
Ik geef om veiligheidsredenen (hackers) geen topologie van mijn netwerk.
Wat ik verder voor mogelijkheden heb, is niet relevant voor mij, dit hoef ik niet te verantwoorden.
Natuurlijk heb ik zelf eerst naar oplossingen gezocht: ik ga er van uit dat er Tweakers met hun kennis, mij zonder veel poespas een tip kunnen geven. Sommige hebben dat ook gedaan. Anderen gebruiken het woord “lui” of noemen dat ze dit soort “vage” vragen regelmatig van klanten krijgen.
Posters moeten wel beseffen dat er zowel beginners als top experts op het forum zitten. Geef iedereen a.j.b. de mogelijkheid om vragen te stellen.

Dit topic mag afgesloten worden!

Groeten, Fulco

Acties:

Beste antwoord ✓

zaterdag 9 juni 2018 19:08

XBL: OctagonQontrol

FulcoS schreef op zaterdag 9 juni 2018 @ 18:34:
De vraag is duidelijk (WAN en LAN impliceert verschillende netwerken).

Niet altijd; ook over een WAN verbinding (zeg even van Ziggo naar KPN) kan er een tunnel liggen waar LAN-verkeer overheen gaat. Je gaf initieel wel aan dat het over internet ging maar simpel gezegd gaat elke verbinding "buitenshuis / buiten kantoor" over een internetlijn van een ISP maar dat impliceert niet direct dat je over een publiek netwerk gaat. Daar kan dan ook een stukje "miscommunicatie" zijn ontstaan over je routering/subnetting.

Ik geef om veiligheidsredenen (hackers) geen topologie van mijn netwerk.

Absoluut geen probleem maar dan is het lastig aanhaken. Heb net even het topic teruggelezen en, naar mijn mening, zijn een aantal vragen (van ons) niet beantwoord maar die wel redelijk essentieel zijn voor het bieden van een solide/mooie oplossing.

Alleen al op protocolair niveau zijn er meerdere mogelijkheden gegeven, op applicatie-niveau ook enkele suggesties en op functioneel niveau zijn er bepaalde mensen (mezelf inclusief) die aangeven dat het eenvoudigweg niet gaat werken. Of, niet werkt zolang je niet de antwoorden kan spiegelen tegen je infra en dan kan beantwoorden "ja hoor, dat kan" of "nee, die vraag is inderdaad hier niet mogelijk".

Daarna struikelen we een beetje over "basale" vragen zoals hoe je iets moet routeren. Mijn aanname, op basis van de startpost, is dat je dit eigenlijk al zou weten en dat je met een mogelijk duidelijk antwoord zoals "koop apparaat X en prik die op LAN-poort 2 van je Fritz" klaar zou zijn.

Ik wil best nog een poging doen om een (hernieuwde) vraagstelling te bekijken en beantwoorden maar aangezien een VPN (of dat nou voor een Netflix-stream is of voor een bedrijf als Facebook) loopt over meerdere lagen van het OSI model, is het wel handiger dat we daar iets van mogen weten van jouw infra.

Hier nog wat extra vragen, mocht je zin hebben:
- je hebt 1 verbinding/ISP; hoe wil je een VPN opzetten als die lijn eruit ligt?
- je hebt 1 type device (Apple) waarmee je wil connecten; welke (native) client heeft jouw voorkeur?
- je hebt meerdere devices die "VPN server" kunnen spelen; welke beheer/ken je het beste?

Mijn mening, maar dat is op basis van wat ik lees: configureer L2TP over IPSec of SSTP VPN op je Windows Server, configureer AD-integrated authentication en, indien mogelijk, zet een MAC-filter of anderszins "device control" erop. En als je daarna je routes naar de rest van het netwerk configureert, maakt dan geen static routes aan maar configureer dat als "post job" op je VPN-connectie.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

Acties:

zaterdag 9 juni 2018 19:09

Topicstarter

MAX3400 schreef op zaterdag 9 juni 2018 @ 19:00:

Mijn mening, maar dat is op basis van wat ik lees: configureer L2TP over IPSec of SSTP VPN op je Windows Server, configureer AD-integrated authentication en, indien mogelijk, zet een MAC-filter of anderszins "device control" erop. En als je daarna je routes naar de rest van het netwerk configureert, maakt dan geen static routes aan maar configureer dat als "post job" op je VPN-connectie.

heb ik vanmiddag geimplementeerd.
Bedankt

Acties:

zaterdag 9 juni 2018 19:48

XBL: OctagonQontrol

FulcoS schreef op zaterdag 9 juni 2018 @ 19:08:
[...]

heb ik vanmiddag geimplementeerd.
Bedankt

Fijn om te horen dat het gelukt is; misschien dat je in 5 of 8 stappen even wil uitleggen hoe je dit dan gedaan hebt? Hebben anderen er ook nog wat aan als ze dit topic tegenkomen (Fritzbox / iOS / VPN) en misschien ook een Windows Server hebben staan.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

Acties:

zaterdag 9 juni 2018 20:37

Topicstarter

Deze site legt het duidelijk uit:
https://www.cjmorgan.org/...a-windows-server-2012-vpn

MAC-Filter (DHCP) echter niet.

Acties:

zaterdag 9 juni 2018 21:06

MAX3400 schreef op zaterdag 9 juni 2018 @ 16:54:
WAN en LAN zitten toch niet in hetzelfde netwerk?

Precies, en dus kunnen het geen subnetten zijn van hetzelfde netwerk. Prima, ze hebben waarschijnlijk niet hetzelfde subnet mask (zoals je uitgebreid uitlegt) maar zelfs al hebben ze wel hetzelfde mask, dan maakt het nog geen verschil - want het zijn gewoon 2 verschillende netwerken.

Daarom getuigt het m.i. van een gebrek aan inzicht dat OP denkt dat we deze info nodig hebben:

FulcoS schreef op zaterdag 9 juni 2018 @ 12:33:
Fritzbox: WAN en LAN hebben ander subnet.

Waarschijnlijk bedoelt hij iets anders maar gaat het mis bij de formulering.

@FulcoS: het werkt, dus ben jij blij en mag het topic dicht. Mijn advies: handleidingen van het internet volgen totdat het werkt maar zonder dat je de materie goed begrijpt, is vragen om problemen. Zeker als het gaat om een VPN die open staat naar het internet, en zeker als jij je zoveel zorgen maakt over "hackers" dat je de topologie van je netwerk niet wilt delen. Een VPN instellen zonder gedegen kennis is een veel groter risico dan je netwerk topologie delen. Je gaat dit waarschijnlijk negeren, maar mocht het mis gaan, dan hoop ik dat je hieraan terug denkt.

[ Voor 30% gewijzigd door Antique op 09-06-2018 20:53 ]

Acties: