VPN verbinding opzetten

Hoi Peter,

Aangezien jij de routers niet kan/wil vervangen kan dit nog wel eens lastig zijn, prima te doen
overigens maar zou geen plug and play oplossing weten.
Het meest voor de hand liggende lijkt mij om hiervoor OpenVPN te gebruiken, andere VPN protocollen kunnen wel eens lastig doen met (GC)NAT.

OpenVPN kent eigenlijk twee opties:
- Layer 3 VPN (routing)
- Layer 2 VPN (bridging)

Misshcien is bridging voor jou het makkelijste, hiermee zou je bijvoorbeeld jouw pc een IP-adres kunnen geven in het subnet van jouw schoonzus om op die manier de LOXONE te bereiken.
Routing is overigens wel netter maar vereist meer configuratie op de andere devices (hier moeten static) routes worden aangemaakt. hoe zit het met de subnets? Wat is jouw interne IP range en wat is die bij jouw schoonzus?

Oke duidelijk.
In dat geval zal jij een VPN server moeten hosten, een site-to-site VPN moeten opzetten
met de locatie waar de loxone staat en dit vervolgens nog netjes heen en weer moeten routen.
Wat voor routers etc staan er nu op beide locaties?

Je kan een site von opzetten met openvpn. Bij je zus een openwrt/ddwrt (hardware) client,, bij jou de server (bv op je nas) Zie https://serverfault.com/q...is-that-possible-only-fro

peter_bols schreef op zondag 17 maart 2019 @ 17:13:
@jeanj
Ik heb op mijn synology al open VPN server actief. Ik kan ook met haar computer via open VPN op mijn synology aanloggen.
Ik heb hier nog wel een router liggen waar ik open wrt op kan zetten.

Dan kun je daar OpenVPN (en niet "open VPN") ook wel opzetten, als de hardware daar de ruimte voor heeft.

Ik laat haar smart phone een verbinding maken met mijn domeinnaam en een poort nummer. In mijn router moet ik dan dat poort nummer forwarden naar het ip nummer van haar loxone miniserver?

Dan gaat het verkeer van haar telefoon (aangenomen dat die niet op haar lokale LAN meedoet) via het publieke internet, naar jouw netwerk, en dan door de tunnel naar het hare.

Je kan overwegen de smartphone mee te laten doen met het je VPN-verhaal, als client, en dan kan je het IPadres van de miniserver direct in de "app" op de smartphone invoeren.

Wel even opletten hoe je het configureert: Je kan het zo doen dat al het verkeer van die smartphone inclusief het "normale" verkeer dan eerst via jouw VPN-server loopt, maar je kan het ook zo doen dat alleen het lokale verkeer erover loopt.

En als het ding in haar lokale LAN meedoet dan hoeft'ie de tunnel niet te gebruiken, natuurlijk.

Wat ik niet goed begrijp is, komen al mijn netwerk apparaten en haar netwerkaparaten in een virtueel LAN te hangen met dezelfde ip range.

Je moet even vertellen wat je nu met "virtueel LAN" bedoelt. Meestal hebben we het dan over VLANs en dat is wat anders dan waar jij het nu over hebt. Als je bedoelt dat de twee lannetjes "virtueel" een en dezelfde lijken, dat ligt er maar net aan hoe je het geheel van routertjes en de VPN-tunnel instelt.

Ik persoonlijk zou dat niet zo doen als je het voorstelt want dat betekent onder andere ook een gezamelijk broadcast domain (zoek maar op die term). Beter is het om bijvoorbeeld het ene LAN in 192.168.2.0/24 te stoppen en het andere in 192.168.3.0/24, en dan routeer je ze aanelkaar. Werkt het makkelijkste als je de VPN-tunnel tussen de beide gateways neerlegt. Dan zijn ze samen een LAN maar niet langer een broadcast domain.

Dan kan ik direct naar de miniserver forwarden Of hangen ze in hetzelfde virtuele netwerk in verschillende ranges, en kan ik dan wel forwarden?

Port forwarden gaat naar een IPadres (en poort) dus zolang de forwarder het alternatieve IPadres kan bereiken (en weer terug...) maakt het niet uit in welk subnet het zit. Je werkt dan op de IP-laag, laag 3, en daar gelden laag 3-regels, niet laag 2-regels (meestal ethernet).

Als je blind probeert "een VPN-verbinding" tussen twee identiek-genummerde subnetjes te leggen met je huidige kennis dan zal dat een hoop ellende opleveren. Doe je een L3-tunnel tussen dezelfde ranges dan komt het verkeer niet door. Doe je een L2-tunnel tussen dezelfde ranges dan moet je zorgen dat je geen gedonder met DHCP e.d. krijgt. Dus lees vooral nog even door. Het makkelijkste, simpelste, en overzichtelijkste is wel twee verschillende IPsubnetjes en die netjes aanelkaar routeren via je (L3-)VPN-tunnel.

Om twee subnetjes samen te laten werken heb je een "site to site"-VPN nodig. Dat is wat die dure apparatuur doet. OpenVPN kan dat ook, maar dat is zo te horen niet de opzet die je nu hebt. Dus lees je in en zoek uit hoe het moet.

Een "Sohpos setje" is slechts hardware, je kan exact hetzelfde doen
met een Mikrotik Hex setje (€50 p/s) of een Juniper MX960 setje.
Geen van bovenstaande gaat het "magisch" laten werken.

Om het technisch even plat te slaan:
- Je hebt een ander subnet nodig aan beide kanten, bijvoorbeeld:
* Jouw subet: 192.168.1.0
* Schoonzus subnet: 192.168.2.0
- Je hebt hardware of software (server/client) nodig om een VPN verbinding op te bouwen.
- Je hebt drie keuzes kwa routing:
1: Je vervangt de huidige routers/gateways voor VPN capable routers (makkelijkste, hier stel je de routing in).
2: Je houdt de huidige routers/gateways plaatst een VPN server/client in het netwerk en maakt static routes aan
op je huidige routers.
3: bovenstaande maar huidige routers ondersteunen geen static routes dus maak de static routes aan op
de devices zelf (erg onhandig).

Static routes in mijn voorbeeld:
- in jouw netwerk: route 192.168.2.0 > VPN device (server/client geef het een naam).
- in schoonzus netwerk: route 192.168.1.0 > VPN device (server/client geef het een naam).
* VPN devices moeten uiteraard ook de routes heen en weer "snappen".
* Zorg dat dit verkeer niet wordt ge-nat.

Aangezien de ISP Carrier-grade NAT gebruikt Wikipedia: Carrier-grade NAT
raad ik je aan een VPN protocol te kiezen die hier goed mee omgaat, dus:
- OpenVPN
- Wireguard
- ....
- ....

Let wel hier hoef je niet te "port forwarden" je kunt gewoon het IP-adres van de LOXONE
bereiken. Ohja stel wel even een firewall in zodat je controle houdt op het traffic over je tunnel

Succes

peter_bols schreef op zondag 17 maart 2019 @ 17:13:
@jeanj
Ik heb op mijn synology al open VPN server actief. Ik kan ook met haar computer via open VPN op mijn synology aanloggen.
Ik heb hier nog wel een router liggen waar ik open wrt op kan zetten.

Ik laat haar smart phone een verbinding maken met mijn domeinnaam en een poort nummer. In mijn router moet ik dan dat poort nummer forwarden naar het ip nummer van haar loxone miniserver?
Wat ik niet goed begrijp is, komen al mijn netwerk apparaten en haar netwerkaparaten in een virtueel LAN te hangen met dezelfde ip range. Dan kan ik direct naar de miniserver forwarden Of hangen ze in hetzelfde virtuele netwerk in verschillende ranges, en kan ik dan wel forwarden?
Txs
Peter

Het idee is dat je die router (waar openwrt op komt) als client gaat gebruiken naar jou synology.
Zo te horen heb je al operationeel dat you openvpn server aan het internet hangt.
Dan hoef je aan de kant van je zus niets meer open te zetten (misschien moet je tzt iets bouwen dat de router zich reboot, of de vpn opnieuw opbouwd, om te voorkomen dat als het fout gaat, hij zich zelf reset). Die client gaat met jou server verbinden. Over dat `kanaal` laat je dan het verkeer lopen, beide kanten op.

Zoals hierboven is gezegd, als je een open vpn client en server hebt verbonden, dan moet je alleen de netwerken met elkaar laten praten, zodat jij ook over die verbinding terug kan verbinden met het netwerk van je zus (en je zus naar jou). Dat kan je doen door door statische route aan te leggen (add persitent route ) zodat het verkeer voor het lokale netwerk aan de andere kant van de VPN gevonden kan worden (daarom moeten beide netwerken een ander ip range hebben, anders zie je het onderscheid niet tussen die twee.


Als je de link in mijn bericht volgt zie je dat daar wordt verwezen naar deze link
https://www.smallnetbuild...-to-site-vpn-with-openvpn
Daar zetten ze precies op wat je vraagt, neem voor

Server Side Router jouw synology
Client Side Router jouw open wrt router bij je zus

Kijk even goed naar de plaatjes en volg wat relevant voor jou is

Als je bij de statische route uitkomt gebruik dan onderstaande om deze aan te leggen

Voor de statische route (google add persitent route synology) op de server kan je op je synology installeren
https://www.synology.com/.../connection_network_route

In openwrt kan je dat ook doen (google add persitent route openwrt) https://openwrt.org/docs/...work/routes_configuration

Zo zou je er uit moeten komen

peter_bols schreef op maandag 18 maart 2019 @ 22:35:
Om een site tot site verbinding op te zetten heb je steeds een client en server nodig. Een synology NAS is niet voldoende om als server te dienen. je hebt dan een Synology Router nodig heb ik net ontdekt. Dan is de aankoop van een Sohpos setje de beste oplossing die garanderen een transparante site to site VPN.
txs voor jullie advies.

Performance was niet als eis gespecificeerd (zo flauw ben ik op mijn werk ook).
Wat wil je er allemaal over heen laten lopen. Het lijkt mij dat voor een domotica systeem, dit wel voldoende is. Wil je netflix, eh dan denk ik dat het niet voldoende is

Maar je geeft niet aan welke synology je hebt, dus geen idee. Idem welke client router je gebruikt. Tevens geef je niet aan wat je met de LOXONE gaat doen. Dus als je beter advies wilt, hebben we meer info nodig.

Synology wil je graag hun router verkopen, laat je alleen niets wijs maken, openvpn kan je ook met andere apparaten opzetten.

Als je toch de spullen hebt zou ik het eerst eens proberen, is performance een issue kan je altijd nog upgraden......

[ Voor 18% gewijzigd door jeanj op 19-03-2019 20:17 ]

Als ik het goed heb (ik doe dit ook niet vaak)
192.168.0.0/16 is het netwerk doel
mask 255.255.0.0.
gateway het ip van je open vpn server 192.68.0.192

Je zou het strakker kunnen zetten op 192.168.0.0/24 en mask 255.255.255.0

Klopt het adres van je synology 192.68.0.192, dus 68 en niet 168?

Voor de zekerheid vraag ik het maar even, jullie hebben beide niet range 192.168.0.x in gebruik? Want dan gaat het niet lukken en zal je 1 van de twee moeten om nummeren.....

Kijk hier nog even voor meer info https://openvpn.net/vpn-s...ting-explained-in-detail/

Ik weet niet of je er nog mee bent, maar als je op de synology uitkomt, dan is het alleen een questie van de routering goed zetten. Wat zijn de traceroute van je zus naar je nas en naar een ander ip in je netwerkt, wat is de route tabel aan de kant van je zus. Heb je een statische route aangemaakt aan de kant van je zus voor jouw netwerk?

En hoe gaat het de andere kant op?