Modem in bridge mode vs port forwarding voor VPN server

woensdag 29 mei 2019 17:20

Acties:

0 Henk 'm!

Topicstarter

Ik zou graag de OpenVPN server willen aanzetten op mijn router TP-Link C1200, dat achter een modem hangt. Het kabelmodem dat we hier hebben, een Technicolor(Cisco) EPC3928S laat zich met geen mogelijkheid in bridge modus zetten. Het veld in de settings die dat zou moeten kunnen aanzetten volgens de documentatie is gewoon leeg.

Wat ik al geprobeerd heb is om dhcp in het modem uit te zetten in de veronderstelling dat het modem zo slim zou zijn dan in bridge modus te gaan maar dat werkt niet. Er komt dan niks door in het router en het modem moet worden gereset omdat ik ook niet meer in de settings kan komen.

Wat ik ook nog geprobeerd heb is, zoals in een Ziggo forum wordt aangeraden, is het modem en het router te resetten met het router verbonden met de eerste lan poort van het modem en de andere lan poorten leeg. Dat werkt ook niet, het router krijgt via dhcp gewoon weer een IP adres van het modem wat dus niet in bridge modus staat.

Met de internetprovider bellen om het modem in bridge modus te laten zetten is ook geen optie, onder andere omdat ik hier de taal niet spreek.

Nu had ik het idee om de VPN poort te gaan forwarden in het modem naar het router(met vast IP adres) maar dat werkt niet omdat het VPN certificaat dat het router genereert dan het lokale IP adres bevat. Dan zou ik het certificaat handmatig kunnen aanpassen naar m'n externe IP adres maar het wordt wel een beetje een hack op deze manier.

Is er een betere manier om een VPN verbinding naar een router op een lokaal lan te openen? Is port forwarding door een modem überhaupt aan te raden voor een VPN verbinding, ook wat beveiliging betreft? Zie ik een hele eenvoudige oplossing over het hoofd?

woensdag 29 mei 2019 17:25

Acties:

+1 Henk 'm!

borft

Kan je niet een DMZ instellen? Overigens, waarom zou een certificaat een IP adres bevatten? Dat lijkt me niet helemaal de bedoeling, doorgaans zet je daar een hostname in.

Je kunt trouwens de klantenservice van Ziggo ook mailen.

[ Voor 14% gewijzigd door borft op 29-05-2019 17:25 ]

woensdag 29 mei 2019 17:25

Acties:

+1 Henk 'm!

Wim-Bart

Zie signature voor een baan.

Wanneer je een PPTP VPN opzet zou het moeten werken. Echter voor vele VPN oplossingen moet het GRE protocol open worden gezet en dat kan niet met port forwarding. Het enige wat overblijft is complete server forwarding naar je VPN appliance.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

woensdag 29 mei 2019 17:26

Acties:

+1 Henk 'm!

lier

MikroTik nerd

Met de internetprovider bellen om het modem in bridge modus te laten zetten is ook geen optie, onder andere omdat ik hier de taal niet spreek.

Weke taal moet je kunnen spreken?
En wat is hier?

Kan de EPC3928S als VPN server ingesteld worden?

Eerst het probleem, dan de oplossing

woensdag 29 mei 2019 17:26

Acties:

+2 Henk 'm!

Room42

@Wim-Bart Laten we maar geen PPTP meer adviseren. Dat is al jaren 'gekraakt'.

[ Voor 20% gewijzigd door Room42 op 29-05-2019 17:27 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

woensdag 29 mei 2019 17:26

Acties:

+1 Henk 'm!

borft

Wim-Bart schreef op woensdag 29 mei 2019 @ 17:25:
Wanneer je een PPTP VPN opzet zou het moeten werken. Echter voor vele VPN oplossingen moet het GRE protocol open worden gezet en dat kan niet met port forwarding. Het enige wat overblijft is complete server forwarding naar je VPN appliance.

pptp zou ik niet aan beginnen in 2019, dat is niet heel erg veilig. OpenVPN heeft alleen een UDP portje nodig, dus dat zou kunnen werken.

woensdag 29 mei 2019 17:28

Acties:

0 Henk 'm!

kzin

Heb je toevallig IPv6? Dan zijn de opties voor bridge mode en port forwarding vaak uitgeschakeld.

woensdag 29 mei 2019 17:29

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

borft schreef op woensdag 29 mei 2019 @ 17:26:
[...]

pptp zou ik niet aan beginnen in 2019, dat is niet heel erg veilig. OpenVPN heeft alleen een UDP portje nodig, dus dat zou kunnen werken.

OpenVPN is inderdaad ook een mooie oplossing, niet eens aan gedacht. En natuurlijk is PPTP tegenwoordig geen oplossing, maar soms is het de enige oplossing

Zelfs nu nog.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

woensdag 29 mei 2019 17:29

Acties:

0 Henk 'm!

Room42

gold_dust schreef op woensdag 29 mei 2019 @ 17:20:
[...]

Nu had ik het idee om de VPN poort te gaan forwarden in het modem naar het router(met vast IP adres) maar dat werkt niet omdat het VPN certificaat dat het router genereert dan het lokale IP adres bevat. Dan zou ik het certificaat handmatig kunnen aanpassen naar m'n externe IP adres maar het wordt wel een beetje een hack op deze manier.

[...]

Volgens mij kun je: of gewoon het IP-adres in de client config aanpassen, dan wel in de VPN-server aangeven welke hostname (c.q. IP-adres) hij moet gebruiken voor de config die hij genereert.

Wim-Bart schreef op woensdag 29 mei 2019 @ 17:29:
[...] OpenVPN is inderdaad ook een mooie oplossing, niet eens aan gedacht. [...]

Grappig, want het is het 5e woordje in de OP, dus dat had je wellicht kunnen inspireren.

[ Voor 17% gewijzigd door Room42 op 29-05-2019 17:31 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

woensdag 29 mei 2019 21:26

Acties:

0 Henk 'm!

gold_dust

Topicstarter

@borft DMZ is toch eigenlijk hetzelfde als het modem in bridge modus zetten? In de zin dat alle verkeer naar het router wordt geleid. Ik vond DMZ eigenlijk wat radicaal maar net als bridge modus is dit ook een optie als er alleen het router met het modem verbonden is.
@Wim-Bart Ik wil liever inderdaad geen PPTP gebruiken.
@lier De EPC3928S ondersteunt alleen IPSec- en PPTP Passthrough maar heeft geen OpenVPN server. Mijn router wel.
@kzin Nee, nog geen IPv6 hier.
@Room42 In de client kun je inderdaad het IP adres aanpassen, ook in de config met het certificaat maar de server zelf heeft alleen hele beperkte instelmogelijkheden. Eigenlijk is er alleen een 'generate a certificate' met hele beperkte instellingen.

Ik denk toch dat ik de OpenVPN server in hetC1200 router niet echt vertrouw, er zijn te weinig beveiligingsinstellingen en alleen een default configuratie. Ik ga waarschijnlijk voor een OpenVPN installatie op een Linux server in plaats die op een goedkoop router te vertrouwen.

Dan blijft er de aparte situatie dat zowel het modem als router NAT doen en DHCP server zijn maar dit draait nu al bijna een jaar zo. Klopt het dat ik voor OpenVPN alleen de betreffende poort, bijvoorbeeld 1194, in beide routers moet forwarden naar een Linux server?

donderdag 30 mei 2019 10:14

Acties:

0 Henk 'm!

lier

MikroTik nerd

Persoonlijk zou ik nooit voor dubbele NAT gaan. Hooguit de TP_Link als accesspoint inzetten, scheelt ook weer in alle forwarding (en andere nadelen).

Eerst het probleem, dan de oplossing

donderdag 30 mei 2019 13:32

Acties:

0 Henk 'm!

Frogmen

Maar het werkt niet als je gewoon poort 1194 voor open VPN forward naar je router? Zou gewoon moeten werken.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

donderdag 30 mei 2019 13:38

Acties:

0 Henk 'm!

dion_b

Moderator Harde Waren

say Baah

TP-Link Archer
Modems en routers
TP-Link

EPC3928 klinkt als (oud) Ziggo. Bij oud Ziggo kunnen modems prima in bridge mode, maar dat gaat via provisioning, dus je moet even de helpdesk contacteren en zij zetten het voor je om. Als je Nederlands kunt schrijven verwacht ik dat je het goed genoeg hiervoor over de telefoon zou moeten kunnen spreken... zo niet kun je toch iemand anders uit de buurt vragen om voor je te bellen?

[ Voor 35% gewijzigd door dion_b op 30-05-2019 13:40 ]

Oslik blyat! Oslik!

donderdag 30 mei 2019 13:47

Acties:

0 Henk 'm!

MrMonkE

★ EXTRA ★

gold_dust schreef op woensdag 29 mei 2019 @ 17:20:
Ik zou graag de OpenVPN server willen aanzetten op mijn router TP-Link C1200, dat achter een modem hangt. Het kabelmodem dat we hier hebben, een Technicolor(Cisco) EPC3928S laat zich met geen mogelijkheid in bridge modus zetten. Het veld in de settings die dat zou moeten kunnen aanzetten volgens de documentatie is gewoon leeg.

Welkom in mijn UPC business nachtmerrie.
Die heeft precies hetzelfde euvel.
Vroeger kom je het met javascript nog hacken bij mijn modem, maar met de moderne! firmware (paar jaar al) niet meer. De reden is me onbekend, mijnvermoeden is dat ze voor business 5 IP's reserveren en je in bridge modus die andere 4 die ik niet betaal ook zou kunnen gebruiken. Ik heb trouwens een 3925. Contact met de helpdesk (Ziggo/UPC) in mijn geval destijd gaf aan dat het onmogelijk was.

Sommige mensen zeiden destijds dat de helpdesk het aan kan zetten maar mij is het niet gelukt ze te overtuigen.

Een zakelijke aansluiting.. en bridge modus disabled. Pro's daar hoor bij UPC/Ziggo. Prive kom ik het voorheen op dezelfde type modem maar met de UPC particulieren firmware wel. Jaren gedaan.

_{Zal wel weer vette -1 krijgen want ze hebben hier veel mollen graven.}

Mijn oplossing?
Die #$*&#*$ modem van hun gebruiken voor portforwarding en blocking.
Dus al mijn rules moeten overzetten.

★ What does that mean? ★

Onderwerpen

Vraag

Alle reacties