VPN gebruiken om port forwarding te omzeilen

Waarom kan je geen poorten forwarden? Wat is de beperkende factor?

Het probleem is dat je namelijk vraagt hoe dit te doen, wat aangeeft dat je dus geen kennis van de materie hebt. En nu is dus de natuurlijk voorzichtigheid geboden, want wanneer we je helpen, zetten we door jouw beperkte kennis dan niet opeens een heel netwerk open naar Internet. met als gevolg dat half Rusland op gevoelige servers kunnen komen binnen het netwerk.

Wanneer het je eigen netwerk is, dan kan je dus gewoon forwarden.

[ Voor 76% gewijzigd door Wim-Bart op 30-04-2020 16:54 ]

Wil je dit echt wel zo ? Beschikbaarheid afhankelijk van meerdere verbindingen ?

Vertel eens wat je wilt gaan doen, en waarom dit het beste alternatief zou zijn ?

Klinkt mij een beestje als houtje touwtje in de oren.

[ Voor 14% gewijzigd door mash_man02 op 30-04-2020 16:52 ]

Het is niet vrij eenvoudig op te zetten, echter is het jammer dat je geen toegang hebt tot de instellingen van de router. Je kan alleen forwarding doen van poorten op het device wat met VPN verbinding maakt naar een externe VPN server die weer rechtstreeks aan internet hangt.

Wat je nodig hebt is een VPN server die rechtstreeks aan Internet hangt welke NAT kan doen. Daar moet je een rule aanmaken in de NAT firewall dat verkeer voor een bepaalde poort naar een eind adres in de tunnel gaat. En vandaar moet eventueel weer een forwarding aangemaakt worden.

Het zal werken, maar is een draak om te configuren. Ooit wel zo iets gedaan met een Juniper, maar met OpenVPN nog nooit.

Wat je zou kunnen doen:

Zet een VPN server op in je netwerk B
Zorg dat de router in netwerk B port forwarding toelaat
Geef het device wat port forwarding nodig heeft een statisch IP Y in je openVPN config
PIVPN is echt simpel te installeren en te beheren.
Forward port X naar IP Y

Dit zou moeten werken. De vraag is of er geen andere oplossing is voor het echte probleem.

[ Voor 7% gewijzigd door Hann1BaL op 30-04-2020 17:15 ]

SSH Tunnel.

Matthias4 schreef op donderdag 30 april 2020 @ 17:20:
[...]


Ik had mijn huisbaas gevraagd DMZ aan te zetten naar mijn persoonlijke router binnen het Telenet netwerk dat hier wordt gedeeld met andere huurders. Hij wil dit echter niet doen, omdat Telenet hem heeft verteld dat andere gebruikers hier last van kunnen ondervinden.

Over het algemeen vind ik het ook interessant om deze optie te bekijken en eens te kijken wat mogelijk is. In ons vakantieverblijf heb ik een orange modem waar ook geen port forwarding mogelijk is. Daar draait een raspberry pi met domoticz om vanop afstand de verwarming aan te sturen. Maar dit dus geheel ter zijde.

En een eigen aansluiting bij Telenet?

Matthias4 schreef op donderdag 30 april 2020 @ 17:18:
[...]

Bedoel je reverse SSH? Heb ik ook naar gekeken, maar voor zover ik vond is dit alleen voor een SSH verbinding en is dit niet uit te breiden voor andere applicaties. Ik kan fout zijn natuurlijk.

Dat is incorrect. Met een SSH tunnel kun je TCP poorten lokaal en remote forwarden die door alle applicaties te gebruiken zijn.

Matthias4 schreef op donderdag 30 april 2020 @ 17:20:
[...]


Ik had mijn huisbaas gevraagd DMZ aan te zetten naar mijn persoonlijke router binnen het Telenet netwerk dat hier wordt gedeeld met andere huurders. Hij wil dit echter niet doen, omdat Telenet hem heeft verteld dat andere gebruikers hier last van kunnen ondervinden.

Over het algemeen vind ik het ook interessant om deze optie te bekijken en eens te kijken wat mogelijk is. In ons vakantieverblijf heb ik een orange modem waar ook geen port forwarding mogelijk is. Daar draait een raspberry pi met domoticz om vanop afstand de verwarming aan te sturen. Maar dit dus geheel ter zijde.

Eigenlijk zoek je dus een methode om het beleid van je huisbaas te omzeilen. Weet je zeker dat je dat wilt ?

Ik denk dat je in gesprek moet.

Matthias4 schreef op donderdag 30 april 2020 @ 17:31:
[...]

Zo is het niet helemaal. Er is totaal geen beleid van wat 'mag' en wat niet. Hij kent er gewoon zelf niets van en durft niets aan de instellingen van de modem te wijzigen.

Dat zeg ik, je moet in gesprek. niet helemaal waar is ook niet onwaar, hieruit blijkt dat je jezelf ook al realiseert dat het een grijs gebied betreft.

Het begin van een geschil.

[ Voor 9% gewijzigd door mash_man02 op 30-04-2020 17:40 ]

Matthias4 schreef op donderdag 30 april 2020 @ 17:41:
[...]

Ik zou dus mijzelf nog meer restricties moeten opleggen? Door de verhuurder een document te laten opstellen wat 'mag' en wat niet? Voor dit antwoord ben ik nu niet bepaald naar Tweakers gekomen.

Wie heeft het over documenten ?

Je moet het zelf weten, maar lees dan ook even de forum regels door :

Niet toegestaan is :

Beveiligingen omzeilen en andere vormen van (internet)misbruik

Daar zou de eigenaar van het netwerk wel eens heel anders over kunnen denken. Niet iedereen is een Tweaker.

Als je met je port forward een vatbaarheid oploopt en daarmee een probleem veroorzaakt in het ineterne netwerk of zelfs afsluiting door de ISP ?!

Maar goed, ik laat het hier bij.

[ Voor 109% gewijzigd door mash_man02 op 30-04-2020 17:56 ]

mash_man02 schreef op donderdag 30 april 2020 @ 17:51:
[...]


Daar zou de eigenaar van het netwerk wel eens heel anders over kunnen denken.

Door een VPN te gebruiken verleg je alle veiligheids issues naar de VPN server en dienst netwerk, het enige wat het lokale netwerk merkt is een VPN verbinding. TS kan nu gewoon 24/7 maximaal up en downloaden, dat is niet een eigenschap die TS alleen heeft door een VPN verbinding te maken. We hebben het hier niet over een netwerk eigenaar die werkgever is en geen porno toestaat op werk waar TS omzeil instructies voor vraagt noch om het in het verleden wel eens voorkomende ISP die portforwarding dicht gooit op de modem-router om dat ze 'geen servers toestaan' TS praat over zijn prive omgeving.

[ Voor 23% gewijzigd door TWeaKLeGeND op 30-04-2020 17:58 ]

mash_man02 schreef op donderdag 30 april 2020 @ 17:29:
[...]


Eigenlijk zoek je dus een methode om het beleid van je huisbaas te omzeilen. Weet je zeker dat je dat wilt ?

Ik denk dat je in gesprek moet.

Waarom zou hij in gesprek moeten? Dit is geen bewust beleid van de huisbaas, eerder simpelweg gemakzucht en voorkomen van problemen (want wat nu als een andere bewoner dezelfde portforwarding wil)

Ik vind het wel een creatieve oplossing van TS. En voor de huisbaas is er hiermee geen risico. Alleen mogelijk voor de plek waar hij port-forwarding heeft en waar hij de vpn wil initieren.

En volgens mij moet de oplossing van Hann1Bal werken.

mash_man02 schreef op donderdag 30 april 2020 @ 17:51:
[...]
Daar zou de eigenaar van het netwerk wel eens heel anders over kunnen denken.

De eigenaar van het netwerk kan ook denken dat de aarde plat is, maar dat maakt het nog niet zo...
En dat is hier ook helemaal niet van toepassing, hier is gewoon van toepassing dat huisbaas er geen verstand van heeft en geen zin heeft om iets te veranderen voor 1 persoon.

Dit is simpelweg de beste oplossing voor huisbaas, huurder en andere huurders en telenet.

Komt op mij als volgt over;

Gedeelde internetverbinding, natuurlijk wil je daar niet op instellen dat één van de huurders al het verkeer krijgt.
Dat wordt met DMZ bedoeld neem ik aan, wat we volgens mij vaker "exposed host" noemen.

Maar gezien de situatie lijkt het mij dan niet vreemd om vanaf je eigen PC een VPN tunnel op te bouwen naar een externe VPS. En verkeer op de VPS laten binnenkomen wat je dan weer naar je eigen PC routeert.

Was dit een bedrijfsnetwerk dan lag het natuurlijk anders.
Maar is dit een privécomputer achter een gedeelde internetverbinding, dan zie ik daar niet echt een bezwaar in.

Rest dan de technische invulling;
VPS met VPN, waar je ook op kan port forwarden.
Op die VPS moet dan weer NAT naar je client IP komen
En opletten dat je client IP altijd hetzelfde is. Dat kan bv als je OpenVPN op de VPS hebt staan ingesteld worden.

Ik besef dat dit erg summiere uitleg is.
Zoals anderen andere stellen zal je denk ik wel zelf al een heel eind verder moeten zijn en dan met concretere vragen terugkomen, of dit hele verhaal moeten vergeten.
Want een A-Z uitleg en handleiding hierover zal je denk ik niet snel krijgen hier.

mash_man02 schreef op donderdag 30 april 2020 @ 17:51:
Daar zou de eigenaar van het netwerk wel eens heel anders over kunnen denken. Niet iedereen is een Tweaker.

Als je met je port forward een vatbaarheid oploopt en daarmee een probleem veroorzaakt in het ineterne netwerk of zelfs afsluiting door de ISP ?!

Maar goed, ik laat het hier bij.

Welke vatbaarheid kan dit zijn? Afsluiting hoe? Alles gaat via de VPN, als er ineens heel veel spam verstuurd zou worden waar een ISP waarschuwing voor kan geven of afsluiten dan gebeurt dat op het netwerk waar de VPN server op draait, en een cryptovirus dat schade aanricht op het interne netwerk van huisgenoten bijvoorbeeld (wat je zou kunnen voorkomen met goed beheer van het netwerk en clients) heeft ook helemaal niks te maken met een VPN

Nou, als jouw VPS niet goed beveiligd is, en externen komen via die VPS op de thuiscomputer dan zal internetverkeer toch wel via de huisaansluiting naar buiten kunnen gaan hoor.

Bech schreef op donderdag 30 april 2020 @ 18:02:
Nou, als jouw VPS niet goed beveiligd is, en externen komen via die VPS op de thuiscomputer dan zal internetverkeer toch wel via de huisaansluiting naar buiten kunnen gaan hoor.

Klopt als het lokale netwerk maar matig is geconfigureerd (wat het ook is), maar verbinden met een VPS kan en mag al. Het is gewoon erg overdreven om hier te stellen dat hij de beveiliging probeert te omzeilen en iedereen in gevaar brengt, elk willekeurig programmatje op TS zijn computer kan aanvallers lokaal netwerk acces geven zonder portforwarding en dmz

Ik vermoed dat upnp wel aan staat op de router overigens. dus...

[ Voor 26% gewijzigd door TWeaKLeGeND op 30-04-2020 18:48 ]

Zeker

Ik zie ook geen obstakel of grijs gebied.

Als jij een kamer huurt en gedeeld internet afneemt, dan kan je ook op andere wijze bv iets op je PC krijgen waardoor de verbinding misbruikt wordt.
Zelf VPN naar je eigen externe VPS opzetten vanaf je eigen PC lijkt mij niet bezwaarlijk.

Interne netwerk is misschien niet goed afgedicht, misschien wel (ik denk zelfs) iedereen in principe in hetzelfde netwerk. Lijkt mij sterk dat per aansluiting een VLAN gemaakt is bv.
Dat staat los van of jij zelf een VPN naar een VPS opbouwt verder.

Gents, met alle respect, het gaat er niet zo zeer om wat wij er van vinden.

We oordelen over iemand anders zijn faciliteit.

De VPN snap ik, maar port forwarden over een VPN is het publiekelijk open leggen van een gedeeld netwerk.

Discutabel op zijn minst. En die discussie moet hij niet met ons voeren.

Bech schreef op donderdag 30 april 2020 @ 18:18:
[...]


Die discussie zijn wij wel begonnen.

Ik vind het niet discutabel en als TS met een concrete vraag kan komen dan kan daar technisch op ingegaan worden.

Een A-Z handleiding en stappenplan met plaatjes zal hij denk ik niet krijgen.

Dat het een gedeeld netwerk is, is een aanname die je doet.
Enige wat we weten is dat de huisbaas niet bereid is om de gedeelde router aan te passen. En daar kan ik goed inkomen.

Zijn PC kan ook vol zitten met malware op dat gedeelde netwerk.
Dat is niet ons probleem.

TS kan ook een ander verhaaltje verzinnen

Zelfde als:
"hoi ik heb een HDD gestolen van iemand, kunnen jullie mij helpen de naaktfoto's te herstellen"
Versus:
"Hoi, ik heb per ongeluk mijn schijf met fotos van de eerste geborende gepartitioneerd, is het mogelijk dit te herstellen?"

Dat het een gedeeld netwerk is is niet geheel een aanname, een huisbaas heeft geen belang bij het voorzien van een eigen netwerk voor een huurder.Deze worden regulier met de huurder als contractant voorzien.

Verder ben ik het juist met je eens dat je mogelijk je verwoording van je vraag moet aanpassen zodat het in beider belang is. Ik begreep iets met een kachel sturing.

Als je aan kunt duiden dat de kachel door deze sturing minder branduren maakt en dus langer mee kan en ook minder onderhoud vergt, is dat toch mogelijk ook in het belang van de verhuurder ?

Noem mij maar een moraal ridder als je wilt, maar in deze situatie lijkt niemand gebaad bij het mogelijke onbegrip tussen de partijen. En daarom denk ik echt dat een goed gesprek de beste oplossing kan brengen.

[ Voor 9% gewijzigd door mash_man02 op 30-04-2020 20:10 ]

mash_man02 schreef op donderdag 30 april 2020 @ 19:59:
[...]
Noem mij maar een moraal ridder als je wilt, maar in deze situatie lijkt niemand gebaad bij het mogelijke onbegrip tussen de partijen. En daarom denk ik echt dat een goed gesprek de beste oplossing kan brengen.

Snap jij de vraag van de TS wel? Want er is geen enkel onbegrip tussen TS en zijn huisbaas, TS heeft iets gevraagd en huisbaas heeft nee gezegd, TS vraagt nu hier om iets anders waar de huisbaas niets mee te maken heeft.

Lijkt me wel humor om een goed gesprek tussen TS en huisbaas te zien over hoe TS dan een VPN kan opzetten, dan gaat de huisbaas iets doen van "VP.. Watte? Waarvoor, wat is dat, wat doet dat, wat heb ik daarmee te maken?" En als TS dan zegt dat de huisbaas er niets mee te maken heeft dan gaat de huisbaas iets doen van "Waarom kom je dan in vredesnaam bij mij?"...
Tja, iemand op internet zei dat dat de beste oplossing kan brengen, alleen is TS na dat gesprek nog geen ene mm opgeschoten met zijn vraag.

Juist, dat ja
Staat ieder vrij om op zijn eigen PC te doen wat hij wil.
Dus de rest eromheen lijkt mij niet relevant.

Is verder gewoon een technische vraag.

Alleen willen tweakers vaak inderdaad even moraalridder uithangen en de werkelijke vraag omzeilen.
Het is misschien een wat minder conventionele vraag maar dat maakt het nog niet illegaal of ons medeplichtig ergens aan.

mash_man02 schreef op donderdag 30 april 2020 @ 21:51:
[...]

Ook dat is niet correct, dat mag je stellen als de gehele infrastructuur eigendom is, wat in dit geval klaarblijkelijk niet zo is.

Dus ik mag ook geen vraag stellen m.b.t. mijn eigen laptop? Want stel dat ik eens bij TS op bezoek ga en van hun internet gebruik mag maken.

Bech schreef op donderdag 30 april 2020 @ 21:53:
[...]


Dus ik mag ook geen vraag stellen m.b.t. mijn eigen laptop? Want stel dat ik eens bij TS op bezoek ga en van hun internet gebruik mag maken.

Dan hoor je de regels van het huis te respecteren in plaats van discutabele workarounds te introduceren. het is nog altijd de contractant van de aansluiting die aangesproken wordt op het gebruik.

Hier horen gewone omgangsetiketten van toepassing te zijn, je gaat met een ander om zoals je zelf ook behandeld wilt worden.

[ Voor 12% gewijzigd door mash_man02 op 30-04-2020 21:57 ]

Matthias4 schreef op donderdag 30 april 2020 @ 17:20:
[...]


Ik had mijn huisbaas gevraagd DMZ aan te zetten naar mijn persoonlijke router binnen het Telenet netwerk dat hier wordt gedeeld met andere huurders. Hij wil dit echter niet doen, omdat Telenet hem heeft verteld dat andere gebruikers hier last van kunnen ondervinden.

mash_man02 schreef op donderdag 30 april 2020 @ 21:55:
[...]


Dan hoor je de regels van het huis te respecteren in plaats van discutabele workarounds te introduceren. het is nog altijd de contractant van de aansluiting die aangesproken wordt op het gebruik.

Hier horen gewone omgangsetiketten van toepassing te zijn, je gaat met een ander om zoals je zelf ook behandeld wilt worden.

Is het niet de huisbaas die de overlast mogelijk maakt door de internet verbinding te delen met andere huurders? Het is dat @Matthias4 een persoonlijke router heeft, maar als je direct in het Telenet modem aangesloten bent, ben je ook verplicht zeer voorzichtig mail te lezen en te surfen. Dan stel je mogelijk de buren bloot aan binnengehaalde rommel.
De verhuurder wil er niet aan, omdat hij niet eenvoudig 3 x poort 80&443 kan uitdelen aan huurder A, B en C.
Als @Matthias4 zich er van verzekerd dat hij achter zijn eigen router op geen enkele manier in de netwerken van zijn buren kan komen, en zijn buren niet bij hem, is er weinig aan de hand? Dan werkt zijn verbinding als bij een ander die een prive-aansluiting heeft.

biomass schreef op donderdag 30 april 2020 @ 22:35:
[...]


[...]


Is het niet de huisbaas die de overlast mogelijk maakt door de internet verbinding te delen met andere huurders? Het is dat @Matthias4 een persoonlijke router heeft, maar als je direct in het Telenet modem aangesloten bent, ben je ook verplicht zeer voorzichtig mail te lezen en te surfen. Dan stel je mogelijk de buren bloot aan binnengehaalde rommel.
De verhuurder wil er niet aan, omdat hij niet eenvoudig 3 x poort 80&443 kan uitdelen aan huurder A, B en C.
Als @Matthias4 zich er van verzekerd dat hij achter zijn eigen router op geen enkele manier in de netwerken van zijn buren kan komen, en zijn buren niet bij hem, is er weinig aan de hand? Dan werkt zijn verbinding als bij een ander die een prive-aansluiting heeft.

Klaag hem maar aan, of toch maar dat gesprek ?

Nee, alle gekheid op een stokje, dat is afhankelijk van hetgeen afgesproken is bij het aangaan van de huur overeenkomst.

[ Voor 6% gewijzigd door mash_man02 op 30-04-2020 22:45 ]

mash_man02 schreef op donderdag 30 april 2020 @ 21:49:
[...]
En dat ben ik dus niet met je eens, als je het interne netwerk wat niet jou eigendom is ontsluit via een truuk die de eigenaar van het netwerk niet begrijp wil niet zeggen dat dat netjes en correct is.

Oftewel je begrijpt de vraag van de TS niet. De TS wil helemaal niet het interne netwerk van de huisbaas ontsluiten.

De TS gaat met zijn gevraagde methode ook helemaal niet het interne netwerk van de huisbaas ontsluiten.

Wat er kan gebeuren (als TS het verkeerd configureert) is dat netwerk B (oftewel niet het huisbaas netwerk) open komt te liggen, vanaf internet. Maar dat is netwerk B waar helemaal niet van gezegd is van wie of wat het is.

Het enige wat er gebeurt/gewenst is is dat TS zijn laptop ontsluit aan het internet. Alleen die laptop is eigendom TS oftewel dan moet volgens jou TS een goed gesprek met zichzelf hebben, maar ik vermoed dat dat een heel kort gesprek is...

En tja, er is een risico dat er via de VPN/mailclient/browser/icq/websocket/windows update/ftp/etc etc etc een virus binnenkomt die het interne netwerk van huisbaas besmet, alleen dat is inherent aan internet aanbieden aangezien het met alles mee kan komen.
Wil je dat niet als huisbaas, dan kan je externe + interne verbindingen gaan whitelisten, maar daar is hier totaal geen sprake van.

mash_man02 schreef op donderdag 30 april 2020 @ 21:55:
[...]
Dan hoor je de regels van het huis te respecteren in plaats van discutabele workarounds te introduceren. het is nog altijd de contractant van de aansluiting die aangesproken wordt op het gebruik.

Lees je eens in wat een VPN is...

Hier horen gewone omgangsetiketten van toepassing te zijn, je gaat met een ander om zoals je zelf ook behandeld wilt worden.

Heel ware woorden. Oftewel ga niet om elk wissewasje waar ik niets mee te maken heb proberen een kansloos gesprek met mij aan te gaan als huisbaas.

Ik vraag me af of jij niet simpelweg elke keer dat je naar het toilet gaat al een goed gesprek met je huisbaas wilt hebben... Om daarna in een goed gesprek te gaan melden dat het toiletbezoek toch echt gelukt is zelfstandig...

Wim-Bart schreef op donderdag 30 april 2020 @ 17:10:
Het is niet vrij eenvoudig op te zetten, echter is het jammer dat je geen toegang hebt tot de instellingen van de router. Je kan alleen forwarding doen van poorten op het device wat met VPN verbinding maakt naar een externe VPN server die weer rechtstreeks aan internet hangt.

Wat je nodig hebt is een VPN server die rechtstreeks aan Internet hangt welke NAT kan doen. Daar moet je een rule aanmaken in de NAT firewall dat verkeer voor een bepaalde poort naar een eind adres in de tunnel gaat. En vandaar moet eventueel weer een forwarding aangemaakt worden.

Het zal werken, maar is een draak om te configuren. Ooit wel zo iets gedaan met een Juniper, maar met OpenVPN nog nooit.

jongens waarom allemaal zo moeilijk

je neemt een vpn service die poort forwarding of toewijzing ondersteunt en probleem opgelost ?

boyette schreef op vrijdag 1 mei 2020 @ 00:19:
[...]


jongens waarom allemaal zo moeilijk

je neemt een vpn service die poort forwarding of toewijzing ondersteunt en probleem opgelost ?

Ook een oplossing

Wim-Bart schreef op vrijdag 1 mei 2020 @ 00:33:
[...]

Ook een oplossing

https://airvpn.org/

We offer OpenVPN on ports 80 TCP / UDP, 443 TCP / UDP and 53 TCP / UDP. Additionally, every Air server supports directly OpenVPN over SSH, OpenVPN over SSL and OpenVPN over Tor. This means that even the most brutal techniques of monitoring, censorship, throttling and traffic shaping will fail against AirVPN, because your ISP and your government will see only TCP or UDP traffic on a unique port.

Every protocol is welcome, including p2p. Forwarded ports and DDNS to optimize your software.

https://airvpn.org/faq/port_forwarding/

opgelost

boyette schreef op vrijdag 1 mei 2020 @ 00:35:
[...]
https://airvpn.org/
[...]
opgelost

Deze onthoud ik.

Gomez12 schreef op vrijdag 1 mei 2020 @ 00:01:
[...]

Oftewel je begrijpt de vraag van de TS niet. De TS wil helemaal niet het interne netwerk van de huisbaas ontsluiten.

De TS gaat met zijn gevraagde methode ook helemaal niet het interne netwerk van de huisbaas ontsluiten.

Wat er kan gebeuren (als TS het verkeerd configureert) is dat netwerk B (oftewel niet het huisbaas netwerk) open komt te liggen, vanaf internet. Maar dat is netwerk B waar helemaal niet van gezegd is van wie of wat het is.

Het enige wat er gebeurt/gewenst is is dat TS zijn laptop ontsluit aan het internet. Alleen die laptop is eigendom TS oftewel dan moet volgens jou TS een goed gesprek met zichzelf hebben, maar ik vermoed dat dat een heel kort gesprek is...

En tja, er is een risico dat er via de VPN/mailclient/browser/icq/websocket/windows update/ftp/etc etc etc een virus binnenkomt die het interne netwerk van huisbaas besmet, alleen dat is inherent aan internet aanbieden aangezien het met alles mee kan komen.
Wil je dat niet als huisbaas, dan kan je externe + interne verbindingen gaan whitelisten, maar daar is hier totaal geen sprake van.


[...]

Lees je eens in wat een VPN is...


[...]

Heel ware woorden. Oftewel ga niet om elk wissewasje waar ik niets mee te maken heb proberen een kansloos gesprek met mij aan te gaan als huisbaas.

Ik vraag me af of jij niet simpelweg elke keer dat je naar het toilet gaat al een goed gesprek met je huisbaas wilt hebben... Om daarna in een goed gesprek te gaan melden dat het toiletbezoek toch echt gelukt is zelfstandig...

Je bent noch de TS, noch de huisbaas, maar laat ik er maar over ophouden, je trekt het je toch al te persoonlijk aan.

Ik blijf van mening dat je je netjes hoort te gedragen op het netwerk van een ander, daar kun je het mee eens zijn of niet. Dus alle vormen van beleid of beveiliging ontwijkende maatregelen zijn op zijn zachts gezegd niet netjes.

En dat heeft niets te maken met toilet bezoeken.

[ Voor 13% gewijzigd door mash_man02 op 01-05-2020 01:47 ]

Hann1BaL schreef op donderdag 30 april 2020 @ 17:15:
Wat je zou kunnen doen:

Zet een VPN server op in je netwerk B
Zorg dat de router in netwerk B port forwarding toelaat
Geef het device wat port forwarding nodig heeft een statisch IP Y in je openVPN config
PIVPN is echt simpel te installeren en te beheren.
Forward port X naar IP Y

Dit zou moeten werken. De vraag is of er geen andere oplossing is voor het echte probleem.

PiVPN is inderdaad waanzinnig simpel, maar heb je al aan WireGuard gedacht? Dat is ook vrij simpel, zit vanaf een bepaalde release al in de kernel gebakken en is behoorlijk wat sneller dan OpenVPN (waar PiVPN een schilletje omheen is).

Heren,

Ik snap de terughoudendheid van jullie, dat dit potentieel een grijs gebied is. Maar laten we deze discussie stoppen.

Ik lees een gedeelde Internet verbinding waar meerdere huurders gebruik van maken. Als het goed is (en zo niet, dan moeten ze dat rap regelen) heeft elke huurder zijn eigen router achter de router die de huurbaas heeft.
Ik sta ook achter de keuze dat de verhuurder geen DMZ ( naam) of "exposed host" hanteert. Dat is ten eerste ondoenlijk als er iemand anders dat ook zou willen, en ten tweede kan diegene die alle verkeer krijgt daar leuke dingen mee doen.

Als er iemand dan achter (of met) zijn eigen router een VPN verbinding opzet en deze gebruikt voor het forwarden van poorten, zie ik niet direct dat dit omzeilen van een beleid is. Ja, in potentie introduceer je een ingang in het netwerk, maar die kans is klein en de impact is alleen voor de topicstarter.

Laten we ons nu even focussen op de oplossing.

Kijk eens naar Wireguard

Je kan voor 5$ per maand een VPS afnemen bij bijvoorbeeld Digital Ocean of Vultr oid. Daar zet je dan een Wireguard server op en zet je ip4 forwarding aan (bijvoorbeeld Debian of Ubuntu). Als je de kenel update naar 5.4 zit Wireguard tegenwoordig gewoon in de kernel.

Aangezien een moderator inmiddels de ethische kant heeft opgehelderd heb je hier als opzetje mijn config. Ik gebruik dit voor Plex HTTPS en HTTP. Maar je kan natuurlijk iedere willekeurige port forwarden op deze manier.

Op de server krijg je dan dit:



En op de client dit:

Kasper1985 schreef op vrijdag 1 mei 2020 @ 12:51:
Kijk eens naar Wireguard

Je kan voor 5$ per maand een VPS afnemen bij bijvoorbeeld Digital Ocean of Vultr oid. Daar zet je dan een Wireguard server op en zet je ip4 forwarding aan (bijvoorbeeld Debian of Ubuntu). Als je de kenel update naar 5.4 zit Wireguard tegenwoordig gewoon in de kernel.

Aangezien een moderator inmiddels de ethische kant heeft opgehelderd heb je hier als opzetje mijn config. Ik gebruik dit voor Plex HTTPS en HTTP. Maar je kan natuurlijk iedere willekeurige port forwarden op deze manier.

Op de server krijg je dan dit:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

[Interface] PrivateKey = <key> ListenPort = 51820 Address = <private IP> PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Postup = iptables -t nat -A PREROUTING -i eth0 -d <public IP server> -p tcp --dport 443 -j DNAT --to-destination 192.168.50.2:443 Postup = iptables -t nat -A PREROUTING -i eth0 -d <public IP server> -p tcp --dport 80 -j DNAT --to-destination 192.168.50.2:80 PostUp = iptables -t nat -A PREROUTING -i eth0 -d <public IP server> -p tcp --dport 32400 -j DNAT --to-destination 192.168.50.2:32400 PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE PostDown = iptables -t nat -D PREROUTING -i eth0 -d <public IP server> -p tcp --dport 32400 -j DNAT --to-destination 192.168.50.2:32400 PostDown = iptables -t nat -D PREROUTING -i eth0 -d <public IP server> -p tcp --dport 443 -j DNAT --to-destination 192.168.50.2:443 PostDown = iptables -t nat -D PREROUTING -i eth0 -d <public IP server> -p tcp --dport 80 -j DNAT --to-destination 192.168.50.2:80 [Peer] PublicKey =<key> AllowedIPs = 192.168.50.2/32 [Peer] PublicKey = <key> AllowedIPs = 192.168.50.3/32

En op de client dit:

code:

1 2 3 4 5 6 7 8 9 10 11

[Interface] PrivateKey = <key> Address = 192.168.50.2/24 DNS = 192.168.1.7 [Peer] PublicKey = <key> Endpoint = <public IP server>:51820 AllowedIPs = 0.0.0.0/0 PersistentKeepalive = 25

Heel netjes, je slaat alleen de key-generatie over.

@Freee!! Klopt. Dit was simpelweg om te laten zien hoe makkelijk het kan.

Ik ging er gemakshalve vanuit dat iemand zich nog inleest. Aan de key-generatie zitten ook weer haken en oven mbt permissies etc. Beter om daar goed over te lezen dan klakkeloos over te nemen van een forum :-)