VPN client mag géén toegang tot lokaal netwerk hebben - Netwerken

Vraag

zaterdag 21 november 2020 12:53

Acties:

0 Henk 'm!

Topicstarter

Beste,

Ik wil zo'n beetje het omgekeerde bereiken als waar de meesten VPN voor gebruiken. Bear with me.

Ik heb thuis een VPN server draaien (Synology VPN), en dit werkt prima. Met de standaard L2TP/IPSec VPN client van Windows kan ik verbinding maken (na apart MS-CHAP v2 authenticatie te activeren).

Een goede vriend van mij woont in de Verenigde Staten. Hij mist een beetje de Vlaamse/Nederlandse TV shows (geofencing), dus dacht ik: laten we die Synology VPN server aan het werk zetten!

Maar daarom moet hij natuurlijk geen toegang krijgen tot mijn lokaal netwerk (printers, home automation,...). Je zou kunnen zeggen "het is toch een goede vriend". Maar ik vind het gewoon netjes om zijn toegang tot het "Vlaamse internet" los te koppelen van een eventuele toegang tot mijn lokaal netwerk.

Weet iemand hoe ik zijn toegang tot mijn lokaal netwerk kan verhinderen?

Bedankt!

I don't have hard drives. i just keep 30 chinese teenagers in my basement and force them to memorize numbers.

Alle reacties

zaterdag 21 november 2020 13:12

Acties:

0 Henk 'm!

SMSfreakie

Ai das denk ik wel een lastigere omdat je NAS niet ook meteen je router is..

404 Signature not found

zaterdag 21 november 2020 13:14

Acties:

0 Henk 'm!

The Eagle

I wear my sunglasses at night

Dan moet je gaan VLAN'en, maar ik verwacht niet dat je synology of je router dat ondersteunt.

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

zaterdag 21 november 2020 13:50

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

The Eagle schreef op zaterdag 21 november 2020 @ 13:14:
Dan moet je gaan VLAN'en, maar ik verwacht niet dat je synology of je router dat ondersteunt.

Met alleen een VLAN kom je er niet en VLAN ondersteuning is ook niet eens noodzakelijk, imho

Waar het om gaat is dat je op de vpn-server onderscheid kunt maken tussen accounts. Als je vriend inlogt moet die alleen maar toegang krijgen tot de synology (localhost, in dit geval) terwijl als jij inlogt je ook je iot spullen wilt kunnen bereiken. Ik weet niet of de synology dit kan, maar aangezien @DriesA zo'n thuis heeft staan, kan hij dat eenvoudig onderzoeken

QnJhaGlld2FoaWV3YQ==

zaterdag 21 november 2020 13:52

Acties:

0 Henk 'm!

Ben(V)

Kun je niet de firewall van je Nas gebruiken hiervoor.
Als je een regel maak die verkeer vanaf de vpn server naar jouw subnet blocked ben je er toch?
Dan kan hij alleen nog het internet op.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zaterdag 21 november 2020 13:53

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Ben(V) schreef op zaterdag 21 november 2020 @ 13:52:
Kun je niet de firewall van je Nas gebruiken hiervoor.
Als je een regel maak die verkeer vanaf de vpn server naar jouw subnet blocked ben je er toch?
Dan kan hij alleen nog het internet op.

Nee, want dan is de TS zelf ook de toegang tot z'n netwerk kwijt

QnJhaGlld2FoaWV3YQ==

zaterdag 21 november 2020 13:55

Acties:

+1 Henk 'm!

Ernemmer

Voor 3,95 per maand (als ie binnen 9 uur besteld) heeft die vriend NordVPN, voor dat geld zou ik niet gaan lopen klooien in mijn eigen VPN opzet.

https://nordvpn.com/nl/black-friday-promo/

[ Voor 24% gewijzigd door Ernemmer op 21-11-2020 13:56 ]

zaterdag 21 november 2020 13:59

Acties:

0 Henk 'm!

Ben(V)

Brahiewahiewa schreef op zaterdag 21 november 2020 @ 13:53:
[...]

Nee, want dan is de TS zelf ook de toegang tot z'n netwerk kwijt

Je moet ook alleen de VPN blokkeren om je lokale subnet te bereiken en niet je lokale ip adressen mee blokkeren.

Uiteraard kan hij dan niet meer die VPN gebruiken om vanaf het internet binnen te komen, tenzij hij zelf bijvoorbeeld daar een ander protocol en dus een andere poort voor gebruikt die je dan weer niet blokkeert in de firewall.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zaterdag 21 november 2020 14:02

Acties:

0 Henk 'm!

Brahiewahiewa

boelkloedig

Ben(V) schreef op zaterdag 21 november 2020 @ 13:59:
[...]
Uiteraard kan hij dan niet meer die VPN gebruiken om vanaf het internet binnen te komen...

Ik haal uit de startpost dat het juist de bedoeling was om het zelf ook te gebruiken, maar dat kan aan mij liggen

QnJhaGlld2FoaWV3YQ==

zaterdag 21 november 2020 14:06

Acties:

0 Henk 'm!

Ben(V)

Is niet helemaal duidelijk of hij die VPN enkel hiervoor had opgezet of ook voor andere toegang, maar zoals ik al zei kun je ook twee protocollen bijvoorbeeld Ipsec en OpenVpn gebruiken.
Die kun je dan aparte behandelen in de firewall.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zaterdag 21 november 2020 14:33

Acties:

0 Henk 'm!

Ernemmer

PIA is zelfs nog onder de 2 euro per maand.

https://nld.privateinternetaccess.com/

zaterdag 21 november 2020 17:47

Acties:

0 Henk 'm!

DriesA

Topicstarter

Hoi allen,

Bedankt voor de talrijke reacties!

Enkele aanvullingen:
* Mijn NAS fungeert inderdaad niet als een router. Dit is een FritzBox 7590, hier kan ik ook een VPN op configureren. maar daar lijken de opties wat beperkter.
* VLAN lijkt precies geen optie te zijn als mijn NAS ook niet de router is;
* Ik gebruik zelf de VPN niet echt, dus het is niet erg dat elke VPN toegang afgescheiden is van mijn lokaal netwerk. Het moet dus niet gebruikersspecifiek zijn.
* Ik heb even naar de firewall settings gekeken op de Synology. Ik had de volgende regel toegevoegd:
* Ports - Select from list of built-in applications: VPN;
* Source IP: All;
* Action: Deny;
=> Maar zodra ik dit instel, kan ik geen VPN verbinding mee opbouwen met een externe client. Wat zie ik over het hoofd?

Ik geef hem alvast de suggesties van NordVPN en PIA door. Maar ik ben nu ook geïnteresseerd in de oplossing van mijn probleem. :-)

I don't have hard drives. i just keep 30 chinese teenagers in my basement and force them to memorize numbers.

zaterdag 21 november 2020 18:48

Acties:

0 Henk 'm!

SMSfreakie

probleem is dat je "server" al in je lokale netwerk zit, dus is het denk ik vrij lastig om het zonder VLANs etc uit te blocken denk ik?

404 Signature not found

zaterdag 21 november 2020 18:59

Acties:

0 Henk 'm!

laurens0619

Add this to the client config:

route 192.168.0.0 255.255.255.0 net_gateway

this would block ip’s 192.168.0.1 thru 192.168.0.253

I just tested on my setup and it worked.

The block functions by sending these out the local gateway instead of over the vpn.

https://forums.openvpn.net/viewtopic.php?t=26354

Wel ff aanpassen naar je openvpn ip ramge

Alternatieven zijn iptables rules, ook prima
Optie

CISSP! Drop your encryption keys!

zaterdag 21 november 2020 21:44

Acties:

0 Henk 'm!

plizz

Is het niet makkelijk om een statisch route aan te maken op Fritzbox naar VPN subnet van Synology?

zondag 22 november 2020 13:51

Acties:

+1 Henk 'm!

DriesA

Topicstarter

laurens0619 schreef op zaterdag 21 november 2020 @ 18:59:
Add this to the client config:

route 192.168.0.0 255.255.255.0 net_gateway

this would block ip’s 192.168.0.1 thru 192.168.0.253

I just tested on my setup and it worked.

The block functions by sending these out the local gateway instead of over the vpn.

https://forums.openvpn.net/viewtopic.php?t=26354

Wel ff aanpassen naar je openvpn ip ramge

Alternatieven zijn iptables rules, ook prima
Optie

Bedankt, dit werkt! $_/-\o_$ $_/-\o_$

Ik zie één nadeel aan deze setup.Je beveiliging zit in de OVPN configuratie (niet serverside). In theorie zou de eindgebruiker deze regel gewoon uit het OVPN bestand kunnen halen en heeft hij toegang. In deze specifieke use case is dat in de praktijk geen probleem.

I don't have hard drives. i just keep 30 chinese teenagers in my basement and force them to memorize numbers.

zondag 22 november 2020 13:56

Acties:

0 Henk 'm!

DriesA

Topicstarter

plizz schreef op zaterdag 21 november 2020 @ 21:44:
Is het niet makkelijk om een statisch route aan te maken op Fritzbox naar VPN subnet van Synology?

Bedankt voor de hulp.
Maar ik begrijp niet goed welke route ik dan moet aanmaken.

Mijn LAN zit in de range 192.168.1.x, mijn OpenVPN in de range 10.8.0.x.

I don't have hard drives. i just keep 30 chinese teenagers in my basement and force them to memorize numbers.

zondag 22 november 2020 14:55

Acties:

0 Henk 'm!

Ben(V)

Je kunt ook gewoon een firewall regel in je Nas maken die de 10 reeks blokkeert om bij de 192.168.1.2 tot 192.168.1.255 te komen.

Dan mag hij wel bij de router komen en kan er gewoon naar het internet gerouteerd worden.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zondag 22 november 2020 16:53

Acties:

0 Henk 'm!

DriesA

Topicstarter

Ben(V) schreef op zondag 22 november 2020 @ 14:55:
Je kunt ook gewoon een firewall regel in je Nas maken die de 10 reeks blokkeert om bij de 192.168.1.2 tot 192.168.1.255 te komen.

Dan mag hij wel bij de router komen en kan er gewoon naar het internet gerouteerd worden.

Hoi Ben,
Ik denk/vrees dat de Synology Firewall daar iets te beperkt voor is. Ik kan daar enkel inkomende verbindingen blokkeren, maar geen uitgaande verbindingen.

I don't have hard drives. i just keep 30 chinese teenagers in my basement and force them to memorize numbers.

zondag 22 november 2020 17:09

Acties:

+1 Henk 'm!

Ben(V)

Dat kan prima.
Jij moet bij Source Ip alleen de reeks 192.168.1.2 - 192.168.1.255 opgeven voor "Deny"

En dan als default "Allow" laten staan.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zondag 22 november 2020 18:10

Acties:

0 Henk 'm!

DriesA

Topicstarter

Hoi Ben,

Zo had ik het initieel gedaan.
Bij Interface "VPN" geselecteerd.
En dan één regel toegevoegd met de volgende instellingen:
* Ports: all;
* Source IP: range 192.168.3.2 - 192.168.3.255;
* Action: Deny;

Verder zijn er geen andere firewall regels van toepassing (ook niet bij andere interfaces). Helaas kon ik via VPN wel nog steeds aan die IP addressen.

Dries

I don't have hard drives. i just keep 30 chinese teenagers in my basement and force them to memorize numbers.

zondag 22 november 2020 19:41

Acties:

0 Henk 'm!

laurens0619

Ja die beperking in de client config instellen is wel een beun oplossing en totaal niets met security te maken

CISSP! Drop your encryption keys!

zondag 22 november 2020 19:46

Acties:

+1 Henk 'm!

Will_M

Intentionally Left Blank

laurens0619 schreef op zondag 22 november 2020 @ 19:41:
Ja die beperking in de client config instellen is wel een beun oplossing en totaal niets met security te maken

Mooi toch? Je gaat een ander toegang verlenen tot je netwerk en stelt daarbij de eis dat die persoon vervolgens z'n eigen verbinding maar moet gaan beperken middels local config files welke 'ie ook zelf moet aanmaken en beheren...