Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Hoe maak ik een testsetup voor een vpn in een lokaal netwerk

Pagina: 1
Acties:

Vraag


  • geewizz25
  • Registratie: mei 2006
  • Laatst online: 11-06 00:33
Mijn vraag
Wil een site to site VPN opzetten tussen een locatie in Spanje en in Nederland....

Helaas krijg ik de site to site/net to net ipsec VPN niet werkend, ik kan wel een werkende VPN verbinding naar Nederland maken vanaf een Windows 10 PC d.m.v., in dit geval, de door ASUS geadviseerde Shrew Soft Client.

Is er een mogelijkheid om dit werkend te krijgen door bijvoorbeeld de router in Spanje de initiërende verbinding te laten starten, net zoals dat gebeurt bij het gebruik van de Shrew Soft VPN cliënt?

Ik denk zelf dat de Ubiquiti de bottleneck is maar waarom werkt het dan wel via de Win10 cliënt.
Medewerking van de Spaanse provider is uitgesloten, die willen zelfs niet eens een poort openzetten.... |:(
Daarom lukt het dus ook niet om met de Shrew Soft VPN cliënt verbinding te maken naar Spanje omdat de ASUS router in Spanje dus blijkbaar achter een NAT zit.

Dus, zoals gezegd krijg ik het niet voor elkaar om de ASUS in Spanje verbinding te laten maken met de ASUS in Nederland maar dus wel vanaf een Win 10 PC in Spanje die dus achter de ASUS en de Ubiquiti zit..

Inmiddels is de Spaanse ASUS naar NL gestuurd en heb ik ze allebei hier thuis staan.

Ik wil dus eerst testen of beide ASUS routers met elkaar willen praten via een VPN verbinding maar ik weet niet hoe ik dat lokaal kan/moet opzetten.

Ter verduidelijking een tekening van de set-up zoals die was tussen Spanje en Nederland die dus niet werkte.

Wat ik al gevonden of geprobeerd heb
Heb al contact gehad met ASUS maar die waren niet echt "helpfull"..

Alle hulp en ideeën zijn welkom

Beste antwoord (via geewizz25 op 09-03-2021 00:58)


  • Tribunus
  • Registratie: juni 2004
  • Laatst online: 20:26
geewizz25 schreef op zaterdag 6 maart 2021 @ 16:06:
Dank jullie wel voor de adviezen/hulp.
Ben bang dat het dus niet gaat lukken met de site to site verbinding.

Blijf ik het toch heel vreemd vinden (en ik begrijp het ook niet) dat ik wel een VPN verbinding kan maken vanaf een Windows 10 PC met VPN cliëntsoftware in Spanje.
Als ik dan een whatsmyip doe zie ik dat die PC in Spanje keurig virtueel onder mijn WAN IP van Ziggo in NL hangt.
Ik vraag misschien veel maar kan iemand mij uitleggen waarom dat dan wel werkt ?
Het is lastig uitleggen. Een site to site verbinding is gewoon weg technisch verschillend van een client die verbinding maakt met een een server ergens. Wat jij wilt kan wel, als je apparatuur het maar ondersteund. De oplossing is in dit geval een dialup vpn (ook wel roadwarrior vpn) waarbij de router in Spanje de “client” is.

Als je het wilt snappen qua werking zal je toch even zelf onderzoek moeten doen want ik kan helaas niets anders bedenken om het uit te leggen.

Wellicht kan je de asus routers voorzien van open wrt en wellicht dat het hiermee kan? Belangrijk is dus dat de router in Spanje een client moet zijn die “inbelt” bij de router in Nederland. Het maakt dan ook helemaal niets uit als het externe ip adres wel veranderd.

p.s. Ik denk niet dat er GCnat van toepassing is op deze verbinding in Spanje maar dat er een 10-tal klanten zijn verbonden aan een sector oplossing en dus een ip adres delen. Maar dit maakt voor jou geen verschil want je hebt er totaal geen controle over. GCnat is echt iets voor de grote jongens en dan met name voor mobiele toepassingen en niet zo zeer voor vaste verbindingen.

Alle reacties


  • plizz
  • Registratie: juni 2009
  • Nu online
Zie je iets in log van Asus waarom site-to-site VPN niet werkt? Meestal is pre-shared mismatch of fase1 of fase2 instellingen bij site-to-site VPN. Gebruik je IKEv1 of IKEv2 site-to-site IPSec VPN tunnel of een andere soort VPN tunnel?

  • geewizz25
  • Registratie: mei 2006
  • Laatst online: 11-06 00:33
@plizz De logs kan ik helaas niet meer inzien omdat ik de Spaanse ASUS naar Nederland heb laten sturen en ik nog geen manier heb gevonden om het hier lokaal te testen.

Vandaar ook mijn vraag om een mogelijkheid om hier in NL lokaal een VPN op te zetten zodat ik kan kijken of de AC828 routers met elkaar willen communiceren.

Enige wat ik weet is dat ze in Spanje melden dat hij geen verbinding maakt.....
Het is overigens een IKEv1 site-to-site IPSec VPN tunnel

  • plizz
  • Registratie: juni 2009
  • Nu online
Staan poorten UDP/500 en UDP/4500 open of forward naar Asus router van Spanje?

Je kan simpel switch tussen beiden Asus zetten en door switch IP-adressen uitdelen. Dan heb je beide Asus router IP-adres om je site-to-site VPN te testen.

  • geewizz25
  • Registratie: mei 2006
  • Laatst online: 11-06 00:33
@plizz Dat is nu juist het probleem denk ik, in beide routers staan die poorten open maar de provider van de Wimax verbinding in Spanje wil/kan de poorten niet open zetten en ik weet niet of dat Ubiquiti ding ipsec pass trough ondersteund..
De support daar is niet van een beste kwaliteit, heb de indruk dat ze daar amper weten wat een vpn is, daarbij dan nog zeer gebrekkig Engels en het probleem is compleet.
Kan er zelf helaas niet naar toe :-(
Heb ik voor lokaal testen dan een managed switch nodig?

  • plizz
  • Registratie: juni 2009
  • Nu online
Ja, je hebt een managed switch nodig om je site to-site VPN te testen.

Heb je in Spanje een publieke IP-adres of en private IP-adres van die Wimax provider op die Asus router?

  • geewizz25
  • Registratie: mei 2006
  • Laatst online: 11-06 00:33
@plizz
Als je even bij het eerste door mij geposte bericht kijkt zie je daar een schema hoe het aan de Spaanse kant in elkaar zit.
De Wimax antenne heeft een publiek adres en wel 185.158.53.xxx
Die Antenne deelt vervolgens 192.168.1.108 uit naar de Asus router
En het lokale netwerk draait dan op 192.168.119.xxx
Op het wimax gedeelte heb ik dus geen invloed helaas.

Switches genoeg hier maar geen managed :|
Maar even kijken of ik er hier op Tweakers ééntje kan vinden voor een leuk prijsje :P
In ieder geval alvast bedankt voor de tip hoe lokaal te testen want ik ben geen specialist op VPN gebied.

[Voor 32% gewijzigd door geewizz25 op 01-03-2021 22:16. Reden: Betere uitleg.]


Acties:
  • +1Henk 'm!

  • MasterL
  • Registratie: oktober 2003
  • Laatst online: 11-06 14:50
Ondersteunen die Asus dingen geen OpenVPN? Weet niet welke performance je nodig hebt (dit kan nog wel is een issue zijn met OpenVPN) maargoed. Je zou een OpenVPN client kunnen draaien op de router in Spanje en een server in NL. Als je een (UDP) poort pakt die open staat ben je een stuk minder afhankelijk van de ISP.

Overigens hoef je geen managed switch te hebben voor een test setup als deze, je kunt de routers met de WAN aan elkaar knopen een (/30) subnet pakken in een range die je niet gebruikt in je "LAN" netwerken en vervolgens een VPN aanmaken waarbij je beide routers als endpoint opgeeft.
Waarschijnlijk zal dit wel werken en zit je probleem ergens in España (ISP).

[Voor 36% gewijzigd door MasterL op 02-03-2021 17:14]


  • geewizz25
  • Registratie: mei 2006
  • Laatst online: 11-06 00:33
@MasterL
Ja, ze ondersteunen OpenVPN en ik kan zowel een server als een client instellen op deze routers.
Ze hebben ook dual WAN

Performance is niet echt een issue (alles over WiMax heeft sowieso al geen performance :+ Max snelheid in Espana is "a whopping 8Mbit" _/-\o_ ) dus OpenVPN zou een mogelijkheid zijn.

Had echter voor IpSec gekozen omdat ik, na wat leeswerk, het idee had dat IpSec wat veiliger zou zijn en dat is wel een beetje een issue.
Ben er naar aanleiding van jouw suggestie wat dieper ingedoken en eigenlijk ontloopt het elkaar niet veel.
Helaas kan ik het nu niet uitproberen omdat ik allebei de routers hier heb.

Ga wel even jouw suggestie uit proberen v.w.b. het aan elkaar knopen van de routers via de WANpoort

Heb ik nog 1 vraag;
Als ik het hier opzet met OpenVPN via poort 80 (die staat sowieso open ;-) ) en het certificaat opsla in de client router en het ding vervolgens terugstuur naar ES, dan mag ik toch aannemen dat het dan out of the box werkt als ze hem daar weer aansluiten.?

  • MasterL
  • Registratie: oktober 2003
  • Laatst online: 11-06 14:50
geewizz25 schreef op dinsdag 2 maart 2021 @ 18:46:
@MasterL
Ja, ze ondersteunen OpenVPN en ik kan zowel een server als een client instellen op deze routers.
Ze hebben ook dual WAN

Performance is niet echt een issue (alles over WiMax heeft sowieso al geen performance :+ Max snelheid in Espana is "a whopping 8Mbit" _/-\o_ ) dus OpenVPN zou een mogelijkheid zijn.

Had echter voor IpSec gekozen omdat ik, na wat leeswerk, het idee had dat IpSec wat veiliger zou zijn en dat is wel een beetje een issue.
Ben er naar aanleiding van jouw suggestie wat dieper ingedoken en eigenlijk ontloopt het elkaar niet veel.
Helaas kan ik het nu niet uitproberen omdat ik allebei de routers hier heb.

Ga wel even jouw suggestie uit proberen v.w.b. het aan elkaar knopen van de routers via de WANpoort

Heb ik nog 1 vraag;
Als ik het hier opzet met OpenVPN via poort 80 (die staat sowieso open ;-) ) en het certificaat opsla in de client router en het ding vervolgens terugstuur naar ES, dan mag ik toch aannemen dat het dan out of the box werkt als ze hem daar weer aansluiten.?
Ehh ja daar mag je wel vanuit gaan (neem aan dat er niet toevallig proxies draaien o.i.d.) op poort 80.
Als ik dit soort configuraties maak dan sluit ik deze bij wijze van test aan achter een paar netwerken/routers (vrienden,familie, collega's) en test de functionaliteit.

  • Brahiewahiewa
  • Registratie: oktober 2001
  • Laatst online: 21:12

Brahiewahiewa

boelkloedig

geewizz25 schreef op maandag 1 maart 2021 @ 19:41:
...
Inmiddels is de Spaanse ASUS naar NL gestuurd en heb ik ze allebei hier thuis staan.
...
Dan is het simpel: sluit beide asus apparaten op je connectbox aan en probeer dan de site-to-site VPN op te zetten. Weliswaar connecten ze dan niet over het internet maar via je connectbox. Voor de werking van de VPN maakt dat niets uit
Mweh, zie net dat je connectbox in bridge staat; dat gaat dat niet werken. Je zult er nog een router bij moeten halen

[Voor 12% gewijzigd door Brahiewahiewa op 04-03-2021 14:09]

QnJhaGlld2FoaWV3YQ==


  • Frogmen
  • Registratie: januari 2004
  • Niet online
Waarom ga je een router opsturen als je wel daar een windows 10 PC hebt die je met Windows Quick Assist gewoon over kan nemen en de Asus dus beheren?
Gezien het feit dat je in Spanje geen poorten kan beheren zal je dus de initiatie vanuit Spanje moeten doen.
Met deze tip hoef je de router niet heen en weer te sturen.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


  • geewizz25
  • Registratie: mei 2006
  • Laatst online: 11-06 00:33
@Brahiewahiewa @Frogmen @MasterL
Heb het even anders opgelost, had nog een oude NetgearWNDR3700 liggen, die heb ik gebruikt als "internet".
Beide AC828 routers daar op aangesloten met een eigen adres in de 10 reeks.
De "Spaanse" AC828 steeds als client.
Zowel OpenVPN als IpSec getest, kreeg beiden prima werkend dus aan de routers ligt het niet en aan mijn instelkunsten dus blijkbaar ook niet :P

Vervolgens de "Spaanse" router via m'n telefoon aangesloten (de AC828 ondersteund nl. WAN via de usb poort eventueel als fallover)
Zodoende simuleerde ik volgens mij de situatie in Spanje ofwel de router achter een NAT.

Situatie in deze set-up was als volgt voor de "Spaanse" kant:
WAN IP telefoon 89.205.227.xxx
Telefoon > WAN router 192.168.1.20
LAN 192.168.120.xxx

Op zich dus m.i dezelfde setup als in Spanje en dus ook geen mogelijkheid om poorten open te zetten.

Van alles geprobeerd maar niet werkend te krijgen; niet met OpenVpn en niet met IpSec
Spaanse kant was cliënt dus zou de verbinding moeten initieren.
Logs geven een timeout aan en daar moet ik het dan mee doen.
Nu weet ik wel dat de meeste telecom providers bijna alle poorten dicht hebben zitten dus misschien is deze set-up niet representatief voor wat ik probeer te testen.

Helaas heb ik niemand in mijn omgeving die ik zo gek krijg om z'n internetverbinding even aan mij uit te lenen zodat ik daar de Spaanse router en een laptopje neer kan zetten om e.a. uit te testen.

Ik denk dat ik iets over het hoofd zie maar ik denk ook dat ik hier helaas te weinig kaas van gegeten heb.... 7(8)7

Ideeën welkom _/-\o_

[Voor 0% gewijzigd door geewizz25 op 05-03-2021 20:21. Reden: typo]


  • Brahiewahiewa
  • Registratie: oktober 2001
  • Laatst online: 21:12

Brahiewahiewa

boelkloedig

geewizz25 schreef op vrijdag 5 maart 2021 @ 20:20:
@Brahiewahiewa @Frogmen @MasterL
...
Nu weet ik wel dat de meeste telecom providers bijna alle poorten dicht hebben zitten dus misschien is deze set-up niet representatief voor wat ik probeer te testen...
In NL doen de meeste telecom providers poorten dicht, idd.
De vraag wordt vooral: doet jouw spaanse ISP dat ook, of zit je daar misschien achter CGNAT?

QnJhaGlld2FoaWV3YQ==


Acties:
  • +1Henk 'm!

  • JaDatIsPeter
  • Registratie: februari 2019
  • Niet online
geewizz25 schreef op vrijdag 5 maart 2021 @ 20:20:
Nu weet ik wel dat de meeste telecom providers bijna alle poorten dicht hebben zitten
Bij KPN en Vodafone geen problemen mee.. met andere providers geen ervaring, maar verwacht ik daar ook niet. Via OpenVPN en Ipsec IKEv2 altijd prima naar huis kunnen vpn'en. Rechtstreeks vanaf tablet/smartphone of via tethering met OpenVPN-client op laptop. Ik draai OpenVPN wel op 443/tcp. Bij sommige klanten kan ik op hun gast-netwerk namelijk alleen via 443 of 80 naar buiten.

  • The Eagle
  • Registratie: januari 2002
  • Laatst online: 19:59

The Eagle

I wear my sunglasses at night

Makkelijkste testen lijkt me de spaanse asus aan je lokale internetverbinding hangen (bootst de spaanse kant na) en dan je eigen werkstation via een telefoon laten tetheren zodat je een situatie met twee internetvebindingen hebt.
En dan van daar uit verder zoeken.

Als ie eenmaal in soanje staat: teamviewer op een spaanse desktop installeren zodat je aan die kant het eea kunt configgen zonder last te hebben van een Spaanse ISP

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


  • Tribunus
  • Registratie: juni 2004
  • Laatst online: 20:26
Ik kan mij eigenlijk niet goed voorstellen dat de spaanse ISP uitgaand poorten aan het blokkeren is, en als deze dat al doet dan zal het SMTP zijn maar veel meer toch ook niet.

Wellicht kan je met deze router een dial-up VPN bouwen naar je router in nederland? voor zo ver ik weet doet ziggo geen zaken blokkeren (heb thuis zelf een Fortigate met een Site-to-Site ipsec naar kantoor via ziggo)

Probleem met de setup die je schetst is het feit dat de spaanse ISP de poorten niet naar binnen doorzet en dus een soort van carrier grade NAT doet waarbij je het externe IP deelt met vele anderen. Dan ga je een static site-to-site niet redden, vandaar dus een dialup vanuit spanje naar nederland.

  • geewizz25
  • Registratie: mei 2006
  • Laatst online: 11-06 00:33
@JaDatIsPeter Op advies van @MasterL had ik voor OpenVpn nl eerst port 80 geprobeerd
Die poort 443 ga ik eens even testen, heb tot nut toe 8080 gebruikt. De AC828 mekkerde namelijk over poort 80.

@The Eagle
Als ie eenmaal in spanje staat: teamviewer op een spaanse desktop installeren zodat je aan die kant het eea kunt configgen zonder last te hebben van een Spaanse ISP
Zo was de situatie ook. alleen gebruikte ik AnyDesk (van het gezanik en de kosten van Teamviewer heb ik zolangzamerhand m'n buik vol,) Ik kon ook prima vanuit NL bij de bewuste PC in ES en ik heb daar ook van alles geprobeerd. Toen dat dus niet lukte heb ik de router naar NL laten opsturen om zeker te weten dat hij niet defect was.
Ik heb het overigens andersom getest:de ES router achter de telefoon want dat komt dus ongeveer overeen met de situatie in ES of mis ik iets ?

@Tribunus Daar heb je dus waarschijnlijk gelijk in want vanaf een pc met een VPN client en een VPN Server op de router in NL werkt het prima. Het zit dus ook niet aan de kant van Ziggo o.i.d.
Echter, ik wil het netwerk in ES dus koppelen met NL en vandaar dus mijn probeersel met een site to site VPN. Daarbij het feit dat ik die twee ASUS BRT-AC828 routers had die volgens ASUS dus netjes site to site IPSEC zouden moeten ondersteunen. Me echter niet gerealiseerd dat er in Spanje van alles tussen zou zitten. Heb ook twee site to site VPN's in NL opgezet en dat was een makkie :P

CGNAT was voor mij een nieuw begrip en ik heb me gisteravond eens een beetje ingelezen en dus weer wat geleerd >:) .
Conclusie: CGNATis een leuke techniek maar met een hoop gedoe voor juist dit soort zaken en ik heb gezien dat overheden en politiediensten er ook niet blij mee zijn....

Ik ben dus bang dat jij gelijk hebt gezien de setup in ES via de WIMAX en er dus inderdaad gebruik gemaakt word van een Carrier Grade NAT, ik weet dat meerdere gebruikers in dezelfde hoek zitten want als iedereen 's morgens begint zakt de performance van dat wimax gebeuren snel in elkaar. Ik weet in ieder geval zeker dat er zo'n twaalf gebruikers op de zelfde centrale WIMAX antenne in het dorp gericht zijn.
's Avonds gaat het dan weer wat beter.
Maar ik moet zeggen dat ik niet de kennis heb om dat goed te beoordelen, weet bijvoorbeeld niet of het via WIMAX mogelijk is om toch aparte IP adressen uit te delen....

Dan heb ik nog een laatste vraag;je noemt een dialup vpn, ik heb eens gekeken bij Fortinet en die noemen die mogelijkheid alleen voor een pots of isdn lijn...en dat heb ik daar niet.
Dialup VPN lets users connect to the Internet using a dialup connection over traditional POTS or ISDN telephone lines. Virtual private network (VPN) protocols are used to secure these private connections.
Zie ik iets over het hoofd? dialup via wan kan toch niet ? of zeg ik nu iets doms. :?

  • Tribunus
  • Registratie: juni 2004
  • Laatst online: 20:26
DialUP is ook de oude naam voor het inbellen van vroeger. Waarschijnlijk zit daar de verwarring als je er op zoekt. Wat ook verwarrend is is dat ze deze naam dus ook voor deze toepassing gebruiken.

Wat je eigenlijk doet, is een client connecten naar een server. De server zal dan NL zijn (want daar heb je een extern ip met nat naar binnen tot je beschikking) de andere zijde is dan uiteraard de client.

Dit is mogelijk op elke verbinding met internet toegang. En dat heb je in spanje, alleen zit deze dus achter een extern adres waarbij er niets naar binnen wordt doorgezet. Ik ben bang dat dit de enige oplossing is 🙂

Met andere woorden: als de routers het kunnen, moet het zeker werken!

[Voor 5% gewijzigd door Tribunus op 06-03-2021 12:08]


  • geewizz25
  • Registratie: mei 2006
  • Laatst online: 11-06 00:33
@Tribunus
Ja, ik ben een oudje dus begonnen met inbellen op bulletinborden met een piepend modem ... :-) en legde dus direct die link toen ik de term DialUp zag.

Als ik het goed heb, heb ik dat dus al geprobeerd; OpenVpn Client op de ES router en de OpenVpn server op de NL router.
Dat lukte me dus ook niet of bedoel jij iets anders ?

  • Brahiewahiewa
  • Registratie: oktober 2001
  • Laatst online: 21:12

Brahiewahiewa

boelkloedig

geewizz25 schreef op zaterdag 6 maart 2021 @ 12:37:
@Tribunus
Ja, ik ben een oudje dus begonnen met inbellen op bulletinborden met een piepend modem ... :-) en legde dus direct die link toen ik de term DialUp zag.

Als ik het goed heb, heb ik dat dus al geprobeerd; OpenVpn Client op de ES router en de OpenVpn server op de NL router.
Dat lukte me dus ook niet of bedoel jij iets anders ?
Probleem met CGNAT is niet alleen dat je geen portforwarding kunt doen. Er zit ook een limiet aan de tijd dat je het externe ip4 adres kunt gebruiken. Vanwege loadbalacing wordt dat ip4 adres regelmatig gecycled of de aanwezige sessies worden gereset. Je zou nog kunnen gaan experimenteren met keep-alive packets, maar ik vrees dat je daarmee ook niet geholpen bent

QnJhaGlld2FoaWV3YQ==


  • geewizz25
  • Registratie: mei 2006
  • Laatst online: 11-06 00:33
Dank jullie wel voor de adviezen/hulp.
Ben bang dat het dus niet gaat lukken met de site to site verbinding.

Blijf ik het toch heel vreemd vinden (en ik begrijp het ook niet) dat ik wel een VPN verbinding kan maken vanaf een Windows 10 PC met VPN cliëntsoftware in Spanje.
Als ik dan een whatsmyip doe zie ik dat die PC in Spanje keurig virtueel onder mijn WAN IP van Ziggo in NL hangt.
Ik vraag misschien veel maar kan iemand mij uitleggen waarom dat dan wel werkt ?

Acties:
  • Beste antwoord
  • 0Henk 'm!

  • Tribunus
  • Registratie: juni 2004
  • Laatst online: 20:26
geewizz25 schreef op zaterdag 6 maart 2021 @ 16:06:
Dank jullie wel voor de adviezen/hulp.
Ben bang dat het dus niet gaat lukken met de site to site verbinding.

Blijf ik het toch heel vreemd vinden (en ik begrijp het ook niet) dat ik wel een VPN verbinding kan maken vanaf een Windows 10 PC met VPN cliëntsoftware in Spanje.
Als ik dan een whatsmyip doe zie ik dat die PC in Spanje keurig virtueel onder mijn WAN IP van Ziggo in NL hangt.
Ik vraag misschien veel maar kan iemand mij uitleggen waarom dat dan wel werkt ?
Het is lastig uitleggen. Een site to site verbinding is gewoon weg technisch verschillend van een client die verbinding maakt met een een server ergens. Wat jij wilt kan wel, als je apparatuur het maar ondersteund. De oplossing is in dit geval een dialup vpn (ook wel roadwarrior vpn) waarbij de router in Spanje de “client” is.

Als je het wilt snappen qua werking zal je toch even zelf onderzoek moeten doen want ik kan helaas niets anders bedenken om het uit te leggen.

Wellicht kan je de asus routers voorzien van open wrt en wellicht dat het hiermee kan? Belangrijk is dus dat de router in Spanje een client moet zijn die “inbelt” bij de router in Nederland. Het maakt dan ook helemaal niets uit als het externe ip adres wel veranderd.

p.s. Ik denk niet dat er GCnat van toepassing is op deze verbinding in Spanje maar dat er een 10-tal klanten zijn verbonden aan een sector oplossing en dus een ip adres delen. Maar dit maakt voor jou geen verschil want je hebt er totaal geen controle over. GCnat is echt iets voor de grote jongens en dan met name voor mobiele toepassingen en niet zo zeer voor vaste verbindingen.

  • geewizz25
  • Registratie: mei 2006
  • Laatst online: 11-06 00:33
Dank voor de uitleg, weer wat wijzer geworden _/-\o_
Heb in ieder geval een paar richtingen waarin ik kan zoeken en inlezen, nooit te oud om wat te leren..

Helaas is er voor deze routers (de businesslijn van Asus) geen alternatieve firmware te vinden.
Geen Asus Merlin,geen DD-WRT en geen Open-WRT.
Het is wel een betrouwbaar ding met 2 WAN en 8 LAN poorten,Link Aggregation etc.

De oude Netgear WNDR3700 die ik voor het testen gebruikt heb, heb ik wel naar Open-wrt geflasht en ik zal eens kijken wat ik daar in kan vinden.Misschien moet die eventueel naar ES :-)

Verder heb ik net even snel zitten kijken naar dat roadwarrior idee en daar ga ik me even meer in inlezen.
De Asus routers zijn redelijk configurreerbaar maar ik denk, zo heel snel gezien, dat ik voor dat soort zaken meer richting professionele hardware moet. Mikrotik, Fortinet o.i.d. en dat is prijstechnisch denk ik een stap te ver.

In ieder geval nogmaals allen bedankt voor de info,hulp en tips

  • geewizz25
  • Registratie: mei 2006
  • Laatst online: 11-06 00:33
@Tribunus
Na diverse dingen te hebben geprobeerd heb ik het werkend gekregen :)
Ik krijg de verbinding met OpenVPN werkend, ik heb de ES router als cliënt geconfigureerd en laat die de verbinding opzetten.
Dus eigenlijk dat Road Warrior idee.
Ik kreeg het niet werkend via port 80 of 443 zoals gesuggereerd door @JaDatIsPeter
Vervolgens port 8080 geprobeerd en dat werkte, vraag me niet naar de reden want die weet ik niet.
Vervolgens nog wat instellingen geprobeerd en zelfs omgeschakeld van tun naar tap, ook dat werkt.
Zou dus nu theoretisch het netwerk in ES in hetzelfde netwerk in NL kunnen opnemen.
Heb dat geprobeerd en werkt prima, m.a.w. vanuit NL zou ik de Pc's in ES gewoon als lokale Pc's kunnen zien. Moet alleen nog even uitvogelen wat dat voor impact heeft op de security, in principe ligt het hele netwerk dan wel aan twee kanten open

Vervolgens was ik toch wel nieuwsgierig naar de reden waarom de IpSec niet werkte terwijl ASUS die routers juist verkoopt met de nadruk op de mogelijkheid van een site to site IpSec verbinding.

Ook daar weer allerlei poorten uitgeprobeerd en raad eens wat; op port 443 met tcp startte de ES router keurig de verbinding op. Reden...geen idee.
Ben vervolgens nog wat aan het spelen geweest met allerlei instellingen in de IpSec setup, Op het moment dat ik IKE V2 selecteer werkt het niet meer. Ga er maar vanuit dat het een onhebbelijkheid is van Asus ;-)

Overigens al het bovenstaande getest met de ES router aan de telefoon dus zoveel mogelijk de situatie in ES gesimuleerd. Kostte wel wat data maar je moet er wat voor over hebben..... :Y)

Blijft er nog een dingetje over dat ik voor elkaar wil krijgen.
Ik wil al het netwerk verkeer via NL laten lopen dus ook het web browser verkeer geïnitieerd in Spanje moet via de VPN naar NL.
Echter dat is me tot nu toe nog niet gelukt.

Ik ben begonnen met de conf in OpenVPN omdat ik daar al wat info over gevonden heb (google is your best friend) :+

Het client.ovpn scriptje wat ik gebruik ziet er zo uit:

remote XXXXX.asuscomm.com 8080
float
nobind
proto tcp-client
dev tap
sndbuf 0
rcvbuf 0
keepalive 15 60
dhcp-option DNS 1.1.1.1
comp-lzo adaptive
#redirect-gateway def1 block-local
redirect-gateway def1
auth-user-pass
client
auth SHA1
remote-cert-tls server
<ca>
-----BEGIN CERTIFICATE-----
(Vervolgens hier de cert info)

Het grappige is dan dat als ik een zoekactie start via bv. Google er ook resultaten terug komen maar op het moment dat ik op een link klik, een time-out krijg, blijkbaar gaat er dus iets niet goed met het NAT in de router in NL
Ik ben al aan het spelen geweest met de redirect-gateway in het scriptje maar beide opties werken niet (goed).

Iemand enig idee wat ik hier verkeerd doe c.q. over het hoofd zie ?

Na weer wat leeswerk bij community.openvpn.net uitgevonden dat ik de redirect aan de serverside blijk te moeten doen maar weet niet of ik zo diep in de router kan komen.
Neem aan dat de Asus waarschijnlijk op Linux draait en als oude Unix knar (cursussen begin jaren 80 ;w ) zal ik wel weer heel wat vergeten kennis moeten ophalen en moeten zien dat ik in dat ding binnenkom met telnet o.i.d.

Ik ga er wel mee verder want vind het leuke materie ondanks het feit dat ik op dit gebied een volslagen newbie ben }:O

Tips dus altijd welkom.. _/-\o_

[Voor 10% gewijzigd door geewizz25 op 08-03-2021 13:14. Reden: Aanvulling, wijzigingen en typo's]


Acties:
  • +1Henk 'm!

  • JaDatIsPeter
  • Registratie: februari 2019
  • Niet online
geewizz25 schreef op maandag 8 maart 2021 @ 10:25:
Ik wil al het netwerk verkeer via NL laten lopen dus ook het web browser verkeer geïnitieerd in Spanje moet via de VPN naar NL.
Server-side config bevat:
code:
1
2
push "dhcp-option DNS 1.1.1.1"
push “redirect-gateway def1 bypass-dhcp″

In pfSense doe je bovenstaande met een vinkje in de GUI: "Force all client-generated IPv4 traffic through the tunnel." En als DNS mag je ook 8.8.8.8, die van Google gebruiken. Dat zorgt er voor dat het bij mij werkt.

Bij pfSense bevat de client-side client.ovpn geen:
code:
1
redirect-gateway

  • geewizz25
  • Registratie: mei 2006
  • Laatst online: 11-06 00:33
@JaDatIsPeter
Bedankt voor de tip, heb het exact zo ingevoerd maar het lijkt er op dat het op de Asus niet werkt.
Vond verder bij het OpenVPN forum nog wat tips maar heb het tot nu toe nog niet zoals ik het wil (webtraffic ook over de VPN) althans dat denk ik.
Correct me if I am wrong maar als ik via een pc die verbinding maakt met de cliënt router die via de VPN aan de VPN Server hangt en dan bij WhatsMyIp m'n adres opvraag zou ik toch het externe/WAN adres moeten terug zien van de server router??

Acties:
  • +1Henk 'm!

  • JaDatIsPeter
  • Registratie: februari 2019
  • Niet online
geewizz25 schreef op maandag 8 maart 2021 @ 22:52:
als ik via een pc die verbinding maakt met de cliënt router die via de VPN aan de VPN Server hangt en dan bij WhatsMyIp m'n adres opvraag zou ik toch het externe/WAN adres moeten terug zien van de server router??
Klopt.

Ik heb nooit met een hardware-apparaat als server gewerkt, altijd een of andere linux distro.
Wel een GL.iNET doosje als OpenVPN-client gebruikt. Werkte perfect!
De theorie lijkt in orde, geen idee waarom het in de praktijk niet wil lukken.

Acties:
  • +1Henk 'm!

  • geewizz25
  • Registratie: mei 2006
  • Laatst online: 11-06 00:33
Met een schone lei begonnen:

Zaak gereset en vervolgens onderstaande settings gedaan.
Port ergens in de buurt van 65000 i.p.v. 8080
UDP i.p.v. TCP
TUN i.p.v. TAP

Alles werkte tot mijn verbazing in één keer, vervolgens de settings van @JaDatIsPeter weer in de server gezet en bingo, alle verkeer via de VPN en WhatsMyIp geeft nu ook netjes het WAN adres van de server router.

Nu nog even spelen met ipsec want daar moet het toch ook mee kunnen.
De VPN draait maar ik krijg nog niet al het verkeer er naar toe.

Nu maar hopen dat ik het ding weer in Spanje kan krijgen met mezelf erbij om te testen >:) want dat zou betekenen: a. mooi weer en b. corona ook grotendeels gedaan *O* .
Vrees echter dat het met teamviewer of anydesk zal moeten :?

  • geewizz25
  • Registratie: mei 2006
  • Laatst online: 11-06 00:33
Follow-up internet traffic via ipsec.

Helaas gaat dat bij mijn AC828 routers niet lukken.

Heb wat interessant leesvoer gevonden betreffende pfSense ipsec internettraffic setup bij https://docs.netgate.com/...te-internet-traffic.html# waar in detail word beschreven hoe je dit zou kunnen doen.
Daar mijn routers standaard niet de mogelijkheid hebben om m.n. in phase 2 van ipsec in te grijpen laat ik het maar zitten.
De IPsec tunnel ansich werkt prima dus ik heb wel een fallback verbinding mocht de OpenVPN tunnel niet meer werken.

Overigens heb ik gemerkt dat ik met OpenVPN goed uit de voeten kan omdat alles zeer goed gedocumenteerd is en mijn AC828 routers het prima blijken te ondersteunen.
Heb ook de indruk dat het wat minder problemen oproept dan een IPsec configuratie.
Heb ik op m'n ouwe dag (70) B) weer een hoop bijgeleerd en ik vond het nog leuk ook >:) .

Nu alleen nog hopen dat alles wat ik hier in NL met goed resultaat heb uitgeprobeerd, met behulp van een extern Wan adres via m'n telefoon, ook gaat werken in ES met de Wimax antenne daar.
Ik zal het resultaat hier posten zodra ik het klaar heb.......als ik het niet vergeet :+

Voor nu; iedereen bedankt voor de hulp en tips _/-\o_
Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True