Hoe maak ik een testsetup voor een vpn in een lokaal netwerk

Mijn vraag
Wil een site to site VPN opzetten tussen een locatie in Spanje en in Nederland....

Helaas krijg ik de site to site/net to net ipsec VPN niet werkend, ik kan wel een werkende VPN verbinding naar Nederland maken vanaf een Windows 10 PC d.m.v., in dit geval, de door ASUS geadviseerde Shrew Soft Client.

Is er een mogelijkheid om dit werkend te krijgen door bijvoorbeeld de router in Spanje de initiërende verbinding te laten starten, net zoals dat gebeurt bij het gebruik van de Shrew Soft VPN cliënt?

Ik denk zelf dat de Ubiquiti de bottleneck is maar waarom werkt het dan wel via de Win10 cliënt.
Medewerking van de Spaanse provider is uitgesloten, die willen zelfs niet eens een poort openzetten....
Daarom lukt het dus ook niet om met de Shrew Soft VPN cliënt verbinding te maken naar Spanje omdat de ASUS router in Spanje dus blijkbaar achter een NAT zit.

Dus, zoals gezegd krijg ik het niet voor elkaar om de ASUS in Spanje verbinding te laten maken met de ASUS in Nederland maar dus wel vanaf een Win 10 PC in Spanje die dus achter de ASUS en de Ubiquiti zit..

Inmiddels is de Spaanse ASUS naar NL gestuurd en heb ik ze allebei hier thuis staan.

Ik wil dus eerst testen of beide ASUS routers met elkaar willen praten via een VPN verbinding maar ik weet niet hoe ik dat lokaal kan/moet opzetten.

Ter verduidelijking een tekening van de set-up zoals die was tussen Spanje en Nederland die dus niet werkte.

Wat ik al gevonden of geprobeerd heb
Heb al contact gehad met ASUS maar die waren niet echt "helpfull"..

Alle hulp en ideeën zijn welkom

@plizz De logs kan ik helaas niet meer inzien omdat ik de Spaanse ASUS naar Nederland heb laten sturen en ik nog geen manier heb gevonden om het hier lokaal te testen.

Vandaar ook mijn vraag om een mogelijkheid om hier in NL lokaal een VPN op te zetten zodat ik kan kijken of de AC828 routers met elkaar willen communiceren.

Enige wat ik weet is dat ze in Spanje melden dat hij geen verbinding maakt.....
Het is overigens een IKEv1 site-to-site IPSec VPN tunnel

@plizz Dat is nu juist het probleem denk ik, in beide routers staan die poorten open maar de provider van de Wimax verbinding in Spanje wil/kan de poorten niet open zetten en ik weet niet of dat Ubiquiti ding ipsec pass trough ondersteund..
De support daar is niet van een beste kwaliteit, heb de indruk dat ze daar amper weten wat een vpn is, daarbij dan nog zeer gebrekkig Engels en het probleem is compleet.
Kan er zelf helaas niet naar toe
Heb ik voor lokaal testen dan een managed switch nodig?

@plizz
Als je even bij het eerste door mij geposte bericht kijkt zie je daar een schema hoe het aan de Spaanse kant in elkaar zit.
De Wimax antenne heeft een publiek adres en wel 185.158.53.xxx
Die Antenne deelt vervolgens 192.168.1.108 uit naar de Asus router
En het lokale netwerk draait dan op 192.168.119.xxx
Op het wimax gedeelte heb ik dus geen invloed helaas.

Switches genoeg hier maar geen managed
Maar even kijken of ik er hier op Tweakers ééntje kan vinden voor een leuk prijsje
In ieder geval alvast bedankt voor de tip hoe lokaal te testen want ik ben geen specialist op VPN gebied.

[Voor 32% gewijzigd door geewizz25 op 01-03-2021 22:16. Reden: Betere uitleg.]

@MasterL
Ja, ze ondersteunen OpenVPN en ik kan zowel een server als een client instellen op deze routers.
Ze hebben ook dual WAN

Performance is niet echt een issue (alles over WiMax heeft sowieso al geen performance Max snelheid in Espana is "a whopping 8Mbit" ) dus OpenVPN zou een mogelijkheid zijn.

Had echter voor IpSec gekozen omdat ik, na wat leeswerk, het idee had dat IpSec wat veiliger zou zijn en dat is wel een beetje een issue.
Ben er naar aanleiding van jouw suggestie wat dieper ingedoken en eigenlijk ontloopt het elkaar niet veel.
Helaas kan ik het nu niet uitproberen omdat ik allebei de routers hier heb.

Ga wel even jouw suggestie uit proberen v.w.b. het aan elkaar knopen van de routers via de WANpoort

Heb ik nog 1 vraag;
Als ik het hier opzet met OpenVPN via poort 80 (die staat sowieso open ;-) ) en het certificaat opsla in de client router en het ding vervolgens terugstuur naar ES, dan mag ik toch aannemen dat het dan out of the box werkt als ze hem daar weer aansluiten.?

@Brahiewahiewa @Frogmen @MasterL
Heb het even anders opgelost, had nog een oude NetgearWNDR3700 liggen, die heb ik gebruikt als "internet".
Beide AC828 routers daar op aangesloten met een eigen adres in de 10 reeks.
De "Spaanse" AC828 steeds als client.
Zowel OpenVPN als IpSec getest, kreeg beiden prima werkend dus aan de routers ligt het niet en aan mijn instelkunsten dus blijkbaar ook niet

Vervolgens de "Spaanse" router via m'n telefoon aangesloten (de AC828 ondersteund nl. WAN via de usb poort eventueel als fallover)
Zodoende simuleerde ik volgens mij de situatie in Spanje ofwel de router achter een NAT.

Situatie in deze set-up was als volgt voor de "Spaanse" kant:
WAN IP telefoon 89.205.227.xxx
Telefoon > WAN router 192.168.1.20
LAN 192.168.120.xxx

Op zich dus m.i dezelfde setup als in Spanje en dus ook geen mogelijkheid om poorten open te zetten.

Van alles geprobeerd maar niet werkend te krijgen; niet met OpenVpn en niet met IpSec
Spaanse kant was cliënt dus zou de verbinding moeten initieren.
Logs geven een timeout aan en daar moet ik het dan mee doen.
Nu weet ik wel dat de meeste telecom providers bijna alle poorten dicht hebben zitten dus misschien is deze set-up niet representatief voor wat ik probeer te testen.

Helaas heb ik niemand in mijn omgeving die ik zo gek krijg om z'n internetverbinding even aan mij uit te lenen zodat ik daar de Spaanse router en een laptopje neer kan zetten om e.a. uit te testen.

Ik denk dat ik iets over het hoofd zie maar ik denk ook dat ik hier helaas te weinig kaas van gegeten heb....

Ideeën welkom

[Voor 0% gewijzigd door geewizz25 op 05-03-2021 20:21. Reden: typo]

@JaDatIsPeter Op advies van @MasterL had ik voor OpenVpn nl eerst port 80 geprobeerd
Die poort 443 ga ik eens even testen, heb tot nut toe 8080 gebruikt. De AC828 mekkerde namelijk over poort 80.

@The Eagle

Als ie eenmaal in spanje staat: teamviewer op een spaanse desktop installeren zodat je aan die kant het eea kunt configgen zonder last te hebben van een Spaanse ISP

Zo was de situatie ook. alleen gebruikte ik AnyDesk (van het gezanik en de kosten van Teamviewer heb ik zolangzamerhand m'n buik vol,) Ik kon ook prima vanuit NL bij de bewuste PC in ES en ik heb daar ook van alles geprobeerd. Toen dat dus niet lukte heb ik de router naar NL laten opsturen om zeker te weten dat hij niet defect was.
Ik heb het overigens andersom getest:de ES router achter de telefoon want dat komt dus ongeveer overeen met de situatie in ES of mis ik iets ?

@Tribunus Daar heb je dus waarschijnlijk gelijk in want vanaf een pc met een VPN client en een VPN Server op de router in NL werkt het prima. Het zit dus ook niet aan de kant van Ziggo o.i.d.
Echter, ik wil het netwerk in ES dus koppelen met NL en vandaar dus mijn probeersel met een site to site VPN. Daarbij het feit dat ik die twee ASUS BRT-AC828 routers had die volgens ASUS dus netjes site to site IPSEC zouden moeten ondersteunen. Me echter niet gerealiseerd dat er in Spanje van alles tussen zou zitten. Heb ook twee site to site VPN's in NL opgezet en dat was een makkie

CGNAT was voor mij een nieuw begrip en ik heb me gisteravond eens een beetje ingelezen en dus weer wat geleerd .
Conclusie: CGNATis een leuke techniek maar met een hoop gedoe voor juist dit soort zaken en ik heb gezien dat overheden en politiediensten er ook niet blij mee zijn....

Ik ben dus bang dat jij gelijk hebt gezien de setup in ES via de WIMAX en er dus inderdaad gebruik gemaakt word van een Carrier Grade NAT, ik weet dat meerdere gebruikers in dezelfde hoek zitten want als iedereen 's morgens begint zakt de performance van dat wimax gebeuren snel in elkaar. Ik weet in ieder geval zeker dat er zo'n twaalf gebruikers op de zelfde centrale WIMAX antenne in het dorp gericht zijn.
's Avonds gaat het dan weer wat beter.
Maar ik moet zeggen dat ik niet de kennis heb om dat goed te beoordelen, weet bijvoorbeeld niet of het via WIMAX mogelijk is om toch aparte IP adressen uit te delen....

Dan heb ik nog een laatste vraag;je noemt een dialup vpn, ik heb eens gekeken bij Fortinet en die noemen die mogelijkheid alleen voor een pots of isdn lijn...en dat heb ik daar niet.

Dialup VPN lets users connect to the Internet using a dialup connection over traditional POTS or ISDN telephone lines. Virtual private network (VPN) protocols are used to secure these private connections.

Zie ik iets over het hoofd? dialup via wan kan toch niet ? of zeg ik nu iets doms.

@Tribunus
Ja, ik ben een oudje dus begonnen met inbellen op bulletinborden met een piepend modem ... :-) en legde dus direct die link toen ik de term DialUp zag.

Als ik het goed heb, heb ik dat dus al geprobeerd; OpenVpn Client op de ES router en de OpenVpn server op de NL router.
Dat lukte me dus ook niet of bedoel jij iets anders ?

Dank jullie wel voor de adviezen/hulp.
Ben bang dat het dus niet gaat lukken met de site to site verbinding.

Blijf ik het toch heel vreemd vinden (en ik begrijp het ook niet) dat ik wel een VPN verbinding kan maken vanaf een Windows 10 PC met VPN cliëntsoftware in Spanje.
Als ik dan een whatsmyip doe zie ik dat die PC in Spanje keurig virtueel onder mijn WAN IP van Ziggo in NL hangt.
Ik vraag misschien veel maar kan iemand mij uitleggen waarom dat dan wel werkt ?

Dank voor de uitleg, weer wat wijzer geworden
Heb in ieder geval een paar richtingen waarin ik kan zoeken en inlezen, nooit te oud om wat te leren..

Helaas is er voor deze routers (de businesslijn van Asus) geen alternatieve firmware te vinden.
Geen Asus Merlin,geen DD-WRT en geen Open-WRT.
Het is wel een betrouwbaar ding met 2 WAN en 8 LAN poorten,Link Aggregation etc.

De oude Netgear WNDR3700 die ik voor het testen gebruikt heb, heb ik wel naar Open-wrt geflasht en ik zal eens kijken wat ik daar in kan vinden.Misschien moet die eventueel naar ES :-)

Verder heb ik net even snel zitten kijken naar dat roadwarrior idee en daar ga ik me even meer in inlezen.
De Asus routers zijn redelijk configurreerbaar maar ik denk, zo heel snel gezien, dat ik voor dat soort zaken meer richting professionele hardware moet. Mikrotik, Fortinet o.i.d. en dat is prijstechnisch denk ik een stap te ver.

In ieder geval nogmaals allen bedankt voor de info,hulp en tips

@Tribunus
Na diverse dingen te hebben geprobeerd heb ik het werkend gekregen
Ik krijg de verbinding met OpenVPN werkend, ik heb de ES router als cliënt geconfigureerd en laat die de verbinding opzetten.
Dus eigenlijk dat Road Warrior idee.
Ik kreeg het niet werkend via port 80 of 443 zoals gesuggereerd door @JaDatIsPeter
Vervolgens port 8080 geprobeerd en dat werkte, vraag me niet naar de reden want die weet ik niet.
Vervolgens nog wat instellingen geprobeerd en zelfs omgeschakeld van tun naar tap, ook dat werkt.
Zou dus nu theoretisch het netwerk in ES in hetzelfde netwerk in NL kunnen opnemen.
Heb dat geprobeerd en werkt prima, m.a.w. vanuit NL zou ik de Pc's in ES gewoon als lokale Pc's kunnen zien. Moet alleen nog even uitvogelen wat dat voor impact heeft op de security, in principe ligt het hele netwerk dan wel aan twee kanten open

Vervolgens was ik toch wel nieuwsgierig naar de reden waarom de IpSec niet werkte terwijl ASUS die routers juist verkoopt met de nadruk op de mogelijkheid van een site to site IpSec verbinding.

Ook daar weer allerlei poorten uitgeprobeerd en raad eens wat; op port 443 met tcp startte de ES router keurig de verbinding op. Reden...geen idee.
Ben vervolgens nog wat aan het spelen geweest met allerlei instellingen in de IpSec setup, Op het moment dat ik IKE V2 selecteer werkt het niet meer. Ga er maar vanuit dat het een onhebbelijkheid is van Asus ;-)

Overigens al het bovenstaande getest met de ES router aan de telefoon dus zoveel mogelijk de situatie in ES gesimuleerd. Kostte wel wat data maar je moet er wat voor over hebben.....

Blijft er nog een dingetje over dat ik voor elkaar wil krijgen.
Ik wil al het netwerk verkeer via NL laten lopen dus ook het web browser verkeer geïnitieerd in Spanje moet via de VPN naar NL.
Echter dat is me tot nu toe nog niet gelukt.

Ik ben begonnen met de conf in OpenVPN omdat ik daar al wat info over gevonden heb (google is your best friend)

Het client.ovpn scriptje wat ik gebruik ziet er zo uit:

remote XXXXX.asuscomm.com 8080
float
nobind
proto tcp-client
dev tap
sndbuf 0
rcvbuf 0
keepalive 15 60
dhcp-option DNS 1.1.1.1
comp-lzo adaptive
#redirect-gateway def1 block-local
redirect-gateway def1
auth-user-pass
client
auth SHA1
remote-cert-tls server
<ca>
-----BEGIN CERTIFICATE-----
(Vervolgens hier de cert info)

Het grappige is dan dat als ik een zoekactie start via bv. Google er ook resultaten terug komen maar op het moment dat ik op een link klik, een time-out krijg, blijkbaar gaat er dus iets niet goed met het NAT in de router in NL
Ik ben al aan het spelen geweest met de redirect-gateway in het scriptje maar beide opties werken niet (goed).

Iemand enig idee wat ik hier verkeerd doe c.q. over het hoofd zie ?

Na weer wat leeswerk bij community.openvpn.net uitgevonden dat ik de redirect aan de serverside blijk te moeten doen maar weet niet of ik zo diep in de router kan komen.
Neem aan dat de Asus waarschijnlijk op Linux draait en als oude Unix knar (cursussen begin jaren 80 ) zal ik wel weer heel wat vergeten kennis moeten ophalen en moeten zien dat ik in dat ding binnenkom met telnet o.i.d.

Ik ga er wel mee verder want vind het leuke materie ondanks het feit dat ik op dit gebied een volslagen newbie ben

Tips dus altijd welkom..

[Voor 10% gewijzigd door geewizz25 op 08-03-2021 13:14. Reden: Aanvulling, wijzigingen en typo's]

@JaDatIsPeter
Bedankt voor de tip, heb het exact zo ingevoerd maar het lijkt er op dat het op de Asus niet werkt.
Vond verder bij het OpenVPN forum nog wat tips maar heb het tot nu toe nog niet zoals ik het wil (webtraffic ook over de VPN) althans dat denk ik.
Correct me if I am wrong maar als ik via een pc die verbinding maakt met de cliënt router die via de VPN aan de VPN Server hangt en dan bij WhatsMyIp m'n adres opvraag zou ik toch het externe/WAN adres moeten terug zien van de server router??

Met een schone lei begonnen:

Zaak gereset en vervolgens onderstaande settings gedaan.
Port ergens in de buurt van 65000 i.p.v. 8080
UDP i.p.v. TCP
TUN i.p.v. TAP

Alles werkte tot mijn verbazing in één keer, vervolgens de settings van @JaDatIsPeter weer in de server gezet en bingo, alle verkeer via de VPN en WhatsMyIp geeft nu ook netjes het WAN adres van de server router.

Nu nog even spelen met ipsec want daar moet het toch ook mee kunnen.
De VPN draait maar ik krijg nog niet al het verkeer er naar toe.

Nu maar hopen dat ik het ding weer in Spanje kan krijgen met mezelf erbij om te testen want dat zou betekenen: a. mooi weer en b. corona ook grotendeels gedaan .
Vrees echter dat het met teamviewer of anydesk zal moeten

Follow-up internet traffic via ipsec.

Helaas gaat dat bij mijn AC828 routers niet lukken.

Heb wat interessant leesvoer gevonden betreffende pfSense ipsec internettraffic setup bij https://docs.netgate.com/...te-internet-traffic.html# waar in detail word beschreven hoe je dit zou kunnen doen.
Daar mijn routers standaard niet de mogelijkheid hebben om m.n. in phase 2 van ipsec in te grijpen laat ik het maar zitten.
De IPsec tunnel ansich werkt prima dus ik heb wel een fallback verbinding mocht de OpenVPN tunnel niet meer werken.

Overigens heb ik gemerkt dat ik met OpenVPN goed uit de voeten kan omdat alles zeer goed gedocumenteerd is en mijn AC828 routers het prima blijken te ondersteunen.
Heb ook de indruk dat het wat minder problemen oproept dan een IPsec configuratie.
Heb ik op m'n ouwe dag (70) weer een hoop bijgeleerd en ik vond het nog leuk ook .

Nu alleen nog hopen dat alles wat ik hier in NL met goed resultaat heb uitgeprobeerd, met behulp van een extern Wan adres via m'n telefoon, ook gaat werken in ES met de Wimax antenne daar.
Ik zal het resultaat hier posten zodra ik het klaar heb.......als ik het niet vergeet

Voor nu; iedereen bedankt voor de hulp en tips

Ik ben het dus niet vergeten
En hier een update, door de corona wel veeel later dan gepland.
Eindelijk mochten we midden juni 2021 naar Spanje.
Dit na vaccinaties en een PCR test

Status v.w.b. de routers en de VPN setup.

Even een geheugensteuntje: situatie is als volgt:
Zie schema in 1e bericht.
1 x ASUS BRT-AC828 router in Spanje via een Wimax verbinding met een Ubiquiti antenne naar een lokale zendmast.
1 x ASUS BRT-AC828 router in Nederland
Lokaal netwerk IP adres Spanje: 192.168.119.xxx
Lokaal netwerk IP adres in Nederland: 192.168.118.xxx

Bedoeling was een VPN tussen deze 2 routers in de vorm van een “Site to Site” setup met de OpenVPN accesserver in NL en de OpenVPN cliënt in Spanje.
Ik heb dit zonder heel veel problemen en met hulp van een paar mede Tweakers werkend gekregen met OpenVPN, zie vorige berichten.
Bedoeling is ook dat al het Spaanse internetverkeer via het Nederlandse WAN IP adres loopt

Na aansluiten in Spanje van de in NL al geconfigureerde router werkte alles in één keer; WhatsMyIP gaf netjes mijn NL wan IP-adres en ook m'n Mibox werkte .........

Maar….er is altijd een maar.....na plm. een half uur crasht de router in NL en neemt ook de Ziggo Connectbox mee (Ziggo staat in bridge).
Soms crasht het al na 15 minuten en soms na een uur maar crashen doet het!
Beide krijg ik alleen weer aan de gang door een power reset oftewel de stekkers eruit.
Ik weet niet welke van de twee (de Ziggo of de Asus) het eerst gaat...

Daardoor kan ik geen crash logs lezen in de Ziggo box of de Asus in NL omdat ze opnieuw gestart zijn.
Ook de Spaanse router stopt ermee maar alleen omdat die de VPN kwijt is en niet vanzelf terugvalt op de WAN van de lokale provider, ik kan wel de router in en zie dan dat hij geen wan heeft.

Ik neem aan dat dat komt omdat de router in Spanje blijft proberen via de VPN verbinding te maken, die niet kan maken en daardoor ook in de fout gaat.
Overigens vind ik het wel raar dat de router niet vanzelf teruggaat naar de lokale provider.

Als de Spaanse router opnieuw gestart word maakt hij eerst weer netjes verbinding met de lokale provider en probeert vervolgens de VPN weer op te zetten met NL. Dat lukt ook feilloos.

Als ik in NL de OVPN server heb uitgezet en vervolgens de Spaanse router opstart gaat het wel goed en verbind hij netjes met de lokale provider.

Schakel ik vervolgens in NL de OpenVPN server weer in, dan maakt de Spaanse router weer mooi verbinding met NL en gaat het weer een poosje goed en vervolgens begint het hele riedeltje opnieuw.
.
Nu heb ik in NL aardige buren die wel even de Ziggo box en de Asus opnieuw willen starten maar elk uur is wat veel denk ik

Nu de grote vraag: wat is de oorzaak, het werkt een poosje en vervolgens gaat alles plat.
Ik zal dus wel iets missen in dit hele verhaal en hoop dat iemand mij op het goede spoor kan zetten.
Heb al heel wat af gegoogled maar niet echt een antwoord gevonden.

Alvast bedankt voor eventuele hulp