VPN noob vraagje

De eerste vraag is welk Vpn protocol wil je gaan gebruiken.
Ipsec, OpenVpn, wireguard?

Dan moet je in je router de poort(en) die voor dat protocol gebruikt worden forwarden naar die ER650.
Dan kun je met een Vpn client op je telefoon via het wan ipadres van je router een Vpn tunnel opzetten om zo je lan te bereiken.

Hoe meer apparatuur je gebruikt van verschillende fabrikanten, des te moeilijker het wordt. Hoop dat iemand je kan helpen, maar wordt lastig met zoveel variabelen.
Wat voor merk camera's heb je om te beginnen?
Persoonlijk zou ik ze aan een Synology of een NVR van een gerenomeerd merk koppelen en hun software gebruiken.met behulp van portforwarding (dus geen clouddienst).
Net zo veilig als een VPN wat mij betreft.
Mocht ik toch een eigen VPN willen (omdat ik de software van Synology of de cam fabrikant niet vertrouw, wat zeker in het geval van Synology op paranoia duidt) dan zou ik een Windows (Server) PC-tje daarvoor inzetten. Pas in laatste instantie zou ik kiezen voor netwerkapparatuur, waarbij ik zou kiezen voor ofwel Cisco/Linksys, AVM Fritzbox, Draytek of Zyxel waarbij ik de voorkeur geef aan een Fritzbox, omdat ik die het vaakst gebruikte. Nadeel met al die merken is dat het steeds weer anders werkt, dus kies ik in eerste instantie voor een Windows VPN servertje.Een eigen Linux VPN servertje draaien kan uiteraard ook, maar ik heb me nooit daarin verdiept (een Synology is overigens vergelijkbaar met een Linux server).
Edit: begrijp zojuist dat de bbox een internet modem is. Tenzij die in Bridge modus staat kan je TP Link geen publiek IP adres hebben. Je zal dus toch moeten portforwarden in de bbox danwel de TP Link in de DMZ van de bbox moeten plaatsen.Oja: de IP range van de interne bbox en TP Link netwerken verschillen toch wel?

[ Voor 19% gewijzigd door soedesh op 21-09-2022 06:46 ]

Hoe weet je zo zeker dat je tplink router een WAN IP krijgt?

Alles in de 192.168, 172.x, 10.x reeksen is niet routeerbaar over het internet.
De zogenaamde Rfc1918 adressen dus.

Deze kunnen alleen met internet communiceren via een NAT device, meestal je primaire router of modemrouter, je BBox dus. Omdat je nu twee routers hebt, heb je dubbel NAT. Je clients achter de tplink moeten via de tplink naar de Bbox naar het internet.
Je moet nu dus een port forward doen op de Bbox naar de tplink, en als je een dienst achter de tplink bereikbaar wilt maken moet je daarin ook een forward maken.

De TP-link ER605 zou zelf VPN aan moeten kunnen, dus even in de handleiding kijken hoe je het aan zet?
Helaas geen wireguard, maar wel L2TP/IPSEC of openvpn...

nelizmastr schreef op woensdag 21 september 2022 @ 08:11:
Hoe weet je zo zeker dat je tplink router een WAN IP krijgt?

Alles in de 192.168, 172.x, 10.x reeksen is niet routeerbaar over het internet.
De zogenaamde Rfc1918 adressen dus.

Deze kunnen alleen met internet communiceren via een NAT device, meestal je primaire router of modemrouter, je BBox dus. Omdat je nu twee routers hebt, heb je dubbel NAT. Je clients achter de tplink moeten via de tplink naar de Bbox naar het internet.
Je moet nu dus een port forward doen op de Bbox naar de tplink, en als je een dienst achter de tplink bereikbaar wilt maken moet je daarin ook een forward maken.

Die TP-link is een VPN router die hij met zijn Wan interface aan de lan poort van zijn BBox router hangt.
Het wan ipadres van die TP-link is dus een lan adres van die BBox ofwel gewoon dubbel NAT.

Hij kan dus gewoon in die BBox portforwarding naar dat adres doen, waarna die Tp-link VPN router het oppakt, de vpn decrypt en op zijn lan kant de boel in zijn eigen subnet zet waar de devices aan hangen.

Ben(V) schreef op woensdag 21 september 2022 @ 09:07:
[...]

Het wan ipadres van die TP-link is dus een lan adres van die BBox ofwel gewoon dubbel NAT.

Er is niets gewoons aan dubbel NAT het is en blijft een brakke oplossing

Hij kan dus gewoon in die BBox portforwarding naar dat adres doen, waarna die Tp-link VPN router het oppakt, de vpn decrypt en op zijn lan kant de boel in zijn eigen subnet zet waar de devices aan hangen.

In theorie ja. Zolang de Bbox niet moeilijk doet met doorgifte van het ESP deel bij IPSec of zelfs GRE (als je dat nog gebruikt: 1992 wil zijn VPN terug). Bij Wireguard of OpenVPN uiteraard geen issue.

nelizmastr schreef op woensdag 21 september 2022 @ 09:45:
[...]

Er is niets gewoons aan dubbel NAT het is en blijft een brakke oplossing
[...]

[...]
In theorie ja. Zolang de Bbox niet moeilijk doet met doorgifte van het ESP deel bij IPSec of zelfs GRE (als je dat nog gebruikt: 1992 wil zijn VPN terug). Bij Wireguard of OpenVPN uiteraard geen issue.

Dit is en blijft een vreemde opmerking.
Dubbel NAT is echt helemaal niets mis mee en als dat wel zo is mag jij uitleggen wat er brak aan is.

En uiteraard doet die Bbox niet moeilijk over VPN verkeer, anders zou hij ook problemen met SSL verkeer hebben.

Het moet ongeveer zo:

internet -- wan poort bbox -- lan port bbox -- wan port Tp-link -- lanporten tp-link --- al jouw devices.

De wan kant van die tp-link moet op dhcp staan en die krijgt dan een ipaadres van die bbox.
De lan kant van die tp-link moet dhcp server zijn en dus ipadressen uitgeven aan je device in je lan.

In de bbox moet je dan een portforwarding van de port van de door jouw gekozen VPN geforward worden naar het wan ipadres die de tplink hgkregen heeft.

Ben(V) schreef op woensdag 21 september 2022 @ 11:33:
[...]

Dit is en blijft een vreemde opmerking.
Dubbel NAT is echt helemaal niets mis mee en als dat wel zo is mag jij uitleggen wat er brak aan is.

En uiteraard doet die Bbox niet moeilijk over VPN verkeer, anders zou hij ook problemen met SSL verkeer hebben.

Ik gebruik zelf ook een dubbel nat oplossing: asus router achter een ziggo modem-router. Voor wanneer ik wil vpn-nen heb ik een raspberrypi v2 met pivpn met wireguard. Dat werkt prima (client op mijn tablet of laptop). Voor mijn 200/20 verbinding is die raspberry zwaar genoeg. Vanaf een 500/500 lokatie heb ik 20/20 via thuis.
Op de modem-router heb ik alle poorten doorgestuurd naar mijn asus router. En op de asus router de poort voor vpn naar de raspberrypi.

[ Voor 8% gewijzigd door W1ck1e op 24-09-2022 10:44 ]

Port forwarding op de tplink is niet zinvol als je via vpn wilt werken.

En een VPN kan natuurlijk niet zonder port forwarding op de Bbox.
Het punt is dat als je een VPN server (op de TPlink) gebruikt dan zal die al het verkeer dat via de portforwarding op de BBox binnenkomt op de tplink beveiligen en een VPN server is ontworpen voor die taak.

Als je portforwards doet naar andere devices in je netwerk, dan wordt het onveilig want die devices zijn daar niet op ontworpen.

Ben(V) schreef op zaterdag 24 september 2022 @ 11:26:
Port forwarding op de tplink is niet zinvol als je via vpn wilt werken.
...

de poort van vpn moet je op de tplink wel forwarden naar de vpn server, maar dat is maar 1 poort

Nee de VPN server zit in de tplink dus daarheen valt niks te forwarden.
Hij moet in de Bbox de VPN port forwarden naar die Tplink (en dus de VPN server in die Tplink).

Je hebt camera's dus iets van domotica heb je al, heb je mogelijk ook een Raspberry Pi? Zet dan daar eens Pivpn op, ik gebruik zelf Pivpn Openvpn omdat je dan TCP poort 443 kan gebruiken. Datgene wat je met die pc doet kan vaak ook met een pi, dat scheelt stroom.

Sgt.Flippy schreef op dinsdag 20 september 2022 @ 17:16:
Maar op men telefoon lukt het dus niet om te verbinden.

Verbind je op basis van WAN IP-adres of op basis van een domeinnaam? (die vervolgens aan een dynamisch DNS systeem is gekoppeld?)

En, aansluitend daarop: probeer je de telefoon te verbinden vanaf je eigen wifi of vanaf 4/5G? Het kan namelijk best zijn dat het vanaf je eigen wifi niet werkt terwijl het van buitenaf, dus vanaf 4/5G wel werkt.

Ben(V) schreef op zaterdag 24 september 2022 @ 11:39:
Nee de VPN server zit in de tplink dus daarheen valt niks te forwarden.
Hij moet in de Bbox de VPN port forwarden naar die Tplink (en dus de VPN server in die Tplink).

Oops, overheen gelezen.