Toon posts:

VPN-switch (Road Warrior) maken

Pagina: 1
Acties:

  • arnoldus1955
  • Registratie: September 2010
  • Laatst online: 22-01 15:19
Ik probeer een vriend te helpen die vanuit wisselende locaties een VPN naar zijn huis wil opzetten.
Echter moet hij voor zijn werk ook een VPN hebben draaien op zijn laptop.
(Ik denk dus dat we best voor Wireguard gaan als VPN, boven op UDP, om TCP op TCP te vermijden)

Hij heeft alleen een consumenten-abonnement, kan wel enkele port forwards instellen. Alles is IPv6, IPv4 is CGNAT, of bij te betalen.

1) We dachten om een Odroid N2 te nemen en DietPi te draaien en daar een Wireguard server te laten lopen.
Port forward naar dat device.

2) Dan een 2e Odroid N2 als road warrior host met een Wireguard client (eventueel met OpenWRT, maar dat is blijkbaar nog niet zo eenvoudig te doen werken) (+ eventuele wifi-module om als client op een hotelnetwerk te kunnen verbinden of ook zijn smartphone te kunnen draadloos verbinden), verbinden met een switch, zodat hij zij gewoon zijn laptop of andere devices daar kan aansluiten en deze steeds met vpn met thuis verbonden zijn.

3) De bedoeling is dat als er een probleem zou zijn met de vpn-verbinding, dit dan ook geen normaal internet meer toelaat. Dus alles moet via de VPN verlopen.

Deel 1 is gemakkelijk genoeg.
Deel 2: Is het voldoende van een switch in de Odroid te steken, of moet dat speciaal geconfigureerd worden (DHCP-server, routing, etc)?
Deel 3: Is het triviaal of moeilijk om in te stellen dat zonder VPN er geen trafiek mag doorgelaten worden?

Zijn er andere (hardware) kant-en-klaar oplossingen die beter geschikt zijn voor dit doel?
Zou het eenvoudiger zijn van ZeroTier te gebruiken ipv Wireguard? (met het oog op als client door een firewall te raken).

  • Frogmen
  • Registratie: Januari 2004
  • Niet online
Als je CGNAT hebt klinkt dat als een mobiel abonnement volgens mij gaat dat niet werken.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.


  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 21:23
ZeroTier VPN is dan de oplossing die je zal moeten gebruiken, als je achter CGNAT zit.

Misschien wel een check, is het zijn privé laptop of zijn werk laptop?

[Voor 30% gewijzigd door Rolfie op 27-12-2022 14:52]


  • stfn345
  • Registratie: Januari 2000
  • Laatst online: 23:34
Ik gebruikte eerder ook Wireguard,maar ben overgestapt op Tailscale. Kijk daar eens naar, werkt top!

  • Groentjuh
  • Registratie: September 2011
  • Laatst online: 16:34
arnoldus1955 schreef op dinsdag 27 december 2022 @ 14:32:
2) Dan een 2e Odroid N2 als road warrior host met een Wireguard client (eventueel met OpenWRT, maar dat is blijkbaar nog niet zo eenvoudig te doen werken) (+ eventuele wifi-module om als client op een hotelnetwerk te kunnen verbinden of ook zijn smartphone te kunnen draadloos verbinden), verbinden met een switch, zodat hij zij gewoon zijn laptop of andere devices daar kan aansluiten en deze steeds met vpn met thuis verbonden zijn.
Hier zoek je een zogenaamde "Travel router". GL-iNet heeft daar best een redelijke collectie van, die OpenWRT draaien. De recente modellen zijn qua Wireguard ook niet slecht en kunnen dat 100+ Mbit/s!

  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 21:36
Is het niet makkelijker om ergens een basic VPS af te nemen en deze te configureren als VPN concentrator?
Vanaf deze VPS kun je meerdere verbindingen opzetten naar derden (lees "werk").
Zolang de ip ranges niet conflicteren kun je de boel fatsoenlijk routen en firewallen (iptables).

  • arnoldus1955
  • Registratie: September 2010
  • Laatst online: 22-01 15:19
Frogmen schreef op dinsdag 27 december 2022 @ 14:43:
Als je CGNAT hebt klinkt dat als een mobiel abonnement volgens mij gaat dat niet werken.
Het is in het buitenland. Standaard IPv4 CGNAT, maar mits bijbetalen (ca 25€ per maand...) krijg je een publiek IPv4.
Rolfie schreef op dinsdag 27 december 2022 @ 14:48:
ZeroTier VPN is dan de oplossing die je zal moeten gebruiken, als je achter CGNAT zit.

Misschien wel een check, is het zijn privé laptop of zijn werk laptop?
Werk laptop. Vandaar dat we niet eenvoudig nog een 2e simultaan VPN kunnen opzetten in Windows. De VPN moet vóór de laptop tot stand komen.
Groentjuh schreef op dinsdag 27 december 2022 @ 15:20:
[...]

Hier zoek je een zogenaamde "Travel router". GL-iNet heeft daar best een redelijke collectie van, die OpenWRT draaien. De recente modellen zijn qua Wireguard ook niet slecht en kunnen dat 100+ Mbit/s!
Dank, ik kende deze term nog niet! Deze zien er inderdaad interessant uit.
MasterL schreef op woensdag 28 december 2022 @ 12:58:
Is het niet makkelijker om ergens een basic VPS af te nemen en deze te configureren als VPN concentrator?
Vanaf deze VPS kun je meerdere verbindingen opzetten naar derden (lees "werk").
Zolang de ip ranges niet conflicteren kun je de boel fatsoenlijk routen en firewallen (iptables).
Je bedoelt dat in plaats van 'travel router' naar home-gateway, deze beiden naar een derde inbellen en op deze manier in verbinding blijven?
Dat kan natuurlijk ook, dat is iets eenvoudiger aan home-firewall kant. Maar opnieuw zit ik dan met de vraag, welke hardware en software om dit eenvoudig te houden?

  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 21:36
Ik hou persoonlijk niet zo van termen als "travel router" etc. In geval van een VPN verbinding heb je 2 devices die verbinding met elkaar moeten maken. In jouw geval heb je 2 devices die niet als "server"/endpoint kunnen fungeren.
1: Consumenten lijntje met IPV6 only (en IPV4 GCNAT).
2: Onbekende locatie? IPV4? IPV6?

In een ideale situatie is alles IPV6 en kun je daarover een tunnel bouwen maar in de praktijk is dit een kansloos verhaal. Dus vandaar mijn suggestie om een 3de partij (VPS) te introduceren die alle endpoints kunnen bereiken (lees static IP's). Daarbij neem ik ook aan dat zijn "werk VPN" niet in eigen beheer is. Dus welk protocol? Meneer/mevrouw kan natuurlijk ook twee VPN's simultaan hebben draaien zolang de IP-ranges niet conflicteren.

Ik zou het hele "travel router" idee loslaten en gewoon kijken welke clients er gebruikt moeten worden (werk) en welke gebruikt kunnen worden voor de verbinding naar huis. Dat 2de lijkt mij lastiger gezien er geen (vast/fixed) endpoint is.

  • arnoldus1955
  • Registratie: September 2010
  • Laatst online: 22-01 15:19
MasterL schreef op woensdag 28 december 2022 @ 13:57:
Ik hou persoonlijk niet zo van termen als "travel router" etc. In geval van een VPN verbinding heb je 2 devices die verbinding met elkaar moeten maken. In jouw geval heb je 2 devices die niet als "server"/endpoint kunnen fungeren.
1: Consumenten lijntje met IPV6 only (en IPV4 GCNAT).
2: Onbekende locatie? IPV4? IPV6?

In een ideale situatie is alles IPV6 en kun je daarover een tunnel bouwen maar in de praktijk is dit een kansloos verhaal. Dus vandaar mijn suggestie om een 3de partij (VPS) te introduceren die alle endpoints kunnen bereiken (lees static IP's). Daarbij neem ik ook aan dat zijn "werk VPN" niet in eigen beheer is. Dus welk protocol? Meneer/mevrouw kan natuurlijk ook twee VPN's simultaan hebben draaien zolang de IP-ranges niet conflicteren.

Ik zou het hele "travel router" idee loslaten en gewoon kijken welke clients er gebruikt moeten worden (werk) en welke gebruikt kunnen worden voor de verbinding naar huis. Dat 2de lijkt mij lastiger gezien er geen (vast/fixed) endpoint is.
Ik begrijp je uitleg, die opstelling is meer flexibel en robust (maar ik heb er nog geen ervaring mee).
Wel even vermelden dat er geen lokale admin toegang is tot de werklaptop. (dus ik vermoed dat enkel een SSTP opzetten mogelijk is, want WireGuard install zal admin rechten vergen).
Onbekenende locaties. Soms IPv6 beschikbaar, soms enkel v4.
Ze gebruiken een custom IPSec oplossing van GlobalProtect (PaloAltoNetworks)

Dus, een Linux instantie in VPS, die bijvoorbeeld als WireGuard of SoftEther server fungeert en die de laptop & thuis verbindt en enkele static routes.
Is het in zo'n geval mogelijk om de gehele verbinding neer te halen als de VPN zou wegvallen? Want anders verloopt werkVPN toch weer over het normale internet.

  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 21:36
arnoldus1955 schreef op woensdag 28 december 2022 @ 16:58:
[...]
Dus, een Linux instantie in VPS, die bijvoorbeeld als WireGuard of SoftEther server fungeert en die de laptop & thuis verbindt en enkele static routes.
Is het in zo'n geval mogelijk om de gehele verbinding neer te halen als de VPN zou wegvallen? Want anders verloopt werkVPN toch weer over het normale internet.
Ehm ja dat klopt maar het rechten verhaal maakt het er niet makkelijker op...
Wat is zou doen:
1: Een VPS of iets afnemen (of iets met een fixed IP-adres..)
2: Vanaf de VPS een tunnel (wat dan ook) opzetten met de thuis locatie inc routes e.d.
3: (optioneel) Default traffic (0.0.0.0/0) markeren en ook over de tunnel routen (vanaf de VPN clients).
4: Een "travel router" met serieuze firewalling en tunnel opties aanschaffen (hAP ax² ofzo).
5: De boel zo firewallen dat connecties (forward chain) alleen toegestaan zijn over de tunnel.
6: (eventueel) endpoint van de "werk VPN" excluden/allowen mocht er een wens zijn om de tunnel alsnog via een "open" netwerk op te kunnen bouwen.

Verder de werk laptop met rust laten.
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee