VPN-switch (Road Warrior) maken

Ik probeer een vriend te helpen die vanuit wisselende locaties een VPN naar zijn huis wil opzetten.
Echter moet hij voor zijn werk ook een VPN hebben draaien op zijn laptop.
(Ik denk dus dat we best voor Wireguard gaan als VPN, boven op UDP, om TCP op TCP te vermijden)

Hij heeft alleen een consumenten-abonnement, kan wel enkele port forwards instellen. Alles is IPv6, IPv4 is CGNAT, of bij te betalen.

1) We dachten om een Odroid N2 te nemen en DietPi te draaien en daar een Wireguard server te laten lopen.
Port forward naar dat device.

2) Dan een 2e Odroid N2 als road warrior host met een Wireguard client (eventueel met OpenWRT, maar dat is blijkbaar nog niet zo eenvoudig te doen werken) (+ eventuele wifi-module om als client op een hotelnetwerk te kunnen verbinden of ook zijn smartphone te kunnen draadloos verbinden), verbinden met een switch, zodat hij zij gewoon zijn laptop of andere devices daar kan aansluiten en deze steeds met vpn met thuis verbonden zijn.

3) De bedoeling is dat als er een probleem zou zijn met de vpn-verbinding, dit dan ook geen normaal internet meer toelaat. Dus alles moet via de VPN verlopen.

Deel 1 is gemakkelijk genoeg.
Deel 2: Is het voldoende van een switch in de Odroid te steken, of moet dat speciaal geconfigureerd worden (DHCP-server, routing, etc)?
Deel 3: Is het triviaal of moeilijk om in te stellen dat zonder VPN er geen trafiek mag doorgelaten worden?

Zijn er andere (hardware) kant-en-klaar oplossingen die beter geschikt zijn voor dit doel?
Zou het eenvoudiger zijn van ZeroTier te gebruiken ipv Wireguard? (met het oog op als client door een firewall te raken).

Frogmen schreef op dinsdag 27 december 2022 @ 14:43:
Als je CGNAT hebt klinkt dat als een mobiel abonnement volgens mij gaat dat niet werken.

Het is in het buitenland. Standaard IPv4 CGNAT, maar mits bijbetalen (ca 25€ per maand...) krijg je een publiek IPv4.

Rolfie schreef op dinsdag 27 december 2022 @ 14:48:
ZeroTier VPN is dan de oplossing die je zal moeten gebruiken, als je achter CGNAT zit.

Misschien wel een check, is het zijn privé laptop of zijn werk laptop?

Werk laptop. Vandaar dat we niet eenvoudig nog een 2e simultaan VPN kunnen opzetten in Windows. De VPN moet vóór de laptop tot stand komen.

Groentjuh schreef op dinsdag 27 december 2022 @ 15:20:
[...]

Hier zoek je een zogenaamde "Travel router". GL-iNet heeft daar best een redelijke collectie van, die OpenWRT draaien. De recente modellen zijn qua Wireguard ook niet slecht en kunnen dat 100+ Mbit/s!

Dank, ik kende deze term nog niet! Deze zien er inderdaad interessant uit.

MasterL schreef op woensdag 28 december 2022 @ 12:58:
Is het niet makkelijker om ergens een basic VPS af te nemen en deze te configureren als VPN concentrator?
Vanaf deze VPS kun je meerdere verbindingen opzetten naar derden (lees "werk").
Zolang de ip ranges niet conflicteren kun je de boel fatsoenlijk routen en firewallen (iptables).

Je bedoelt dat in plaats van 'travel router' naar home-gateway, deze beiden naar een derde inbellen en op deze manier in verbinding blijven?
Dat kan natuurlijk ook, dat is iets eenvoudiger aan home-firewall kant. Maar opnieuw zit ik dan met de vraag, welke hardware en software om dit eenvoudig te houden?

MasterL schreef op woensdag 28 december 2022 @ 13:57:
Ik hou persoonlijk niet zo van termen als "travel router" etc. In geval van een VPN verbinding heb je 2 devices die verbinding met elkaar moeten maken. In jouw geval heb je 2 devices die niet als "server"/endpoint kunnen fungeren.
1: Consumenten lijntje met IPV6 only (en IPV4 GCNAT).
2: Onbekende locatie? IPV4? IPV6?

In een ideale situatie is alles IPV6 en kun je daarover een tunnel bouwen maar in de praktijk is dit een kansloos verhaal. Dus vandaar mijn suggestie om een 3de partij (VPS) te introduceren die alle endpoints kunnen bereiken (lees static IP's). Daarbij neem ik ook aan dat zijn "werk VPN" niet in eigen beheer is. Dus welk protocol? Meneer/mevrouw kan natuurlijk ook twee VPN's simultaan hebben draaien zolang de IP-ranges niet conflicteren.

Ik zou het hele "travel router" idee loslaten en gewoon kijken welke clients er gebruikt moeten worden (werk) en welke gebruikt kunnen worden voor de verbinding naar huis. Dat 2de lijkt mij lastiger gezien er geen (vast/fixed) endpoint is.

Ik begrijp je uitleg, die opstelling is meer flexibel en robust (maar ik heb er nog geen ervaring mee).
Wel even vermelden dat er geen lokale admin toegang is tot de werklaptop. (dus ik vermoed dat enkel een SSTP opzetten mogelijk is, want WireGuard install zal admin rechten vergen).
Onbekenende locaties. Soms IPv6 beschikbaar, soms enkel v4.
Ze gebruiken een custom IPSec oplossing van GlobalProtect (PaloAltoNetworks)

Dus, een Linux instantie in VPS, die bijvoorbeeld als WireGuard of SoftEther server fungeert en die de laptop & thuis verbindt en enkele static routes.
Is het in zo'n geval mogelijk om de gehele verbinding neer te halen als de VPN zou wegvallen? Want anders verloopt werkVPN toch weer over het normale internet.