vlan uitgaan via vpn?

Wat bedoel je met een glasvezel modem? Voor glasvezel heb je over het algemeen alleen een router nodig. Om met Vlan's te werken kom je al gauw bij de professionelere routers uit. Of die een makkelijke VPN implementatie hebben is wisselend maar vaak ook wel. Bedenk wel dat dat vaak zijn die gebruik van de CLI vergen.

Tuckson schreef op vrijdag 31 maart 2023 @ 09:06:

SImpele vraag volgens mij maar heb het antwoord nog niet kunnen vinden.

Misschien is de vraag simpel, maar hij is niet eenvoudig

Tuckson schreef op vrijdag 31 maart 2023 @ 09:06:
Dag,

Is er is er ook een glasvezelmodem welke mij toestaat om het verkeer van een bepaald vlan wel via een op het modem ingesteld vpn te laten lopen en het verkeer van een separaat vlan niet?

Hieruit maak ik op dat je twee VLAN's hebt, een ervan wil je routeren naar buiten over een VPN en de andere niet.

In principe ondersteunen de standaard routers (glasvezel moduleert en demoduleert niet dus geen modem) van de ISP's geen VLAN's, vrijwel alle degelijke 3rd party modellen wel. Zolang je een router hebt die VLAN's en VPN tunnels ondersteunt, bijv. een midrange Draytek, Mikrotik, Edgerouter, Fortigate, Sonicwall, PFsense/Opnsense etc. gaat dat wel lukken.

Dit beredeneer ik van achter de ONT, die levert de provider en zou ik onaangeroerd laten, wat je daarna middels een UTP kabeltje aansluit is pas van belang.Dit is mijn persoonlijke mening, als jij een eigen ONT wil dan mag dat van de wet, maar het is m.i. meer moeite dan nodig.

Mocht je een AON glasvezelaansluiting hebben, dan heb je een router nodig met een SFP ingang van een van bovenstaande voorbeelden. Bij *PON dus pas na de ONT.

Welke apparatuur heb je nu en welke provider heb je?

[ Voor 4% gewijzigd door nelizmastr op 31-03-2023 10:02 ]

Om heel eerlijk te zijn, begrijp ik je vraag helemaal niet.

nelizmastr schreef op vrijdag 31 maart 2023 @ 10:00:

Hieruit maak ik op dat je twee VLAN's hebt, een ervan wil je routeren naar buiten over een VPN en de andere niet.

Dus je router als een VPN client met bv. NordVPN? Maar ja, dan loop je tegen het probleem dat het alle netwerken achter de VPN geforward wordt omdat je router geen optie heeft om het specifieke netwerk te definiëren.

En om heel eerlijk te zijn, je hebt niks aan betaalde VPN oplossingen zoals NordVPN. De tunnel is alleen maar actief tussen je router en de VPN provider, dus er is geen tunnel tussen de VPN provider en de website die je bezoekt. En alles is tegenwoordig toch over HTTPS, dus het is al encrypted wat het voornaamste voordeel is van een VPN.

Denk niet dat je een router gaat vinden die VLAN's kan doen en als een VPN client kan functioneren.

Faifz schreef op vrijdag 31 maart 2023 @ 15:48:

En om heel eerlijk te zijn, je hebt niks aan betaalde VPN oplossingen zoals NordVPN. De tunnel is alleen maar actief tussen je router en de VPN provider, dus er is geen tunnel tussen de VPN provider en de website die je bezoekt.

Denk niet dat je een router gaat vinden die VLAN's kan doen en als een VPN client kan functioneren.

Eens. Ik snap de fascinatie van mensen met die VPN's niet. Leuk om een geoblock te omzeilen, maar verder voegt het qua veiligheid weinig toe. Ja je verbergt je eigen IP adres, big whoop

En alles is tegenwoordig toch over HTTPS, dus het is al encrypted wat het voornaamste voordeel is van een VPN.

Dit is wel erg kort door de bocht. Er is een hoop verkeer dat geen HTTPS/TLS gebruiken kan maar ook niet wenselijk is om over het publieke internet te gaan. Ook kan een VPN wenselijk zijn voor remote access tot een gesloten bedrijfsnetwerk (al dan niet op zero trust basis) of site-to-sites om nevenlocaties via het gesloten netwerk van een hoofdvestiging te laten lopen.

Voor de gemiddelde eindgebruiker verder overigens eens dat ze je pakken met de marketing en een vals gevoel van een veel veiligere verbinding geven maar in werkelijkheid krijg je vooral latency en minder bandbreedte en je routeert een berg verkeer via een partij die je maar net moet vertrouwen

nelizmastr schreef op vrijdag 31 maart 2023 @ 16:51:

Dit is wel erg kort door de bocht. Er is een hoop verkeer dat geen HTTPS/TLS gebruiken kan maar ook niet wenselijk is om over het publieke internet te gaan.

Ik kan me weinig voorstellen dat nog altijd niet encrypted is. Laten we zeggen HTTP, dat wordt dus encrypted tussen u en de VPN provider. Maar wanneer het de VPN provider verlaat, is het niet meer encrypted. Commerciële VPN is gewoon een halve been eerder.

Standaard DNS is bijvoorbeeld een heel goed voorbeeld, maar je beschermt jezelf alleen maar tot en met de VPN provider. En encrypted DNS (over TLS) is niet eens heel interessant. Zou eerder beweren dat het onveiliger is want je firewall met een stuk of 10x security subscriptions kan niet meer zien wat jij probeert te resolven met DNS. Zo erg is het weeral ook niet dat je ISP jouw DNS queries kan zien.

nelizmastr schreef op vrijdag 31 maart 2023 @ 16:51:Ook kan een VPN wenselijk zijn voor remote access tot een gesloten bedrijfsnetwerk (al dan niet op zero trust basis) of site-to-sites om nevenlocaties via het gesloten netwerk van een hoofdvestiging te laten lopen.

Dan heb je het ook over waarvoor VPN bedoeld is. En niet voor het onderstaande dat jij perfect beschrijft.

nelizmastr schreef op vrijdag 31 maart 2023 @ 16:51:Voor de gemiddelde eindgebruiker verder overigens eens dat ze je pakken met de marketing en een vals gevoel van een veel veiligere verbinding geven maar in werkelijkheid krijg je vooral latency en minder bandbreedte en je routeert een berg verkeer via een partij die je maar net moet vertrouwen

Faifz schreef op vrijdag 31 maart 2023 @ 15:48:


Denk niet dat je een router gaat vinden die VLAN's kan doen en als een VPN client kan functioneren.

Ik denk dat ongeveer alles buiten de huis tuin en keuken varianten dit toch wel kunnen. Misschien dat ze als VPN client niet alle instellingen voor de profielen van Tunnelbear/NordVPN/Surfshark kunnen implementer maar maar een bepaald intern vlan via een VPN de deur uit sturen lijkt mij geen rocketsience.
Mocht het om een enkel device gaan dan is het misschien nog wel op te lossen met een policy op basis van intern IP.

Zo duw je een smartTV/Chromecast-ding met bijvoorbeeld Netflix over VPN het internet op voor wat alternatieve content.

jadjong schreef op vrijdag 31 maart 2023 @ 20:28:
[...]

Ik denk dat ongeveer alles buiten de huis tuin en keuken varianten dit toch wel kunnen. Misschien dat ze als VPN client niet alle instellingen voor de profielen van Tunnelbear/NordVPN/Surfshark kunnen implementer maar maar een bepaald intern vlan via een VPN de deur uit sturen lijkt mij geen rocketsience.

Het is eerder zo dat je een router tegenkomt dat VLAN's en als VPN client kan functioneren, maar dan is de UI te beperkt om te selecteren welke netwerk je doorheen de VPN wil. En doet ie beide VLAN's of netwerken. Ik zag deze optie niet bij een Synology router, dus het lijkt mij eerder gokken tenzij je de UI op voorhand kunt bekijken.

Het zijn eerder de ''huis, tuin en keuken" routers zoals een Synology die kunnen functioneren als een VPN client, niet de enterprise-grade routers/firewalls want dat wordt nooit gebruikt.

jadjong schreef op vrijdag 31 maart 2023 @ 20:28:Mocht het om een enkel device gaan dan is het misschien nog wel op te lossen met een policy op basis van intern IP.

Zo duw je een smartTV/Chromecast-ding met bijvoorbeeld Netflix over VPN het internet op voor wat alternatieve content.

Bedoel je policy based forwarding? Deze optie heb je op een Palo Alto Networks firewall of zelfs Cisco routers/switches en op een FortiGate. Maar ik ben dit nog nooit tegengekomen bij een consumenten router.

Palo Alto is misschien wat aan de dure kant. In de prijsrange 500-1500 moet het ook wel lukken. En anders OPNsense, al kan dat met hardware doosje ook richting de 1000 gaan.

Vandaar dat ik het had over 'alles behalve HTK routers'. Met een small business-lijn/instapversie van de grote merken kom je er ook, al dan niet via een extra licentie.

Moet lukken met een RouterOS (Mikrotik) device.

Tuckson schreef op maandag 17 april 2023 @ 13:51:
Een vpn provider valt niet onder de telecomwet. Bovendien slaat een echte goede provider ook geen logging op die dan later weer overhandigd zou kunnen worden.

Nog niet. En misschien doet de VPN provider het niet, maar het faciliterende datacenter het wel.

De praktijksituatie is deze: het huidige modem achter de NT kent al 2 vlans, namelijk dat voor internetverkeer en dat voor IP TV. Dit laatste heeft uiteraard DNS en routes nodig naar het TV platform van mijn aanbieder. Dat werkt niet via vpn. Het internetverkeer echter wil ik wél via VPN laten lopen.

De simpelste manier om dat te regelen is om een 2e router, met vpn mogelijkheid, achter het eerste modem te hangen. TV op eerste modem, al het internet verkeer via de router erachter.

Dat kan. Maar een beetje tweaker krijgt natuurlijk jeuk van dit soort oplossingen en wil gewoon een sexy device wat alles kan

Doe maar een los device dan, IPTV door iets heen halen wat niet door de desbetreffende provider geleverd wordt is hit or miss. Zie de vele topics op dit forum waarin men een poging doet om IPTV door een UBNT/TP-link/*Sense/ander device af te laten handelen, 10.000 posts van die je kort samen kunt vatten in 'ik had het werkend, maar sinds vorige week valt het soms uit'..

@Tuckson
MEt hierboven, IPTV (stabiel!!) werkend krijgen via je eigen modem is uitdagender dan alles door een vpn heen te pompen Alhoewel dat probleem ook voor een groot gedeelte ligt bij ubiquiti (die vaak door die toepassing gebruikt wordt).

Ik heb betere verhalen over Draytek gehoord icm iptv en daar krijg je denk ik ook wel een vpn gerouteerd.

Wat ik heb gedaan is KPN iptv eruit en NLZiet (unicast) erin, dat maakt het leven een stuk simpeler (ook omdat dat stomme draadje naar mn tv niet meer nodig is)

Tuckson schreef op maandag 17 april 2023 @ 13:51:
De lol van een vpn is nu in feite dat je een tunnel legt door de systemen van je ISP heen. Als jij op de normale manier een encrypted verbinding opzet tussen je browser en een website, dan kan de ISP de data niet zien, maar wel je verkeersgegevens. Plain text e-mail kan sowieso wél volledig getapt worden. Dus welke site je benadert en hoelang je daarop actief rondklikt bijvoorbeeld. Middels een VPN verhinder je dat dus. Een vpn provider valt niet onder de telecomwet. Bovendien slaat een echte goede provider ook geen logging op die dan later weer overhandigd zou kunnen worden.

Ik denk dat je https niet helemaal snapt. Alles wat je schrijft kan met https namelijk niet. Het enige wat de provider van je weet is dat jij naar een ip adres gaat en met poort 443 communiceert. Naar welke site je precies gaat weet de provider niet (dankzij https is ook de url encrypted), tenzij je de dns servers van de provider gebruikt, dan kunnen ze zien welke dns requests je hebt gedaan. Maar zelfs die link is moeilijk te maken omdat je router en pc ook dns requests cachen.

Het eerste wat https namelijk doet is een beveiligde verbinding opzetten met het ip adres van de server, pas daarna wordt de url naar de server doorgegeven.

Maar goed jij vertrouwd dan blijkbaar wel een of ander vaag buitenlands bedrijf om al je verkeer te routeren die zich zoals je zelf zegt zich niet aan de wetgeving hoeft te houden. Je weet dan ook niet wat ze allemaal wel doen waar wij in onze wetgeving door beschermd worden.

Ps plain text e-mail wordt ook niet veel meer ondersteund, tegenwoordig is imap en pop3 (als je dat nog gebruikt) prima via SSL beveiligd.

Edit: de conclusie is dus dat je de anonimiteit op de verkeerde manier zoekt.

[ Voor 6% gewijzigd door DutchKel op 17-04-2023 20:18 ]

@DutchKel
De hostname zit unencrypted in een https pakketje.
Je ziet dus www.tweakers.net:443 maar je ziet niet het pad van de url of de inhoud.
DNS requests hoef je dus niet perse te capturen

Yes, the full URL string is hidden, and all further communication, including the application-specific parameters.

However, the Server Name Indicator that is formed from the hostname and domain name part of the URL is sent in clear text during the first part of the TLS negotiation.

The Server Name Indicator is used so that the endpoint server can know to which virtual server the connection is supposed to address. This information gives the knowledge necessary in the choosing of the certificate needed to correctly identify itself and the correspondent private encryption key.

Besides the Server Name Indicator, anyone who has the server private key (or if can, somehow, guess it), can use it to decrypt the data flow. On Wireshark, there are specific configurations to add private keys to decrypt HTTPS traffic.

TLS v1.3, the current and recommended version, has a proposal to encrypt the ServerName. However, as the standard is not yet approved, we cannot expect any major browser to s

https://www.baeldung.com/cs/https-urls-encrypted

[ Voor 73% gewijzigd door laurens0619 op 17-04-2023 21:12 ]

laurens0619 schreef op maandag 17 april 2023 @ 21:11:
@DutchKel
De hostname zit unencrypted in een https pakketje.
Je ziet dus www.tweakers.net:443 maar je ziet niet het pad van de url of de inhoud.
DNS requests hoef je dus niet perse te capturen


[...]

https://www.baeldung.com/cs/https-urls-encrypted

Je hebt gelijk, met DPI kun je inderdaad ook alleen de hostname nog eruit halen. Maar de rest van de url waar je heen gaat is niet bekend.

De conclusie blijft hetzelfde, waarom zou je een vreemd buitenlands bedrijf welke niet aan onze wetgeving hoeft te voldoen meer vertrouwen dan je eigen provider waarbij de eindgebruiker wel deels door onze wetgeving wordt beschermd? Je noemt alleen een deel wat niet zo fijn is (als dat al erdoorheen komt).

Tuckson schreef op maandag 17 april 2023 @ 13:51:
[...]

De praktijksituatie is deze: het huidige modem achter de NT kent al 2 vlans, namelijk dat voor internetverkeer en dat voor IP TV. Dit laatste heeft uiteraard DNS en routes nodig naar het TV platform van mijn aanbieder. Dat werkt niet via vpn. Het internetverkeer echter wil ik wél via VPN laten lopen.

De simpelste manier om dat te regelen is om een 2e router, met vpn mogelijkheid, achter het eerste modem te hangen. TV op eerste modem, al het internet verkeer via de router erachter.

Dat kan. Maar een beetje tweaker krijgt natuurlijk jeuk van dit soort oplossingen en wil gewoon een sexy device wat alles kan

"Modem"?

Zoals al genoemd is, is er geen sprake van een modem bij glas - er is immers geen analoge communicatie - en het apparaat wat er het meest op lijkt is de (O)NT zelf, niet de router die erachter hangt. Er is bij glas een stricte scheiding tussen layer 2 (PON-netwerk die in ONT getermineerd wordt) en layer 3 (IP-netwerk dat uitkomt in je router). De diensten kunnen zelfs door verschillende partijen geleverd worden (layer 2 is van de eigenaar van de infrastructuur, layer 3 van je provider). VPNs zitten op layer 3 of 4, dus horen niet in de ONT maar in de router thuis.

Je hebt in NL het recht een eigen ONT te gebruiken, maar dat is redelijk complex te realiseren en - NOFI - als je modem, ONT en router niet uit elkaar kunt houden zou ik er niet aan beginnen. Het is niet nodig om te bereiken wat je hier wilt.

Wel nog een inhoudelijke tip: VPN's zijn leuk, maar zijn hooguit een hulpmiddel. Zie het als een condoom bij de sex. Het kan je helpen beschermen tegen narigheid. Dat werkt echter alleen als je weet waar je mee bezig bent. Gebruik je het condoom verkeerd, of ga je doordat je je veilig waant erg veel onveilig gedrag vertonen, dan kun je alsnog slechter uit zijn dan zonder. Idem met VPNs. Zij maskeren bij welk publiek IP het internetverkeer wat je erover verstuurt vandaan komt. Niets meer dan dat. Alle andere tracking-mogelijkheiden blijven bestaan, en de tijd dat dat primair op basis van een enkele source IP ging zijn lang voorbij. Commerciele VPN aanbieders zijn exact dat: commerciele bedrijven die een verdienmodel hebben van het groter laten lijken van gevaren en bovenal het groter laten lijken van aandeel van hun product om daar wat tegen te doen. Als je je oprecht zorgen maakt zou ik eerder tijd en moeite investeren in betere kennis van de materie dan in je geld over de balk gooien richting een commerciele partij die best-case maar een klein deel van de risico's afdekt.

VPN's zijn overigens wel erg nuttig om gevaren van untrusted publieke hotspots te vermijden als je onderweg bent met je mobile devices. Daar heb je echter geen commerciele partij voor nodig: je kunt zelf thuis een VPN-service draaien waar je mee verbindt als je onderweg bent, iets als Wireguard bijvoorbeeld. Dat lijkt me bij uitstek wel een zinnig iets om op je router te draaien.

Misschien een beetje cynisch, maar ik heb het vermoeden dat het om downloaden gaat en hij dat anoniem wil doen.

Oplossing daarvoor is simpelweg een VPN client op het device te draaien dat de downloads doet.

Als je een router hebt die de verbinding kan opzetten en je kan je route table aanpassen kan je voor vlan X de default route naar je vpn wijzen, of specifiek voor de hosts die je via een vpn wilt bereiken.

Tuckson schreef op dinsdag 18 april 2023 @ 17:59:
[...]

ik snap wat je zegt, maar als ik zo vrij mag zijn: je zit te mierenneuken. Iedereen noemt het gewoon een modem. Ook de providers zelf. https://www.kpn.com/search.htm?q=glasvezelmodem

De communicatiemiepjes van providers... Newsflash: techniek is nierenneuken en adequaat reageren op bedreigingen doe je door de techniek te snappen.

Lees even de rest van m'n post. Je zoekt een quick fix bij derden (die je maar moet vertrouwen) voor een probleem dat veel breder is dan een commerciele VPN kan fixen.

[...]

Mijn punt heeft te maken met onze overheid. Punt. Facebook en Whatsapp vertrouw ik ook niet, dus die heb ik ook niet, maar dat is een ander punt en heeft niets met een vpn te maken.

En je vertrouwt een commerciele VPN-partij wel?

Je zorgen zijn zeker niet uit de lucht gegrepen, maar een houding van "overheid en big business slecht, Robin Hood bedrijfjes goed" klinkt vooral als het napraten van de marketing van die bedrijfjes.

Tuckson schreef op dinsdag 18 april 2023 @ 17:59:
En als willekeurig welke afnemer hoort dat een datacenter ongeoorloofd verkeer van haar klanten zou loggen, is dat DC in no time al die klanten kwijt.

Dat geldt ook voor internetproviders. Totdat het vanuit de overheid verplicht wordt gesteld is er misschien geen reden voor een datacenter om verkeer te loggen, daarna heeft een datacenter weinig keus.

Je vraag was dus eigenlijk "kan ik al mijn uitgaand verkeer over een VPN naar een VPN provider laten lopen en het tv signaal daarbuiten laten"?

Want een AVM 7590 kan dat wel, maar als je zelf VLAN's in je netwerk gebuikt kan hij daar geen onderscheid in maken.