Toon posts:

Complexe vpn server opzetten / client in netwerk opzetten

Pagina: 1
Acties:

Vraag

woensdag 20 maart 2024 15:07

Acties:
  • 0 Henk 'm!
  • Mathieu2022
  • Registratie: November 2020
  • Laatst online: 20-05 15:04

Mathieu2022

Topicstarter
Hoi allemaal,

Weet iemand hoe ik een vpn server/client/director kan opzetten waarbij je kan kiezen welke client in je netwerk met welke vpn verbinding maakt. Precies zoals Asus VPN director / VPN fusion. Dus;

In mijn lan zitten diverse devices en deze wil ik per device ip willen verbinden met een vpn server of mijn eigen isp bv:
- pc1 10.0.0.20 middels openvpn naar nordvpn (dus inloggen)
Pc2 10.0.0.22 middels openvpn naar nordvpn2
(Ook inloggen)
Pc3 10.0.0.25 gewoon via eigen isp/ip naar buiten.

Zie screenshot van VPN director die doet wat ik wil:

https://support.flashrout...VPN-Director-1024x786.png


Een simpele openvpn of wireguard server opzetten zodat ik van buiten mijn thuisnetwerk kan benaderen lukt wel en is niet de vraag.

Op dit moment draai ik een proxmox virtuele server met daarop sophos firewall. Ik kan dus makkelijk een VM met een OS opzetten om dit te bewerkstelligen.

Alvast bedankt!! Gr Mathieu.

[ Voor 25% gewijzigd door Mathieu2022 op 20-03-2024 15:15 ]

Beste antwoord (via Mathieu2022 op 21-03-2024 17:41)

donderdag 21 maart 2024 14:49

  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 16:18

MasterL

Moderator Internet & Netwerken
Mathieu2022 schreef op woensdag 20 maart 2024 @ 15:20:
[...]


Ik wil op mijn thuis netwerk middels deze oplossing kunnen kiezen welke device op welke manier het internet op gaat. Dus via mijn nordvpn abbo of via eigen isp. Zonder dat je op elke client een nordvpn client hoeft te installeren. Dit kan op diverse routers zoals aangegeven met vpn fusion / vpn director van asus. Maar wil van deze hardware af en draai nu een sophos firewall en Linux met diverse servers. Op deze virtuele machines van proxmox wil ik ook deze mogelijkheden draaien.
Wil je helemaal af van je (fysieke) firwalls? Of wil je de Sophos houden als gateway/router?
Of draai je deze al VM?

Optie 1 (Je houdt de Sophos):
1: Installeer een Linux VM, draai hier je VPN client(s) op.
2: Enable forwarding/configureer SNAT/masquerade over de VPN interfaces.
3: Configureer je firewall.
4: Configueer een PBR route op je Sophos (bijvoorbeeld 0.0.0.0 > IP-adres VM) voor de PC's die je over de VPN wil routeren.

Optie 2 (Sophos eruit Linux gateway).
1: Installeer een Linux VM, draai hier je VPN client(s) op.
2: Enable forwarding/configureer SNAT/masquerade over de VPN interfaces en WAN interface.
3: Configureer je firewall.
4: Plaats de VPN interfaces in een VFR
5: Maak een (mangle) rule aan die het (0.0.0.0) verkeer vanaf de clients dropped in dezelfde routing table (VFR) .


Zoiets in IPTables dus.. Dit is wel exclusief het "mangle" deel maar ik vermoed dat jij je Sophos wil houden.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

lanif=      Je LAN interface op je VM
tun0=       Je tunnel interface (kan natuurlijk ook WG of wat anders zijn.
192.168.0.0/24= Voorbeeld van je LAN subnet, wel handig voor management van je VM (voorbeeld).

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o tun0 -j MASQUERADE
COMMIT

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i lanif -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i lanif -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i lanif -o tun0 -j ACCEPT

Alle reacties

woensdag 20 maart 2024 15:08

Acties:
  • 0 Henk 'm!
  • True
  • Registratie: April 2011
  • Niet online

True

Dislecticus

Kun je schematisch weergeven wat je bedoelt? Want ik vind je verhaal namelijk moeilijk te volgen.

VW ID.7 Tourer Pro S | 5670 Wp JA Solar - 14x405 33° op Zuid | Twente

woensdag 20 maart 2024 15:15

Acties:
  • 0 Henk 'm!
  • Oon
  • Registratie: Juni 2019
  • Niet online

Oon

Misschien handig om ook even de usecase te delen; is dit voor jezelf, wil je bijv. toegang op afstand met een reverse tunnel, of is dit voor een omgeving die je beheert met andere personen als gebruikers?

woensdag 20 maart 2024 15:17

Acties:
  • 0 Henk 'm!
  • Mathieu2022
  • Registratie: November 2020
  • Laatst online: 20-05 15:04

Mathieu2022

Topicstarter
True schreef op woensdag 20 maart 2024 @ 15:08:
Kun je schematisch weergeven wat je bedoelt? Want ik vind je verhaal namelijk moeilijk te volgen.
Zeker ik heb de tekst aangepast met een screenshot van vpn director van een asus router erbij die doet wat ik wil.

Bedankt!

woensdag 20 maart 2024 15:20

Acties:
  • 0 Henk 'm!
  • Mathieu2022
  • Registratie: November 2020
  • Laatst online: 20-05 15:04

Mathieu2022

Topicstarter
Oon schreef op woensdag 20 maart 2024 @ 15:15:
Misschien handig om ook even de usecase te delen; is dit voor jezelf, wil je bijv. toegang op afstand met een reverse tunnel, of is dit voor een omgeving die je beheert met andere personen als gebruikers?
Ik wil op mijn thuis netwerk middels deze oplossing kunnen kiezen welke device op welke manier het internet op gaat. Dus via mijn nordvpn abbo of via eigen isp. Zonder dat je op elke client een nordvpn client hoeft te installeren. Dit kan op diverse routers zoals aangegeven met vpn fusion / vpn director van asus. Maar wil van deze hardware af en draai nu een sophos firewall en Linux met diverse servers. Op deze virtuele machines van proxmox wil ik ook deze mogelijkheden draaien.

woensdag 20 maart 2024 15:22

Acties:
  • +2 Henk 'm!
  • wian_gn
  • Registratie: Oktober 2005
  • Laatst online: 01:01

wian_gn

Bijvoorbeeld met policy-based routing, of eventueel verschillende VMs opzetten die ieder de gateway vormen voor een verschillend VPN (en dus masquerading doen). Je kunt dan met een DHCP-directive per client een andere gateway toewijzen.

Dat laatste heb ik lang gehad, werkte prima. Alleen altijd alleen maar IPv4 begon te knellen.

donderdag 21 maart 2024 14:49

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 16:18

MasterL

Moderator Internet & Netwerken
Mathieu2022 schreef op woensdag 20 maart 2024 @ 15:20:
[...]


Ik wil op mijn thuis netwerk middels deze oplossing kunnen kiezen welke device op welke manier het internet op gaat. Dus via mijn nordvpn abbo of via eigen isp. Zonder dat je op elke client een nordvpn client hoeft te installeren. Dit kan op diverse routers zoals aangegeven met vpn fusion / vpn director van asus. Maar wil van deze hardware af en draai nu een sophos firewall en Linux met diverse servers. Op deze virtuele machines van proxmox wil ik ook deze mogelijkheden draaien.
Wil je helemaal af van je (fysieke) firwalls? Of wil je de Sophos houden als gateway/router?
Of draai je deze al VM?

Optie 1 (Je houdt de Sophos):
1: Installeer een Linux VM, draai hier je VPN client(s) op.
2: Enable forwarding/configureer SNAT/masquerade over de VPN interfaces.
3: Configureer je firewall.
4: Configueer een PBR route op je Sophos (bijvoorbeeld 0.0.0.0 > IP-adres VM) voor de PC's die je over de VPN wil routeren.

Optie 2 (Sophos eruit Linux gateway).
1: Installeer een Linux VM, draai hier je VPN client(s) op.
2: Enable forwarding/configureer SNAT/masquerade over de VPN interfaces en WAN interface.
3: Configureer je firewall.
4: Plaats de VPN interfaces in een VFR
5: Maak een (mangle) rule aan die het (0.0.0.0) verkeer vanaf de clients dropped in dezelfde routing table (VFR) .


Zoiets in IPTables dus.. Dit is wel exclusief het "mangle" deel maar ik vermoed dat jij je Sophos wil houden.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

lanif=      Je LAN interface op je VM
tun0=       Je tunnel interface (kan natuurlijk ook WG of wat anders zijn.
192.168.0.0/24= Voorbeeld van je LAN subnet, wel handig voor management van je VM (voorbeeld).

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o tun0 -j MASQUERADE
COMMIT

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i lanif -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i lanif -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i lanif -o tun0 -j ACCEPT

donderdag 21 maart 2024 17:36

Acties:
  • 0 Henk 'm!
  • Mathieu2022
  • Registratie: November 2020
  • Laatst online: 20-05 15:04

Mathieu2022

Topicstarter
Bijvoorbeeld met policy-based routing, of eventueel verschillende VMs opzetten die ieder de gateway vormen voor een verschillend VPN (en dus masquerading doen). Je kunt dan met een DHCP-directive per client een andere gateway toewijzen.

Dat laatste heb ik lang gehad, werkte prima. Alleen altijd alleen maar IPv4 begon te knellen.
Thanks voor het antwoord!
Makes sense, maar voor elke client een aparte VM klinkt wel als omslachtig.

donderdag 21 maart 2024 17:39

Acties:
  • 0 Henk 'm!
  • Mathieu2022
  • Registratie: November 2020
  • Laatst online: 20-05 15:04

Mathieu2022

Topicstarter
MasterL schreef op donderdag 21 maart 2024 @ 14:49:
[...]


Wil je helemaal af van je (fysieke) firwalls? Of wil je de Sophos houden als gateway/router?
Of draai je deze al VM?

Optie 1 (Je houdt de Sophos):
1: Installeer een Linux VM, draai hier je VPN client(s) op.
2: Enable forwarding/configureer SNAT/masquerade over de VPN interfaces.
3: Configureer je firewall.
4: Configueer een PBR route op je Sophos (bijvoorbeeld 0.0.0.0 > IP-adres VM) voor de PC's die je over de VPN wil routeren.

Optie 2 (Sophos eruit Linux gateway).
1: Installeer een Linux VM, draai hier je VPN client(s) op.
2: Enable forwarding/configureer SNAT/masquerade over de VPN interfaces en WAN interface.
3: Configureer je firewall.
4: Plaats de VPN interfaces in een VFR
5: Maak een (mangle) rule aan die het (0.0.0.0) verkeer vanaf de clients dropped in dezelfde routing table (VFR) .


Zoiets in IPTables dus.. Dit is wel exclusief het "mangle" deel maar ik vermoed dat jij je Sophos wil houden.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

lanif=      Je LAN interface op je VM
tun0=       Je tunnel interface (kan natuurlijk ook WG of wat anders zijn.
192.168.0.0/24= Voorbeeld van je LAN subnet, wel handig voor management van je VM (voorbeeld).

*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o tun0 -j MASQUERADE
COMMIT

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i lanif -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i lanif -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i lanif -o tun0 -j ACCEPT
Heel erg bedankt voor het uitgebreide antwoord. Mijn wens is inderdaad de firewall van Sophos te behouden. Een Linux VM erbij is prima en had al verwacht dat de oplossing in die hoek zou zitten.

Lijkt me wel een leuk project om te doen. Zal kijken of ik het voor elkaar kan krijgen. Wel jammer dat we geen makkelijke configureerbare optie voor is. Zoals op sommige consumenten routers wel zit, zoals in de posts aan gegeven.

Hoe dan ook dank met het op weg helpen dan kan ik weer verder knutselen 😀

Gr Mathieu.

vrijdag 22 maart 2024 09:22

Acties:
  • 0 Henk 'm!
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 16:18

MasterL

Moderator Internet & Netwerken
Mathieu2022 schreef op donderdag 21 maart 2024 @ 17:36:
[...]


Thanks voor het antwoord!
Makes sense, maar voor elke client een aparte VM klinkt wel als omslachtig.
Succes maar hier gaat wel je complexiteit in zitten!
Mocht je (later) hulp nodig hebben met het scheiden van traffic (de mangle rules waar ik over schreeft) geef je maar een gil.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq