VPN tunnel opzetten met ASUS RT-AX86U en Odido modem

Je hebt twee issues:

- je router zit in een afwijkend subnet maar staat niet in router modus en zal dus niet routeren, geen DHCP doen en geen NAT. De Odido modem kent de 192.168.2.0 reeks niet en heeft geen route daarheen dus zal daar niets mee kunnen.
- je moet udp poort 1194 nog forwarden naar je Asus router toe

Als je glasvezel hebt en geen telefonie kun je de Asus als vervanging van de Odido modem inzetten, stel daarvoor de WAN poort in met VLAN tag 300. Sluit dan de rest van je apparaten aan op de Asus router en achterliggende switches en je bent klaar (behalve dan de port forward). Hiervoor moet hij dan uiteraard in router modus worden gezet.

Tweede optie is de Asus router in router modus zetten, in de Odido modem het IP van de Asus router in de DMZ plaatsen en dan de port forward erin zetten. Dan is de Odido modem een doorgeefluik. Sluit dan LAN to WAN aan (lan Odido modem naar WAN Asus). Bij DSL moet dat sowieso, want de AX86U spreekt geen DSL.

[ Voor 3% gewijzigd door nelizmastr op 17-09-2024 21:59 ]

Volgens mij moet je even terug naar de tekentafel en nadenken over wat je precies wil. Het is namelijk nogal verwarrend. Schetst eens het netwerk voor ons want:

tweakn00b schreef op dinsdag 17 september 2024 @ 21:44:
Internet via Odido (voorheen Tele2) onlangs nog een nieuwe modem ontvangen en draait op netwerk 192.168.1.x

Okay dus je heb een binnenkomende vdsl verbinding van Odido met publiek IP adres. Die doet NAT van binnen naar buiten. Aan de binnenkant heb je 192.168.1.0/24. Ik ga ervan uit dat de modem ook DHCP doet op het 192.168.1.0/24 segment, dat doen ze out of the box.

Daaraan gekoppeld mij ASUS RT-AX86U in Access Point modus en draait op netwerk 192.168.2.x

Dit is erg verwarrend. De Odido modem zit in het 192.168.1.0/24 segment. Nu komt er een 192.168.2.0/24 segment bij. Maar de Asus router zit in access point modus. Dat impliceert (zoals ik het opvat) dat deze dus niet zelf iets met routeringen doet. Dus geen apart subnet, geen DHCP, geen routeringen etc. Ik ga er dan ook vanuit dat de Asus router wel degelijk een 192.168.1.x adres heeft waarmee hij een verbinding kan opzetten naar de Odido gateway. Klopt dit? Zo ja, waar komt die 192.168.2.0/24 dan vandaan?

Via mijn Asus probeer ik een VPN op te zetten

Je noemt het nergens expliciet: op welk IP adres draait / luistert de OpenVPN server? Doet je Asus modem dit op alle interfaces of zit er ergens een server in je 192.168.2.0/24 subnet welke de OpenVPN functionaliteit draagt?

Ik wil dus toegang tot netwerk 192.168.2.x hebben.

Toegang hebben vanuit waar? En met welke reden? Bedoel je hiermee dat VPN gebruikers toegang moeten krijgen tot apparaten in het 192.168.2.0/24 subnet? Of bedoel je hiermee dat OpenVPN clients toegang moeten krijgen tot een 2.x adres van bijvoorbeeld je Asus router?

Kan dat via deze opstelling of moet ik toch
de modem van Odido eruit halen en de Asus in router modus zetten.

Begrijp ik het nou goed dat ik de Odido modem in DMZ moet zetten? En dan het IP van de Asus in de Odido zetten?

Nee, je kan gewoon poort 1194 UDP forwarden naar het adres waarop de server luistert. In dit geval gok ik dan de Asus router. Maar of deze nou daadwerkelijk routeert (en dus die 192.168.2.0/24 beheert) of enkel in AP modus zit blijft een raadsel en is belangrijk om goed advies te geven. DMZ modes gooit alles open, beetje zonde wanneer je maar 1 poortje nodig heb.

Ik krijg geen verbinden als ik via mijn windows 11 laptop een Ovpn client probeer te openen.

Routerings-technisch zal dat ook een beetje dirty gaan. Vooral met een reverse-route-lookup. Probeer te testen met je telefoon op 4G / 5G. Dan kom je daadwerkelijk van buiten naar binnen en is een realistische test i.p.v. je computer welke zich al in het netwerk bevind (en waar je dus nooit een VPN voor zou op zetten).

Als ik nu een guest 2.4 wifi aanmaak op de Asus krijg ik een authorisatie probleem. M'n android lukt het niet om verbinding te krijgen. Op het 2.4 wifi netwerk van dezelfde Asus, niet de Guest wifi, maar de 'gewone' dan is dat geen probleem. Zou de opstelling daar ook mee te maken kunnen hebben?

Dit staat hier los van. Wifi autorisatie heeft niks te maken met VPN verbindingen en routeringen.

Dan is de vraag of je het quick & dirty wil doen of iets meer tijd wil investeren om het netjes te maken. Ik zou altijd voor nr2 gaan maar ik laat de keuze over aan jou.

Optie 1
Oftewel de Asus modem als DMZ configureren oftewel poort 1194/udp port-forwarden op de Odido modem naar de Asus router. Beide bereiken het zelfde effect, hoewel de port-forward veel specifieker is. Dan moet je hierbij dus het IP adres pakken van het WAN interface van de Asus router.

Optie 2
De Asus niet gebruiken als router maar instellen als client op het netwerk. Handleiding en meer informatie hierover hier: [HOWTO] Draadloze Router gebruiken als Access Point. Maar in het kort: de kabel van Odido niet aansluiten op de WAN maar op een van de LAN poorten en DHCP uitschakelen. De Asus router een IP adres geven in de 192.168.1.x range zodat je 1 netwerk heb i.p.v. al die extra complexiteit met 2 netwerken. Dan laat je de Odido modem / router al het NAT, routering en DHCP werk doen. Vervolgens kan je een port-forward maken naar het LAN adres van de Asus router waar de VPN server op draait. Zo voorkom je complexiteit en behoudt je de wifi en switch functionaliteit van de Asus.

Yariva schreef op woensdag 18 september 2024 @ 20:31:
Optie 2
De Asus niet gebruiken als router maar instellen als client op het netwerk. Handleiding en meer informatie hierover hier: [HOWTO] Draadloze Router gebruiken als Access Point. Maar in het kort: de kabel van Odido niet aansluiten op de WAN maar op een van de LAN poorten en DHCP uitschakelen. De Asus router een IP adres geven in de 192.168.1.x range zodat je 1 netwerk heb i.p.v. al die extra complexiteit met 2 netwerken. Dan laat je de Odido modem / router al het NAT, routering en DHCP werk doen. Vervolgens kan je een port-forward maken naar het LAN adres van de Asus router waar de VPN server op draait. Zo voorkom je complexiteit en behoudt je de wifi en switch functionaliteit van de Asus.

Asus heeft gewoon de optie deze te configureren als AP, dan zijn alle poorten beschikbaar en haalt hij zelf een IP-adres op via DHCP.

tweakn00b schreef op woensdag 18 september 2024 @ 21:14:
[...]


Goed punt. Uiteraard optie 2. Een punt van aandacht is dat ik de Asus wat hoger inschat wat betreft beveiliging. Dat Odido geval is natuurlijk elcheapo...

Graag jou kijk erop.

Ik heb hier geen concrete cijfers op. Die modems hangen overal in Nederland dus mocht er een bekende exploit op zitten zal Odido wel snel patchen. Maar het zijn onderbuik gevoelens.

De Asus is in eigen beheer en zal je dus ook zelf in de gaten moeten houden. De Odido modem update vanuit je provider wanneer jij ligt te slapen. Mits dit is aangekondigd natuurlijk.

Persoonlijk zou ik minder waarde hechten aan dit punt. Dan zou ik eerder kijken naar een ander fysiek stuk hardware in de vorm van een firewall

Yariva schreef op woensdag 18 september 2024 @ 20:31:
Dan is de vraag of je het quick & dirty wil doen of iets meer tijd wil investeren om het netjes te maken. Ik zou altijd voor nr2 gaan maar ik laat de keuze over aan jou.

Optie 1
Oftewel de Asus modem als DMZ configureren oftewel poort 1194/udp port-forwarden op de Odido modem naar de Asus router. Beide bereiken het zelfde effect, hoewel de port-forward veel specifieker is. Dan moet je hierbij dus het IP adres pakken van het WAN interface van de Asus router.

Optie 2
De Asus niet gebruiken als router maar instellen als client op het netwerk. Handleiding en meer informatie hierover hier: [HOWTO] Draadloze Router gebruiken als Access Point. Maar in het kort: de kabel van Odido niet aansluiten op de WAN maar op een van de LAN poorten en DHCP uitschakelen. De Asus router een IP adres geven in de 192.168.1.x range zodat je 1 netwerk heb i.p.v. al die extra complexiteit met 2 netwerken. Dan laat je de Odido modem / router al het NAT, routering en DHCP werk doen. Vervolgens kan je een port-forward maken naar het LAN adres van de Asus router waar de VPN server op draait. Zo voorkom je complexiteit en behoudt je de wifi en switch functionaliteit van de Asus.

Is er naast deze opties niet nog een 3de die wat éénvoudiger is in setup
Dat is de Odido router weg te halen en de Asus gebruiken? Heb zelf ook die Asus en heb die via een mediaconverter met spf module op de hoofd-UTP aangesloten. Die gaat dan in een switch en distribueert het signaal naar de overige apparatuur. In de Asus kan je dan de openvpnserver inrichten en het .opvn bestand downloaden welke je dan weer importeert in de randapparatuur [windows,android, iOS]

De inrichting zoals TS die nu heeft en/of wenst vind ik persoonlijk best gecompliceert. Die setup werkt hier zoals het behoort te doen in ieder geval.

RCBL schreef op vrijdag 20 september 2024 @ 11:07:
[...]


Is er naast deze opties niet nog een 3de die wat éénvoudiger is in setup
Dat is de Odido router weg te halen en de Asus gebruiken? Heb zelf ook die Asus en heb die via een mediaconverter met spf module op de hoofd-UTP aangesloten. Die gaat dan in een switch en distribueert het signaal naar de overige apparatuur. In de Asus kan je dan de openvpnserver inrichten en het .opvn bestand downloaden welke je dan weer importeert in de randapparatuur [windows,android, iOS]

De inrichting zoals TS die nu heeft en/of wenst vind ik persoonlijk best gecompliceert.

Naar mijn weten kan dat niet gezien OP van DSL gebruik maakt. Glasvezel is een ander verhaal.

Ik heb geen glasvezel maar vdsl. Begrijp ik het nou goed dat ik de Odido modem in DMZ moet zetten? En dan het IP van de Asus in de Odido zetten?

Tenzij jij een (goedkope) SFP module met ingebouwde chipset en vDSL logica heb

Yariva schreef op vrijdag 20 september 2024 @ 11:09:
[...]


[...]

Tenzij jij een (goedkope) SFP module met ingebouwde chipset en vDSL logica heb

Haha, had dus over dat DSL volledig heengelezen. Soms is men te gretig..Dank voor het corrigeren..