VPN server achter Telenet HGW

baggins · 01 apr 2016, 11:27

Hallo,

Ik zit hier met een situatie waarvoor mijn netwerkkennis te beperkt is...

Vooreerst de situatie zoals ze nu is:

Telenet HGW (nieuwste model).
Er zijn 2 racks met daarin 2 managed switchen die nu nog als gewone switch gebruikt worden. In elk rack staat nu een Digicorder waar later nog een Digibox zal bijkomen.
Van de HGW lopen er netwerkverbindingen naar elke switch (4 in totaal dus).
De Digicorders zijn aangesloten op de respectievelijke switchen.
Dit alles werkt zonder probleem.

Voor de domotica installatie worden er binnenkort nog 2 visualisatieservers geinstalleerd (in elk rack één).

Nu zou de installateur graag via VPN toegang hebben tot die visualisatieservers om de programmatie op afstand te kunnen doen (in een eerste fase zal er nog heel wat moeten gesleuteld worden). Een begrijpelijke vraag want anders moet hij steeds de verplaatsing doen.
Tevens zou die VPN verbinding ook voor mij nuttig zijn in de toekomst om op afstand de installatie te bedienen, naar de camerabeelden te kijken, gegevens van de NAS te consulteren, enz.

De installateur stelt voor om een VPNBox te installeren: http://vpnbox.be. Dat blijkt een Mikrotik RB750 te zijn. De kostprijs hiervan bedraagt 400€ (excl. BTW). Niet mis dus...
Deze VPNBox wordt op de HGW aangesloten en de rest van het netwerk wordt dan aan de VPNBox gehangen. Voor de Digicorders moet dan wel nog iets verzonnen worden aangezien die de HGW moeten kunnen blijven zien.

Ik vraag me af of het niet mogelijk zou zijn om op een bestaande server (er komt nog een OpenmediaVault NAS en een Fedora applicatieserver) eventueel OpenVPN Access Server te installeren om op die manier die visualisatieservers te benaderen.

Suggesties?

devastator · 01 apr 2016, 11:38

400 euro is niet mis ...
Een simpele Mikrotik moet toch volstaan voor een VPN. Of eender welke consumer router met VPN functionaliteit ?

johan.devos · 01 apr 2016, 11:43

Je kunt ook gewoon TeamViewer installeren op de visualisatieservers... Gratis voor thuisgebruik, geen extra HW,...

ubremoved_539 · 01 apr 2016, 12:02

baggins schreef:De installateur stelt voor om een VPNBox te installeren: http://vpnbox.be. Dat blijkt een Mikrotik RB750 te zijn. De kostprijs hiervan bedraagt 400€ (excl. BTW). Niet mis dus...

Een RB750 kost rond de 60 euro BTW in... dringend een andere installateur zoeken !

baggins · 01 apr 2016, 12:04

johan.devos schreef:Je kunt ook gewoon TeamViewer installeren op de visualisatieservers... Gratis voor thuisgebruik, geen extra HW,...

Die visualisatieservers zijn geen "echte" servers in de gewone betekenis, dit zijn dus geen Windows of Linux machines, maar dedicated domotica machines.
http://openrb.com/logicmachine4

baggins · 01 apr 2016, 12:17

r2504 schreef:
baggins schreef:De installateur stelt voor om een VPNBox te installeren: http://vpnbox.be. Dat blijkt een Mikrotik RB750 te zijn. De kostprijs hiervan bedraagt 400€ (excl. BTW). Niet mis dus...
Een RB750 kost rond de 60 euro BTW in... dringend een andere installateur zoeken !

Inderdaad, die 400€ wordt verantwoord door te verwijzen naar het "speciale" softwarepakket dat er op draait...

De installateur is een domotica specialist. Voor hem maakt het niet uit op welke manier hij VPN toegang krijgt. Die VPNBox is gewoon een kant en klare oplossing die blijkt te werken voor hem...

Hijzelf heeft het idee geopperd om ergens op een of andere server iets te installeren, alleen weet hij noch ik hoe dat dan juist moet...

nickz · 01 apr 2016, 12:20

baggins schreef:De installateur stelt voor om een VPNBox te installeren: http://vpnbox.be. Dat blijkt een Mikrotik RB750 te zijn. De kostprijs hiervan bedraagt 400€ (excl. BTW). Niet mis dus...

€ 400 excl. BTW voor een RB750? Sorry, maar u wordt opgelicht!

EDIT: wat mag dat "speciale" softwarepakket dan wel zijn? In de specificaties staat dat er gewoon RouterOS op staat, zoals bij een normale MicroTik. Wellicht gewoon een voorgeconfigureerde RB750 die ze dan verkopen voor acht keer (!!) de normale prijs.

Verstuurd vanaf mijn Xperia-smartphone met Tapatalk

ubremoved_539 · 01 apr 2016, 12:27

nickz schreef:EDIT: wat mag dat "speciale" softwarepakket dan wel zijn? In de specificaties staat dat er gewoon RouterOS op staat, zoals bij een normale MicroTik. Wellicht gewoon een voorgeconfigureerde RB750 die ze dan verkopen voor acht keer (!!) de normale prijs.

Is vermoedelijk gewoon een OpenVPN verbinding hé...

01 apr 2016, 12:36

Het gekende "60 euro voor het apparaat, 400 euro om te weten op welke knopjes te duwen".

ubremoved_539 · 01 apr 2016, 13:00

Een VPN configureren is geen rocket science... zeker niet als ze dat verkopen als "hun oplossing" (ze hebben een script wat hun 5 minuutjes werk vraagt).

Niet dat men niets mag verdienen, maar dan mag men nog één uur aanrekenen aan 100 euro... dan zit je nog niet aan de helft !

tb0ne · 01 apr 2016, 13:22

Volgens de website krijg je ook een aantal tools aangeboden om het beheer en verbinden te faciliteren en is er ook een dns service inbegrepen.
Iets dat Mikrotik ook zelf heeft trouwens maar het is niet duidelijk of men hier gebruik van maakt.
400 euro is wel fors maar omdat de hardware op zich maar 60 euro kost wil dat toch niet zeggen dat men die met minimale marge moet verkopen gelet op bijhorende diensten, gebruiksgemak en ondersteuning?

Is het duur? Zeker!
Is het oplichting? Zeker niet!

ubremoved_539 · 01 apr 2016, 15:06

tb0ne schreef:Volgens de website krijg je ook een aantal tools aangeboden om het beheer en verbinden te faciliteren en is er ook een dns service inbegrepen.
Iets dat Mikrotik ook zelf heeft trouwens maar het is niet duidelijk of men hier gebruik van maakt.

Dit heeft Mikrotik inderdaad zelf ook (een SSTP VPN client zit standaard in Windows, een DNS service heb je ook van Mikrotik) en dan ben je zelfs niet afhankelijk van je leverancier (het zou me niet verbazen dat die er nogmaals een jaarlijkse "onderhoudskost" tegenaan zou gooien).

tb0ne schreef:Is het duur? Zeker!
Is het oplichting? Zeker niet!

Gezien de setup van de topic starter lijkt het me hier te gaan om een "luxueuze" omgeving en richt de leverancier zich dan ook op dergelijke segment van "de beter begoede" klant. Op zich niets fout mee maar ook daar zijn grenzen en dan is 400 euro ex BTW (da's bijna 500 BTW in) wat mij betreft wel oplichting, of minstens het misbruiken van het vertrouwen van een onwetende klant.

baggins · 03 apr 2016, 20:55

r2504 schreef:
Gezien de setup van de topic starter lijkt het me hier te gaan om een "luxueuze" omgeving en richt de leverancier zich dan ook op dergelijke segment van "de beter begoede" klant. Op zich niets fout mee maar ook daar zijn grenzen en dan is 400 euro ex BTW (da's bijna 500 BTW in) wat mij betreft wel oplichting, of minstens het misbruiken van het vertrouwen van een onwetende klant.

Ik zou mezelf nu niet onmiddellijk omschrijven als "de beter begoede klant"...

OK, mijn domotica installatie is misschien iets uitgebreider dan gewoonlijk en ik heb wellicht en beetje overdreven met switchen en zo, maar beschouw dit dan als een uit de hand gelopen hobby...

Net zoals jullie vind ik die VPNBox overdreven duur. Indien het ding 100 of 120€ gekost had dan had er hier wellicht al eentje aan de muur gehangen.

Rest dan de vraag: wat nu?

Ik overweeg om zelf een Mikrotik te kopen en daar een OpenVPN server op te configureren (al weet ik op dit moment nog niet echt hoe...). Schakel ik hiervoor beter over op een Modem Only van Telenet of kan dit zonder al te veel problemen ook met mijn HGW?

Waar ik conceptueel ook nog mee zit zijn de Digicorders. Hoe moet ik te werk gaan om die nog steeds interactief te kunnen gebruiken?

03 apr 2016, 21:36

baggins schreef:De installateur stelt voor om een VPNBox te installeren: http://vpnbox.be. Dat blijkt een Mikrotik RB750 te zijn. De kostprijs hiervan bedraagt 400€ (excl. BTW). Niet mis dus...
Deze VPNBox wordt op de HGW aangesloten en de rest van het netwerk wordt dan aan de VPNBox gehangen. Voor de Digicorders moet dan wel nog iets verzonnen worden aangezien die de HGW moeten kunnen blijven zien.

Het is absoluut niet nodig om je netwerk "achter" de VPNbox te hangen. De VPNBox hangt gewoon aan je netwerk, en de clients die van buitenaf een verbinding maken krijgen toegang tot je interne netwerk.

baggins schreef:Ik overweeg om zelf een Mikrotik te kopen en daar een OpenVPN server op te configureren (al weet ik op dit moment nog niet echt hoe...). Schakel ik hiervoor beter over op een Modem Only van Telenet of kan dit zonder al te veel problemen ook met mijn HGW?

Gewoon de juiste poorten op je HGW openzetten (vb Ipsec poort 500/4500, PPTP poort 1723, ...) via "mijn Telenet".

baggins schreef:Waar ik conceptueel ook nog mee zit zijn de Digicorders. Hoe moet ik te werk gaan om die nog steeds interactief te kunnen gebruiken?

Door een VPN server aan te sluiten op je intern netwerk, verandert er verder niets aan je netwerk (zie hierboven). Je digicorders alsook de rest van je netwerk blijft op je HGW aangesloten.

Ofloo · 04 apr 2016, 09:08

eender welke linux client "openvpn --config config.ovpn" koop gewoon zelf RB750, als daar dan een vpn client op staat is het toch goed?

http://routerboard.com/RB750G
http://wiki.mikrotik.com/wiki/Manual:Interface/OVPN

ubremoved_539 · 04 apr 2016, 09:26

baggins schreef:Schakel ik hiervoor beter over op een Modem Only van Telenet of kan dit zonder al te veel problemen ook met mijn HGW?

Op zich is het niet nodig voor puur de VPN... maar als ik lees dat je ook managed switches hebt gekocht ed. en het tevens je hobby is dan kan je misschien overwegen voor een iets performantere Mikrotik/Routerboard en gebruik maken van additionele features zoals VLAN's ed.

baggins · 04 apr 2016, 13:35

Blijkbaar heb ik een aantal zaken door elkaar gehaald, maar de post van philippe_d heeft me dan toch op het juiste spoor gebracht.

Ik had nog een Raspberry liggen en heb daarop openvpn geinstalleerd aan de hand van deze tutorial:
http://offthegrid.io/how-to-set-up-an-o ... erry-pi-2/.

Die installatie is probleemloos verlopen maar natuurlijk werkt het niet... Ik kan geen verbinding opbouwen...
Om te testen gebruik ik de OpenVPN app op mijn telefoon, maar krijg steeds een connection timeout (WiFi is dan uiteraard uitgeschakeld).
Ik heb ook al eens via mijn Fedora desktop machine geprobeerd met hetzelfde resultaat:

Code: Selecteer alles

[emm@bilbo ~]$ openvpn --config emm.ovpn
Mon Apr  4 13:06:32 2016 OpenVPN 2.3.10 x86_64-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jan  4 2016
Mon Apr  4 13:06:32 2016 library versions: OpenSSL 1.0.1k-fips 8 Jan 2015, LZO 2.08
Enter Private Key Password: ********
Mon Apr  4 13:06:43 2016 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Mon Apr  4 13:06:43 2016 Control Channel Authentication: tls-auth using INLINE static key file
Mon Apr  4 13:06:43 2016 UDPv4 link local: [undef]
Mon Apr  4 13:06:43 2016 UDPv4 link remote: [AF_INET]xx.xx.xx.xx:1194
Mon Apr  4 13:07:43 2016 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Mon Apr  4 13:07:43 2016 TLS Error: TLS handshake failed
Mon Apr  4 13:07:43 2016 SIGUSR1[soft,tls-error] received, process restarting
Mon Apr  4 13:07:45 2016 UDPv4 link local: [undef]
Mon Apr  4 13:07:45 2016 UDPv4 link remote: [AF_INET]xx.xx.xx.xx:1194
^CMon Apr  4 13:08:06 2016 event_wait : Interrupted system call (code=4)
Mon Apr  4 13:08:06 2016 SIGINT[hard,] received, process exiting

De xx.xx.xx.xx is uiteraard mijn extern IP adres.

Op de Telenet modem heb ik poort 1194 (zowel UDP als TCP) geforward naar de RPI (die ik een statisch adres gegeven heb).

Op de RPI kan ik zien dat openvpn aan het draaien is op poort 1194:

Code: Selecteer alles

root@raspberrypi:/home/pi# ps -def|grep openvpn
nobody    2113     1  0 12:03 ?        00:00:00 /usr/sbin/openvpn --writepid /var/run/openvpn.server.pid --daemon ovpn-server --cd /etc/openvpn --config /etc/openvpn/server.conf
root      2412  2382  0 13:21 pts/0    00:00:00 grep openvpn

Code: Selecteer alles

root@raspberrypi:/home/pi# netstat -ltnup | grep 1194
udp        0      0 192.168.0.10:1194       0.0.0.0:*                           2113/openvpn

Ik heb ook al eens de Telenet firewall volledig uitgeschakeld met hetzelfde resultaat.

Een tip om nog iets te testen/verifiëren?

blaatpraat · 04 apr 2016, 13:46

Poort 1194 op je HGW: heb je deze in UDP of in Beide gezet?
Want ik meen me te herinneren dat er tegenwoordig een bug in zat, waardoor 1 van de 2 standen niet werkte (en ik weet niet vanbuiten welke), dus verander dat eens (van beide naar UDP adhv je openvpn instellingen, of omgekeerd).
Ik zie aan je netstat dat het UDP is, dus TCP is niet nodig hier.

Laat iptables alles wel toe?

HGW al eens gereboot (niet het softreboot na het instellen van de wijzigingen, maar effectief een reboot)?

ubremoved_15739 · 04 apr 2016, 14:53

r2504 schreef:
tb0ne schreef:Is het duur? Zeker!
Is het oplichting? Zeker niet!
Gezien de setup van de topic starter lijkt het me hier te gaan om een "luxueuze" omgeving en richt de leverancier zich dan ook op dergelijke segment van "de beter begoede" klant. Op zich niets fout mee maar ook daar zijn grenzen en dan is 400 euro ex BTW (da's bijna 500 BTW in) wat mij betreft wel oplichting, of minstens het misbruiken van het vertrouwen van een onwetende klant.

Voor dat, weliswaar forse, bedrag krijgt de klant dan een ook out-of-the-box werkende oplossing.
Indien de klant zelf een RB of RPI aankoopt, zal deze toch ook geconfigureerd dienen te worden ... en dat vraagt duidelijk tijd én kennis zoals men hier nu duidelijk ziet gebeuren.

ubremoved_539 · 04 apr 2016, 15:12

eternum schreef:zal deze toch ook geconfigureerd dienen te worden

Zoals ik al eerder schreef heeft men daar een scriptje voor dat 5 minuten in beslag neemt.

Maar dan mag je nog een uur rekenen... dan is een prijs van max. 200 euro reeds ruim gemeten.

VPNbox.be is duidelijk ook maar een one-man-show waarvan je mag verwachten dat hij concurrentiele prijzen gebruikt.

baggins · 04 apr 2016, 15:15

blaatpraat schreef:Poort 1194 op je HGW: heb je deze in UDP of in Beide gezet?
Want ik meen me te herinneren dat er tegenwoordig een bug in zat, waardoor 1 van de 2 standen niet werkte (en ik weet niet vanbuiten welke), dus verander dat eens (van beide naar UDP adhv je openvpn instellingen, of omgekeerd).
Ik zie aan je netstat dat het UDP is, dus TCP is niet nodig hier.

Laat iptables alles wel toe?

HGW al eens gereboot (niet het softreboot na het instellen van de wijzigingen, maar effectief een reboot)?

Hm, ik had op een papiertje de poort opgeschreven met daarnaast tussen haakjes TCP, dus ik moet ook zo iets ergens gelezen hebben.
Ik heb nu de Telenet port forward op TCP gezet en de serverconfiguratie aangepast om TCP te gebruiken.

Gedeeltelijk succes...

Op mijn Fedora desktop:

Code: Selecteer alles

[emm@bilbo ~]$ sudo openvpn --config emm.ovpn
Mon Apr  4 14:56:31 2016 OpenVPN 2.3.10 x86_64-redhat-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [MH] [IPv6] built on Jan  4 2016
Mon Apr  4 14:56:31 2016 library versions: OpenSSL 1.0.1k-fips 8 Jan 2015, LZO 2.08
Enter Private Key Password: ********
Mon Apr  4 14:56:39 2016 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Mon Apr  4 14:56:39 2016 Control Channel Authentication: tls-auth using INLINE static key file
Mon Apr  4 14:56:39 2016 Attempting to establish TCP connection with [AF_INET]xx.xx.xx.xx:1194 [nonblock]
Mon Apr  4 14:56:40 2016 TCP connection established with [AF_INET]xx.xx.xx.xx:1194
Mon Apr  4 14:56:40 2016 TCPv4_CLIENT link local: [undef]
Mon Apr  4 14:56:40 2016 TCPv4_CLIENT link remote: [AF_INET]xx.xx.xx.xx:1194
Mon Apr  4 14:56:40 2016 [Pi] Peer Connection Initiated with [AF_INET]xx.xx.xx.xx:1194
Mon Apr  4 14:56:42 2016 TUN/TAP device tun0 opened
Mon Apr  4 14:56:42 2016 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Mon Apr  4 14:56:42 2016 /usr/sbin/ip link set dev tun0 up mtu 1500
Mon Apr  4 14:56:42 2016 /usr/sbin/ip addr add dev tun0 local 10.8.0.6 peer 10.8.0.5
RTNETLINK answers: Invalid argument
Mon Apr  4 14:56:42 2016 ERROR: Linux route add command failed: external program exited with error status: 2
RTNETLINK answers: File exists
Mon Apr  4 14:56:42 2016 ERROR: Linux route add command failed: external program exited with error status: 2
Mon Apr  4 14:56:42 2016 Initialization Sequence Completed
^CMon Apr  4 15:01:57 2016 event_wait : Interrupted system call (code=4)
Mon Apr  4 15:01:57 2016 /usr/sbin/ip addr del dev tun0 local 10.8.0.6 peer 10.8.0.5

Dit lijkt me enigszins te lukken (heb wel geen idee wat die RNETLINK error betekent).
Hoe kan ik nu eigenlijk testen of die tunnel nu werkt want die RPI hangt natuurlijk ook gewoon op mijn lokaal netwerk.

Via mijn telefoon heb ik nog steeds geen verbinding:

Code: Selecteer alles

2016-04-04 14:53:49 ----- OpenVPN Start -----
OpenVPN core 3.0 ios armv7s thumb2 32-bit
2016-04-04 14:53:49 UNUSED OPTIONS
4 [resolv-retry] [infinite] 
5 [nobind] 
6 [persist-key] 
7 [persist-tun] 
8 [mute-replay-warnings] 
13 [verb] [1] 
14 [mute] [20] 

2016-04-04 14:53:49 LZO-ASYM init swap=0 asym=0
2016-04-04 14:53:49 EVENT: RESOLVE
2016-04-04 14:53:49 Contacting xx.xx.xx.xx:1194 via TCP
2016-04-04 14:53:49 EVENT: WAIT
2016-04-04 14:53:49 SetTunnelSocket returned 1
2016-04-04 14:53:49 Connecting to xx.xx.xx.xx:1194 (xx.xx.xx.xx) via TCPv4
2016-04-04 14:53:50 EVENT: CONNECTING
2016-04-04 14:53:50 Tunnel Options:V4,dev-type tun,link-mtu 1560,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,keydir 1,cipher AES-128-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client
2016-04-04 14:53:50 Peer Info:
IV_GUI_VER=net.openvpn.connect.ios 1.0.5-177
IV_VER=3.0
IV_PLAT=ios
IV_NCP=1
IV_LZO=1

2016-04-04 14:54:35 Session invalidated: KEEPALIVE_TIMEOUT
2016-04-04 14:54:35 Client terminated, restarting in 2...
2016-04-04 14:54:38 EVENT: RECONNECTING
2016-04-04 14:54:38 LZO-ASYM init swap=0 asym=0
2016-04-04 14:54:38 EVENT: RESOLVE
2016-04-04 14:54:38 Contacting xx.xx.xx.xx:1194 via TCP
2016-04-04 14:54:38 EVENT: WAIT
2016-04-04 14:54:38 SetTunnelSocket returned 1
2016-04-04 14:54:38 Connecting to xx.xx.xx.xx:1194 (xx.xx.xx.xx) via TCPv4
2016-04-04 14:54:38 EVENT: CONNECTING
2016-04-04 14:54:38 Tunnel Options:V4,dev-type tun,link-mtu 1560,tun-mtu 1500,proto TCPv4_CLIENT,comp-lzo,keydir 1,cipher AES-128-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client
2016-04-04 14:54:38 Peer Info:
IV_GUI_VER=net.openvpn.connect.ios 1.0.5-177
IV_VER=3.0
IV_PLAT=ios
IV_NCP=1
IV_LZO=1

2016-04-04 14:54:49 EVENT: CONNECTION_TIMEOUT [ERR]
2016-04-04 14:54:49 EVENT: DISCONNECTED
2016-04-04 14:54:49 Raw stats on disconnect:
  BYTES_IN : 11178
  BYTES_OUT : 4492
  PACKETS_IN : 46
  PACKETS_OUT : 84
  REPLAY_ERROR : 78
  KEEPALIVE_TIMEOUT : 1
  CONNECTION_TIMEOUT : 1
  N_RECONNECT : 1
  PKTID_TCP_OUT_OF_SEQ : 78
2016-04-04 14:54:49 Performance stats on disconnect:
  CPU usage (microseconds): 60293
  Network bytes per CPU second: 259897
  Tunnel bytes per CPU second: 0
2016-04-04 14:54:49 EVENT: DISCONNECT_PENDING
2016-04-04 14:54:49 ----- OpenVPN Stop -----

baggins · 04 apr 2016, 18:44

De wonderen zijn de wereld nog niet uit...

Zonder dat ik ook maar iets aan welke instelling dan ook heb veranderd werkt het nu wel vanaf mijn telefoon...

Een oude RPI en een dagje prutsen: 500€ uitgespaard en weer iets bijgeleerd