VPN m.b.v. eigen router in combinatie met Telenet

[tsar]

Hallo iedereen,

Ik ben niet thuis in netwerkbeheer, so don't shoot me !

Ik heb een Asus RT-AC87U gehangen aan de telenet modem. Alles werkt vlekkeloos inzake surfen en zo, maar nu wil ik een VPN.

Ik heb reeds de nodige configuratie gedaan binnen mijn Asus en ook reeds een ddns aangemaakt (en in mijn asus opgegeven), gezien ik geen fixed ip abonnement heb.

Het probleem is volgens mij nu dat mijn asus een wan ip 192.168.0.149 heeft en hij aldus van buitenaf niet bereikbaar is (het juiste wan ip is 178.119.169.45, wat de telenet modem heeft)...en aldus geen vpn kan opbouwen.

In mijntelenet heb ik reeds bij de geavanceerde instellingen het DMZ adres opgevuld met 192.168.0.149, maar dit helpt niet.

Oplossing ?

[ITnetadmin]

Je hebt geen telenet modem, maar een telenet router; hierdoor krijgt je eigen router een intern ip.

Je eigen router gaat dus moeten het echte externe ip naar de ddns service doorsturen.
Dit gaat hij wss moeten doen door het op te vragen via een externe service, maar veel routers gaan er stomweg automatisch vanuit dat hun wan ip adres het externe is.
Daar valt niet veel aan te doen vrees ik.

Zonder de ddns service kan je mss de verbinding altijd laten starten vanaf jouw router. Dat zou mss ook lukken.
Anders moet je opteren voor een andere oplossing, bv een raspberry pi.

[tsar]

De ddns is in orde hoor : wanneer ik ping naar de ddns naam, dan krijg ik mooi 178.119.169.45

Zou het kunnen dat het opbouwen van een vpn verbinding met mijn router enkel kan wanneer mijn router hangt aan een telenet type "modem only" ?

[ubremoved_539]

Over welk soort VPN praat je trouwens ?

Sommige hebben namelijk last van dubbele NAT, anderen totaal niet.

[tsar]

Sorry, maar zoveel weet ik er niet van...

Heb deze ingesteld in mijn Asus RT-AC87U. Via de 192.168.0.149 kon ik via mijn smartphone een vpn connectie maken

[Sylvester]

Meestal is het dan PPTP of OpenVPN. Gemakkelijkheidshalve neemt iedereen dan PPTP, de minst veilige.

[tsar]

Is inderdaad pptp....omzetten naar iets veiliger wordt dan het volgend werkje

Maar OpenVPN is het meest aangewezen ?

In elk geval zal dit m.i. mijn probleem niet verhelpen, vermoed ik...of wel ?

[Sylvester]

Als dat de twee enige opties zijn op uw router, dan is dat de beste optie denk ik.
Apple is in het nieuwe systeem Sierra al gestopt met ondersteuning van PPTP, omdat het niet veilig genoeg is.

[tsar]

Als ik de mogelijkheden van mijn router bekijk, dan heb ik opties genoeg :

VPN eigenschappen :

IPSec Pass-Through
PPTP Pass-Through
L2TP Pass-Through
PPTP server
OpenVPN server
PPTP client
L2TP client
OpenVPN client

[Sylvester]

Voor zover ik kan zien kan je maar 2 types VPN servers kiezen : PPTP en OpenVPN

[bruma]

Heb je port 1723 geforward in mijn telenet?

[tsar]

Euh...nee

En welk ip adres moet ik daar juist inzetten : 192.168.0.149 met begin- en eindpoort = 1723 en met TCP/IP protocol ?

En wat zet ik bij DMZ ? Nu heb ik daar die 192.168.0.149 gezet...

[blaatpraat]

Voor zover ik weet zal PPTP niet werken met telenet.
Deze heeft naast poort 1723 ook IP protocol 47 nodig, en dat wordt niet ondersteund.

Het is dan iets meer werk, maar het is veiliger, en zou normaal wel moeten werken: gebruik de openVPN optie.

Je kan natuurlijk inderdaad eerst eens proberen om effectief de port forwarding te doen, al zou dat niet moeten met de DMZ optie.
Dan is hetgeen je zonet schreef correct.

[jaker]

Nog een belangrijk detail om latere problemen te vermijden: Stel je ASUS router in op een vast ip-adres aan de WAN kant.
De reeks die je daar het beste kan voor gebruiken is tussen 192.168.0.2 en 192.168.0.49. Vergeet ook niet het juiste subnetmask (255.255.255.0), gateway (192.168.0.1) en DNS'en (195.130.131.4 en 195.130.130.4) in te geven.

Zet dan via de geavanceerde instellingen in MijnTelenet dat ip-adres in DMZ. Het ip-adres dat je router nu heeft (192.168.0.149), kan namelijk bij een eerst volgende reset van je Telenet router gewijzigd zijn, en zal je VPN weer niet werken.

[bruma]

Euh...nee

En welk ip adres moet ik daar juist inzetten : 192.168.0.149 met begin- en eindpoort = 1723 en met TCP/IP protocol ?

En wat zet ik bij DMZ ? Nu heb ik daar die 192.168.0.149 gezet...

Bij mij heeft de asus een vast ip adres beneden de 50 zonder dhcp, gebruikt de dhcp van de telenet
bij ipv4 staat een forward op tcp voor het asus ip adres op 1723 (begin en eind)

DMZ staat uit

én het werkt van buiten uit

[tsar]

Bedankt voor jullie hulp, het is gelukt !!

Even meegeven dat voor PPTP VPN een forward op poort 1723 noodzakelijk is, wat niet het geval is voor OpenVPN (wel DMZ !)


Fijn weekend !

[bruma]

Indien je overschakelt naar OpenVPN zie ik graag uw stappenplan verschijnen

[ubremoved_539]

PPTP is trouwens niet echt veilig meer.

[jollito]

PPTP is trouwens niet echt veilig meer.

Klopt, en wordt ook al niet meer ondersteund door de laatste iOS en MacOS versies.

[tsar]

Sorry voor het lange wachten, eventjes wat tijdsgebrek gehad

Hierbij dus het stappenplan :

- op mijn router (asus RT-AC87U) heb ik een rubriek VPN, waar je kan kiezen tussen PPTP of OpenVPN (en daar koos ik dus voor het laatste)
- volgens het besturingssysteem van de client (bij mij dus Android) kun je daar een OPVN bestand laten aanmaken
- hier maak je ook een login aan (username / password)
- op mijn smartphone heb ik een app "OpenVNP Connect" geïnstalleerd en daar het OPVN bestand geïmporteerd

Dit leek over een week in orde, maar nu opeens niet meer

Na het aanleggen van de VPN lukt het mij perfect om van buitenaf mijn domotica te besturen.

Het benaderen van mijn IP camera's lukt echter niet.

Ik heb niets aan de standaardwaarden gewijzigd, dus misschien ligt het daar aan (hoewel het ooit wel gewerkt heeft) :

Interface Type : TUN
Protocol : UDP
Server Port: 1194
Firewall : auto
Authorization Mode : TLS
Username / Password Auth. Only : No
Extra HMAC authorization : disabled (TLS-Auth)
VPN Subnet / Netmask : 10.8.0.0 255.255.255.0
Poll Interval : 0 minute(s) (Disable : 0)
Push LAN to clients : Yes
Direct clients to redirect Internet traffic : No
Respond to DNS : No
Encryption cipher : default
Compression : adaptive
TLS Renegotiation Time : -1 seconds (Default : -1)
Manage Client-Specific Options : No


Enig idee ?

[MrBlueSky]

Even meegeven dat voor PPTP VPN een forward op poort 1723 noodzakelijk is, wat niet het geval is voor OpenVPN (wel DMZ !)

Dat klopt niet helemaal. Ik gebruik ook OpenVPN en heb port forwarding ingezet op poort 1194, zonder DMZ te gebruiken.
DmZ betekent simpel gezegd dat je aan alle poorten kan van dat device. Port forwarding volstaat dus en is veiliger.

[tsar]

Dit is het (bij mij wel poort 1723 ?) !

En hoe desactiveer ik dmz dan wel ?

[MrBlueSky]

Dit is het (bij mij wel poort 1723 ?) !

En hoe desactiveer ik dmz dan wel ?

Vermoedelijk op dezelfde plaats als waar je de port fowarding hebt ingesteld. Ik heb geen ervaring met de Asus helaas.

Als je ook de Telenet router gebruikt, is dit via Mijn Telenet te regelen. Het is gewoon het ingevulde IP weghalen.

Als je het niet expliciet hebt aangezet, zal het ook gewoon uit staan.

Verzonden vanaf mijn iPhone met Tapatalk

[tsar]

Ok, dus domotica en ip camera's nu in orde (voor de camera's diende eveneens een portforward in mijn asus te gebeuren).

Nu nog de airco : die zijn van Samsung en op de wifi. Echter krijg ik hiermee via vpn geen connectie.

Wat moet hiervoor nog gebeuren ?

[tsar]

Blijkbaar te vroeg gejuigd

Dus wat heb ik tot dusver gedaan :

- op mijn telenet DMZ adres ingevuld met 192.168.0.2 (adres van mijn eigen router)
- op mijn telenet port forwarding gedaan van poort 1723

Op mijn asus router eveneens een port forwarding gedaan voor mijn ip camera's (poort 2001 tem 2003) (als ik dit niet doe, dan werkt de app van OWLR niet) en daarnaast VPN opgezet.

Ik heb op mijn smartphone 2 app's staan voor mijn ip camera's : deze van foscam zelf en deze van OWLR

Wat blijkt nu : de app van foscam werkt enkel nog wanneer ik thuis op de wifi zit (dus buitenaf lukt het niet, ook al zet ik eerste de VPN op). De app van OWLR werkt altijd, ook wanneer ik geen VPN opgezet heb !?

Enkel voor mijn domotica werkt het perfect : kan enkel van buitenaf wanneer VPN opgezet is (app van de domotica gaat naar een poort 6680 blijkbaar).

Oplossing ?

[crackjack]

- op mijn telenet DMZ adres ingevuld met 192.168.0.2 (adres van mijn eigen router)
- op mijn telenet port forwarding gedaan van poort 1723

DMZ en port forwarding zou ik niet combineren (DMZ is eigenlijk ALLE ports forwarden naar 1 IP adres)

Je moet de nodige port forwardings op je eigen router doen als je hem in DMZ steekt

[tsar]

ok, dat begrijp ik en heb dan ook die 1723 eruit gehaald (was trouwens enkel noodzakelijk bij PPTP VPN ).

Maar hiermee zijn mijn diverse problemen zoals uitgelegd niet opgelost...

[ubremoved_539]

Wat blijkt nu : de app van foscam werkt enkel nog wanneer ik thuis op de wifi zit (dus buitenaf lukt het niet, ook al zet ik eerste de VPN op).

Dan werkt je VPN duidelijk niet... want voor je client is het alsof hij gewoon lokaal op je netwerk zit als je via VPN werkt.

Op dat moment spelen port forwards of wat dan ook totaal geen rol meer.

[tsar]

Waarom lukt de app voor mijn domotica dan wel enkel bij het opzetten van de vpn ?

De app maakt hiervoor connectie naar 192.168.1.3 poort 6680

Ik krijg ook geen melding van de app Open vpn dat de vpn niet in orde zou zijn.

[ubremoved_539]

Misschien moet je nog eens eerst terug vertellen wat je huidige configuraties en IP-adressen zijn op;

- De Telenet HGW
- Je eigen router
- OpenVPN

... want ondertussen heb je een aantal dingen weg gedaan zodat het moeilijk is voor anderen om het overzicht te behouden.

[tsar]

In mijn telenet heb ik het volgende ingesteld :
- ip adres 192.168.0.1
- dmz ingesteld op 192.168.0.2 (het adres van mijn asus router)
- niet gewijzigd : firewall bescherming staat op actief (blokkeer gefragmenteerde ip pakketten en UPnP staan op niet actief)
- geen portforwarding

Mijn asus router :
- ip adres ingesteld op 192.168.0.2
- dgw = 192.168.0.1
- dns server 195.130.131.4 en 195.130.130.4
- port forwarding naar mijn IP camera's

Verder OpenVPN opgezet met volgende standaardeigenschappen :

Ik heb niets aan de standaardwaarden gewijzigd, dus misschien ligt het daar aan (hoewel het ooit wel gewerkt heeft) :

Interface Type : TUN
Protocol : UDP
Server Port: 1194
Firewall : auto
Authorization Mode : TLS
Username / Password Auth. Only : No
Extra HMAC authorization : disabled (TLS-Auth)
VPN Subnet / Netmask : 10.8.0.0 255.255.255.0
Poll Interval : 0 minute(s) (Disable : 0)
Push LAN to clients : Yes
Direct clients to redirect Internet traffic : No
Respond to DNS : No
Encryption cipher : default
Compression : adaptive
TLS Renegotiation Time : -1 seconds (Default : -1)
Manage Client-Specific Options : No

Wanneer ik met mijn smartphone een vpn opzet, dan zie ik dit mooi op mijn router staan (krijgt bv.te zien dat de client ip adres 10.8.0.6 heeft).

Het probleem is dus dat het van buitenaf besturen van mijn domotica lukt mbv die vpn, doch mijn camera's met de standaard app van foscam niet bereikbaar zijn.

[default]

Wat is de default gateway van je Domotica en IP camera's ?

Als deze naar de 192.168.0.1 (Telenet) verwijzen gaan dit niet werken vermits je sessie via je Asus router terug moet lopen.

Je kan kijken of je eventueel een extra route kan toevoegen voor 10.8.0.0 255.255.255.0 op deze systemen.
Anders eventueel alle open vpn verkeer via source NAT achter 192.168.0.2 zetten.

[tsar]

De default gataway van mijn domotica is 192.168.1.1 (dus mijn asus router).

Dit is eveneens het geval voor mijn ip camera's. Bij de camera's heb ik eveneens als DNS server die 192.168.1.1 gezet. Ik weet niet of het van belang is, maar verder heb ik HTTP poort (deze heb ik gezet op 200x en in mijn router een port forward naar gezet) en een HTTPS poort (deze staat ongewijzigd op 443) en een ONVIF poort (deze staat ongewijzigd op 888).

Wat bedoel je met "Anders eventueel alle open vpn verkeer via source NAT achter 192.168.0.2 zetten.", want ken daar niets van...

[default]

Gebruik je de WAN poort op je Asus router ?
Kan je even nakijken of "Enable NAT" op je WAN poort aanstaat ?

[tsar]

Op de asus heb ik de Wan ip ingesteld op 192.168.0.2

De Wan connection type staar dus op static ip, wan en nat (alsook internet detect) is enabled. De UPnP staat op disabled.

Mocht je nog iets willen weten, laat maar horen.