Welke VPN voor thuis ?

[Tomby]

Met ineens 2 gaming(-like) PCs in huis, en Parsec en WOL werkend gekregen te hebben, heb ik eigenlijk wel zin om eens terug een VPN op te zetten thuis. Idee is in eerste instantie om met een laptop van buitenshuis te kunnen connecteren thuis naar de gaming PC(s), maar ook naar NAS, server, etc... Support voor IOS zou ik ook willen om bvb ook met de iPad Remote Desktop te kunnen doen (wat ik thuis al regelmatig gebruik naar mijn headless server).

Het endpoint zou ofwel mijn Windows 10 Pro server zijn, of mijn Synology NAS. Ik zie dat IOS native support heeft voor IKE2, IPSEC en L2TP. Heb in een ver verleden overigens nog wel L2TP opgezet, en dat ging wel vrij goed, herinner ik me.

Maar wat zou vandaag de beste keuze zijn ? En zijn er misschien nog alternatieven die op IOS dan bvb met een app o.i.d. zouden ondersteund worden ?

[ITnetadmin]

IPSEC is meestal ingebouwd.
Wil je OpenVPN, dan moet je vaak een app draaien op android (en wss iphone ook), en dat zuipt batterijen.

[CCatalyst]

IKEv2. Dat is trouwens ook IPSec, maar met een sterk verbeterde key exchange die vlotter werkt op mobiele toestellen dan de klassieke IPSec met IKEv1.

IKEv2 zit native in elk modern OS, zowel desktop als mobile.

[GuntherDW]

Inderdaad, hier ook een +1 voor IKEv2.
Vooral als je apparaten hebt als een mikrotik/UBNT en/of een phone.
Op je phone gezien het native werkt en dus geen battery slurpt en op een mikrotik omdat het hardware accelerated is zodat er niet uitermate veel CPU usage is.

Het enige waar je wel op moet letten (iets waar ik recent maar pas echt issues mee had) is dat mobile internet niet altijd even goed met IPSEC werkt.
Het inloggen & de tunnel opzetten werkte bij proximus, maar de uiteindelijke data erachter niet. Dit terwijl als je het op een gewone (bekabelde) internet abbo doe het wel werkt.
Bleek dus gewoon aan dat proximus hun mobiel internet door de CGNAT (denk ik toch?) niet echt goed ESP packets kan routeren? Dan maar gewoon UDP encapsulation van de ESP packets gedaan en alles werkte instantly.

[philippe_d]

Als je CGNAT problemen ondervindt met Proximus mobile kan je via de Helpdesk vragen om CGNAT uit te schakelen.
Het hangt ervan af wie je aan de lijn krijgt, of ze begrijpen wat je wilt, en of ze het willen doen.
Maar voor de Helpdesk is het 1 vinkje in de instellingen van jouw SiM kaart

[GuntherDW]

Nuja, buiten dat ene aspect is alles fine voor mij. Zou al blijer zijn als ze IPv6 zouden ondersteunen op hun mobiele abbo's
nu is UDP encapsulation van de ESP pakketten geen ramp, kost je alleen wat MTU eigenlijk, waardoor sommige sites welke niet goed geconfigureerd zijn lastig kunnen doen als die door de VPN gaan.

[selder]

Hier op een paar locaties de L2TP/IPSec vanuit Synology's VPN Server in gebruik en ik kan me al zelfs niet meer herinneren wanneer dat niet meer werkte. Aanrader!

Heb ook niet speciaal CGNAT laten uitzetten op m'n proximus SIM, en dat werkt eigelijk gewoon altijd.

[GuntherDW]

Nuja, "niets speciaal", bij mikrotik moet je specifiek "NAT Traversal" aanzetten wil je dat die functie gebruikt wordt.
Ik neem voor de gemakkelijkheid eerder aan dat "easy setups" zoals bij een synology dat automatisch gebeurt.

Bij een mikrotik RB moet je al wat meer weten waar je mee bezig bent.
Alsook, het heeft wel gewerkt, maar lately werkte het niet meer. Kan dus gewoon een issue zijn mbt andere users ook op m'n huidige node ofzo.

[Tomby]

Hier op een paar locaties de L2TP/IPSec vanuit Synology's VPN Server in gebruik en ik kan me al zelfs niet meer herinneren wanneer dat niet meer werkte. Aanrader!

Wow, dit was wel echt een piece of cake om op te zetten. Ook al omdat je online gedetailleerde guides vindt (ook op site van Synology zelf).
* VPN package installeren op DSM
* L2TP configureren in DSM
* firewall configureren in DSM
* port forwarding configureren in Mijn Telenet
Ik dacht overigens dat ik certificaten nodig had (lang geleden toch nog certs zitten maken voor OpenVPN, dacht ik), maar is blijkbaar niet zo.

Getest met iPad getetherd naar mijn Orange Android phone, en RDP naar mijn Windows bak werkt perfect.

Ik vraag me wel nog af of ik ervoor kan zorgen dat alleen mijn LAN traffiek over de VPN gaat. Er is in IOS een setting om alle verkeer door te sturen. Als ik dat uitzet, werkt mijn RDP niet meer. Komt wellicht omdat de VPN een ander subnet is dan mijn lokaal netwerk, maar is dat sowieso niet altijd zo ?

[CCatalyst]

Ik dacht overigens dat ik certificaten nodig had (lang geleden toch nog certs zitten maken voor OpenVPN, dacht ik), maar is blijkbaar niet zo.

Een certificaat is wel veiliger natuurlijk, een paspoort kan men kraken, een certificaat in jouw CA uitgeven is al wat moeilijker. Ideaal is een certificaat + paswoord, idealer is certificaat + OTP, het meest ideaal is certificaat + paswoord + OTP (+ fingerprint) maar wie doet dat.

Ik vraag me wel nog af of ik ervoor kan zorgen dat alleen mijn LAN traffiek over de VPN gaat?

Route pushen?

[selder]

Nee, probeer eens via IP of FQDN...

[selder]

Heerlijk zo’n topics, iemand die extra bestaansrecht vindt voor iets wat ie al heeft. Synology <3

[Logic3S]

Zelf ben ik vorig jaar overgestapt van OpenVPN naar WireGuard. Voornaamste reden: batterijverbruik op mobiles. Tot nu toe zéér tevreden.

Mooi voordeel is dat ik via de WireGuard makkelijk 2 config's kan maken om zo te schakelen tussen een volledige tunnel of een split-tunnel waarbij enkel lokaal verkeer en DNS (PiHole) over de VPN gaat. Met m'n 2mbps upload van VDSL XS is dat wel zeer fijn.

[Tomby]

Heerlijk zo’n topics, iemand die extra bestaansrecht vindt voor iets wat ie al heeft. Synology <3

Ik durf het bijna niet zeggen, maar ik heb die Synology tot nu toe eigenlijk nog voor niets anders gebruikt dan pure NAS.

[devilkin]

Heerlijk zo’n topics, iemand die extra bestaansrecht vindt voor iets wat ie al heeft. Synology <3

True. Mooie hardware, maar voorzie ajb ook wel offsite backups van je data/configs. Ik heb het al eens aan de lijve mogen ondervinden, een Total failure.

[Tomby]

Nee, probeer eens via IP of FQDN...

FQDN voor devices op je thuis-netwerk ? Als het al naar iets resolvet, zal het toch resolven naar mijn DDNS adres, en dat wil je al zeker niet, want je wil juist het interne IP adres, zodat IOS weet dat hij het over de VPN moet routeren.
En met IP lukt het dus niet. Sowieso moet ik overigens IP adres gebruiken. Op de LAN kan ik de Windows hostname gebruiken om te connecteren, maar over de VPN lukt het daarmee ook niet.

Volgens : https://discussions.apple.com/thread/41 ... 0the%20mac zou het wel moeten werken :

Send all traffic means that your iPhone will redirect every single ip-based information request via the VPN tunnel through your VPN server, to the internet. If you disable Send All Traffic, your iphone will only use your VPN connection if the private ip range cannot be found with other connections (such as; wifi, cellular etc..)

Maar ik gebruik een subnet thuis dat nagenoeg zeker niet elders naartoe routeerbaar is en dus 'cannot be found with other connections' : 192.168.22.0/24, en het subnet van de VPN is 192.168.23.0/24.

[GuntherDW]

Nee, probeer eens via IP of FQDN...

FQDN voor devices op je thuis-netwerk ? Als het al naar iets resolvet, zal het toch resolven naar mijn DDNS adres, en dat wil je al zeker niet, want je wil juist het interne IP adres, zodat IOS weet dat hij het over de VPN moet routeren.

Voor zulke dingen hebben ze split horizon DNS uitgevonden. Verschillende results naargelang je intern of extern het netwerk queried. (of dus welke DNS server je aanroept).
Als je al een pihole/adguard/... hebt draaien is het makkelijk, anders ga je wat meer moeite moeten doen. Nu is het niet extreem veel moeite natuurlijk maar meer dan een vakje invullen en "call it a day" .

Bij BIND9 heb je daarvoor bijvoorbeeld functies als RPZ.
Of deze als je het iets "ingewikkelder" wil doen maar dan is het ook mooier gedaan eigenlijk. (als diezelfde DNS server ook extern gequeried wordt krijgen anders die externe clients ook je RPZ records te zien namelijk).
https://www.cyberciti.biz/faq/linux-uni ... ure-views/

[CCatalyst]

Misschien toch IKEv2 overwegen? Daarin kan je de server perfect laten specificeren aan de client welk verkeer er door de split tunnel moet...

[Tomby]

En zo vlot het ging op IOS, zo'n dikke miserie is het op Windows 10.

Ik krijg L2TP dus gewoon niet aan de praat op de laptop. Heb al een pak gegoogled en ben helemaal niet de enige. Er zijn verschillende tips, en zaken die je moet doen (o.a. iets in de Registry aanpassen ) maar ik ben er nog altijd niet in geslaagd een werkende connectie te krijgen...

Dan misschien toch maar IKEv2... maar Synology ondersteunt dat niet, en met mijn ervaring nu met L2TP op Windows, heb ik eigenlijk niet veel zin om me te wagen aan een VPN server op mijn Windows server.

[CCatalyst]

En zo vlot het ging op IOS, zo'n dikke miserie is het op Windows 10.

Nochtans L2TP is een Microsoft-uitvinding dus je zou anders verwachten. Dat gezegd zijnde, IKEv2 is ook een Microsoft-uitvinding (samen met Cisco), wel veel recenter, dus ik hoop dat dat op de nieuwste Microsoft OS wel vlot zou moeten werken.

L2TP wordt wel nog volledig ondersteund door Microsoft maar afaik is IKEv2 "the way forward".

[MClaeys]

Zelf ben ik vorig jaar overgestapt van OpenVPN naar WireGuard. Voornaamste reden: batterijverbruik op mobiles. Tot nu toe zéér tevreden.

Is deze ook sneller? Ik draai momenteel OpenVPN. Voor men vrouw handig, 1 icoontje op gsm en ze kan aan de camera's, bestanden en domotica. Is niet constant verbonden dus batterij maakt niet uit. Maar ik wou laatst eens gamestreaming proberen vanaf console en daar is het blijkbaar te traag voor dus ik was eens aan het kijken naar andere opties voor mezelf.

[Tomby]

Is deze ook sneller? Ik draai momenteel OpenVPN. Voor men vrouw handig, 1 icoontje op gsm en ze kan aan de camera's, bestanden en domotica. Is niet constant verbonden dus batterij maakt niet uit. Maar ik wou laatst eens gamestreaming proberen vanaf console en daar is het blijkbaar te traag voor dus ik was eens aan het kijken naar andere opties voor mezelf.

Goed dat je dit opbrengt, want eigenlijk was een van de drivers om hier eens VPN te installeren, het remote kunnen gaming op de nieuwe PCs hier, maar dan moet je er toch wel minstens 10Mbps kunnen doorpompen. Ik vrees eigenlijk dat mijn licht Synology'tje dat misschien ook niet gaat aankunnen, dus zal eens moeten testen dit weekend.
Van wat ik las is IKEv2 overigens sneller dan L2TP, maar hoe die zich verhouden tot OpenVPN of Wireguard heb ik geen idee van.

Het is overigens tegenwoordig wel ellendig om met Google zaken te vinden, want VPN wordt nu veel meer geassocieerd met VPN Services (voor privacy en geo-omzeiling) dan met VPN producten/protocols.

[CCatalyst]

Inzake snelheid: OpenVPN < IKEv2 < Wireguard alhoewel het voor die laatste 2 volgens mij niet echt merkbaar is.

Informatie VPN op Google zoeken met de technische termen ("IKEv2" bv) of met site:.cisco.com of site:.microsoft.com naargelang.

[GuntherDW]

IKEv2 is misschien dan wel een microsoft uitvinding, maar ze willen niet bepaald dat je een setup hebt zonder certs.
Als je enkel een PSK e.d. hebt weigert het een verbinding te maken.

Nuja, qua veiligheid is een cert beter dan een PSK natuurlijk, maar veel setups draaien met "maar" een PSK.
Strongswan maakt er (at least op *NIX) geen issue van.

[Tomby]

Informatie VPN op Google zoeken met de technische termen ("IKEv2" bv) of met site:.cisco.com of site:.microsoft.com naargelang.

Mja, zelfs als ik zoek op "IKEv2 server on WIndows 10" vind ik eigenlijk nog altijd niets, en louter informatie over hoe je client side configureert op W10 . Misschien bestaat er gewoon niets op W10...

[GuntherDW]

Nuja, VPN server op je windows machine terwijl je al een synology hebt draaien moet je inderdaad niet willen.

Maargoed, in principe zou je kunnen zoeken naar een strongswan package, of een kleine linux VM/docker draaiende op je synology voor zoiets?

[Tomby]

Ik kan me hier wel de haren uittrekken. Nog eens een poging gedaan met L2TP op Windows. Heb ik een ingeving om eens gewoon met mijn publiek IP adres te connecten ipv mijn DDNS naam. Werkt het direct... hoe ik daar gisteren niet op gekomen ben
Vraag is dan waarom het met mijn DDNS adres niet werkt. Ik kan eigenlijk alleen maar bedenken dat het iets met IPv6 te maken moet hebben, want het adres resolvet probleemloos.

EDIT: het is dus inderdaad door IPv6. Als ik in mijn profiel op Dynu IPv6 afzet, werkt het, zet ik IPv6 terug aan, werkt het niet meer.
Bon, da's dan ook weer opgelost.

EDIT2: nog beter, dit was ook de oorzaak van het probleem waarbij ik niet op mijn Windows server geraakte op de iPad als ik 'Stuur alle verkeer' uitstaan had. Nu gaat netjes enkel het verkeer naar mijn LAN over de VPN. Dit bleek toch niet te kloppen.

EDIT3: 'Stuur alle verkeer' laat me trouwens wel toe van de throughput van mijn VPN te testen. Als ik via mijn LAN met de VPN connecteer ipv van buiten te komen, haal ik met Speedtest zo'n 35 Mbps van de 200 Mbps die mijn Telenet lijn heeft. Dus voor remote gaming (i.e. streamen naar buiten toe) zou ik dus de 20 Mbps van mijn Telenet lijn moeten kunnen dichttrekken. Enige wat ik niet goed snap, is dat ik de CPU van mijn Synology helemaal niet naar 100% zie gaan als ik zo'n test doe, al besef ik terwijl ik dit type dat misschien de VPN client (namelijk de iPad) en niet de server, de bottleneck is.

Maar ik wou laatst eens gamestreaming proberen vanaf console en daar is het blijkbaar te traag voor dus ik was eens aan het kijken naar andere opties voor mezelf.

Ik besef nu pas dat je voor die dingen zelfs niet eens VPN nodig hebt. Ik dacht Parsec door de VPN te tunnelen tot mijn frank viel dat Parsec ook van buitenaf werkt, en gebruikt blijkbaar DTLS voor beveiliging. Enige waar je nog je VPN voor nodig hebt is om eventueel een WOL te doen, en misschien ook nog RDP om Parsec manueel te starten als je niet wil dat dat auto-start met Windows.
Ivm console, welke heb je ? Want Remote Play voor de PS4 werkt normaal ook van buiten je netwerk, dus ook weer geen VPN nodig. Al heb ik dat wel nog nooit uitgetest.

[MClaeys]

Xbox. In principe kan XCloud ook maar daar staan niet alle games op.

[GuntherDW]

EDIT3: 'Stuur alle verkeer' laat me trouwens wel toe van de throughput van mijn VPN te testen. Als ik via mijn LAN met de VPN connecteer ipv van buiten te komen, haal ik met Speedtest zo'n 35 Mbps van de 200 Mbps die mijn Telenet lijn heeft. Dus voor remote gaming (i.e. streamen naar buiten toe) zou ik dus de 20 Mbps van mijn Telenet lijn moeten kunnen dichttrekken. Enige wat ik niet goed snap, is dat ik de CPU van mijn Synology helemaal niet naar 100% zie gaan als ik zo'n test doe, al besef ik terwijl ik dit type dat misschien de VPN client (namelijk de iPad) en niet de server, de bottleneck is.

100% CPU usage ga je niet snel zien, het hangt er allemaal van af hoe je instellingen staan en of er hardware acceleration is voor dat soort dingen.
Daarom dat ik Mikrotik aanhaalde. De RB750Gr3 welke ik al een paar jaar gebruik heeft "maar" een dualcore (+"Hyperthreading") MMIPS cputje van 880Mhz, maar gezien er hardware accel voor IPSEC inzit kan die toch relatief makkelijk enkele honderden Mbit/s doen.
https://mikrotik.com/product/RB750Gr3#fndtn-testresults

het hele encryption gebeuren is vrij zwaar als je daarvoor geen dedicated hardware hebt. Dus dat je zwaar inboet is niet zo raar. Al is 35Mbit tov 200 wel heel veel.
Grote kans dat dan gewoon 1 core aan 100% zit en je dus daardoor gelimiteerd bent.
De client hardware is inderdaad ook een factor, maar zoals ik al zei, het zwaarste zit hem in de encryption. Je kan voor zwakkere encryption (of kleinere blockgrootte) gaan om minder snelheid in te boeten op je client hardware.
De keerzijde is dan wel dat het minder veilig is, maar dat is een keuze die je zelf moet maken.

[Tomby]

Grote kans dat dan gewoon 1 core aan 100% zit en je dus daardoor gelimiteerd bent.

Aha, dat zal inderdaad wel zijn waarom ik maar rond de 50% zie. Wellicht wordt er maar 1 core gebruikt voor de VPN server ?
35 Mbps is op zich meer dan genoeg, aangezien VPN natuurlijk voor buitenshuis is, en ik met mijn Telenet dus sowieso nooit meer dan 20Mbps kan overpompen.
Ben nog van plan eens van buitenshuis te testen. Telenet WiFree is onbruikbaar voor tests aangezien dat blijkbaar gecapt is tot 5Mbps. En heb ook al via 4G Orange getest van binnenshuis maar de snelheid was wel bedroevend. Straks misschien eens gewoon vanuit de tuin testen .