Welke IPsec client?

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
Gebruikersavatar
seagull
Elite Poster
Elite Poster
Berichten: 2000
Lid geworden op: 23 nov 2006, 08:55
Twitter: WimVerlinden
Locatie: Kortenberg
Uitgedeelde bedankjes: 52 keer
Bedankt: 108 keer

Ik heb een router met "Secure VPN capability with IPsec".
Welke (gratis) IPsec client kan ik hier best mee gebruiken?
Kan ik dan via die VPN tunnel werken alsof ik thuis op mijn LAN zit?
Proximus Bizz Internet Fiber 500/500 Mbps & Business Fibernet 300 plus met Speedboost 300/50 Mbps (failover) -
Business Mobile Flex Pack - 3CX/Teams Direct Routing - Proximus TV & Telenet TV
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Vaak geeft dit aan dat je router overweg kan met dergelijk verkeer (bv. een client op je PC die connectie maakt met je bedrijfsnetwerk), maar dus niet dat je een VPN server hebt !
Gebruikersavatar
seagull
Elite Poster
Elite Poster
Berichten: 2000
Lid geworden op: 23 nov 2006, 08:55
Twitter: WimVerlinden
Locatie: Kortenberg
Uitgedeelde bedankjes: 52 keer
Bedankt: 108 keer

Ik kan in de router gui tunnels toevoegen en configureren: Policy, Interface, Peer Address, Local Address, Remote Address, Key Management, Encryption, Authentication, Local Mask, Remote Mask.
Proximus Bizz Internet Fiber 500/500 Mbps & Business Fibernet 300 plus met Speedboost 300/50 Mbps (failover) -
Business Mobile Flex Pack - 3CX/Teams Direct Routing - Proximus TV & Telenet TV
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Dat lijkt me dan weer een voorziening om tunnels te leggen met andere VPN routers.

Misschien anders eens merk/model vermelden van je router.
Tomby
Elite Poster
Elite Poster
Berichten: 6553
Lid geworden op: 01 feb 2006, 12:36
Uitgedeelde bedankjes: 1374 keer
Bedankt: 508 keer

seagull schreef: Kan ik dan via die VPN tunnel werken alsof ik thuis op mijn LAN zit?
Hierop is het antwoord uiteraard ja, want dat is het hele idee achter een VPN.

Ik dacht er ook aan om via mijn router een VPN op te zetten, maar uiteindelijk bleek het toch een beter idee om de VPN server gewoon op een afzonderlijk machien te runnen dat hier toch al 24/7 staat te draaien (serverke voor vanalles en nog wat). Heb dan ook gewoon OpenVPN (gratis, zie http://www.openvpn.net) geinstalleerd. Voordeel is dat die gewoon UDP of TCP gebruikt wat je dus probleemloos tunnelt door je router.
Voordeel is dat een afzonderlijk machien stukken sneller is dan een router, en bovendien veel flexibeler.
Het voordeel van een router is natuurlijk weer dat je dan voor de rest niets moet aanstaan hebben (maar als je niets intern aanstaan hebt heeft een VPN ook weer weinig zin).
Gebruikersavatar
seagull
Elite Poster
Elite Poster
Berichten: 2000
Lid geworden op: 23 nov 2006, 08:55
Twitter: WimVerlinden
Locatie: Kortenberg
Uitgedeelde bedankjes: 52 keer
Bedankt: 108 keer

r2504 schreef:Misschien anders eens merk/model vermelden van je router.
Ik heb een Allied Telesis AT-AR440S.
Proximus Bizz Internet Fiber 500/500 Mbps & Business Fibernet 300 plus met Speedboost 300/50 Mbps (failover) -
Business Mobile Flex Pack - 3CX/Teams Direct Routing - Proximus TV & Telenet TV
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

seagull schreef:Ik heb een Allied Telesis AT-AR440S.
Uit de datasheet... "The AT-AR440S provides extensive IPsec based VPN capability, allowing the inter-connection of branch offices, remote tele-workers, and other users who require secure access to a corporate network."

Geen idee dus of het mogelijk is extern naar je router een VPN connectie te starten... lijkt me eerder enkel andersom ?
Gebruikersavatar
Sub Zero
Administrator
Administrator
Berichten: 6181
Lid geworden op: 15 sep 2002, 12:14
Locatie: Herzele
Uitgedeelde bedankjes: 74 keer
Bedankt: 121 keer

r2504 schreef:Geen idee dus of het mogelijk is extern naar je router een VPN connectie te starten... lijkt me eerder enkel andersom ?
Ik denk toch ook eerder in die richting. De meeste toestellen met zo een label hebben gewoon ondersteuning voor VPN passthrough.
Afbeelding
Gebruikersavatar
seagull
Elite Poster
Elite Poster
Berichten: 2000
Lid geworden op: 23 nov 2006, 08:55
Twitter: WimVerlinden
Locatie: Kortenberg
Uitgedeelde bedankjes: 52 keer
Bedankt: 108 keer

Volgens deze howto gaat het gewoon met een windows client.
Proximus Bizz Internet Fiber 500/500 Mbps & Business Fibernet 300 plus met Speedboost 300/50 Mbps (failover) -
Business Mobile Flex Pack - 3CX/Teams Direct Routing - Proximus TV & Telenet TV
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

seagull schreef:Volgens deze howto gaat het gewoon met een windows client.
Mooi... maar ik vrees dat er nog één probleem is... en dat is dat de configuratie een static IP-adres nodig heeft.
Gebruikersavatar
seagull
Elite Poster
Elite Poster
Berichten: 2000
Lid geworden op: 23 nov 2006, 08:55
Twitter: WimVerlinden
Locatie: Kortenberg
Uitgedeelde bedankjes: 52 keer
Bedankt: 108 keer

r2504 schreef:Mooi... maar ik vrees dat er nog één probleem is... en dat is dat de configuratie een static IP-adres nodig heeft.
Hostname or IP address, dus een dyndns zou moeten werken.

Probleem is dat de configuratie voor een noob als ik veel te ingewikkeld is.
Proximus Bizz Internet Fiber 500/500 Mbps & Business Fibernet 300 plus met Speedboost 300/50 Mbps (failover) -
Business Mobile Flex Pack - 3CX/Teams Direct Routing - Proximus TV & Telenet TV
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

seagull schreef:Hostname or IP address, dus een dyndns zou moeten werken.
We hebben het toch beide over de config van je router hé (en dus niet van je IPSec client) ?

Als ik dingen zie staan als...

add ip int=eth0 ip=<office-Internet-address> mask=<appropriate-mask>
add fire poli=main rule=1 int=eth0 action=allow prot=udp ip=<office-Internet-address> port=500 gblip=<office-Internet-address> gblpo=500

... dan weet ik zo goed als zeker dat je daar geen hostname kan ingeven voor <office-Internet-address>
Tomby
Elite Poster
Elite Poster
Berichten: 6553
Lid geworden op: 01 feb 2006, 12:36
Uitgedeelde bedankjes: 1374 keer
Bedankt: 508 keer

Het zou me heel vreemd lijken dat je in je VPN Server config het publiek adres van de server zelf moet configureren. En nog meer onwaarschijnlijk als je weet dat die Router zelf ook een ADSL Modem is. Die config zal dus wel op iets anders slaan...
Ik neem aan dat je dat uit die howto haalde, maar die howto is wel behoorlijk cryptisch als het op die config file aankomt.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Tomby schreef:Het zou me heel vreemd lijken dat je in je VPN Server config het publiek adres van de server zelf moet configureren.
Zo ongewoon is dat nochtans niet voor VPN configuraties, maar ik ben ook geen specialist in die dingen.

Give it a try zou ik zeggen...
Gebruikersavatar
seagull
Elite Poster
Elite Poster
Berichten: 2000
Lid geworden op: 23 nov 2006, 08:55
Twitter: WimVerlinden
Locatie: Kortenberg
Uitgedeelde bedankjes: 52 keer
Bedankt: 108 keer

Oeps. Ik had het over de client.
Ik had dat script nog niet bekeken.
Aan zo'n script kan ik zowiezo niet beginnen.
Proximus Bizz Internet Fiber 500/500 Mbps & Business Fibernet 300 plus met Speedboost 300/50 Mbps (failover) -
Business Mobile Flex Pack - 3CX/Teams Direct Routing - Proximus TV & Telenet TV
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Nu ben ik ondertussen nog eens verder gaan kijken naar een aantal HowTo's, en dan geeft men vaak voorbeelden met een configuratie die reeds achter een modem/router staat. Hoe het dan precies zit in dit geval waar beide in één toestel zitten is me niet meteen duidelijk, al zou dat weinig verschil mogen geven.

Save je huidige config, en probeer het... de how to bevat normaal alle stappen die je nodig hebt. Lukt het niet dan zet je gewoon je oude config terug.
Tomby
Elite Poster
Elite Poster
Berichten: 6553
Lid geworden op: 01 feb 2006, 12:36
Uitgedeelde bedankjes: 1374 keer
Bedankt: 508 keer

Nogmaals herhalen: als je thuis al een machine hebt die 24/7 aanstaat (wat niet onwaarschijnlijk is, anders heb je sowieso weinig aan VPN) dan is een alternatief om daar OpenVPN op te zetten. Ik was zelf een VPN noob, maar over OpenVPN is echt een massa aan informatie te vinden. En een afzonderlijke PC zal sowieso sneller zijn dan de router zelf. Enige nadeel is dat al je VPN traffiek eerst zal toekomen op je server en dan vandaar vertrekken naar de rest van je LAN wat dus de effectieve bandbreedte zal halveren naar 50 Mbps, maar da's nog altijd meer dan wat je zal hebben tussen de remote locatie en je VPN server, dus eigenlijk maakt het weinig uit.
lithion
Elite Poster
Elite Poster
Berichten: 2315
Lid geworden op: 21 aug 2006, 13:02
Uitgedeelde bedankjes: 7 keer
Bedankt: 104 keer

Een gratis IPSEC vpn client is bvb Shrew (http://www.shrew.net/). Gebruik je de ingebouwde Windows ipsec vpn client, dan is er geen ondersteuning voor ipsec behind nat (dus client achter nat device).

In de datasheet van die AT staat niet meteen of die als client en/of server kan werken. Er staat wel dat die compatible is met windows xp vpn client, dus prob is dat een server. Denk dat het een router is zoals een HP procurve 7000dl secure router.
Plaats reactie

Terug naar “Netwerken en Security”