Nieuwe router en ip conflicten met VPN verbinding kantoor
Ik had op mijn vorige router (Experia 8 van Telfort) een andere lokale ip range ingesteld op 192.169.22.xxx
De reden was dat ik conflicten had met de ip adressen van kantoor, welke in dezelfde standaard range zat en daardoor kon ik de vpn verbinding naar kantoor niet gebruiken tijdens het thuis werken.
Onlangs heeft KPN een firmware doorgevoerd, waarna diverse zaken niet meer functioneerden. Ik heb daarom een nieuwe router ontvangen, de Experia 12.
Standaard staat deze weer op 192.168.2.xxx en dus zijn de ip conflicten weer terug en heb ik weer problemen bij de vpn verbinding.
De helpdesk stuurde me weer naar dit forum en ik vermoed dat het eerste antwoord weer zal zijn dat dit uit veiligheidsoverwegingen niet veranderd kan worden, of dat ik zelf maar (op eigen kosten) een extra modem/router moet plaatsen voor een lokale ip range. Er zullen in deze "thuiswerk-tijd” toch nog heel veel meer mensen tegen aan lopen?
Maar men zei mij bij de helpdesk dat er schijnbaar toch nog wel andere mogelijkheden zijn en daar ben ik dan wel benieuwd naar. Ik zit er eigenlijk niet op te wachten om een eigen router aan te schaffen, omdat KPN het nodige heeft dicht gegooid. Is het toch mogelijk, zonder extra hardware, om op de één of andere manier mijn thuis range anders in te (laten) stellen dan die van kantoor?
Bladzijde 2 / 2
Omdat ik het probleem niet zie. Werkt de VPN, geen probleem, dat je lokale resources niet kan benaderen is ‘collateral damage’. Alleen als je die lokale resources ook NODIG hebt samen met een actieve VPN zie ik een probleem. Daar heb ik nog geen voorbeeld van kunnen bedenken.
Dus het is bij jou nog niet opgekomen dat bijvoorbeeld het raadplegen van een document op jouw eigen NAS ...
Zoiets zou niet nodig moeten zijn als je aan het thuiswerken bent. Bestanden van je werk hoor je niet op je thuis nas te hebben staan.
Volgens mij zijn er ook VPN configuraties die toegang tot het thuisnetwerk expliciet blokkeren.
Omdat ik het probleem niet zie. Werkt de VPN, geen probleem, dat je lokale resources niet kan benaderen is ‘collateral damage’. Alleen als je die lokale resources ook NODIG hebt samen met een actieve VPN zie ik een probleem. Daar heb ik nog geen voorbeeld van kunnen bedenken.
Dus het is bij jou nog niet opgekomen dat bijvoorbeeld het raadplegen van een document op jouw eigen NAS terwijl je een remote desktop verbinding hebt naar een PC via die VPN tunnel niet mogelijk is in zo'n scenario zonder expliciete split tunneling. Of wat als ik het volume van mijn Sonos apparatuur wil aanpassen of een ander nummer wil streamen terwijl ik via VPN aan het werk ben Ik denk dat ik dagelijks situaties heb dat ik tegelijkertijd zowel resources op mijn locale netwerk gebruik als dat ik via site-2-site VPN resources op een remote netwerk benader.
Het feit dat ik daar een telefoon, een tablet en twee prive laptops voor beschikbaar heb als alternatief maakt dat geen probleem. Alle werk gerelateerde documentatie staat op servers van de werkgever of Office 365. Het beste voorbeeld dat ik heb kunnen bedenken is de printer, maar aan de andere kant ben ik van mening als ik voor het werk veel moet afdrukken de werkgever maar met een oplossing komt.
Overigens, zoals ik al eerder aangaf, als je werkgever om security (of andere redenen) besluit geen split tunnel te gebruiken kom je sowieso al thuis nergens meer bij als de VPN aan is. In dat geval moet je wel eigen devices gebruiken voor je thuisnetwerk.
Omdat ik het probleem niet zie. Werkt de VPN, geen probleem, dat je lokale resources niet kan benaderen is ‘collateral damage’. Alleen als je die lokale resources ook NODIG hebt samen met een actieve VPN zie ik een probleem. Daar heb ik nog geen voorbeeld van kunnen bedenken.
Dus het is bij jou nog niet opgekomen dat bijvoorbeeld het raadplegen van een document op jouw eigen NAS ...
Zoiets zou niet nodig moeten zijn als je aan het thuiswerken bent. Bestanden van je werk hoor je niet op je thuis nas te hebben staan.
Volgens mij zijn er ook VPN configuraties die toegang tot het thuisnetwerk expliciet blokkeren.
Oh jawel hoor. Ik ben productontwerper en werk veel in 3D CAD programma’s. Omdat ik hiervoor 12 jaar als CAD trainer/consultant heb gewerkt, heb ik vele documenten met informatie, configuratie white papers, tutorials, codes t.b.v. programmeren en dergelijke in mijn privé documenten staan, welke ik nog regelmatig raadpleeg. Daarnaast maak ik voor mezelf nog wel eens een foto ter inspiratie of verduidelijking. En ja, die documenten staan op mijn privé nas, omdat dat geen zakelijke documenten zijn.
Ik vind het toch een beetje kort door de bocht om dan maar te zeggen, dat ik die via een andere computer of mijn mobiel moet raadplegen….
En je kunt zeggen dat de Sonos en dergelijke niet in het belang is van mijn werkgever, maar met het thuis werken kunnen ook dergelijke systemen meer verweven raken in het werken met de computer vanuit je thuis adres.
Bij KPN vond men mijn vraag niet onlogisch, maar de helpdeskmedewerker had niet de betreffende kennis. Hij deed navraag aan een collega en die raadde aan, om het via het forum te proberen, omdat er op zich wel wat mogelijkheden zijn. Ook die persoon vond de vraag dus niet vreemd genoeg om af te doen met “dat zou niet nodig moeten zijn op een werk-PC”.
De standpunten zijn nu duidelijk. Ik ben vooral geinteresseerd in eventuele mogelijkheden waarbij ik het liefst niet hoor, dat mijn werkgever zijn systeem maar moet omzetten, of dat ik een extra router moet aanschaffen….
Bestanden van je werk hoor je niet op je thuis nas te hebben staan.
Wie zegt dat dat bestanden van het werk zijn?
Volgens mij zijn er ook VPN configuraties die toegang tot het thuisnetwerk expliciet blokkeren.
Klopt, maar gelukkig heb ik een eigen bedrijf en heb ik zelf de touwtjes in handen.
Overigens gebruik ik voornamelijk site-2-site VPN verbindingen die door mijn router onderhouden worden en automatisch tot stand komen zodra ik een resource op dat remote netwerk benader. Daarbij gebruik ik altijd NAT op de VPN tunnel om conficten te vermijden. Binnen mijn eigen organisatie hoeft dat niet want daar hanteren we unieke subnets voor elke vestiging. Voor site-2-site verbindingen met onze klanten gebruiken we altijd NAT om zo te kunnen garanderen dat er nooit conflicten optreden in IP adressering. Binnen de VPN tunnels gebruiken we altijd IP adressen uit het subnet 172.16.0.0/12.
Bij KPN vond men mijn vraag niet onlogisch, ...
Die is natuurlijk ook niet onlogisch.
Ik ben vooral geinteresseerd in eventuele mogelijkheden waarbij ik het liefst niet hoor, dat mijn werkgever zijn systeem maar moet omzetten, of dat ik een extra router moet aanschaffen….
Op dit moment is dan de enige mogelijkheid jouw V12 om te ruilen voor een V10 maar dan moet KPN wel meewerken.
Als ik KPN een oprecht advies mag geven: Maak het subnet aanpasbaar op alle courante Experia/KPN Boxen.
Bij KPN vond men mijn vraag niet onlogisch, ...
Die is natuurlijk ook niet onlogisch.
Ik ben vooral geinteresseerd in eventuele mogelijkheden waarbij ik het liefst niet hoor, dat mijn werkgever zijn systeem maar moet omzetten, of dat ik een extra router moet aanschaffen….
Op dit moment is dan de enige mogelijkheid jouw V12 om te ruilen voor een V10 maar dan moet KPN wel meewerken.
Als ik KPN een oprecht advies mag geven: Maak het subnet aanpasbaar op alle courante Experia/KPN Boxen.
Bedankt voor je reacties. Misschien inderdaad de bal maar weer eens terugleggen bij KPN….
Windows Firewall had ik inderdaad even over het hoofd gezien. VLANs op Windows heb ik weinig succes mee, op geen van mijn systemen kon ik daar wat mee.
Ik moest even echt Windows10 draaien (niet in VM) en heb ook eens even weer gekeken naar VLAN zaken. PC met eenvoudige onboard Realtek NIC en die standaard altijd Linux draait met een aantal VLAN’s ter beschikking vanaf de managed switch. In de standaard Windows10 driver kan je alleen VLAN support aan of uit zetten, maar geen VLAN ID zetten. Met de drivers van Realtek site is er wel een optie voor VLAN, dus dan kan je i.p.v. 0 6 invoeren i.g.v. KPN fiber.
Maar je hebt als extra ook nog een Realtek tool nodig, ook van Realtek site te dowloaden, dan kan je dus naast de adapter zelf (eth0 zeg maar) ook ook extra adaptor aanmaken voor VLANs 1-4k, in onderstaande voorbeeld VLAN ID 1003 (zeg maar eth0.1003) met naampje realfake. Ik kan dan pingen naar een Linux doos die op dat VLAN IP 10.0.3.1 heeft.
Wat wel opvalt is dat Windows all IP protocollen van de eth0 afgooit en probeert op de eth0.1003 dan IP adres te verkrijgen. Moet je met de hand weer aanzetten/terugzetten.
De Kennisbank
Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.
Bestand scannen voor virussen
Sorry, we zijn de inhoud van dit bestand nog aan het controleren om er zeker van te zijn dat het veilig is om te downloaden. Probeer het nog een keer over een paar minuten.