Skip to main content

Hallo!

 

Ik heb al een hele tijd naar tevredenheid internet en TV via een EdgeRouter X draaien. Nu wil ik proberen via VPN verbinding te maken met een aantal servers die ik heb draaien. Hiervoor ben ik bezig OpenVPN op te zetten. Maar ik krijg het nog niet goed aan de praat.

 

Ik heb deze handleiding gevolgd:

https://help.ui.com/hc/en-us/articles/115015971688-EdgeRouter-OpenVPN-Server#3

 

Ook heb ik port forwarding ingesteld op de Edgerouter in de hoop dat het zo werkend zou worden:

(hier al meteen vraagteken 1: klopt dit wel? Ik forward het nu meteen door naar de Edgerouter zelf (192.168.2.1), geen idee of dat moet/nodig is?

 

‘Intern’ werkt het wel, als ik de es.ovpn aanpas en het interne ip adres van mijn edgerouter invoer als server adres is het binnen enkele seconden up and running. Als ik van buiten het netwerk probeer te verbinden, met in het es.ovpn het ipadres wat ik via ipchicken.com krijg, krijg ik een timeout.

 

Uitgaande van een ‘cleane’ config voor mijn Edgerouter X voor internet en TV van KPN, zonder verder een ExperiaBox te gebruiken, wat zouden jullie denken dat er mis gaat?

 

En dit is de foutmelding in de app, zeer globaal/summier


Dit heb ik. Ik klik dan op “+ QRcode” en die QR scan ik dan met de wireguard app.

Je moet eerst een nieuwe peer aanmaken door op de knop "Add peer" te drukken en dan de daar getoonde QR code te gebruiken.

Ik zie dat jij ook poort 52551 gebruikt. Ik gebruik die poort omdat ik voor VPN verbindingen graag poort nummers gebruik die afwijken van het standaard gebruikte poort nummer. Wireguard gebruikt standaard poort 51820.

Bij het opzetten van de cliënt moet het "Eindpunt" zijn: ip-adres/url:poortnummer


Dit heb ik. Ik klik dan op “+ QRcode” en die QR scan ik dan met de wireguard app.

Je moet eerst een nieuwe peer aanmaken door op de knop "Add peer" te drukken en dan de daar getoonde QR code te gebruiken.

Ik zie dat jij ook poort 52551 gebruikt. Ik gebruik die poort omdat ik voor VPN verbindingen graag poort nummers gebruik die afwijken van het standaard door Wireguard gebruikte poort nummer (51820).

Bij het opzetten van de cliënt moet het "Eindpunt" zijn: ip-adres/url:poortnummer

Ik dacht dat Add peer voor Site-to-site was, maar dat is dus om clients toe te voegen. Moet dat echt per individueel apparaat of kan je deze gebruiken voor meerdere apparaten?

 

Vul ik bij “Remote endpoint” een ipadres/url:poortnummer in van het apparaat dat verbinding gaat maken of? Die snap ik niet zo.


Deze kan je gebruiken op meerdere apparaten maar let op, je kunt maar één de QR code genereren.

Als je hem een tweede keer genereert dan moet je alle apparaten weer voorzien van de nieuwe configuratie.

Je doet er dan dus verstandig aan om de QR code ergens veilig te stellen.

De Remote endpoint kan je leeg laten, die is alleen voor site-2-site verbindingen.

Vul wel het subnet in bij Allowed IP's.

Voorbeeld:

 


Deze kan je gebruiken op meerdere apparaten maar let op, je kunt maar één de QR code genereren.

Als je hem een tweede keer genereert dan moet je alle apparaten weer voorzien van de nieuwe configuratie.

Je doet er dan dus verstandig aan om de QR code ergens veilig te stellen.

De Remote Endpoint kan je leeg laten, die is alleen voor site-2-site verbindingen.

Vul wel het subnet in bij Allowed IP's.

Voorbeeld:

 

Oké, thanks, duidelijk!

Ik kan de tunnel nu toevoegen in de app en connecten, maar ik kan nog niets benaderen wat binnen mijn netwerk leeft zoals ik wel zou kunnen als ik intern op mijn netwerk zit. Zou het kunnen dat ik, doordat ik via die tunnel een IP adres krijg uit een ander subnet dan de rest van mijn netwerk, daardoor niet bij de andere spullen binnen het netwerk kan?


jensnijland schreef:

Ik kan de tunnel nu toevoegen in de app en connecten, maar ik kan nog niets benaderen wat binnen mijn netwerk leeft zoals ik wel zou kunnen als ik intern op mijn netwerk zit. Zou het kunnen dat ik, doordat ik via die tunnel een IP adres krijg uit een ander subnet dan de rest van mijn netwerk, daardoor niet bij de andere spullen binnen het netwerk kan?

Als jij inkomend geen firewall op de Wireguard interface hebt staan (en dat heb je niet) dan zou jij apparaten op jouw LAN moeten kunnen benaderen.

Kan jij eens een screenshot plaatsen van de instellingen voor die peer binnen de Wirequard app.

Wel even gedeeltelijk de publieke sleutels en het eindpunt wegpoetsen.


jensnijland schreef:

Ik kan de tunnel nu toevoegen in de app en connecten, maar ik kan nog niets benaderen wat binnen mijn netwerk leeft zoals ik wel zou kunnen als ik intern op mijn netwerk zit. Zou het kunnen dat ik, doordat ik via die tunnel een IP adres krijg uit een ander subnet dan de rest van mijn netwerk, daardoor niet bij de andere spullen binnen het netwerk kan?

Als jij inkomend geen firewall op de Wireguard interface hebt staan (en dat heb je niet) dan zou jij apparaten op jouw LAN moeten kunnen benaderen.

Kan jij eens een screenshot plaatsen van de instellingen voor die peer binnen de Wirequard app.

Wel even gedeeltelijk de publieke sleutels en het eindpunt wegpoetsen.

 


Wat staat er onder Interface bij "Adressen"?

Daar moet het IP adres voor dit apparaat binnen de VPN tunnel staan. In jouw geval dus bijvoorbeeld 192.168.10.1/32.

Maak bij Interface "Luister op poort" leeg en vul een DNS server in.

 

Waarom staat er bij Peer niets ingevuld bij Eindpunt? Hier moet het publieke IP adres/URL:poortnummer staan van jouw EdgeRouter!

Waarom is bij Peer niets ingevuld bij de Toegestane IP-adressen?

Als je hier 0.0.0.0/0 invult gaat al het verkeer via de VPN verbinding. Vul je hier 192.168.2.0/24 in dan gaat alleen verkeer naar dat subnet via de VPN verbinding?

Wat is eigenlijk heb subnet van jouw LAN?


Wat staat er onder Interface bij "Adressen"?

Daar moet het IP adres voor dit apparaat binnen de VPN tunnel staan. In jouw geval dus bijvoorbeeld 192.168.10.1/32.

Maak bij Interface "Luister op poort" leeg en vul een DNS server in.

 

Waarom staat er bij Peer niets ingevuld bij Eindpunt? Hier moet het publieke IP adres/URL:poortnummer staan van jouw EdgeRouter!

Waarom is bij Peer niets ingevuld bij de Toegestane IP-adressen?

Als je hier 0.0.0.0/0 invult gaat al het verkeer via de VPN verbinding. Vul je hier 192.168.2.0/24 in dan gaat alleen verkeer naar dat subnet via de VPN verbinding?

Wat is eigenlijk heb subnet van jouw LAN?

Onder interface bij Adressen staat mijn externe IP/32..

Bedoel je met een DNS server de DNS server die in mijn interne netwerk draait? Of een publieke/externe DNS server?

Ik heb nu onder peer bij eindpunt het publieke IP:poornummer neergezet en onder toegestane IP adressen 0.0.0.0/0.

Het subnet van mijn LAN is 192.168.2.0/32

 


jensnijland schreef:

Onder interface bij Adressen staat mijn externe IP/32..

Bedoel je met een DNS server de DNS server die in mijn interne netwerk draait? Of een publieke/externe DNS server?

Kijk nog eens goed naar mijn eerder geposte voorbeeld van de cliënt-configuratie.

Dan zie je dat je onder Interface bij Adressen niet het externe IP adres/32 moet invullen maar het IP adres/32 dat de telefoon/tablet/computer binnen de VPN verbinding moet krijgen.

 

jensnijland schreef:

Ik heb nu onder peer bij eindpunt het publieke IP:poornummer neergezet en onder toegestane IP adressen 0.0.0.0/0.

Het subnet van mijn LAN is 192.168.2.0/32

Het Eindpunt staat dan goed.

Als je wilt dat de VPN tunnel alleen gebruikt wordt voor verkeer naar jouw LAN en niet voor verkeer naar Internet dan moet je i.p.v. 0.0.0.0/0 192.168.2.0/24 als toegestane IP-adressen opgeven.

En ik neem aan dat de de poort voor WrieGuard ook doorlaat in de firewall WAN_LOCAL.

 


jensnijland schreef:

Onder interface bij Adressen staat mijn externe IP/32..

Bedoel je met een DNS server de DNS server die in mijn interne netwerk draait? Of een publieke/externe DNS server?

Kijk nog eens goed naar mijn eerder geposte voorbeeld van de cliënt-configuratie.

Dan zie je dat je onder Interface bij Adressen niet het externe IP adres/32 moet invullen maar het IP adres/32 dat de telefoon/tablet/computer binnen de VPN verbinding moet krijgen

 

Ah ja, niet goed gekeken. Heb het aangepast.

Had de firewall ook niet aangepast, het is duidelijk zondag ;)

Welk protocol moet die poort voor open? Heb hem nu voor zowel TCP als UDP open gegooid.

 

Overigens ook helemaal geen verbinding met internet meer als ik de VPN aan zet nu..

 


jensnijland schreef:

Had de firewall ook niet aangepast, het is duidelijk zondag ;)

Welk protocol moet die poort voor open? Heb hem nu voor zowel TCP als UDP open gegooid.

Zoals je in mijn voorbeeld (Klik) kunt zien is dat alleen UDP.

 

jensnijland schreef:

Overigens ook helemaal geen verbinding met internet meer als ik de VPN aan zet nu..

Wat heb je in de WireGuard app onder Peer ingevuld bij Toegestane IP-adressen?


jensnijland schreef:

Had de firewall ook niet aangepast, het is duidelijk zondag ;)

Welk protocol moet die poort voor open? Heb hem nu voor zowel TCP als UDP open gegooid.

Zoals je in mijn voorbeeld (Klik) kunt zien is dat alleen UDP.

 

jensnijland schreef:

Overigens ook helemaal geen verbinding met internet meer als ik de VPN aan zet nu..

Wat heb je in de WireGuard app onder Peer ingevuld bij Toegestane IP-adressen?

0.0.0.0/0


jensnijland schreef:

Overigens ook helemaal geen verbinding met internet meer als ik de VPN aan zet nu..

Wat heb je in de WireGuard app onder Peer ingevuld bij Toegestane IP-adressen?

0.0.0.0/0

Dan loopt alle communicatie dus door de VPN verbinding. Dat zou ook geen enkel probleem mogen zijn.

Wat staat er in de WireGuard app nu ingevuld bij DNS servers?


jensnijland schreef:

Overigens ook helemaal geen verbinding met internet meer als ik de VPN aan zet nu..

Wat heb je in de WireGuard app onder Peer ingevuld bij Toegestane IP-adressen?

0.0.0.0/0

Dan loopt alle communicatie dus door de VPN verbinding. Dat zou ook geen enkel probleem mogen zijn.

Wat staat er in de WireGuard app nu ingevuld bij DNS servers?

Ik had die van jou overgenomen, dat zijn publieke dns servers van Cloudflare dacht ik?

Die dns servers heb ik niet in mijn Edgerouter X geconfigureerd trouwens.


jensnijland schreef:

Overigens ook helemaal geen verbinding met internet meer als ik de VPN aan zet nu..

Wat heb je in de WireGuard app onder Peer ingevuld bij Toegestane IP-adressen?

0.0.0.0/0

Dan loopt alle communicatie dus door de VPN verbinding. Dat zou ook geen enkel probleem mogen zijn.

Wat staat er in de WireGuard app nu ingevuld bij DNS servers?

Ik had die van jou overgenomen, dat zijn publieke dns servers van Cloudflare dacht ik?

Die dns servers heb ik niet in mijn Edgerouter X geconfigureerd trouwens.

Dat klopt en dan zou het eigenlijk ook geen probleem mogen zijn om Internet te benaderen.

Wat je anders zou kunnen doen is de Toegestane IP-adressen met 192.168.2.0/24 te vullen.

Dan zou verkeer richting Internet gewoon rechtstreeks moeten gaat terwijl verkeer naar apparaten binnen jouw LAN via de VPN verbinding lopen.


Oh wacht eens, ik kijk nu in de log van de WireGuard app en zie dat de handshake niet lukt. Het icoontje suggereert dat de vpn gewoon actief is..

 


Kan jij dan eens een screenshot van die log tonen?

En ook van de configuratie van de WireGuard app met alleen de publieke sleutels en het Eindpunt gedeeltelijk weggepoetst.


Ik begrijp er niets meer van.. :P

Ik heb net een DHCP range aangemaakt voor het 192.168.10.0/24 aangemaakt omdat ik niet zeker wist of apparaten wel een ip adres zouden krijgen als ze via de vpn in dat subnet zouden komen.

Verder niets anders gedaan.

 

Toen wilde ik dat log screenshotten en nu krijg ik geen melding meer dat de handshake mislukt en heb ik wel weer internetverbinding terwijl de VPN actief is. Ik kom nog niet bij interne zaken dus ergens gaat het nog niet goed.

 

Misschien dat ik vanavond maar even helemaal from scratch ga beginnen. Desnoods met de gehele config van de EdgeRouter X..


Oh, never mind, handshake mislukt alsnog maar het duurde gewoon even of zo. Ik ga vanavond gewoon eens vanaf 0 beginnen want ik pas nu elke keer dingen aan waardoor ik het niet uit kan sluiten dat er ergens weer discrepanties ingeslopen zijn.

 

@wjb Is er nog ergens een handleiding van hoe je die WireGuard VPN op een Edgerouter X instelt en waar je allemaal op moet letten, ik moet nu namelijk jou de hele tijd lastig vallen ;)

Google heeft me nog niet echt wat opgeleverd eerlijk gezegd.


Is er nog ergens een handleiding van hoe je die WireGuard VPN op een Edgerouter X instelt en waar je allemaal op moet letten, ik moet nu namelijk jou de hele tijd lastig vallen ;)

Alles wat je nodig hebt is in dit topic wel besproken.

Ik zie ook niet wat het van scratch opnieuw beginnen zou gaan opleveren.

Ik snap ook niet waarom je er zo veel problemen bij ervaart. Bij mij was het een kwestie van het openzetten van die poort in WAN_LOCAL, de wizard draaien, de QR code scannen en de cliënt configuratie aanvullen. Nul comma nul problemen ondervonden. Het werkte in één keer.


Is er nog ergens een handleiding van hoe je die WireGuard VPN op een Edgerouter X instelt en waar je allemaal op moet letten, ik moet nu namelijk jou de hele tijd lastig vallen ;)

Alles wat je nodig hebt is in dit topic wel besproken.

Ik zie ook niet wat het van scratch opnieuw beginnen zou gaan opleveren.

Ik snap ook niet waarom je er zo veel problemen bij ervaart. Bij mij was het een kwestie van het openzetten van die poort in WAN_LOCAL, de wizard draaien, de QR code scannen en de cliënt configuratie aanvullen. Nul comma nul problemen ondervonden. Het werkte in één keer.

Hmm, misschien dat ik dan de gehele config van mijn Edgerouter nog eens goed onder de loep moet nemen en/of die helemaal opnieuw optuigen. Ik heb hier in de loop van de tijd zoveel dingen op aangepast en toegevoegd dat het sowieso geen kwaad kan.

 

Ik zou het namelijk ook echt niet weten waarom eea niet werkt.


@wjb ik heb de config vanuit het Gebruik een eigen router i.p.v. de Experia Box gepakt en aangepast naar mijn netwerk/gegevens. VPN opnieuw opgezet en het werkt :D

 

Ik kan met de VPN aan bij mijn edgerouter komen, alleen nog niet echt verder mijn internet netwerk in, naar bepaalde servers (Plex, VMware labje, Home Assistant et cetera), daar moet ik nog eens goed naar kijken denk ik. Mocht je daarvoor nog gouden tips hebben.. ;)

 

In ieder geval hartstikke bedankt tot zover met alle hulp!


Heb jij ook aanpassingen gedaan in firewalls anders dan WAN_LOCAL?

Wat heb je in de WireGuard app onder Peer bij Toegestane IP-adressen staan?


Heb jij ook aanpassingen gedaan in firewalls anders dan WAN_LOCAL?

Wat heb je in de WireGuard app onder Peer bij Toegestane IP-adressen staan?

Geen andere aanpassingen, alleen onder WAN_LOCAL de poort voor WireGuard open gezet.

 

Daar heb ik 0.0.0.0/0 staan