Skip to main content

Situatie:

  • Experiabox v10 (glasvezel)
  • Asus Router RT N66U (in Router mode; Asuswrt-Merlin 380.70)
  • Synology NAS verbonden via LAN van Asus Router
  • OpenVPN draaiend op NAS

Ik wil graag een permanente OpenVPN verbinding hebben met mijn NAS. Dat betekent dat ik in mijn OpenVPN verbinding van mijn Android mobiel altijd via het externe IP adres de NAS benader. Dit gaat goed zolang ik niet op het eigen netwerk zit. Ik krijg echter een foutmelding van OpenVPN zodra ik op het eigen netwerk zit (TLS error: client->client or server->server connection attempted from [external IP-address]).

Ik heb de Experiabox zo ingesteld dat deze het WAN IP adres van de Asus router fixed maakt (DHCP binding) en DMZ staat aan voor het Mac-adres van de Asus router. (geheel volgens @wjb instructies op Gebruik een eigen router achter de Experia Box | KPN Community).

De NAS heeft een fixed IP adres dat uitgegeven wordt door de Asus router.

De oude situatie waarin alles wel werkte, was zonder de tweede router achter de Experia box. Is dit een geval van een niet functionerende NAT-loopback / hairpinning? Is dit oplosbaar?

 

In het geval het niet oplosbaar is, ga ik de Experiabox maar vervangen door een eigen router zoals beschreven op Gebruik een eigen router i.p.v. de Experia Box | KPN Community

De oude situatie waarin alles wel werkte, was zonder de tweede router achter de Experia box. Is dit een geval van een niet functionerende NAT-loopback / hairpinning? Is dit oplosbaar?

Ja, dit is gecascadeerd 2 routers, dubbel-NAT, waarvan de ene router over onvoldoende info van de andere beschikt om het te laten werken. In theorie wel op te lossen als je volledige controle zou hebben over de firewall implementaties, maar het zijn 2 commerciële routers met relatief beperkte instelmogelijkheden, voortvloeiend hoe de GUI er uit ziet.

Asus Merlin in bridge/AP mode zou een oplossing zijn, of beide routers vervangen, of niet leunen op hairpinning functionaliteit, andere VPN technologie, of nog wat anders.


Asus Merlin in bridge/AP mode zou een oplossing zijn, of beide routers vervangen, of niet leunen op hairpinning functionaliteit, andere VPN technologie, of nog wat anders.

In bridge-mode werkt het inderdaad wel.

Ik wil echter meer controle over de instellingen van de router en dat was het idee om de Asus router achter de experiabox te zetten in router mode. Bedankt voor je reactie.


Ja, dit is gecascadeerd 2 routers, dubbel-NAT, waarvan de ene router over onvoldoende info van de andere beschikt om het te laten werken.

OpenVPN heeft geen enkel probleem met double-NAT. Als dat wel zo zou zijn dan zou er ook geen VPN verbinding opgezet kunnen worden vanaf Internet.

Wel is het zo dat we vaker gezien hebben dat NAT-hairpinning niet altijd goed lijkt te werken en vooral niet als de cliënt achter de DMZ Host zit.

Kan je jouw telefoon eens aansluiten op de WiFi van de V10 i.p.v. de Asus en kijken of je dan wel een VPN berbinding kunt maken?


Kan je jouw telefoon eens aansluiten op de WiFi van de V10 i.p.v. de Asus en kijken of je dan wel een VPN berbinding kunt maken?

Zojuist gedaan. WiFi stond uit, maar voor de gelegenheid even aangezet. De OpenVPN verbinding gaat dan zonder meer goed. Geen foutmelding en direct contact.


Kan je jouw telefoon eens aansluiten op de WiFi van de V10 i.p.v. de Asus en kijken of je dan wel een VPN berbinding kunt maken?

Zojuist gedaan. WiFi stond uit, maar voor de gelegenheid even aangezet. De OpenVPN verbinding gaat dan zonder meer goed. Geen foutmelding en direct contact.

Dat verwachtte ik stiekem ook. Ik ben bang dat jij tegen het bekende probleem aanloopt dat de NAT-loopback (NAT hairpinning) niet goed lijkt te functioneren als de cliënt zich in het netwerk achter de DMZ Host bevindt.

Het vreemde is dat niet iedereen last lijkt te hebben van dat fenomeen maar het is wel een fenomeen dat al vele keren geconstateerd is.

Ik heb helaas ook niet een oplossing voor je.


Helaas. Ik verwachte dit ook al na het forum doorgespit te hebben. Zag dat het onderwerp en fenomeen toch zeker al 6 jaar zo is. Blijkbaar nog steeds zonder robuust goede oplossing ...


Helaas. Ik verwachte dit ook al na het forum doorgespit te hebben. Zag dat het onderwerp en fenomeen toch zeker al 6 jaar zo is. Blijkbaar nog steeds zonder robuust goede oplossing ...

De "robuuste" oplossing: Gebruik een eigen router i.p.v. de Experia Box.


Ga ik me nu heerlijk in verdiepen. Thanks.


Asus Merlin in bridge/AP mode zou een oplossing zijn, of beide routers vervangen, of niet leunen op hairpinning functionaliteit, andere VPN technologie, of nog wat anders.

In bridge-mode werkt het inderdaad wel.

Ik wil echter meer controle over de instellingen van de router en dat was het idee om de Asus router achter de experiabox te zetten in router mode. Bedankt voor je reactie.

Een andere optie is om eerst te kijken wat je hoger liggend doel is. Misschien heb je dan die ‘meer controle’ geeneens nodig. Als je hoofdzakelijk met je smartphone makkelijk toegang wilt tot netwerk zaken in je huis, zou je ook Wireguard als VPN kunnen nemen. Volgens mij moet Synology dit zo langzamerhand wel beschikbaar hebben. Dat werkt zonder NAT-loopback/hairpinning ook prima. Is ook duidelijker batterij-vriendelijker en schaalt met aantal CPU-cores, wat OpenVPN niet doet.


Een andere optie is om eerst te kijken wat je hoger liggend doel is. Als je hoofdzakelijk met je smartphone makkelijk toegang wilt tot netwerk zaken in je huis, zou je ook Wireguard als VPN kunnen nemen. 

Goeie vraag.

Het aanpassen van mijn setup is begonnen omdat ik op zoek ben naar meer controle over mijn privacy. De grote tech-bedrijven wil ik zo veel als mogelijk buiten sluiten. Op mijn android mobiel ben ik om die reden naar een android versie gegaan die de privacy hoog in het vaandel heeft staan (e Foundation - deGoogled unGoogled smartphone operating systems and online services - your data is your data).

 

Thuis heb ik nu een pihole op mijn NAS gezet en wil de zaak nu zo inrichten dat ik zowel thuis (alles wat aan het netwerk hangt) als buiten huis (mobiel) de pihole filters kan gebruiken. Ook wil ik mijn eigen keuzes maken voor de DNS die gebruikt wordt.

De suggestie voor een ander VPN vind ik zeker interessant. Dank daarvoor. Ik ga er naar kijken. Mogelijk dat je nog andere suggesties hebt nu ik het hogere doel heb toegelicht. Ik houd me altijd aanbevolen.


Een andere optie is om eerst te kijken wat je hoger liggend doel is. Als je hoofdzakelijk met je smartphone makkelijk toegang wilt tot netwerk zaken in je huis, zou je ook Wireguard als VPN kunnen nemen. 

Goeie vraag.

Het aanpassen van mijn setup is begonnen omdat ik op zoek ben naar meer controle over mijn privacy. De grote tech-bedrijven wil ik zo veel als mogelijk buiten sluiten. Op mijn android mobiel ben ik om die reden naar een android versie gegaan die de privacy hoog in het vaandel heeft staan (e Foundation - deGoogled unGoogled smartphone operating systems and online services - your data is your data).

 

Thuis heb ik nu een pihole op mijn NAS gezet en wil de zaak nu zo inrichten dat ik zowel thuis (alles wat aan het netwerk hangt) als buiten huis (mobiel) de pihole filters kan gebruiken. Ook wil ik mijn eigen keuzes maken voor de DNS die gebruikt wordt.

Is duidelijk, ik heb dit ook zo, wel met andere hardware/software/componenten, maar heb altijd wireguard op (custom) Android9 aanstaan. In ieder geval gaat alle verkeer op 192.168.2.0/24 door de wireguard VPN, dus ook DNS verkeer naar mijn pihole thuis. Wisselt naadloos tussen 4G en WiFi punten thuis of elders.

Ik had in het verleden, toen wireguard nog experimenteel was, dit op een (aparte) rasberrypi draaien, maar ondertussen zit het standaard in de Linux kernel en dus makkelijker standaard beschikbaar in een router (mijn router is momenteel een virtuele Linux PC die via een managed switch op de NTU/glasvezel zit).

Je plan voor eigen router is denk ik ook zo lezend het meest voor de hand liggend, maar zou dus in principe niet hoeven als je wireguard i.p.v. OpenVPN gebruikt. Maar 3 apparaten zoals je nu hebt die IP packetforwarding doen (ExperiaBox, Asus, Synology) is makkelijker een aanleiding voor problemen dan maar 1 kastje met functie ‘router’. WiFi kan je fysiek ver van de router hebben.


Hier pfsense draaien met pfblockerng. Dat is soort hetzelfde als pihole. Met dat verschil dat het ook ip adressen kan blokkeren. En openvpn server erop. Wireguard kan ook, nog niet geprobeerd.

Heb het al jaren draaien op een pc, maar ben nu toevallig net bezig met installatie op een apu2e4.


Je plan voor eigen router is denk ik ook zo lezend het meest voor de hand liggend, maar zou dus in principe niet hoeven als je wireguard i.p.v. OpenVPN gebruikt. Maar 3 apparaten zoals je nu hebt die IP packetforwarding doen (ExperiaBox, Asus, Synology) is makkelijker een aanleiding voor problemen dan maar 1 kastje met functie ‘router’. WiFi kan je fysiek ver van de router hebben.

Die eigen router vind ik ook interessant en ben me nu aan het inlezen. Het is een lang topic (van wjb) en zo te zien met de nodige valkuilen qua settings. Leuke uitdaging.

Ik lees al wel dat de routers die gesuggereerd worden allemaal al redelijk gedateerd zijn (~6 jaar geleden op de markt gezet). Ik vraag me af of daar niet wat nieuwe routers bij zouden moeten komen (maar mogelijk dat de ontwikkeling van routers minder hard gaat).

Ik ga in ieder geval de wireguard proberen in de huidige omgeving en kijken of dat werkt.

 

Ik lees ook een reactie van @Nick83 . Dank voor die tip. Ik ga ook eens kijken wat pfsense precies is en of het ook wat voor mij kan betekenen.


Je plan voor eigen router is denk ik ook zo lezend het meest voor de hand liggend, maar zou dus in principe niet hoeven als je wireguard i.p.v. OpenVPN gebruikt. 

Ook met OpenVPN hoeft dat niet, ik gebruik het zelf ook op mijn Synology NAS.

In het verleden heeft die Synology NAS achter een Cisco RV180W gehangen die als eigen router achter mijn Experia Box (V10) stond t.b.v. mijn zakelijke netwerk.


Ik lees al wel dat de routers die gesuggereerd worden allemaal al redelijk gedateerd zijn (~6 jaar geleden op de markt gezet).

De EdgeRouter 4 is begin 2018 geïntroduceerd dus die is nu drie jaar op de markt. :wink:

Helaas zijn er nog altijd maar weinig routers die geschikt zijn voor KPN aansluitingen i.c.m. IPTV van KPN.


Ik lees al wel dat de routers die gesuggereerd worden allemaal al redelijk gedateerd zijn (~6 jaar geleden op de markt gezet).

De EdgeRouter 4 is begin 2018 geïntroduceerd dus die is nu drie jaar op de markt. :wink:

Zou je die dan ook adviseren?


Ik lees al wel dat de routers die gesuggereerd worden allemaal al redelijk gedateerd zijn (~6 jaar geleden op de markt gezet).

De EdgeRouter 4 is begin 2018 geïntroduceerd dus die is nu drie jaar op de markt. :wink:

Zou je die dan ook adviseren?

Ik gebruik hem zelf ook.

Als je TV van KPN hebt dan zou ik ook nooit voor een grotere gaan met ingebouwde switch immers de switch functionaliteit van EdgeRouters ondersteunt geen IGMP snooping.

Voorheen heb ik een EdgeRouter Lite 3 gebruikt maar die is verhuisd naar mijn kantoor en draait naar nu naar alle tevredenheid op een Ziggo aansluiting.

Realiseer je wel dat je dan ook wifi accesspoints zal moeten aanschaffen immers de EdgeRouters hebben (gelukkig) geen ingebouwde wifi.


Ik gebruik hem zelf ook.

Als je TV van KPN hebt dan zou ik ook nooit voor een grotere gaan met ingebouwde switch immers de switch functionaliteit van EdgeRouters ondersteunt geen IGMP snooping.

Voorheen heb ik een EdgeRouter Lite 3 gebruikt maar die is verhuisd naar mijn kantoor en draait naar nu naar alle tevredenheid op een Ziggo aansluiting.

Realiseer je wel dat je dan ook wifi accesspoints zal moeten aanschaffen immers de EdgeRouters hebben (gelukkig) geen ingebouwde wifi.

Ik ben inmiddels op de dertiende pagina beland in het topic van eigen router. Geweldig interessant en leuk om het zo in te gaan richten. Ik weet niet of ik het vragen mag, maar hoop dat je toch een antwoord wilt geven:

Ik heb glasvezel van KPN. Ik wil dan een Edgerouter 4 gaan kopen. Hierop wil ik een NAS met 2 LAN’s aansluiten en ik heb nog een oude NAS met een enkele LAN aansluiting. Verder uiteraard het IPTV kastje (ARRIS VIP2952 V2) en twee bedrade ubiquiti access points voor de WiFi (UAP AC PRO en UAP AC Lite). Ik heb dus minimaal 6 LAN aansluitingen nodig.

Welke hardware zou je dan nog aanraden? Welke switches dus met name.


Zelf gebruik ik naar alle tevredenheid Netgear switches uit de ProSafe serie.

Ik mijn meterkast hangen twee Netgear GS108Ev3's en op vier locaties staat een Netgear GS105Ev2.


Je plan voor eigen router is denk ik ook zo lezend het meest voor de hand liggend, maar zou dus in principe niet hoeven als je wireguard i.p.v. OpenVPN gebruikt. 

Ook met OpenVPN hoeft dat niet, ik gebruik het zelf ook op mijn Synology NAS.

In het verleden heeft die Synology NAS achter een Cisco RV180W gehangen die als eigen router achter mijn Experia Box (V10) stond t.b.v. mijn zakelijke netwerk.

Tja, als een Asus een Cisco was… en het heden verleden… enz


Welke hardware zou je dan nog aanraden? Welke switches dus met name.

Als je van plan bent om regelmatig de configuratie van een Netgear GS108Ev3 te veranderen, terwijl die in vol bedrijf is, kun je dit oude model beter niet nemen. De webinterface reageert dan heel slecht (valt deels weg). Als die GS108Ev3 verder niks te doen heeft, b.v. omdat je voor configuratie maar 1 ethernetkabel verbonden hebt, is dit probleem er niet. Ik heb mijn GS108Ev3 ‘naar de rand van het netwerk verschoven’ en hem vervangen door een TP-Link TL-SG108Ev4, die kun je wel probleemloos live herconfigureren.

Maar ik zou vooral ook naar veel nieuwere modellen kijken, hoewel die in web reclames en webwinkels in NL minder opduiken en misschien ook wat duurder zijn. Misschien ook met deels PoE poorten, kan misschien als optimalisatie m.b.t. WiFi AP’s die PoE gevoed zijn, dienen.


Tja, als een Asus een Cisco was… en het heden verleden… enz

Die Asus is het probleem ook niet, dat is al bewezen met het feit dat @Pinibo wel gewoon netjes een VPN verbinding kan opzetten vanaf Internet (double-NAT) of terwijl hij met de wifi van de Experia Box verbonden is (double-NAT en NAT loopback/hairpinning).

Het enige probleem dat @Pinibo ervaart is dat NAT-loopback/hairpinning niet goed lijkt te werken vanaf een werkstation achter de Asus.


Tja, als een Asus een Cisco was… en het heden verleden… enz

Die Asus is het probleem ook niet, dat is al bewezen met het feit dat @Pinibo wel gewoon netjes een VPN verbinding kan opzetten vanaf Internet (double-NAT) of terwijl hij met de wifi van de Experia Box verbonden is (double-NAT en NAT loopback/hairpinning).

Het enige probleem dat @Pinibo ervaart is dat NAT-loopback/hairpinning niet goed lijkt te werken vanaf een werkstation achter de Asus.

Dit ‘enige’ probleem staat zelfs al in de topic titel.


Dit ‘enige’ probleem staat zelfs al in de topic titel.

Precies, NAT-loopback vanuit het netwerk achter de Asus dus en niets anders!


Maar ik zou vooral ook naar veel nieuwere modellen kijken, hoewel die in web reclames en webwinkels in NL minder opduiken en misschien ook wat duurder zijn. Misschien ook met deels PoE poorten, kan misschien als optimalisatie m.b.t. WiFi AP’s die PoE gevoed zijn, dienen.

Dank voor de tip. Ik zal eens wat onderzoek doen.