Skip to main content

Ik heb de cisco routers RV215W ingesteld volgens de handleiding van Cisco op beide kantoren.

 

De cisco routers staan als DMZ geconfigureerd op de experiabox en port forwarding voor IPSEC-IKE, L2TP, OpenVPN en PPTP ingesteld naar ip adres van cisco router.

 

Echter connectie is niet mogelijk. ook niet als ik een VPN client opzet en deze op de cisco configureer.

 

Wat heb ik over het hoofd gezien om in te stellen?

Als je de router als DMZ insteld, dan hoef je in de Experiabox geen poorten meer te forwarden. 


Dat komt omdat je te maken hebt met double-NAT en daar kunnen VPN verbindingen op basis van IPSec niet goed tegen. Het is wel te doen, maar dan alleen met VPN cliënts die de laatste stap in de opbouw van een IPSec VPN tunnel overslaan. Die stap is het binnen de VPN tunnel pingen van het IP adres waarmee oorspronkelijk de VPN verbinding opgezet werd. Dat is de stap die fout gaat bij dergelijke double-NAT opstellingen.

Ik heb jaren lang thuis een RV180W achter mijn Experia Box V10 gehad en daarmee was ook niet eenvoudig om een site-2-site VPN verbinding met mijn kantoor op te zetten. Ook de gebruikte VPN Cliënts moesten die laatste stap overslaan om een verbinding op te kunnen zetten. Zo kon ik met de VPN cliënt van NCP prima een VPN verbinding maken.

Inmiddels heb ik de Experia Box vervangen door een EdgeRouter Lite 3 en daarmee zijn VPN verbindingen geen enkel probleem.


.


Als het site2site is en beide kanten/sites zijn onder jouw controle, zou ik voor OpenVPN gaan. Of wat zijn je afwegingen voor het type VPN?


Dat hangt toch zeer sterk af van de gebruikte hardware.

Op mijn EdgeRouter Lite 3 zal ik nooit OpenVPN gebruiken omdat daarmee geen hardware offloading mogelijk is. De throughput van OpenVPN is daarmee beduidend lager dan die van IPSec.

Onderstaand een IPSec site-2-site VPN tussen mijn zakelijk netwerk thuis en mijn kantoor.

Onderstaand mijn IPSec VPN om mijn Android en Windows machines met mijn zakelijk netwerk thuis te kunnen verbinden.

Voor VPN verbindingen vanaf Android en Windows machines met mijn privé netwerk thuis gebruik ik OpenVPN op mijn Synology NAS.

 


Hmm, ja, als het dit type is:

https://www.cisco.com/c/en/us/products/routers/rv215w-wireless-n-vpn-router/index.html

daar staat geeneens OpenVPN bij.


Hmm, ja, als het dit type is:

https://www.cisco.com/c/en/us/products/routers/rv215w-wireless-n-vpn-router/index.html

daar staat geeneens OpenVPN bij.

Klopt, die Cisco's zijn (waren) echt gericht op de zakelijke markt en daar is OpenVPN relatief een kleine speler.


Allen bedankt voor de informatie. Jammer van de aangeschafte cisco apparatuur die zijn voor het doel site2site achter de V10 onbruikbaar

wjb zo'n EdgeRouter Lite 3 kan die ook VOIP en TV van de v10 vervangen?

Als ik goed begrijp zou met  OpenVPN via Synology NAS wel een site2site op te zetten zijn.

Ik heb al een synology nas draaien een tweede is de aanschafkosten niet.


Jammer van de aangeschafte cisco apparatuur die zijn voor het doel site2site achter de V10 onbruikbaar

Dat is niet alleen achter een V10 zo, maar achter elke willekeurige router. De oorzaak zit namelijk in double-NAT.

 

wjb zo'n EdgeRouter Lite 3 kan die ook VOIP en TV van de v10 vervangen?

Zie "Gebruik een eigen router i.p.v. de Experia Box".

TV is geen enkel probleem en VoIP handel ik af via mijn Gigaset N300A IP.

 

Als ik goed begrijp zou met  OpenVPN via Synology NAS wel een site2site op te zetten zijn.

Nee, met OpenVPN kan je een Synology NAS als VPN server inzetten zodat je met PC's, tablets en telefoons daarmee kunt verbinden. De Synology NAS heeft geen ingebouwde cliënt om een VPN verbinding met een andere site mee op te zetten.

 

Ik heb al een synology nas draaien een tweede is de aanschafkosten niet.

Twee EdgeRouter Lite 3's zijn goedkoper dan één Synology NAS.

 

Let op, de EdgeRouter Lite 3 is alleen te gebruiken op een glasvezel aansluiting.


Als ik goed begrijp zou met  OpenVPN via Synology NAS wel een site2site op te zetten zijn.

Ik heb al een synology nas draaien een tweede is de aanschafkosten niet.

Aan de client side kun je een pfsense router neer zetten. Oude pc nodig, software kun je gratis downloaden.


Als ik goed begrijp zou met  OpenVPN via Synology NAS wel een site2site op te zetten zijn.

Ik heb al een synology nas draaien een tweede is de aanschafkosten niet.

Aan de client side kun je een pfsense router neer zetten. Oude pc nodig, software kun je gratis downloaden.

Dat is mijns inziens een beetje kort door de bocht. Wellicht is de tweede site ook wel een KPN aansluiting met TV. Daarbij komt dat je de vraag moet stellen of de site-2-site VPN tunnel van beide zijden af geïnitieerd moet kunnen worden of dat deze permanent up gehouden wordt door één van de zijden.


Die pfsense achter de Experiabox plaatsen. Kun je de tv's gewoon aan de Experiabox houden. Volgens mij heeft openvpn geen last van double nat. Of je er 500 mb overheen kunt trekken betwijfel ik. Maar goed, voor iemand die niet al te veel wil uitgeven en zelf een beetje rommelen wil is het een mooie start...


@OnderdelindeHoe snel is de verbinding tussen je sites (dus beide richtingen)?

En is het DSL, kabel, glasvezel, anders (vraag voor beide sites) ?

Ikzelf heb meedere jaren 2 Fritzboxen (1 kabel, ander DSL) via de ingebouwde VPN (L2TP/IPsec) gebruikt. Beide FB’s bruikleen van provider en dus ook zowel modem als router.

Maar ondanks dat dit goed werkte (zelfs vastelijn bellen met DECT via VPN) zat ik toch gebonden aan de FritzBoxen (geen software flexibiliteit). Ik heb toen op beide locaties een gewone PC achter de FritzBoxen gebruikt voor OpenVPN verbinding. OpenVPN kan prima met dubbel-NAT en allerhande mobile netwerkcontructies omgaan. Verbindngs snelheid was maar ongeveer 6Mbps( later 20Mbps), maar op een standaard PC kun je makkelijk bidirectioneel Gbps door OpenVPN halen als dat zou moeten.

Voor kant-en-klare routers zou ik goed kijken wat de te behalen OpenVPN snelheid is.


Volgens mij heeft openvpn geen last van double nat. 

Klopt, maar OpenVPN zou ik absoluut niet willen aanbevelen i.c.m. een EdgeRouter.

Met OpenVPN is, zoals eerder aangegeven, geen hardware offloading mogelijk en daarmee is de throughput beduidend lager.

Met OpenVPN op een EdgeRouter Lite 3 haal je waarschijnlijk nooit meer dan 25Mbps terwijl je met IPSec offloading iets meer dan 200Mbps door die tunnel kunt krijgen.


Ik heb toen op beide locaties een gewone PC achter de FritzBoxen gebruikt voor OpenVPN verbinding.

Maar daarmee heb je geen site-2-site verbinding maar een host-2-host verbinding.

Wat je wilt bewerkstelligen met een site-2-site verbinding is dat alle apparaten op de éne site automatisch via de VPN tunnel communiceren als ze een apparaat op de andere site benaderen.


Volgens mij heeft openvpn geen last van double nat. 

Klopt, maar OpenVPN zou ik absoluut niet willen aanbevelen i.c.m. een EdgeRouter.

Met OpenVPN is, zoals eerder aangegeven, geen hardware offloading mogelijk en daarmee is de throughput beduidend lager.

Iemand had het hier over openvpn server op zijn NAS. Daar zou pfsense voor de andere kant mooi bij passen. De wereld bestaat niet alleen uit edgerouter, er is nog heel veel andere apparatuur waar ook van alles mee mogenlijk is.


Volgens mij heeft openvpn geen last van double nat. 

Klopt, maar OpenVPN zou ik absoluut niet willen aanbevelen i.c.m. een EdgeRouter.

Met OpenVPN is, zoals eerder aangegeven, geen hardware offloading mogelijk en daarmee is de throughput beduidend lager.

Ubiquiti (EdgeRouter) zal wel lang genoeg ondersteuning blijven leveren voor de hardware offloading, maar er zijn legio apparaten waar simpelweg uiteindelijk niemand meer te porren is om deze constructies werkend te houden.

OpenVPN loopt doorgaans geheel in software (de cryptografische module is waar het om draait), daardoor makkelijk van een andere fabrikant te nemen/kiezen.


Iemand had het hier over openvpn server op zijn NAS. 

Klopt, maar niet voor site-2-site verbindingen.


Ik heb toen op beide locaties een gewone PC achter de FritzBoxen gebruikt voor OpenVPN verbinding.

Maar daarmee heb je geen site-2-site verbinding maar een host-2-host verbinding.

Wat je wilt bewerkstelligen met een site-2-site verbinding is dat alle apparaten op de éne site automatisch via de VPN tunnel communiceren als ze een apparaat op de andere site benaderen.

Die hosts hadden routing, VPN en DHCP server functionaliteit actief, dus het was echt site-2-site, beter/flexibeler dan met met de Fritzboxen. Anders had ik het niet aangegeven hier.

Alleen het vastelijn bellen met DECT door VPN werkt dan niet meer, maar dat was toch maar voor de leuk (en veel te sterke echos, dus vaak onbruikbaar).


Die hosts hadden routing, VPN en DHCP server functionaliteit actief, ...

Moesten die hosts dan 24x7 aan staan om het netwerk van DHCP te voorzien?

 

Waarom dan niet "gewoon" gebruik maken van de site-2-site VPN opties van de FRITZ!Box?

Was de performance daarvan niet goed, of was er een andere reden om dat niet meer te gebruiken?


Die hosts hadden routing, VPN en DHCP server functionaliteit actief, ...

Moesten die hosts dan 24x7 aan staan om het netwerk van DHCP te voorzien?

Beide hadden van doen met o.a. 2TB 3.5inch HDD die 24/7 draaiden.

Nu in principe vervangen door M.2 NVME storage en een ‘host’ die maar 5Watt trekt 24/7.

DHCP en andere niet IP route-able zaken hebben eigenlijk (V)LAN nodig, alles andere kun je ook in lichtgewicht containers virtualiseren. Zie o.a. hoe Synology dat doet en de hele cloud industrie staat er bol van.

Voor ‘echte’ hosts is hardware virtualisatie prima te doen, wat ik eerder al een keer heb aangegeven in dat iTV router topic.


Die hosts hadden routing, VPN en DHCP server functionaliteit actief, ...

Moesten die hosts dan 24x7 aan staan om het netwerk van DHCP te voorzien?

Beide hadden van doen met o.a. 2TB 3.5inch HDD die 24/7 draaiden.

Nu in principe vervangen door M.2 NVME storage en een ‘host’ die maar 5Watt trekt 24/7.

DHCP en andere niet IP route-able zaken hebben eigenlijk (V)LAN nodig, alles andere kun je ook in lichtgewicht containers virtualiseren. Zie o.a. hoe Synology dat doet en de hele cloud industrie staat er bol van.

Voor ‘echte’ hosts is hardware virtualisatie prima te doen, wat ik eerder al een keer heb aangegeven in dat iTV router topic.

En nu even terug naar die simpele site-2-site VPN verbinding waar dit topic immers over gaat.

Waarom niet gewoon de routers onderling een site-2-site VPN verbinding met elkaar laten onderhouden. Dit kan eenvoudig met zowel een EdgeRouter als een FRITZ!Box.


Die hosts hadden routing, VPN en DHCP server functionaliteit actief, ...

Moesten die hosts dan 24x7 aan staan om het netwerk van DHCP te voorzien?

 

Waarom dan niet "gewoon" gebruik maken van de site-2-site VPN opties van de FRITZ!Box?

Was de performance daarvan niet goed, of was er een andere reden om dat niet meer te gebruiken?

Met eigen DHCP server kon ik veel gemakkelijker diverse clients van specifieke opties voorzien (zie de vele DHCP opties in b.v. dnsmasq). Andere tijdelijke gateway b.v.

En ik betaalde 5 euro per maand extra voor de kabel fritzbox en voor de andere kant overgang van DSL naar 4G. Hoewel fritzboxen doorgaans prima zijn, highend 4G in een fritzbox was er niet. Ik wil modem los kunnen koppelen van router, mede om die reden. Als een provider geen bridge-mode wil leveren, kun je in een lock-in situatie terecht komen, dat wil ik niet, vandaar geen L2TP/IPsec. Het internetverkeer gaat door vele routers buitenshuis, dat de laatste als eindpunt die bij je thuis staat dan voor problemen gaat zorgen is geen fijne situatie. Dus ander VPN protocol helpt om ueberhaupt niks meer met het veel gehoorde probleem van dubbel-NAT van doen te hebben.

Nog veel belangrijkere reden kwa VPN protocol was dat het mobiel-vriendelijk moest zijn.


En ik betaalde 5 euro per maand extra voor de kabel fritzbox 

Bij welke provider was dat?

 

Ik wil modem los kunnen koppelen van router, ...

Daar ben ik ook een groot voorstander van. Ik zou heel graag zien dat er een organisatie opstaat die weer pure losse modems gaat leveren zonder router functionaliteit.

 

Nog veel belangrijkere reden kwa VPN protocol was dat het mobiel-vriendelijk moest zijn.

Is L2TP/IPSec dan niet "mobiel-vriendelijk"?

Wat is het probleem daar dan mee op mobiele apparaten?


En ik betaalde 5 euro per maand extra voor de kabel fritzbox 

Be welke provider was dat?

KabelDeutschland

 

Is L2TP/IPSec dan niet "mobiel-vriendelijk"?

Wat is het probleem daar dan mee op mobiele apparaten?

Dat voert veel te ver off-topic om dat hier even op een goede manier uit de doeken te doen.


Reageer