Skip to main content

Ik heb de Experiabox vervangen door mijn eigen Asus RT-AC86U. Daarvoor heb ik alleen internet ingesteld, want tv gebruik ik niet. Vanaf dag één werkt deze opzet perfect zonder problemen.

Echter wil ik met deze router via VPN Director (split tunneling) een aantal clients over een VPN laten lopen. Ik heb een remote VPN-server (zowel OpenVPN als PPTP).

De Asus lijkt correct verbinding te maken met de VPN-server, en toch wordt het IP-adres niet aangepast, ook niet met een redirect gateway of een push van de server. Met de VPN-server is trouwens niks mis, als ik bijvoorbeeld mijn iPhone verbind, met exact dezelfde config file, doet hij het wel en wordt het IP-adres gewijzigd. Zou dit te maken kunnen hebben met bepaalde instellingen die gezet zijn voor KPN die dit onmogelijk maken? Of zou dit gewoon moeten kunnen en heb ik ergens een instelling niet goed o.i.d.?

Een andere oplossing die wel werkt is dat ik een tweede router achter de Asus gebruik in een ander subnet en die router als VPN-cliënt instel. De apparaten die ik daar achter hang, lopen via de VPN. Dat werkt prima en is een alternatief, alleen zou ik deze tweede router (Asus RT-AC68U) liever inzetten als AiMesh-node in plaats van dedicated voor VPN.

Ik weet dat KPN hier geen officiële ondersteuning voor heeft, maar misschien is er hier toch een knappe kop die mij in de goede richting kan duwen. Of zegt dat het onmogelijk is, want dan blijft er niets anders over dan het alternatief, maar dan weet ik dat :)

Hier kan KPN helemaal niets aan doen. Een provider heeft geen enkele grip op een VPN-verbinding. Een VPN-verbinding zou eventueel wel geblokkeerd kunnen worden. Bewust of on eerst. Maar dat gebeurt niet zo te zien. Want de verbinding werkt vanaf de 2de router gewoon.

Wat gebeurt er als u gewoon instelt dat alle verkeer via de VPN-verbinding gaat? De meest simpele manier dus? Wat u op de 2de router doet dus?


Hier kan KPN helemaal niets aan doen. Een provider heeft geen enkele grip op een VPN-verbinding. Een VPN-verbinding zou eventueel wel geblokkeerd kunnen worden. Bewust of on eerst. Maar dat gebeurt niet zo te zien. Want de verbinding werkt vanaf de 2de router gewoon.

Wat gebeurt er als u gewoon instelt dat alle verkeer via de VPN-verbinding gaat? De meest simpele manier dus? Wat u op de 2de router doet dus?

Precies hetzelfde, dus het IP-adres wordt niet veranderd. Het gekke is dat zowel de client als de server aangeven dat de verbinding tot stand gekomen is, maar ondanks dat kan ik geen enkel apparaat pingen of benaderen en sterker nog, heb ik ook nog steeds mijn normale 1000/1000 snelheid met een speedtest, en dat zou ook niet moeten kunnen, want de internetverbinding waar de VPN-server op draait, heeft een veel lagere snelheid.


Kunt u een paar schermafdrukken plaatsen met instellingen? 


Yes, ik heb hier wat screenshots van de client en de server, plus de status. Privé-dingen zoals IP-adressen heb ik uiteraard even onzichtbaar gemaakt.

 

 


Oh, ik heb trouwens ook UDP geprobeerd en her en der wat met de settings gespeeld (andere poort, wel of geen compressie, inbound firewall allow, dat soort dingen), alles zonder soelaas.


Echter wil ik met deze router via VPN Director (split tunneling) een aantal clients over een VPN laten lopen. Ik heb een remote VPN-server (zowel OpenVPN als PPTP).

De Asus lijkt correct verbinding te maken met de VPN-server, en toch wordt het IP-adres niet aangepast,

Bij split tunneling is juist aan de orde dat je een VPN-verbinding opzet om bijv. een file-server op je VPN-server adres te kunnen benaderen, maar de internet-data van een browser buiten die VPN te houden.
 

Met de VPN-server is trouwens niks mis, als ik bijvoorbeeld mijn iPhone verbind, met exact dezelfde config file, doet hij het wel en wordt het IP-adres gewijzigd. Zou dit te maken kunnen hebben met bepaalde instellingen die gezet zijn voor KPN die dit onmogelijk maken?

Nee, KPN heeft daar niets mee te maken.  Kennelijk zie je toch een instelling over het hoofd?
 

Een andere oplossing die wel werkt is dat ik een tweede router achter de Asus gebruik in een ander subnet en die router als VPN-cliënt instel. De apparaten die ik daar achter hang, lopen via de VPN. Dat werkt prima en is een alternatief, alleen zou ik deze tweede router (Asus RT-AC68U) liever inzetten als AiMesh-node in plaats van dedicated voor VPN.

Vergelijk de instellingen eens goed, met die eerste Asus router.
En dan niet zozeer de instellingen in de menu's, maar die van het OpenVPN configuratiebestand.


Bedankt voor je reactie. Maar het klopt toch wat ik zeg over split tunneling? Ik maak onderscheid in welk verkeer over de VPN moet, precies wat jij ook zegt.

En ik heb meerdere keren dezelfde OVNP Profile gedownload van de VPN-server en zo gauw ik de tweede router gebruik achter een ander subnet, werkt alles direct probleemloos.

Ik zal dan vast ergens iets over het hoofd zien, maar ik heb geen flauw idee wat. Het vreemdste vind ik dat als ik het instel op de hoofdrouter zowel de client als server zeggen dat er een connectie is, maar in de praktijk blijkt dat niet, omdat ik geen ander IP-adres heb en het verkeer niet geroute wordt via de VPN-server. En via de tweede router wel, met exact dezelfde OVPN Profile.

 


Bedankt voor je reactie. Maar het klopt toch wat ik zeg over split tunneling? Ik maak onderscheid in welk verkeer over de VPN moet, precies wat jij ook zegt.

Nee. Wat u wilt is iets anders dan split-tunneling. In uw schermafdrukken word split-tunneling ook nergens genoemd. 

Over uw schermafdrukken: daarin word een apparaat geselecteerd op basis van z'n ipv4 adres: 192.168.10.10. Hoe zit het met ipv6?


@RickGW

Bij OpenVPN regel je split-tunneling niet in de menu's van de router, maar in het configuratiebestand van OpenVPN. (Daar kun je diverse extra coderegels wel of niet in opnemen).
Dat is zoals eerder uitgelegd een verschil tussen “web-browser data” en “server-data”.

Zelf pas ik zoiets wel toe als ik via VPN specifiek bepaalde data oppik vanaf een NAS bij familie. Echter al het andere internetverkeer (niet de data van de NAS) gaat gewoon via mijn eigen WAN IP-adres.
De wijze zoals bedrijven bijv. ook hun instellingen regelen bij “thuiswerk” voor hun werknemers.

Maar wat jij wil is kennelijk een keuze aan clients waar het verkeer op zichzelf “volledig” via VPN gaat.
Hoe dat bij zo'n Asus wordt ingesteld is mij ook niet bekend. Bij een Synology router kan ik zoiets regelen door apart apparaten te kiezen en aan te vinken die via de VPN moeten gaan.
De rest van de apparaten achter de router die niet zijn aangevinkt blijven dan buiten de VPN.


@Nick83 @Babylonia 

Ah, duidelijk dan. Even wat meer informatie: Op de Merlin software van Asus zit tegenwoordig VPN Director. Dat is een uitbreiding van de standaard VPN Client waarbij je dus inderdaad kan kiezen welke clients over de VPN gaan (met al hun verkeer ja) en welke niet, en dat is dus inderdaad hetgene dat ik wil. VPN Director werkt bij Asus vooralsnog alleen met OpenVPN. De allerduurste routers van Asus hebben op de stock firmware VPN Fusion, een vergelijkbaar iets: https://www.asus.com/us/support/FAQ/1033907/

Om even terug te komen op de vraag hoe het met ipv6 zit; dat was volgens mij nergens in te stellen. Voor nu heb ik toch even de oude situatie hersteld: De RT-AC86U als hoofdrouter en de RT-AC68U erachter als tweede router op een ander subnet, waarachter ik de apparaten heb die met de VPN verbinding moeten maken. Met een static route heb ik ingesteld dat beide subnetten elkaar kunnen zien. Ik kan nu dus ook heel makkelijk met apparaten verbonden aan de hoofdrouter in de GUI komen van de tweede router.

Het is nu een kwestie van één druk op de knop in de Asus app op de telefoon om de VPN aan of uit te zetten en dat werkt prima.

Alleen ben ik nog steeds benieuwd waarom de VPN-verbinding via de hoofdrouter niet (helemaal) werkte, ik kan het niet verklaren.

 


Misschien een verschil aan instellingen voor VPN Director met de ene router en de andere router??
Maar je hebt in ieder geval wel een work-arround gevonden die voldoet.  :thumbsup:


Misschien een verschil aan instellingen voor VPN Director met de ene router en de andere router??
Maar je hebt in ieder geval wel een work-arround gevonden die voldoet.  :thumbsup:

Dat zal het niet zijn helaas, want ik gebruik nu gewoon de stock firmware van Asus op de tweede router en daar zit VPN Director niet op. En ik had op de hoofdrouter ook al eens getest zonder tussenkomst van VPN Director (dus gewoon de hele verbinding op de VPN willen krijgen) en dat werkte ook niet :sweat_smile:

Maar inderdaad, de tweede oplossing (ik zie het niet eens als een workaround haha) werkt ook :smiley: