Is dit mogelijk, 2 lokaties koppelen met elkaar

[B3rt]

Ik wil graag het volgende:

Ik wil 2 fysieke locaties, met ieder een eigen Internet verbinding koppelen zodat het 1 netwerk is/wordt. (afstand is te goot om een directe/LAN/WIFI verbinding te maken).
Daarnaast wil ik dat specifieke apparaten binnen het netwerk dan ook via en specifieke uplink het internet op gaan.

Dit heb/zo is het nu:
locatie 1 (bij mij thuis):
1x rt6600(router) en als mesh stations: 1x rt2600, 3xMR2200, dit aangesloten op een glasvezel aansluiting
locatie 2 (bij mijn ouders):
ziggo aansluiting, hier wordt alleen wifi gebruikt.

Wat ik wil doen is 1 van de 3 MR2200 inzetten als router op locatie 2, het ziggo modem dan in bridge mode zetten en dan de mr2200 als router en ook de WIFI van de MR2200 gaan gebruiken (ip ziggo modem) voor de aanwezige apparaten.

Vervolgens wil ik een site-to-site VPN maken tussen de 2 locaties.

Als dat werkt zou ik graag dat bepaalde apparaten op locatie 1 het internet opgaan dit doen via de router op locatie 2 (dus via de ziggo verbinding).
Andersom is denk ik niet nodig, dus op locatie 2 hoeft er geen apparaat op het internet via de glas aansluiting.
Wel zou het handig zij als je vanuit locatie 2 devices op locatie 1 (en andersom) kunt benaderen, denk aan bv de NAS.

Nu weet ik dat je al specifieke apparaten via een specifieke verbinding/wan poort het Internet op kan laten gaan, ik vraag met alleen af als je deze apparaten dan de VPN tunnel naar locatie 2 laat gebruiken of deze dan wel het internet op kunnen vanaf de router op locatie 2.

Mocht je nu afvragen waarvoor dit is of waarom zo moeilijk...
Dit is om oa de ziggogoTV app te kunnen gebruiken, deze werkt uitsluitend vanaf een Ziggo verbinding, mijn moeder heeft dus ziggo, ik alleen een kabel TV only abonnement (omdat ik glasvezel internet heb), hiermee kan ik ook de ziggogo(TV) app gebruiken alleen op een smartTV en google TV werkt deze app uitsluitend vanaf een ziggo internet verbinding. De smartphone versie werkt wel vanaf elke verbinding, maar ik wil hem juist op de TV en googleTV gebruiken...
Naast dat wil ik mijn moeder ook toegang willen verlenen op de NAS voor media.

Dus zou dit kunnen wat ik wil?
Ik heb dus alle hardware all, nu alleen nog inrichten dat het werkt

[Babylonia]

Vervolgens wil ik een site-to-site VPN maken tussen de 2 locaties.

Dat zou op zichzelf mogelijk kunnen zijn. Heb zelf echter nog nooit een site-to-site VPN verbinding opgezet.
Hoewel een Belgische gebruiker een werkende "driehoeks" verbinding heeft zonder site-to-site.
Maar een VPN verbinding op basis van het Synology SSL VPN protocol, tussen België, een Nederlands filiaal en weer terug naar België.

https://www.synology-forum.nl/synology-router/ssl-vpn-werkt-niet-in-eigen-land-belgie/msg317468/#msg317468

Dit is om oa de ziggogoTV app te kunnen gebruiken, deze werkt uitsluitend vanaf een Ziggo verbinding, mijn moeder heeft dus ziggo, ik alleen een kabel TV only abonnement (omdat ik glasvezel internet heb), hiermee kan ik ook de ziggogo(TV) app gebruiken alleen op een smartTV en google TV werkt deze app uitsluitend vanaf een ziggo internet verbinding.

Besef wel, dat de "upload" van Ziggo op zichzelf al traag is tegenover download.
Voor TV via VPN betekent het "upload" voor de Ziggo aansluiting.

Betreft het een gemiddeld Ziggo TV-abonnement, is de upload een stuk trager dan bijv. een Gigabit abonnement.
Wat als upload nog steeds "niks" is voor hedendaagse begrippen.
Afhankelijk van het mogelijke abonnement, zou ik de stream als upload van je moeder daarmee niet belasten.
Want dan blijft er mogelijk niks anders over voor andere zaken die je moeder misschien gebruikt??

M.b.t. gebruik van "TV-apps" gerelateerd aan een internet account die je elders via VPN wilt inzetten.
Zie een onderwerp wat ik enkele jaren terug heb geschreven:
https://www.synology-forum.nl/the-lounge/android-tv-iptv-apps-zonder-thuisnetwerk-restricties/msg307014/#msg307014

https://www.synology-forum.nl/the-lounge/android-tv-iptv-apps-zonder-thuisnetwerk-restricties/msg307302/#msg307302

[Briolet]

Volgens Synology moet het kunnen. Zie de volgende tutorial.: https://kb.synology.com/nl-nl/SRM/tutorial/How_to_set_up_Site_to_Site_VPN_between_Synology_Router_and_MS_Azure

Of: https://kb.synology.com/nl-nl/SRM/help/VPNPlusServer/vpnplus_server_site2site?version=1_3

[DSGebruiker]

Wat jij wil kan technisch natuurlijk wel, maar niet zomaar even "click-click-click" klaar als je dat zou denken.
Ik gebruik geen Synology "routers" dus ik weet niet in detail hoe flexibel die zijn. Ik heb enkel "NAS" product van Synology en voor al mijn routing & firewalling gebruik ik Mikrotik dat zo flexibel is als een Zwitsers zakmes...

routing-technisch zal je behoorlijk moeten ingrijpen omdat vb op Locatie1 "per default" alle verkeer met bestemming "Internet" via de aanwezige Internet-link zal lopen. De IPSEC/Wireguard "site-2-site" VPN loopt immers ook over deze Internet-link.
Dus OPZETTEN van de VPN-verbinding tussen Locatie1 <> Locatie2 zal nog wel lukken, maar dan moet je een soort "policy-based-routing" gaan gebruiken want niet alles moet door de tunnel...en vervolgens moet je op Locatie2 via NAT ook IP's van Locatie1 naar Internet kunnen laten gaan, want je IP-range zal daar anders zijn.

Als je Layer3 "vpn" maakt tussen Locatie1 en Locatie2 heb je 2 verschillende IP-ranges aan beide kanten. Je kant in theorie ook een "Layer2" koppeling maken zodat het ogenschijnlijk 1 "groot netwerk" zal worden met dezelfde IP-range op Locatie1/Locatie2 (vb EoIP-tunnel) maar met Synology producten ? (no problem met m'n Mikrotik)
Alternatieven zijn hier ook een "ZeroTier" (switch-in-de-cloud) zeg maar om soortgelijke koppelingen te maken op "ethernet" laag.

Afin, 100 wegen naar Rome....het ene al wat complexer dan het andere...

[B3rt]

ik ben gisteren begonnen en heb het inmiddels werkend en zoals het er nu uit ziet werkt dat prima.

site-to-site werkt wel maar is in mijn geval niet te gebruiken, bij site-to-site kun je niet specifiek verkeer of devices routeren over de site-to-site tunnel.

De site-to-sie tunnel zelf werkt perfect, je kan alle apparaten van locatie B op locatie A benaderen en andersom, echter dus niet routeren dat als je het internet op wilt dat vanaf een specifieke locatie moet..

De oplossing was geen site-to-site maar gewoon een eenzijdige VPN verbinding, bv openvpn of PPTP etc
Je bouwt deze op met de router van locatie A naar B en je deze kun je dus wel routeren, in de router kun je zeggen verbindingen vanaf IP xx(of alles) naar IP xxxx (of alles) moeten via verbinding YYYY (VPN in dit geval)

Dit heb ik ingesteld en draait nu sinds gisteren, tot nu toe werkt he feilloos de snelheid is ook prima voor de streaming van de ziggogo TV app, geen enkele hapering etc te bespeuren.

Dus ja het kan, vind alleen jammer dat de software van synology geen routering via site-to-site ondersteund, want dat zou helemaal perfect zijn geweest, denk dat ik daar een support ticket voor ga aanmaken bij synology, wellicht kan het in de toekomst dan wel.

[Babylonia]

De oplossing was geen site-to-site maar gewoon een eenzijdige VPN verbinding, bv openvpn of PPTP etc
Je bouwt deze op met de router van locatie A naar B en je deze kun je dus wel routeren, in de router kun je zeggen verbindingen vanaf IP xx(of alles) naar IP xxxx (of alles) moeten via verbinding YYYY (VPN in dit geval)

De Belgische gebruiker die ik in mijn eerdere reactie aanhaalde, maakt ook géén gebruik van site-to-site.
Heeft wel op de verschillende locaties een Synology router. Met het Synology SSL protocol is het zelfs mogelijk,
de apparaten op de andere locatie op basis van hostname te benaderen. Die komen gewoon in het netwerk terug.

Heb ikzelf wel eens bij een kennis getest door een VPN verbinding als Client vanuit mijn laptop op te zetten naar mijn VPN-server thuis.
Zag tot mijn verbazing in de laptop zowel de netwerk apparaten van die kennis, als die van mezelf thuis.

Ik gebruik geen Synology "routers" dus ik weet niet in detail hoe flexibel die zijn.
....
Dus OPZETTEN van de VPN-verbinding tussen Locatie1 <> Locatie2 zal nog wel lukken, maar dan moet je een soort "policy-based-routing" gaan gebruiken want niet alles moet door de tunnel...

Dat is juist geen enkel probleem met Synology routers. Die zijn zeer flexibel in te richten.
In combinatie met een NAS heb ik zelfs wel eens twee verschillende VPN verbindingen opgezet tegelijkertijd.
En kan met een paar klikjes, of door bijv. een ander netwerk te kiezen waarop je met WiFi inlogt.
(Een speciaal voor "VPN" ingericht netwerk met een eigen WiFi SSID). De ene of andere VPN-connectie kiezen.

Terwijl het andere verkeer gewoon via de normale weg (de WAN aansluiting van je internetverbinding) het internet op gaat.
Niet de WAN IP-adressen van de beide VPN-verbindingen.

Bovendien zijn NAS apparaten en thuis draaiende services, nog steeds van buitenaf te benaderen, via de gewone WAN-aansluiting.

Zie onderwerpen welke ik eerder daarover heb geschreven op het Engelstalige Synology forum en bij KPN.
https://community.synology.com/enu/forum/2/post/159502?reply=493735#post630536
https://forum.kpn.com/thuisnetwerk-72/alle-verkeer-via-vpn-tv-uitgezonderd-is-dit-mogelijk-588211?postid=1725134#post1725134

[Birdy]

vind alleen jammer dat de software van synology geen routering via site-to-site ondersteund

Misschien statische route instellen ?

[B3rt]

dat is juist het probleem, je kan niet de interface kiezen, de site-to-site vpn wordt niet vermeld.
Andere VPN verbindingen staan gewoon in de lijst erbij, dus interface bv: PPPOE-WAN  (of WAN of LAN1 of VPN etc) maar als je alleen site-to-site gebruikt is de optie VPN greyed out, gebruik je een andere VPN (PPTP etc) dan is die optie wel selecteerbaar.

Daarnaast wil je **alle** verkeer afkomstig van een device via de site-to-site laten lopen, ga je dit op specifiek destination IP doen dan maak je borst maar nat, ziggo gebruikt vele IP's en zijn ook nog eens dynamisch, die rouleren regelmatig met als resultaat dat het dan weer niet werkt en je wederom nieuwe IP's kan gaat toevoegen aan je routering. Stuur je gewoon het hele IP van het device waarop die app (ziggogoTV) draait werkt het altijd...

[Babylonia]

En is het met een site-to-site niet mogelijk om gebruik te maken van DDNS domeinnamen??

[B3rt]

ja hoor, je kan de ddns naam opgeven van beide locaties, had ik ook gewoon gedaan.
Maar je kan met de routering zelf enkel ip adressen gebruiken, het zou echt geweldig zijn als je kon zeggen: verkeer naar bv google.nl gebruik interface XXX... Maar dat kan helaas niet

[Babylonia]

Vind het vreemd dat je zoveel IP-adres wisselingen zou ervaren?
Kennissen / familie die Ziggo aansluitingen hebben, komt het nauwelijks voor dat er van WAN IP-adres wordt gewisseld.
Blijft vaak jaren hetzelfde. Idem bij bijv. Odido en KPN aansluitingen. Zelf gebruik ik al vele jaren gewoon een NL-domein,
wat in het achterliggende portaal bij de serviceprovider m.b.t. die domein administratie is gekoppeld aan het WAN IP-adres.

Alleen bij belangrijke systeem reorganisaties / aanpassingen bij providers en netwerk systemen wordt er van IP-adres gewisseld.
Tenzij je onder een jonger CGNAT systeem bent ondergebracht. Daarvoor kun je een uitzondering voor aanvragen als dat het geval is.

[B3rt]

wat heeft IP wisselingen hiermee te maken?

Bij mij is het geen issue gezien ik bij mijn glas verbinding een vast IP heb en bij de ziggo gebruik ik de DDNS service van synology zelf welke wederom gekoppeld zit (CNAME) aan een eigen domeinnaam.
Ik benader beide locaties puur op domein, gezien het domein niet veranderd heb ik dus geen problemen, maar nogmaals dit hele verhaal van dynamische IP's etc is niet 1 keer ter sprake gekomen, je begint er nu ineens zelf over, dus niet geheel duidelijk wat je ermee wil zeggen of wat het er toe doet met het maken van een VPN tunnel...

Als je echter refereert aan de ziggo IP's in mijn laatste reactie dan ging het over de ip adressen van de **SERVERS** van de ziggogoTV dienst, dus waar de app naar toe verbind als je de app start.  Deze zijn dynamisch en wisselen constant, de app zelf verbind namelijk naar het domein obo-prod.oesp.ziggogo.tv  (en de ip's hiervan wijzigen dus nogal regelmatig).

[Babylonia]

....maar nogmaals dit hele verhaal van dynamische IP's etc is niet 1 keer ter sprake gekomen,

Jawel hoor.  In  reactie #7  breng je dat nota bene zelf te berde:

Als je echter refereert aan de ziggo IP's in mijn laatste reactie dan ging het over de ip adressen van de **SERVERS** van de ziggogoTV dienst,

Maar zo beschreef je dat niet.
Ik vermoed dat de routering waar Birdy naar verwijst betrekking heeft op het LAN netwerk "aan de andere kant".
Dus als je de gegevens voor specifieke apparaten van de router "aan de andere kant" opgeeft van de site-to-site verbinding.

Daarmee loopt de verbinding van specifieke apparaten bij het ene netwerk via VPN naar het andere netwerk en WAN IP-adres van Ziggo.