Auteur Topic: l2tp/ipsec met vast IP-adres  (gelezen 6435 keer)

Offline mleferink

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 5
l2tp/ipsec met vast IP-adres
« Gepost op: 12 april 2017, 15:04:37 »
beste,

ik zou graag vaste ip adressen geven aan mijn van clients
ik gebruik zelf l2tp/ipsec

is dit mogelijk? zo ja zou u mij hier een uitleg over kunnen geven?

alvast bedankt. mvg mark

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.951
Re: l2tp/ipsec met vast IP-adres
« Reactie #1 Gepost op: 12 april 2017, 16:45:57 »
Nee dat is niet mogelijk als VPN Client.  Lijkt me trouwens ook niet wenselijk ook.
De ene keer zit je met een laptop of tablet in een restaurant met zijn eigen WiFi en internet adres.
Een andere keer met dezelfde laptop bij familie.  Die heeft ook weer zijn eigen internet adres, beslist anders als van het restaurant.
Zelf maak ik ook wel eens gebruik van mijn smartphone als "WiFi hotspot" op plaatsen waar ik geen WiFi internetconnectie heb.
Ook dat is dan weer een ander WAN-IP adres van de connectie met het mobiele netwerk op dat moment.

Hooguit zou men een connectie kunnen filteren op IP-adres, wie je wel of geen toegang geeft. (Met firewall regels).
Dat werkt alleen als het echt altijd om een vaste connectie gaat.  Maar dat heeft op zichzelf niets met VPN te maken.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline mleferink

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 5
Re: l2tp/ipsec met vast IP-adres
« Reactie #2 Gepost op: 12 april 2017, 17:30:15 »
beste babylonio

ik zal even uitleggen wat mijn bedoeling hiervan is.

ik heb een synology van server hier heb ik 5 clients op aangesloten.

nu wil ik dat de clients allemaal een vast ip adres krijgen van de vpn server zodat wanneer ik bij de shared folders wil ik niet telkens een nieuw ip adres krijg van de vpn server of is er een andere mogelijkheid.

ik gebruik de vpn server puur voor shared folders tussen andere computers op andere netwerken.

groetjes mark

Offline mchp92

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 62
  • -Ontvangen: 290
  • Berichten: 1.467
Re: l2tp/ipsec met vast IP-adres
« Reactie #3 Gepost op: 12 april 2017, 17:52:06 »
Welk probleem wil je oplossen door je plan om vpn clients altijd een zelfde vpn ip toe te kennen? En op basis waarvan?
Ik twijfel (maar ben niet zeker) of mac adres beschikbaar is op dit nivo. Mac adres is waaraan binnen ethernet (je lan) een vast ip kan worden gekoppeld


Sent from my iPhone using Tapatalk
  • Mijn Synology: DS213j
  • HDD's: 2x Seagate 4TB

Offline mleferink

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 5
Re: l2tp/ipsec met vast IP-adres
« Reactie #4 Gepost op: 12 april 2017, 18:16:45 »
wat ik wil is: de clients staan altijd aan, dus ook altijd verbonden met de vpn server
op elke client staat een shared folder die ik ten alle tijde vanaf 1 van de clients wil kunnen benaderen.

wat ik doe vanaf 1 van de clients ( mijn computer thuis ) is \\ipadres\gedeeldemap

op deze manier zie ik de bestanden in deze map.
als het ip adres van die clients steeds veranderd moet ik steeds opnieuw kijken wat het ip adres van de client is als ik de gedeelde map wil benaderen. mijn id was dus elke client een vast ip adres geven en probleem opgelost

of is hier een andere manier voor ?

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.951
Re: l2tp/ipsec met vast IP-adres
« Reactie #5 Gepost op: 12 april 2017, 19:24:00 »
Nee, je hoeft helemaal niet telkens naar een IP-adres te kijken?
Voor mezelf, waar ik ook ben (restaurant, trein, familie, kennissen), als ik een connectie maak via VPN (en mijn accountgegevens zijn opgeslagen) naar mijn VPN-server thuis heb ik direct contact met de NAS en shared folders.

Als je bang bent dat je eigen WAN-IP adres thuis te vaak verandert om van elders een geldige connectie met thuis te kunnen maken, kun je een DDNS-domein gebruiken van Synology om in een VPN profiel van je Client te zetten. Blijft het altijd up-to-date.

Alleen, daar zit misschien het verschil?  Ik laat vanuit een Client die VPN-verbinding nooit continue open staan.
Als ik klaar ben met de werkzaamheden, sluit ik de verbinding af.  Kom ik ergens anders, met een andere WiFi-verbinding of what-ever, en ga ik daar weer aan de gang, maak ik opnieuw connectie en werkt het weer, met een ander WAN-IP adres wat ter plekke geldt.
Hoe moeilijk of makkelijk wil je het maken?
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline mchp92

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 62
  • -Ontvangen: 290
  • Berichten: 1.467
Re: l2tp/ipsec met vast IP-adres
« Reactie #6 Gepost op: 12 april 2017, 20:46:11 »
Zoals ik t verhaal van mark lees, wil hij folders op schijven in de vpn clients kunnen benaderen vanaf de andere vpn clients
Waarom dit moet en niet anders kan , is nog steeds niet helder


Sent from my iPhone using Tapatalk
  • Mijn Synology: DS213j
  • HDD's: 2x Seagate 4TB

Offline mleferink

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 5
Re: l2tp/ipsec met vast IP-adres
« Reactie #7 Gepost op: 12 april 2017, 21:24:17 »
oke ik zal de situatie zo goed mogelijk proberen uit te leggen.

ik hoop dat jullie / er iemand is die een oplossing voor mij heeft, mischien ook wel totaal iets anders dan ik in gedacht had.

het verhaal is als volgt.

de clients die ik in mijn vorige reacties beschreef zijn kassa computers die op verschillende locaties (steden) staan.
ik wil graag dat alle kassa's "de clients" een vaste VPN verbinding hebben zodat ik vanuit mijn thuis pc "ook een client" ten alle tijde de shared folders van de kassa pc's kan inzien. dit wil ik graag omdat ik vanuit huis de kassa's wil kunnen beheren.

de synology vpn server staat in 1 van de winkels.

ik heb een netwerkschets gemaakt zodat jullie een klein beetje kunnen zien hoe de situatie is.

nog mooier zou zijn als alle pc's zijn verbonden met de vpn server ik de pc's kan zien in "deze computer / netwerk" zoals dit bij een normale lan wel het geval is.

ik hoop dat iemand mij hier mee verder kan helpen.
ik ben er zelf al weken mee gezig maar kom er gewoon weg niet meer uit.

groetjes mark.

32508-0

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.951
Re: l2tp/ipsec met vast IP-adres
« Reactie #8 Gepost op: 12 april 2017, 22:12:24 »
OK.  Is een heel andere situatie, dan gedacht.

- De kassa's staan op een vaste plek, hebben als Client continue verbinding met de VPN-server vanuit een vast WAN IP-adres.
- Als "admin gebruiker" heb jij ook toegang tot de VPN-server en zou je alle data op die VPN-server moeten kunnen inzien.

Ik weet niet hoe de data op de VPN-server telkens wordt aangepast naar de nieuwste mutaties, en in welk data-formaat, maar in principe met de juiste rechten zou je de data op de NAS wel gewoon moeten kunnen raadplegen. (Uitlezen).
Komt de data van al die kassa's bij elkaar op één share of zijn het separate shares per winkel?
's avonds, als winkels gesloten zijn en er geen mutaties meer plaatsvinden, zou je zelf ook nog aanvullende mutaties kunnen verrichten op de data op de NAS. (Om bijv. totaal-omzet uit te laten rekenen, en de boekhouding voor die dag af te sluiten ??).

Het werkt alleen niet op die manier dat jij als Client toegang heb tot de kassa's (kassa PC's) in de winkels zelf.
Dat zou een  Client <---> Client  indeling zijn.  Dus moet je daar andere aanvullende services voor instellen.
Is dat ook een van de opties die je nastreeft?

Kun je vanuit deze positie weer iets meer info geven in de opzet en wat je wilt?
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: l2tp/ipsec met vast IP-adres
« Reactie #9 Gepost op: 12 april 2017, 23:04:05 »

Je wilt dus van client naar client kunnen verbinden.
Hiero geen ervaring met L2TP/IPSec, wel met OpenVPN.

Welk besturingssysteem draait er op de kassa`s?
Wat doe je verder nog met de NAS, puur opslag.....?

Met OpenVPN is dit mogelijk maar om vaste VPN-IP`s aan client`s toe te wijzen moet er onder de kap wat geconfigureerd worden.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline mleferink

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 0
  • Berichten: 5
Re: l2tp/ipsec met vast IP-adres
« Reactie #10 Gepost op: 12 april 2017, 23:48:12 »
de kassa's staan idd op een vaste plek
de vpn server heeft idd een vast wan ip adres ( zakelijk internet abbo, hier krijg ik een vast wan ip bij )

het betreft hier seperaded shared folders. de data blijft op de kassa staan, deze wil ik gewoon vanuit huis kunnen openen.
het is inderdaad de bedoelding als savonds de winkels gesloten zijn ik de dag kan afsluiten en een dagstaat kan uitprinten.

Citaat
Met OpenVPN is dit mogelijk maar om vaste VPN-IP`s aan client`s toe te wijzen moet er onder de kap wat geconfigureerd worden.

ik heb openvpn server ingesteld om te testen. hier heb ik het inderdaad voor elkaar gekregen om clients vaste ipadressen te geven.
alleen heb ik hier een paar problemen mee.

mijn thuis pc kan wel inloggen maar 2 andere pc's op verschillende locaties lukken niet.
ik zal voor de zekerheid een screenshot toevoegen van de openvpn server en de config files van de clients
ik hoop dat jullie mij hier mee kunnen helpen.

de kassa's draaien allemaal op windows 7 embedded.
mijn thuis pc en backoffice in 1 van de winkels draaien windows 10 pro

Wed Apr 12 17:10:56 2017 OpenVPN 2.4.1 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Mar 22 2017
Wed Apr 12 17:10:56 2017 Windows version 6.2 (Windows 8 or greater) 64bit
Wed Apr 12 17:10:56 2017 library versions: OpenSSL 1.0.2k  26 Jan 2017, LZO 2.09
Enter Management Password:
Wed Apr 12 17:11:04 2017 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Wed Apr 12 17:11:04 2017 TCP/UDP: Preserving recently used remote address: [AF_INET]192.168.178.100:1194
Wed Apr 12 17:11:04 2017 Attempting to establish TCP connection with [AF_INET]192.168.178.100:1194 [nonblock]
Wed Apr 12 17:11:05 2017 TCP connection established with [AF_INET]192.168.178.100:1194
Wed Apr 12 17:11:05 2017 TCP_CLIENT link local: (not bound)
Wed Apr 12 17:11:05 2017 TCP_CLIENT link remote: [AF_INET]192.168.178.100:1194
Wed Apr 12 17:11:05 2017 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Wed Apr 12 17:11:05 2017 [synology.com] Peer Connection Initiated with [AF_INET]192.168.178.100:1194
Wed Apr 12 17:11:06 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Wed Apr 12 17:11:06 2017 WARNING: INSECURE cipher with block size less than 128 bit (64 bit).  This allows attacks like SWEET32.  Mitigate by using a --cipher with a larger block size (e.g. AES-256-CBC).
Wed Apr 12 17:11:06 2017 WARNING: cipher with small block size in use, reducing reneg-bytes to 64MB to mitigate SWEET32 attacks.
Wed Apr 12 17:11:06 2017 open_tun
Wed Apr 12 17:11:06 2017 TAP-WIN32 device [Ethernet 3] opened: \\.\Global\{23DFE095-B43A-4B03-A34C-AA64F6A6F7F7}.tap
Wed Apr 12 17:11:06 2017 Notified TAP-Windows driver to set a DHCP IP/netmask of 192.168.30.14/255.255.255.252 on interface {23DFE095-B43A-4B03-A34C-AA64F6A6F7F7} [DHCP-serv: 192.168.30.13, lease-time: 31536000]
Wed Apr 12 17:11:06 2017 Successful ARP Flush on interface [4] {23DFE095-B43A-4B03-A34C-AA64F6A6F7F7}
Wed Apr 12 17:11:06 2017 do_ifconfig, tt->did_ifconfig_ipv6_setup=0
Wed Apr 12 17:11:41 2017 Warning: route gateway is not reachable on any active network adapters: 192.168.30.13
Wed Apr 12 17:11:41 2017 Warning: route gateway is not reachable on any active network adapters: 192.168.30.13
Wed Apr 12 17:11:41 2017 Warning: route gateway is not reachable on any active network adapters: 192.168.30.13
Wed Apr 12 17:11:41 2017 Warning: route gateway is not reachable on any active network adapters: 192.168.30.13
Wed Apr 12 17:11:41 2017 Warning: route gateway is not reachable on any active network adapters: 192.168.30.13
SYSTEM ROUTING TABLE
0.0.0.0 0.0.0.0 192.168.178.1 p=0 i=9 t=4 pr=3 a=229107 h=0 m=291/0/0/0/0
127.0.0.0 255.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=2 a=229109 h=0 m=331/0/0/0/0
127.0.0.1 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=229109 h=0 m=331/0/0/0/0
127.255.255.255 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=229109 h=0 m=331/0/0/0/0
169.254.0.0 255.255.0.0 169.254.159.128 p=0 i=4 t=3 pr=2 a=229016 h=0 m=291/0/0/0/0
169.254.159.128 255.255.255.255 169.254.159.128 p=0 i=4 t=3 pr=2 a=229016 h=0 m=291/0/0/0/0
169.254.255.255 255.255.255.255 169.254.159.128 p=0 i=4 t=3 pr=2 a=229016 h=0 m=291/0/0/0/0
192.168.178.0 255.255.255.0 192.168.178.101 p=0 i=9 t=3 pr=2 a=229104 h=0 m=291/0/0/0/0
192.168.178.100 255.255.255.255 192.168.178.1 p=0 i=9 t=4 pr=3 a=0 h=0 m=291/0/0/0/0
192.168.178.101 255.255.255.255 192.168.178.101 p=0 i=9 t=3 pr=2 a=229104 h=0 m=291/0/0/0/0
192.168.178.255 255.255.255.255 192.168.178.101 p=0 i=9 t=3 pr=2 a=229104 h=0 m=291/0/0/0/0
224.0.0.0 240.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=2 a=229109 h=0 m=331/0/0/0/0
224.0.0.0 240.0.0.0 169.254.159.128 p=0 i=4 t=3 pr=2 a=229107 h=0 m=291/0/0/0/0
224.0.0.0 240.0.0.0 192.168.178.101 p=0 i=9 t=3 pr=2 a=229107 h=0 m=291/0/0/0/0
255.255.255.255 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=229109 h=0 m=331/0/0/0/0
255.255.255.255 255.255.255.255 169.254.159.128 p=0 i=4 t=3 pr=2 a=229107 h=0 m=291/0/0/0/0
255.255.255.255 255.255.255.255 192.168.178.101 p=0 i=9 t=3 pr=2 a=229107 h=0 m=291/0/0/0/0
SYSTEM ADAPTER LIST
Realtek PCIe GBE Family Controller
  Index = 9
  GUID = {948D1B12-47E5-4A1D-B2FD-D4E0C1D5C303}
  IP = 192.168.178.101/255.255.255.0
  MAC = 0c:54:a5:16:b3:23
  GATEWAY = 192.168.178.1/255.255.255.255
  DNS SERV = 89.101.251.228/255.255.255.255 89.101.251.229/255.255.255.255
TeamViewer VPN Adapter
  Index = 13
  GUID = {BB9E9E83-958B-4300-85EC-3081806C1261}
  IP = 0.0.0.0/0.0.0.0
  MAC = 00:ff:bb:9e:9e:83
  GATEWAY = 0.0.0.0/255.255.255.255
  DHCP SERV = 
  DHCP LEASE OBTAINED = Wed Apr 12 17:11:41 2017
  DHCP LEASE EXPIRES  = Wed Apr 12 17:11:41 2017
  DNS SERV = 
TAP-Windows Adapter V9
  Index = 4
  GUID = {23DFE095-B43A-4B03-A34C-AA64F6A6F7F7}
  IP = 169.254.159.128/255.255.0.0
  MAC = 00:ff:23:df:e0:95
  GATEWAY = 0.0.0.0/255.255.255.255
  DHCP SERV = 0.0.0.0/255.255.255.255
  DHCP LEASE OBTAINED = Wed Apr 12 17:11:41 2017
  DHCP LEASE EXPIRES  = Wed Apr 12 17:11:41 2017
  DNS SERV = 
Ralink RT5390R 802.11bgn Wi-Fi Adapter
  Index = 20
  GUID = {E6AE3D36-B1B7-40E3-9754-C7C1B57BCF32}
  IP = 0.0.0.0/0.0.0.0
  MAC = 48:5a:b6:4e:49:87
  GATEWAY = 0.0.0.0/255.255.255.255
  DHCP SERV = 
  DHCP LEASE OBTAINED = Wed Apr 12 17:11:41 2017
  DHCP LEASE EXPIRES  = Wed Apr 12 17:11:41 2017
  DNS SERV = 
Microsoft Wi-Fi Direct Virtual Adapter
  Index = 15
  GUID = {C29C0E13-7F35-474A-8C9F-7E072C124BE7}
  IP = 0.0.0.0/0.0.0.0
  MAC = 48:5a:b6:4e:49:81
  GATEWAY = 0.0.0.0/255.255.255.255
  DHCP SERV = 
  DHCP LEASE OBTAINED = Wed Apr 12 17:11:41 2017
  DHCP LEASE EXPIRES  = Wed Apr 12 17:11:41 2017
  DNS SERV = 
Wed Apr 12 17:11:41 2017 Initialization Sequence Completed With Errors ( see http://openvpn.net/faq.html#dhcpclientserv )
Wed Apr 12 17:11:41 2017 Connection reset, restarting [-1]

ik vind het heel erg vreemd dat mijn thuis pc zonder problemen kan connecten
ik heb de zelfde config files gekopieerd naar mijn andere clients maar deze krijg ik gewoon niet connected

de logfile die ik hier gepost heb is van de computer die in het zelfde netwerk staat als de vpn server.
vandaar dat het server ipadres het lokale "192.168.178.100" heb gemaakt.

maar ook een andere client met exact de zelfde config als mijn thuis pc kan geen verbinding maken.

alvast bedankt voor jullie hulp

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.951
Re: l2tp/ipsec met vast IP-adres
« Reactie #11 Gepost op: 15 april 2017, 07:04:50 »
Om makkelijker en sneller de probleemstelling te doorgronden hebben @mleferink en ik via persoonlijk bericht met elkaar contact opgenomen en privé wat zaken doorgesproken.

Met de informatie en het plaatje uit het eerdere bericht < HIER > als leidraad is in het kort de probleemstelling als volgt:

Alle "Kassa PC's" hebben via VPN verbinding met de VPN-server.  Daarnaast nog een "thuis PC" om de Kassa PC's te kunnen controleren.
(Dus NAS fungeert alleen als VPN-server. Er wordt geen data van de Kassa PC's rechtstreeks naar de NAS geschreven).
Omdat daarbij het lokale netwerk waar de VPN-server zich bevindt zich praktisch gezien via de VPN-tunnels zich uitstrekt tot aan elke Kassa PC en Thuis PC, zouden in principe de apparaten onderling ook contact moeten kunnen leggen. Dus een Client naar Client verbinding.

Zie het als een soort van "ster" verbinding, of de armen van een Octopus (maar dan slechts met 5 armen).
Het centrum is de VPN-server, waarbij de verbinding loopt van de ene Client via de VPN-server naar de andere Client.

Ik ben eerst zelf aan de gang gegaan om dit op kleine schaal zoveel als mogelijk na te bootsen en te testen.
Dat een Client naar Client verbinding IMO mogelijk zou kunnen zijn is n.a.v. mijn eerdere ervaring zoals beschreven  < HIER >
En dan met name vanaf de 3e alinea.

Met dat uitgangspunt heb ik de volgende test gedaan met OpenVPN:
  • De thuis situatie hier is met twee routers achter elkaar NAT achter NAT, met de 2e router in mijn geval als VPN-server.
  • "Buiten" het sub-net van de 2e router, op het sub-net van de 1e router (is nog vóór de WAN van de 2e router),
    een PC aangesloten, en connectie gelegd vanuit die PC via VPN met de VPN-server op de 2e router.
    Op die wijze wil ik een "externe" VPN Client nabootsen. Niet helemaal kloppend, omdat het nog wel steeds een thuisnetwerk betreft.
    Maar vanuit de gedachte dat de PC vóór de WAN zit, zou het IMO niet wezenlijk verschillend zijn met een echt extern IP netwerk.
  • Laptop via WiFi hotspot van smartphone en mobiel 3G netwerk een externe connectie gelegd met de VPN-server thuis.
    En vanuit die laptop via VPN, uiteindelijk verbinding leggen met de PC aangesloten op die 1e router.

Als schema loopt de datastroom dan als volgt:

Laptop VPN Client 1 -----> WiFi Hotspot smartphone -----> 3G internet -----> WAN 1e router -----> WAN 2e router **VPN-server**
                                                                                                                                                            <----------------- **VPN-server**
                                                         PC VPN Client 2 aangesloten met  <----- LAN  1e router <------------------------- **VPN-server**

En dat werkt !!!  Dus vanuit Client 1 naar Client 2

Om er zeker van te zijn dat het laatste stukje "terug" vanuit de VPN-server naar Client 2 niet vanuit een "gewone" LAN connectie plaats heeft, maar vanuit een VPN-connectie, heb ik tevens de connectie geprobeerd met het virtuele VPN IP-adres wat op die wijze van toepassing is.
(In mijn geval met een IP-adres uit de 10.30.0.x reeks).
Vanuit Client 2 en opdrachtprompt/uitvoeren met  cmd ----> ipconfig /all    kon het gebruikte virtuele VPN IP-adres worden uitgelezen.
Dat adres gaf ik vervolgens in op de PC Client 1, met de verkenner bij "deze computer" onder netwerk \\10.30.0.x
Normaal gezien gebruik je het "gewone" LAN IP-adres van PC (of NAS) om daar op uit te komen.
(Dat zijn daarbij ook vaste IP-adressen, wat bij de virtuele adressen niet het geval is).

Vanuit dit resultaat zouden we nog een aanvullende test kunnen doen met @mleferink om volledig "echte" externe Clients in te zetten, maar ik denk dat hij met deze gegevens en de volgende aanwijzingen waar nog extra op te letten, hij dat nu zelf ook binnen de locaties kan uittesten.
Ik ben benieuwd wat eruit komt?

Waar op te letten ?
  • Gebruik verschillende sub-nets in de routers bij elke locatie van een winkel. Aanwijzingen zie  < HIER >  en  < HIER >
  • Stel voor elke Kassa PC en de thuis PC een vast IP-adres in.
  • Om "gewoon" internetverkeer van alle winkels NIET via de VPN-server te laten lopen, (denk ook aan bijv. connectie van pinpas betalingen,
    anders wordt dat mogelijk een te zware belasting voor de internetconnectie waar de VPN-server staat opgesteld),
    stel het OpenVPN configuratiescherm zodanig op, dat alleen voor connectie met de andere Client of met de NAS dat via VPN-gaat.
  • Ten aanzien stabiliteit :!: van de "TAP-windows" virtuele netwerk-adapter van OpenVPN software zie volgende reactie < HIER >
  • Mogelijk worden door (Windows) firewalls andere netwerk IP's geblokt. Bij geen verbinding, tijdelijk als test de firewall uitschakelen.

Als voorbeeld keuze aan IP netwerken en adressen:

                 Thuis  PC    -------> sub-net 192.168.100.x -----> vast IP voor   Thuis  PC   192.168.100.10
Winkel 1 - Kassa PC 1 -------> sub-net 192.168.10.x -------> vast IP voor Kassa PC 1 192.168.10.101
Winkel 2 - Kassa PC 2 -------> sub-net 192.168.20.x -------> vast IP voor Kassa PC 2 192.168.20.102
Winkel 3 - Kassa PC 3 -------> sub-net 192.168.30.x -------> vast IP voor Kassa PC 3 192.168.30.103
Winkel 4 - Kassa PC 4 -------> sub-net 192.168.40.x -------> vast IP voor Kassa PC 4 192.168.40.104


Het gedeelte van het OpenVPN configuratiebestand om het "normale" internetverkeer via de eigen aansluitingen te laten verlopen:

#redirect-gateway def1

Voorbeeld van compleet OpenVPN configuratiebestand waarbij het certificaat zelf niet inclusief in het configuratiebestand wordt opgenomen maar als los certificaat.  (Zo is deze code opgesteld). Tekst tussen rechte haken [ ] voor eigen situatie in de vullen.

dev tun
tls-client

remote [domeinnaam internetconnectie VPN-server of WAN IP-adres] 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

dhcp-option DNS 74.82.42.42
dhcp-option DNS 208.67.220.220
dhcp-option DNS 8.8.4.4
dhcp-option DNS 129.250.35.250

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2

ca [bestandsnaam certificaat herkenbaar als VPN-profiel].crt

#comp-lzo

reneg-sec 0

# WARNING: this configuration may cache passwords in memory     <---- waarschuwing komt terug
#       -- use the "auth-nocache" option to prevent this        <---- in de logfiles van OpenVPN Client
auth-nocache

auth-user-pass

Succes, Babylonia@
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline aliazzz

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 164
  • Berichten: 1.368
  • Yum yum brains...
Re: l2tp/ipsec met vast IP-adres
« Reactie #12 Gepost op: 15 april 2017, 09:24:34 »
Je mag babylonia wel even heel heel heel heel erg bedanken zo te lezen, hulde! :thumbup:
NUC: Intel N5105 4x2.5Gbit, 32GB Ram, Proxmox
Workstation: HP Proliant DL360 Gen9 2*XEON E5-2697A V4
256GB RAM, 20TB RAID5 SSD Cluster, Proxmox

DS415+ 4*4TB SHR5 Btrfs, 8 GB RAM
DS1515+ 5*3TB SHR5 Btrfs 16 GB RAM
DX513 4*6TB SHR5 Btrfs
DS118 8TB
RT6600ax meshed 3x MR2200ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 904
  • -Ontvangen: 1482
  • Berichten: 7.951
Re: l2tp/ipsec met vast IP-adres
« Reactie #13 Gepost op: 15 april 2017, 10:50:00 »
Ik vind het een heel interessante case om uit te proberen, maar we zijn er kennelijk nog niet.   :o

Vanuit dit resultaat zouden we nog een aanvullende test kunnen doen met @mleferink om volledig "echte" externe Clients in te zetten,......

Want die situatie heb ik nog niet uit kunnen testen. Dus vanuit twee clients echt helemaal "extern" naar een VPN-server "elders", en of er  dan nog steeds een connectie mogelijk is met twee clients?

Zojuist heb ik het namelijk andersom geprobeerd, vanuit mijn PC "thuis" en dan naar de laptop die verbonden is met de WiFi hotspot van de smartphone. (Met de gegevens verkregen via cmd ----> ipconfig /all vanuit de labptop).  Maar dat is me nog niet gelukt, terwijl ik eigenlijk vanuit dat zelfde idee ook had verwacht dat het zou werken?? Dus er zitten nog wel kinken in de kabel.

Dus maar even afwachten op een reactie van @mleferink of we dan toch niet samen op "vaste verbinding" niveau een test kunnen doen.
Van wat ik me nog dacht te herinneren had hij het met twee clients onder het L2TP/IPSec protocol nog wel kunnen bewerkstelligen, maar stokte het met de andere Kassa PC's ??
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: l2tp/ipsec met vast IP-adres
« Reactie #14 Gepost op: 15 april 2017, 14:27:39 »
Citaat
Maar dat is me nog niet gelukt, terwijl ik eigenlijk vanuit dat zelfde idee ook had verwacht dat het zou werken??
Voor OpenVPN, jou test en ook @mleferink
Die PC weet niet waar 10.30.0.0/24 te vinden is en stuurt het dan naar zijn default gateway, waarschijnlijk je router.
De router weet dat subnet echter ook niet te vinden dus laat die de pakketjes gewoon vallen.

Er zijn verschillende oplossingen waarvan hier twee die het eenvoudigst in te stellen zijn:
1.
Static route in de router:
Netwerk: 10.30.0.0 255.255.255.0 (/24) (het VPN subnet)
Gateway: LAN-IP-NAS
In OpenVPN op de NAS dient echter wel "Clients toegang geven LAN" aangevinkt te zijn.
Op deze wijze zou het 10.30.0.0/24 netwerk voor alle apparaten op het PC LAN bereikbaar moeten zijn.

2.
Per host een route toevoegen.
Op je PC
route ADD 10.30.0.0 MASK 255.255.255.0 LAN-IP-NASin cmd.
Om die route permanent te maken:
route -p ADD 10.30.0.0 MASK 255.255.255.0 LAN-IP-NASOp deze wijze heeft slechts de PC toegang tot het VPN subnet.

Echter:
De IP`s die clients toegewezen krijgen zijn daarmee nog niet vast, gebeurt nog steeds d.m.v. DHCP op de server.
Dit gaat ook niet met de standaard configuratie en meerdere clients, daarvoor is een op per client certificaat gebaseerde configuratie benodigd.
Edit: Het is eigenlijk wel mogelijk maar in deze situatie zou ik bovenstaande doen i.v.m. veiligheid. Synology doet n.l. alleen een check op gebruikersnaam en wachtwoord, tenminste zou ik nog een certificaat aan gebruikers koppelen.

client-to-client (tussen VPN clients) communicatie is daarmee nog niet mogelijk.
Bedenk wel dat met client-to-client de kassa`s en PC elkaar kunnen "zien" en welke gevolgen dat eventueel kan hebben.
Ransomware en netwerk shares..... Zorg i.i.g. voor een goede Antivirus op alle apparaten.

In deze situatie zou ik OpenVPN: Beter beveiligen als leesvoer/deel van de oplossing aanraden omdat het hier over 24/7 verbinding gaat.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp


 

VPN Server L2TP instellingen overbrengen naar iPhone

Gestart door jpdsBoard VPN Server

Reacties: 9
Gelezen: 2780
Laatste bericht 03 juli 2017, 21:55:59
door jpds
VPN L2TP verbreekt automatisch

Gestart door dirklammersBoard VPN Server

Reacties: 6
Gelezen: 2556
Laatste bericht 26 november 2017, 17:47:32
door dirklammers
kan regelmatig niet verbinden met Ipad via L2TP

Gestart door canedjeBoard VPN Server

Reacties: 7
Gelezen: 2017
Laatste bericht 02 december 2017, 18:21:40
door hanspaint
L2TP VPN opzetten lukt niet (UPC)

Gestart door ronnyrrBoard VPN Server

Reacties: 16
Gelezen: 6372
Laatste bericht 30 augustus 2015, 20:41:10
door Tino
L2TP instellen

Gestart door crazykeBoard Mac OS X

Reacties: 2
Gelezen: 2150
Laatste bericht 17 september 2016, 19:36:55
door Briolet