Help: VPN opzetten met 2 routers

Started by Robinmull112, January 4, 2018, 14:54:14

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Robinmull112

Beste leden,

Ik wil graag een VPN verbinding opzetten met mijn Netgear router, om zo mijn IP camera's en NAS te kunnen benaderen van buitenaf. Helaas lukt dit tot op heden voor geen meter. Allereerst zal ik even de huidige situatie beschrijven.

Ik heb een FritzBox 5490 modem/router van mijn ISP gekregen. Deze krijgt het glasvezel signaal aangeboden en stuurt de IPTV aan. Aan deze FritzBox heb ik een Netgear R8000P router hangen. De reden hiervoor is dat de Netgear veel sneller is en een veel beter bereik heeft. De Netgear is via een LAN kabel aan de UTP2 poort van de FritzBox gekoppeld. Deze LAN kabel is vervolgens op de WAN poort van de Netgear aangesloten. Aan de Netgear router hangen mijn IP camera's en de NAS.

Internetten etcetera gaat prima en erg snel, dus wat dat betreft werkt deze opstelling. Het aanmaken van een VPN verbinding via de Netgear werkt niet. Dit model heeft een ingebouwde VPN functie, maar dat krijg ik met geen mogelijkheid werkend. Ik heb van de ISP een statisch IP adres gekregen en ik heb ook een DDNS account via Netgear aangemaakt, maar beide methodes resulteren niet tot een VPN verbinding met de Netgear. Na contact met Netgear te hebben gehad blijkt dat het probleem ligt in het feit dat de Netgear gekoppeld staat aan de FritzBox en een intern WAN adres krijgt van de FritzBox. Om dit op te lossen moet de FritzBox in bridge mode worden gezet, zodat de Netgear de verbinding naar buiten regelt. Na overleg te hebben gehad met de ISP blijkt dat deze Fritzbox niet in een bridge modus geconfigureerd kan worden.

Na wat verder zoeken blijkt dat de Fritzbox ook een VPN server op kan zetten. Dit was binnen 2 minuten geregeld en werkt. Ik kan nu vanaf buitenaf mijn Fritzbox via een VPN benaderen. Echter kan ik mijn IP camera's en NAS dan niet benaderen, omdat deze aan de Netgear zitten gekoppeld.

Nu vraag ik dus jullie hulp omtrent het opzetten van een VPN verbinding. Naar mijn inziens zijn er 2 manieren om te bereiken wat ik wil, maar ik heb geen idee hoe ik die kan bereiken.
- Een VPN via de Netgear router opzetten, maar op dit moment heb ik geen idee hoe. Niks werkt en blijkbaar is de interne WAN gecreëerd door de FritzBox de boosdoener. Kun je dit omzeilen/oplossen zonder de FritzBox in bridge modus te zetten?

- Via de VPN van de FritzBox een verbinding maken met de Netgear router en zo met de NAS en IP camera's. Misschien kan dit door poorten open te zetten ofzo? of op een andere manier waar ik nu niet vanaf weet.

Ik hoop dat jullie mij kunnen helpen, want ik zie door de bomen het bos niet meer.

Groetjes,

Robin
Bowers & Wilkins 804 D3- HTM1 D3 - DB2D - CCM 663RD | Yamaha CX-A5100 | Rotel RMB-1585 | LG OLED65C8 | Panasonic TX-P50ST60 | Oppo BDP-203 | Audioquest Rocket 88 - Water- King Cobra - Mackenzie - Sub-X  |

activ

Als ik het zo lees dan gebruik je de Netgear eigenlijk als accesspoint, wellicht kun je die dan ook zo instellen? Dat zou je setup wat eenvoudige maken en dus transparanter voor jezelf.
Anders zou je ook poorten kunnen forwarden op de Netgear naar je Camera en Nas, maar eerst door een VPN en dan alsnog met port forwarding (en dus NAT) is waarschijnlijk niet optimaal.

Robinmull112

Quote from: activ on January  4, 2018, 15:29:26
Als ik het zo lees dan gebruik je de Netgear eigenlijk als accesspoint, wellicht kun je die dan ook zo instellen? Dat zou je setup wat eenvoudige maken en dus transparanter voor jezelf.
Anders zou je ook poorten kunnen forwarden op de Netgear naar je Camera en Nas, maar eerst door een VPN en dan alsnog met port forwarding (en dus NAT) is waarschijnlijk niet optimaal.
Bedankt voor je reactie! Toevallig kreeg ik net elders dezelfde tip. Ik ga mij maar eens inlezen hoe ik dat precies kan doen.
Bowers & Wilkins 804 D3- HTM1 D3 - DB2D - CCM 663RD | Yamaha CX-A5100 | Rotel RMB-1585 | LG OLED65C8 | Panasonic TX-P50ST60 | Oppo BDP-203 | Audioquest Rocket 88 - Water- King Cobra - Mackenzie - Sub-X  |

Kjelt

Ik zou je thuisnetwerken splitsen in twee subnets (bv 192.168.0.x.  En 192.168.1.x)
Achter de fritzbox is je DMZ daar hang je alles aan dat je via VPN van buiten wilt benaderen dus je ip cameras, NAS zou ik alleen doen als je de security 100% goed hebt staan. En achter je Netgear router je verdere thuisnetwerk. Voordeel is dat je een extra security layer hebt, mocht je VPN gebroken zijn of je chinese ip camera spyware bevatten ze nog niet bij je thuisnetwerk kunnen.

Robinmull112

Quote from: Kjelt on January  4, 2018, 16:08:12
Ik zou je thuisnetwerken splitsen in twee subnets (bv 192.168.0.x.  En 192.168.1.x)
Achter de fritzbox is je DMZ daar hang je alles aan dat je via VPN van buiten wilt benaderen dus je ip cameras, NAS zou ik alleen doen als je de security 100% goed hebt staan. En achter je Netgear router je verdere thuisnetwerk. Voordeel is dat je een extra security layer hebt, mocht je VPN gebroken zijn of je chinese ip camera spyware bevatten ze nog niet bij je thuisnetwerk kunnen.

Als ik dit doe moet ik toch bijna alle apparatuur op hetzelfde subnet plaatsen? De NAS wordt gebruikt als mediaspeler en deze wordt dan toch enkel 'gezien' door alle mediaspelers als ze in hetzelfde subnet hangen? Tevens gaat de NAS dienen als NVR voor de IP camera's, waardoor deze dan waarschijnlijk ook in hetzelfde subnet moet hangen. Uiteindelijk krijg je dan een situatie waarin alsnog bijna alle apparatuur in hetzelfde subnet (lees: het VPN subnet) zit en dus toegankelijk is van buitenaf.

De security van het netwerk is nog niet optimaal, daar moet ik mij nog in verdiepen. (iemand tips of handige how to's toevallig?)
Bowers & Wilkins 804 D3- HTM1 D3 - DB2D - CCM 663RD | Yamaha CX-A5100 | Rotel RMB-1585 | LG OLED65C8 | Panasonic TX-P50ST60 | Oppo BDP-203 | Audioquest Rocket 88 - Water- King Cobra - Mackenzie - Sub-X  |

Kjelt

Je NAS is wel toegankelijk,  et als dat het internet toegankelijk is, je kunt altijd van binnen naar buiten (als je het vergelijkt met een ui) maar niet van buiten naar binnen.

karotti

heb je in de fritzbox wel een poort open gezet? Hoe heb je de netgear aangesloten?Als dat op de WAN interface is dan heb je nu dubbel nat (pat)  waar woon je?

Robinmull112

Bedankt voor alle hulp! Het is gelukt!
Ik kon de Netgear met 1 knop omzetten van router naar AP.

Nu kan ik alles van buitenaf benaderen met de VPN die ik heb opgezet op de Fritzbox.

Het volgende project is het beter beveiligen van de Fritzbox middels een goede firewall, maar daar moet ik mij nog even goed over inlezen.
Bowers & Wilkins 804 D3- HTM1 D3 - DB2D - CCM 663RD | Yamaha CX-A5100 | Rotel RMB-1585 | LG OLED65C8 | Panasonic TX-P50ST60 | Oppo BDP-203 | Audioquest Rocket 88 - Water- King Cobra - Mackenzie - Sub-X  |

donaldk

Je neem een Netgear, omdat het een betere router is en nu gooi je die router eruit ???.

Robinmull112

Quote from: donaldk on January  6, 2018, 04:37:17
Je neem een Netgear, omdat het een betere router is en nu gooi je die router eruit ???.
Achteraf gezien had ik inderdaad beter voor een los AP kunnen gaan. Ik heb de Netgear primair gekocht omdat ik beter bereik en een sneller netwerk wilde hebben. Beide heb ik nu nog steeds, dus het is zeker geen miskoop geweest.
Bowers & Wilkins 804 D3- HTM1 D3 - DB2D - CCM 663RD | Yamaha CX-A5100 | Rotel RMB-1585 | LG OLED65C8 | Panasonic TX-P50ST60 | Oppo BDP-203 | Audioquest Rocket 88 - Water- King Cobra - Mackenzie - Sub-X  |

WickedGame

Mooi dat het werkt.

Al had ik het persoonlijk anders aangepakt. Dit is wel afhankelijk van je NAS. Maar heb je een QNAP of Synology dan zou ik daarop de VPN draaien. De Fritz in bridge mode zetten en de routerfunctie van de R8000 gebruiken.

Robinmull112

Heb ik ook nog aan gedacht, maar dan heb ik de volgende problemen:
- als er een VPN op de nas zit, kan ik mijn IP cameras niet veilig van buitenaf bekijken. Daarom dat ik nu een vpn op de router heb opgezet.
- de FritBox kan helaas niet in een bridge modus worden gezet. Daarnaast heb ik IPTV en ik zou echt niet weten hoe ik de Netgear moet configuren zodat deze het IpTV signaal kan doorgeven.

Al met al lijkt mij dit de beste oplossing.
Bowers & Wilkins 804 D3- HTM1 D3 - DB2D - CCM 663RD | Yamaha CX-A5100 | Rotel RMB-1585 | LG OLED65C8 | Panasonic TX-P50ST60 | Oppo BDP-203 | Audioquest Rocket 88 - Water- King Cobra - Mackenzie - Sub-X  |

br@m

#12
Quote from: donaldk on January  6, 2018, 04:37:17
Je neem een Netgear, omdat het een betere router is en nu gooi je die router eruit ???.

^^

Een onlogische aanpak.

Wat je ook (mijns inziens beter/logischer) kan doen is je Netgear gewoon de router laten zijn, maar die in de DMZ van de Fritzbox zetten.

Je hoeft dan ook de Fritzbox verder ook niet te beveiligen, je kan gewoon de firewall van je Netgear alles laten afvangen. Als de Fritzbox een firewall heeft ingebouwd (dat verwacht ik wel) is dat verder geen bezwaar omdat je de Netgear in de DMZ hebt staan.

Zo heb ik het gedaan met de ziggo box en mijn Linksys router. Ik heb mijn hele thuis-LAN achter een Linksys router. Die zit als enige aan de Ziggo connect box, in de DMZ.

Ik heb op de Linksys een OpenVPN geconfigureerd en kan zodoende remote mijn hele LAN (achter de Linksys) benaderen.

Je IPTV netwerk kan je nog steeds gewoon aan de Fritzbox hangen.

De reden dat ik het zo heb, is dat ik niet mijn hele LAN in de Ziggo box wil configureren, want als Ziggo dan weer eens met een nieuw kastje komt kan ik alles opnieuw doen. Ik kan nu ook heel makkelijk van ISP wisselen - mijn thuisLAN functioneert volledig onafhankelijk van de router van de ISP.

Just my 2c
B&W 803N | Classé CA-2200 | Classé CP-800ii | Classé CDP-300 / Denon DP-30Lii / HP T610 Daphile

Robinmull112

Ik heb begrepen dat als je de Netgear in de DMZ van de Fritzbox zet, dat dan ook het IPTV gedeelte door de Netgear afgehandeld moet worden?

Mijn voorkeur gaat ook uit om de Netgear als router te gebruiken, maar dan moet ik wel zeker weten dat de IPTV door de Fritzbox afgehandeld blijft worden, anders zit ik zonder tv. Op internet wordt verder beschreven dat het best lastig is om een secundaire router het IPTV gedeelte op te laten pakken en aangezien ik niet zo gek veel verstand heb van netwerken zie ik het niet zitten om zelf van alles te gaan confituren mbt IPTV.
Bowers & Wilkins 804 D3- HTM1 D3 - DB2D - CCM 663RD | Yamaha CX-A5100 | Rotel RMB-1585 | LG OLED65C8 | Panasonic TX-P50ST60 | Oppo BDP-203 | Audioquest Rocket 88 - Water- King Cobra - Mackenzie - Sub-X  |

br@m

Quote from: Robinmull112 on January  8, 2018, 04:04:01
Ik heb begrepen dat als je de Netgear in de DMZ van de Fritzbox zet, dat dan ook het IPTV gedeelte door de Netgear afgehandeld moet worden?

Ik zie geen dwingende reden waarom dat zou moeten. Je kan je IPTV toch gewoon aangesloten laten op de Fritzbox, net zoals je nu hebt?

Maar misschien is er iets wat ik niet weet.
B&W 803N | Classé CA-2200 | Classé CP-800ii | Classé CDP-300 / Denon DP-30Lii / HP T610 Daphile

WickedGame

Quote from: Robinmull112 on January  6, 2018, 20:44:33
Heb ik ook nog aan gedacht, maar dan heb ik de volgende problemen:
- als er een VPN op de nas zit, kan ik mijn IP cameras niet veilig van buitenaf bekijken. Daarom dat ik nu een vpn op de router heb opgezet.
- de FritBox kan helaas niet in een bridge modus worden gezet. Daarnaast heb ik IPTV en ik zou echt niet weten hoe ik de Netgear moet configuren zodat deze het IpTV signaal kan doorgeven.

Al met al lijkt mij dit de beste oplossing.

Hoezo zou er via VPN op de NAS je ip camera's niet meer veilig an buitenaf te bekijken zijn? Enige wat je namelijk openzet is VPN. Vanuit daar ben kan je via de VPN je netwerk door. Zo doe ik het namelijk ook, en dit werkt uitstekend. Gebruik hiervoor de Synology tooling via VPN. En kan de apps via VPN gebruiken. Zonder VPN geen mogelijkheid ;) Dus dat kan prima.

Hmm als de Fritzbox niet in bridge mode kan dan is dat wel vervelend.

Robinmull112

Quote from: br@m on January  8, 2018, 12:24:33
Ik zie geen dwingende reden waarom dat zou moeten. Je kan je IPTV toch gewoon aangesloten laten op de Fritzbox, net zoals je nu hebt?

Maar misschien is er iets wat ik niet weet.
Dat kan, maar als je een DMZ instelt handelt de FritzBox toch geen verkeer meer af? Dus dan zul je ook geen IPTV signaal krijgen toch?

Quote from: WickedGame on January  8, 2018, 12:38:10
Hoezo zou er via VPN op de NAS je ip camera's niet meer veilig an buitenaf te bekijken zijn? Enige wat je namelijk openzet is VPN. Vanuit daar ben kan je via de VPN je netwerk door. Zo doe ik het namelijk ook, en dit werkt uitstekend. Gebruik hiervoor de Synology tooling via VPN. En kan de apps via VPN gebruiken. Zonder VPN geen mogelijkheid ;) Dus dat kan prima.

Hmm als de Fritzbox niet in bridge mode kan dan is dat wel vervelend.
Ik kan de camera's dan toch enkel via DS Surveillance bekijken? Als ik enkel een VPN opzet via de nas, kan ik dan ook alle andere interne apparaten binnen het netwerk bereiken op hun IP adres?
Bowers & Wilkins 804 D3- HTM1 D3 - DB2D - CCM 663RD | Yamaha CX-A5100 | Rotel RMB-1585 | LG OLED65C8 | Panasonic TX-P50ST60 | Oppo BDP-203 | Audioquest Rocket 88 - Water- King Cobra - Mackenzie - Sub-X  |

WickedGame

Quote from: Robinmull112 on January  8, 2018, 15:32:11
Dat kan, maar als je een DMZ instelt handelt de FritzBox toch geen verkeer meer af? Dus dan zul je ook geen IPTV signaal krijgen toch?
Ik kan de camera's dan toch enkel via DS Surveillance bekijken? Als ik enkel een VPN opzet via de nas, kan ik dan ook alle andere interne apparaten binnen het netwerk bereiken op hun IP adres?

Als goed is kan je het gehele netwerk op, die instellingen zijn wel mogelijk. Ben zelf ook nog volop aan het stoeien met VPN, maar tot nu toe kan ik er alles mee bereiken. Zolang je maar op de juiste manier port forwarding toelaat voor VPN en overige dingen die je wilt gaan gebruiken.

Robinmull112

Quote from: WickedGame on January  9, 2018, 11:51:11
Als goed is kan je het gehele netwerk op, die instellingen zijn wel mogelijk. Ben zelf ook nog volop aan het stoeien met VPN, maar tot nu toe kan ik er alles mee bereiken. Zolang je maar op de juiste manier port forwarding toelaat voor VPN en overige dingen die je wilt gaan gebruiken.
Hmm dan loont het de moeite om mij er eens jn te verdiepen. Bedankt voor de tip.
Bowers & Wilkins 804 D3- HTM1 D3 - DB2D - CCM 663RD | Yamaha CX-A5100 | Rotel RMB-1585 | LG OLED65C8 | Panasonic TX-P50ST60 | Oppo BDP-203 | Audioquest Rocket 88 - Water- King Cobra - Mackenzie - Sub-X  |

br@m

#19
Quote from: Robinmull112 on January  8, 2018, 15:32:11
Dat kan, maar als je een DMZ instelt handelt de FritzBox toch geen verkeer meer af? Dus dan zul je ook geen IPTV signaal krijgen toch?

Nee hoor. Een DMZ wil meestal (altijd?) zeggen dat 1 LAN poort kan worden ingesteld als DMZ. Wat je daarop aansluit staat als het ware buiten de firewall van de router. Verder maakt het niks uit.

Je kunt in plaats van een gewone PC ook je netgear router aan de DMZpoort koppelen. Als je het zo doet en je stelt VPN in op je netgear dan moet je denk ik nog wel op de fritzbox de VPN poort (bij openVPN is dat 1194) forwarden naar de netgear.

Je overige LAN poorten op de fritzbox kun je gewoon blijven gebruiken, bijvoorbeeld voor je IPTV decoder of wat dan ook.

B&W 803N | Classé CA-2200 | Classé CP-800ii | Classé CDP-300 / Denon DP-30Lii / HP T610 Daphile

Robinmull112

Quote from: br@m on January  9, 2018, 12:53:35
Nee hoor. Een DMZ wil meestal (altijd?) zeggen dat 1 LAN poort kan worden ingesteld als DMZ. Wat je daarop aansluit staat als het ware buiten de firewall van de router. Verder maakt het niks uit.

Je kunt in plaats van een gewone PC ook je netgear router aan de DMZpoort koppelen. Als je het zo doet en je stelt VPN in op je netgear dan moet je denk ik nog wel op de fritzbox de VPN poort (bij openVPN is dat 1194) forwarden naar de netgear.

Je overige LAN poorten op de fritzbox kun je gewoon blijven gebruiken, bijvoorbeeld voor je IPTV decoder of wat dan ook.
Bedankt voor je reactie! Ik had het anders gelezen/begrepen, dus dit is goed nieuws.
Ik ga mij dan maar eens verdiepen in het opzetten van een DMZ op de Fritzbox.
Bowers & Wilkins 804 D3- HTM1 D3 - DB2D - CCM 663RD | Yamaha CX-A5100 | Rotel RMB-1585 | LG OLED65C8 | Panasonic TX-P50ST60 | Oppo BDP-203 | Audioquest Rocket 88 - Water- King Cobra - Mackenzie - Sub-X  |

Robinmull112

Het is inmiddels gelukt om een VPN op te zetten via de Synology. Je hebt bij het aanmaken van de VPN de mogelijkheid om aan te geven of je ook andere apparaten binnen je LAN wilt kunnen benaderen via de Synology VPN. Dit heb ik uiteraard aangezet en ik kan nu overal bij.

Een voordeel van de Synology VPN t.o.v. de FritzBox VPN is dat de Synology gebruik kan maken van OpenVPN in tegenstelling tot L2TP/IPsec op de Fritzbox. OpenVPN schijnt veiliger/sneller/beter te zijn en ik heb nu ook een sterkere encryption key kunnen kiezen (AES-256-CBC).

Nu is het nog de taak om de Netgear als primaire router in te zetten. Ik kan de Netgear als 'exposed host' instellen op de Fritzbox, waarmee alle poorten worden open gezet. Het resultaat is dat ik dan wel alles moet dichttimmeren in de firewall, iets waar ik nog niet zoveel kennis van heb.
Bowers & Wilkins 804 D3- HTM1 D3 - DB2D - CCM 663RD | Yamaha CX-A5100 | Rotel RMB-1585 | LG OLED65C8 | Panasonic TX-P50ST60 | Oppo BDP-203 | Audioquest Rocket 88 - Water- King Cobra - Mackenzie - Sub-X  |