Het grote VPN topic

[Skank]

Nee, m'n router ondersteund openvpn.
Aanvallen van buitenaf zijn nooit onmogelijk, maar als alles achter een VPN zit, wordt het toch al een heel pak moeilijker

Je kan ook een VPN server op een NAS/server draaien, maar op m'n router vind ik het makkelijkst en betrouwbaarst. Als de stroom eens uitvalt gaat de router altijd terug aan. Servers en nassen blijven uitstaan, maar ik terug opstarten met een WOL ping vanaf de router.

Ik ben ook niet zo'n netwerkkenner...

 

[krikri]

Nee, m'n router ondersteund openvpn.
Aanvallen van buitenaf zijn nooit onmogelijk, maar als alles achter een VPN zit, wordt het toch al een heel pak moeilijker

Misschien best een nieuw topic openen hierover?
Mods, kan je dit bericht splitten en een nieuw topic hiermee openen aub? met als titel VPN opzetten, thx
Doen we daar verder...
Ik ben ook niet zo'n netwerkkenner...

Als niet netwerkenner zal je je goed moeten informeren hoe je alles correct op elkaar afstemd om de zaak veilig te houden. Als ge jwe nas van buitenafbeshikbaar steld betekend dat dat je een opening moet creeeren in je router firewall. De router die je initieel wou kopen van ubiquity is geen spi firewall, maar ne gewone nat,geen enkel bedrijf zou dat toelalen. Ok wij zijn maar particulieren dus dd kans is klein dat ge ooit gehacked gaat worden, maar moeilijk zal hrt volgens mij niet zijn.[/QUOTE]

 

[Skank]

Dus ofwel openvpn op je router (kan mn orange modem/router dit?) ofwel op je server... Hoe doe ik dat dan?

 

[Stiibun]

Geen idee maar twijfel sterk dat dit mogelijk is.

 

[broodro0ster]

Dus ofwel openvpn op je router (kan mn orange modem/router dit?) ofwel op je server... Hoe doe ik dat dan?

Op uwen Orange router zal dat niet gaan vrees ik.

Uw nas kan dat misschien ook, maar ik heb geen ervaring met Unraid.

 

[Stiibun]

krikri , hoe kom je erbij dat de Ubiquiti routers geen SPI firewalls zouden zijn want dat klopt volgens mij niet. Of heb je daar ergens een link van?

 

[jvanhambelgium]

krikri , hoe kom je erbij dat de Ubiquiti routers geen SPI firewalls zouden zijn want dat klopt volgens mij niet. Of heb je daar ergens een link van?

De EdgeRouters zeer zeker wel. (EdgeOS)

 

[Skank]

Op uwen Orange router zal dat niet gaan vrees ik.

Uw nas kan dat misschien ook, maar ik heb geen ervaring met Unraid.

zeker van dat eerste en tweede?

 

[krikri]

krikri , hoe kom je erbij dat de Ubiquiti routers geen SPI firewalls zouden zijn want dat klopt volgens mij niet. Of heb je daar ergens een link van?

Op de website van coolblue, bij features staat er een nat vpn. /nl/product/725136/ubiquiti-unifi-security-gateway.html#product_specifications

Moest het wel kunnen kan je wel een vpn server draaien op de ubiquity maar is me niet duidelijk welk type encryptie ie ondersteund, en eventuele troughput. Er zijn ook nog andere opties in de markt he maar voor een router met vpn mogelijkheid ga je toch snel naar de 200 euro

 

[broodro0ster]

zeker van dat eerste en tweede?

Nee, gokje. Heb nog geen Telenet en Belgacom routers gezien die het kunnen. Met orange heb ik geen ervaring.

Synology kan een VPN sever draaien, dus ik vermoed dat unraid het ook kan. Unraid is tenslotte beter als overpriced synologys he

 

[Joske007]

Ik had vroeger voor mijn 2de Nas Synology enkel als externe Backup bij familie dienden een VPN-tunnel voorzien.
Dat werkte toen toch geheel probleemloos, jammer dat ik die externe Backup nu niet meer heb....stomme Telenet.

 

[broodro0ster]

Ik had vroeger voor mijn 2de Nas Synology enkel als externe Backup bij familie dienden een VPN-tunnel voorzien.
Dat werkte toen toch geheel probleemloos, jammer dat ik die externe Backup nu niet meer heb....stomme Telenet.

Waarom lukt dat niet met Telenet?

 

[Stiibun]

Op de website van coolblue, bij features staat er een nat vpn. /nl/product/725136/ubiquiti-unifi-security-gateway.html#product_specifications

Moest het wel kunnen kan je wel een vpn server draaien op de ubiquity maar is me niet duidelijk welk type encryptie ie ondersteund, en eventuele troughput. Er zijn ook nog andere opties in de markt he maar voor een router met vpn mogelijkheid ga je toch snel naar de 200 euro

VPN server kan je opzetten op de Ubiquiti (let op de i in de naam ) met of wel PPTP (niet aan te raden) of L2TP en je kan zelfs RADIUS server inschakelen op de router. Voor wie daar interesse in heeft, hier een tutorial hoe het kan met de UniFi USG. Die USG kost zeker geen 200€ want voor 115€ moet je deze reeds kunnen vinden.

 

[krikri]

VPN server kan je opzetten op de Ubiquiti (let op de i in de naam ) met of wel PPTP (niet aan te raden) of L2TP en je kan zelfs RADIUS server inschakelen op de router. Voor wie daar interesse in heeft, hier een tutorial hoe het kan met de UniFi USG. Die USG kost zeker geen 200€ want voor 115€ moet je deze reeds kunnen vinden.

Heb je reeds kunnen terugvinden of het nu een router is met acl/natting of toch echt een spi firewall?


Mischien moeten we eens de voor en nadelen van een aantal scenarios oplijsten:

1. Vpn sw op router/firewall
2. Vpn appliance voor router/firewall
3. Vpn appliance achter router/firewall in dmz
4. Vpn sw op nas achter router/firewall

Optie 4 is het minst secure denk ik. Dat zou je toch kunnen vergelijken met een firma die vpn's laat eindigen op een databank, absoluut not done. Nu ja is mischien een beetje beroepsmisvorming;-)

 

[Joske007]

Waarom lukt dat niet met Telenet?

1: Omdat een 10 jaar geleden Telenet steeds zeurde ivm een te hoge down en upload bij een familielid en hierdoor op smalband werd gezet.
2: de modem only werd vervangen door een all in one, hierdoor zat de poort toe....wat later na de Nas weg was, pas gewijzigd werd.
3: enz...

 

[Stiibun]

krikri , wow zoveel kaas van netwerken heb ik nu ook weer niet gegeten Ik weet gewoon dat PPTP voor VPN geen aanrader is wegens niet meer veilig, vandaar ook dat in de laatste versies van Mac OS dit niet meer aanwezig is. Vermoed dat firewall op het eerste punt na de WAN wellicht het beste is, dus firewall op de NAS lijkt me minder goed als ik logisch nadenk omdat de pakketjes dan reeds door een deel van je netwerk zijn gegaan. Of je zou je NAS op een tweede WAN poort van de NAS moeten aansluiten, maar dan nog denk ik dat een firewall op een router altijd beter is ... toch?

Wat de firewall betreft in de UniFi USG voor zover ik kan nagaan na wat zoeken op het internet zou dit een SPI firewall moeten zijn. Is er trouwens een methode om dit na te gaan of een firewall een SPI of ACL/NAT ding is?

 

[Philip]

De UniFi USG heeft zeker een SPI firewall. Dit kan je ook nagaan aan het type rules die je aanmaakt, zoals allow "established en related connections". Dit kan je niet met ACLs.

Sowieso de beste optie is een VPN op je router of via een machine in DMZ. PPTP is te mijden, IPSec en OpenVPN zijn goed.

Thuis maak ik gebruik van L2TP/Ipsec (clients zitten standaard in elk OS, ook de mobiele). De meeste consumer routers (NETGEAR, DLink, Linksys, ...) bieden gewoonlijk een vorm van VPN aan, maar de standaard all-in-one boxes van je provider niet denk ik. IMO als je iets deftigs wil doen moet je altijd voor een modem-only kiezen en daarna alles zelf regelen.

Ik draai zelf RouterOS (Mikrotik), VPN heb je opgezet in no time:

/ip pool add name=default-vpn ranges=192.168.1.90-192.168.1.99
/ip ipsec peer add address=::/0 auth-method=pre-shared-key secret="yoursecret" generate-policy=port-override exchange-mode=main-l2tp nat-traversal=yes generate-policy=port-override enc-algorithm=aes-256,aes-192,aes-128,3des
/ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc
/ppp profile set [ find default=yes ] local-address=192.168.1.1 remote-address=default-vpn use-encryption=yes change-tcp-mss=yes
/ppp secret add name=yourusername password="yourpassword" service=l2tp
/interface l2tp-server server set authentication=mschap2 default-profile=default enabled=yes use-ipsec=yes
/interface l2tp-server add name=l2tp-youruser user=youruser

En bijhorende firewall (volledig voorbeeld):

/ip firewall filter
add action=accept chain=input comment="INPUT - ALLOW established/related" connection-state=established,related in-interface=ether1-gateway
add action=accept chain=input comment="INPUT - ALLOW ICMP" in-interface=ether1-gateway protocol=icmp
add action=accept chain=input comment="INPUT - ALLOW DHCP client" dst-port=68 in-interface=ether1-gateway protocol=udp src-port=67
add action=accept chain=input comment="INPUT - ALLOW L2TP/IPSec" dst-port=500,1701,4500 in-interface=ether1-gateway protocol=udp
add action=accept chain=input comment="INPUT - ALLOW L2TP/IPSec (ESP)" in-interface=ether1-gateway protocol=ipsec-esp
add action=drop chain=input comment="INPUT - DROP" in-interface=ether1-gateway
add action=accept chain=forward comment="FORWARD - ALLOW established/related" connection-state=established,related in-interface=ether1-gateway
add action=drop chain=forward comment="FORWARD - DROP" in-interface=ether1-gateway

/ip firewall nat add action=masquerade chain=srcnat comment="Source NAT" out-interface=ether1-gateway to-addresses=0.0.0.0

 

[Stiibun]

Bedankt voor de bijdrage Philip, Mikrotek was ook een merk waar ik naar gekeken heb maar de controller interface van UniFi overtuigde me toch meer.

 

[krikri]

Bon dan hebben we een concensus.

A. Eenvoudigste oplossing is om de vpn server op je router/firewall te hebben staan. Dit geeft voldoende veiligheid en je moet geen dmz in je netwek creeeren, eenvoudige opstelling dus.

B. Tweede beste optie is een vpn server / appliance achter een firewall te hebben. Voordeel is dat je niet afhankelijk bent van de (beperkte) rekenkracht en mogelijkheden van je firewall. Nadeel is een complexere netwerk setup. Je moet een aparte zone (dmz) in je netwerk creeeren. Deze zone of subnet is dus logisch (vlan) of fysiek (aparte poort op je firewall) gescheiden van je subnet waarin je laptop, nas etc... staan.

C. Vpn server voor firewall kan ook, maar heeft als nadeel dat de data tussn de vpn server en firewall niet ge-encypteerd is. Minder veilig dan situatie B. Deze optie komt minder voor dan B.

D. Vpn eindigen op een nas is niet aan te raden indien er op dezelfde nas ook confidentiele data staat. Wil je dit toch dan kan je beter een aparte nas kopen waarop geen gevoelige data staat, deze nas plaats je dan in de dmz.


Kijk steeds na of je router een goede firewall functionaliteit bied. Een degeljke firewall is in staat om de informatie die hij verwerkt in detail uit te lezen, en op basis van algoritmes kan hij dan bepalen of een bepaalde informatie stroom malafiede is. Dit noemen we een SPI firewall. Ik hou het hier bewust enigzins simpel de realiteit is iets complexer

Latste tip is om op al je toestellen in je netwerk extra firwall sw te instaleren. De meeste antivirus en malware paketten bieden dit aan. Zodoende beschikt elk toestel over zijn eigen beveiging. Je zou dit kunnen vergelijken met niet enkel je voordeur op slot te doen, maar een extra sleutel op elke kamer deur te plaatsen. Alss er iemand in je woning inbreekt heb je nog een extra bescherming.

 

[broodro0ster]

1: Omdat een 10 jaar geleden Telenet steeds zeurde ivm een te hoge down en upload bij een familielid en hierdoor op smalband werd gezet.
2: de modem only werd vervangen door een all in one, hierdoor zat de poort toe....wat later na de Nas weg was, pas gewijzigd werd.
3: enz...

Hmmm, ik heb nu effectief onbeperkt down en upload ‘s nachts bij Telenet, dus in principe kan dat geen probleem meer zijn toch?

Poorten zijn geen probleem meer, ook op de aio boxen. Ik heb ook zo’n aio box, maar mijn eigen router staat gewoon in DMZ. Dat werkt goed op die manier, maar modem only is wel eenvoudiger.