Ik zoek router to router VPN apparatuur en configuratie..

[rlckring]

Beste lezers..

 

Ik ben op zoek naar een router maar aangezien er zo veel te kiezen valt kom ik er niet meer uit welke te kiezen.

 

Voor een projectje met 3 personen ben ik op zoek naar 3 routers.

Alle 3 de personen hebben een adsl aansluiting.

Mijn idee was om een router te nemen die gewoon via de wan poort (ethernet) een ipaddres krijgt van de huidige adsl-router-switch, waar door je dus gewoon kan internetten met die nieuwe router maar dan op een ander intern netwerk.

 

En dan..

Vanaf die niewue router moet dan een VPN tunnel gelegd worden naar die andere routers zodat we met z'n 3en een intern netwerk hebben maar dan op verschillende locaties.

 

Idee is, om er geen computers er voor in te richten. Maar alles via de door jullie aan te bevelen routers..

 

Is zoiets goedkoop te realiseren??

 

Bedankt...

[Tonskidutch]

how-to-vpn-firewall op internet te vinden

 

Citaat:

Figure 2: Linksys BEFSR41 VPN Port forwarding

 

PPTP also needs IP protocol 47 (Generic Routing Encapsulation) for the VPN data traffic itself, but note that this is a required protocol, not a port. The ability to handle this protocol must be built into the router's NAT "engine" - which is true of most present-generation routers.

bron Tomsguide.

 

niet alle routers kunnen dat en bij firmware upgrades kan het ook weer helemaal eraan liggen of de functionaliteit overgenomen wordt.

 

bovenstaande Linksys had ik al eens zien draaien bij een collega bureau.

 

chiao

[rlckring]

hey Tonsk..

 

Die BEFSR41 ondersteund alleen VPN passthrough, dus als je met je windows dialup een VPN op wilt zetten.

En die poort moet je open zetten als je achter die BEFSR41 een VPN server zet.

 

Mijn idee is dat die router dat moet doen, die routers (3 stuks) moet onderling een VPN op zetten..

[Tonskidutch]

aha,

zo iets als wat de watchguard firebox doet/kan

dat is tering duur.

 

Citaat:

Firebox™ X Edge beveiligingsapparatuur zorgen voor een krachtige netwerkbeveiliging met een ongekend gebruiksgemak voor kleine bedrijven en externe vestigingen. Of het nu wordt gebruikt als zelfstandig geïntegreerd beveiligingsapparaat of als een VPN-eindpunt, de Edge biedt de modernste firewall, filtering, VPN en URL filtering. Onze nieuwe Firebox X Edge e-Series reeks bevat ook geavanceerde netwerk- en verkeersbeheersmogelijkheden om de configuratie van het netwerk te maximaliseren. Firebox X Edge-apparatuur wordt zowel in bedrade als draadloze vorm geleverd om aan uw specifieke netwerkbehoeften tegemoet te komen.

bron watchguard

chiao

[Gast AlanS]

Ik gebruik voor mijn vpn verbinding Vigor Draytek routers.

Ook de oudere versies ondersteunen VPN en dat werkt bij mij al jaren zonder problemen. Dus het kan goedkoop. Alleen kunnen de oudere routers van Draytek niet de nieuwe hoge adsl snelheden aan dan krijg je dus snelheidsverlies..

[rlckring]

Na wat speurwerk ben ik ook op die DrayTek Vigor 2200E uitgekomen..

Maar waarom zou die dan niet de volle bandbreedte niet kunnen benutten. Het is toch gewoon lan dus 100Mbit. Mijn adsl verbinding is dan de lijdende factor hier welke dan wel lager is maar die wan poort op de router zelf is toch 100mb..

[rlckring]

We hebben gekozen voor de Linksys WRV200.

Is een leuk draadloos apparaat die ook nog vlan's kan maken met verschillende ssid's. En geschikt voor 10 ipsec tunnels.

Kunnen we een full mesh router to router VPN opbouwen..

 

Erg gaaf dat linksys spul.

 

[rlckring]

Het valt allemaal niet mee hoor.

Krijg het niet aan de praat..

 

Situatie met IKE - IPSEC

 

WRV200 ->> NAT ->> Internet ->> NAT ->> WRV200

 

NAT is hier dus een adsl modem met een external ip op de WAN die dan interne adressen uitdeeld../

 

Iemand meer sysco expertise..

[Gast AlanS]

Aangezien je vraag een geheel andere wending krijgt denk ik dat je beter een nieuwe topic kan openen waar je de problemen goed uitlegt.

 

Gebruik daar een duidelijk onderwerp des te meer kans op goede hulp.

 

[Mennowz]

Hallo Rick,

 

deze setup is ook niet aanbevolen.

 

IPSEC met NAT (en dan site to site) is echt HEEL kansloos o aan de gang te krijgen.

 

Wat je moet doen is de dsl modems in DHCP Spoofing mode gooien (als je PPPoA verbindingen gebruikt zoals Hetnet, KPN etc) of RFC Bridging (Telfrot (ja FROT!) of Orange euh Alice).

Wat je daarmee bereikt is, dat je VPN doos het WAN ipadres krijgt en je modem dus als het ware de boel 1 - op - 1 doorgooit.

 

Hangt allemaal ook een beetje af van wat voor modem je gebruikt.

 

Met een Thomson Speedtouch 51x of 54x gaat dit perfect, ook andere types van dit merk kunnen, als je maar geen Internet Plus Bellen hebt, want dan is je modem hier niet geschikt voor.

 

Zyxels zijn om te gooien naar Bridging, maar ik adviseer je om eens te gaan snuffelen op het internet (google is ook weer je vriend).

 

Succes!!

 

Menno

[Mennowz]

Never Mind..

[rlckring]

@AlanS

 

Ja het gaat idd wel een beetje een andere kant op, ik had er niet bijnagedacht.

 

@Mennowz.

 

Je hebt helemaal gelijk, het is niet te doen..met NAT aan beide kanten van de tunnel..

Een hoop VPN endpoints, en ook die wrv200 van mij, heeft/hebben wel de NAT Traversal optie maar hij blijft toch fout meldingen geven.(expecting internal ip but peer claims internal ip)

Als ik, zoals u ook vermeld, de adsl modem configureer in bridge, waardoor ik dus het external ip op de WAN krijg, werkt de IPSEC tunnel perfect..Maarja dan werkt me telefoon niet.. geen oplossing dus..

Ik heb ook nog een Windows 2003 server draaien met ISA 2006 server en laat daar wel die andere 2 WRV200's met IPSEc op verbinden.. Als u nou ook kennis heeft van ISA Server dan heb ik nog wel een vraagje, uiteraard dan in een ander topic..

 

 

 

 

 

 

 

 

 

 

[Mennowz]

Ha Rick,

 

eerst even kappen met U te zeggen, ik ga 29 worden en ik voel me al zo oud :D:D:D:D

 

Pff, ik ben geen ISA fan/expert, maar met Routing and remote access kun je volgens mij ook al een heel eind komen..

 

Of het stabiel is/wordt?, ik weet het niet .. windows wil nogal eens gek doen (ineens VPN kwijt, handmatig weer verbinding maken etc etc armoe armoe).

 

Dit was in ieder geval zo met 2000 of 2003, misschien dat 2008 dit beter vol kan houden..

 

Kjk eens of je middels het PPTP protocol een tunnel kan maken, is wat 'liever' tegenover NAT, het zit zoals gezegt standaard in Windows.. ook zou je eens kunnen proberen om een oudere PC (of VMWARE doosje) te pakken en er monowall op te zetten.

 

Monowall is echt geweldig, heel licht (draait dus zon beetje overal op) Monowall Homepage

Kleine howto (Engels!) Creating PPTP Tunnel using Monowall

 

Op deze manier zou je het voor elkaar moeten kunnen krijgen om een VPN tunnel te maken achter NAT.

 

Succes!

 

Menno

 

PS: Het is echt makkelijker dan je denkt om Monowall te installeren, je kunt het zelfs op een USB stick zetten en gewoon met een PC laten starten

 

PSPS: Het Never Mind commentaar van mij, dat sloeg niet op jou of je probleem, maar meer op het bericht.. ik had nog een extra vermelding gemaakt, maar bleek achteraf niets toe te voegen aan het geheel.

[rlckring]

Jammer genoeg ondersteund die wrv200 geen pptp sessies opbouwen, alleen ontvangen. En om nu weer een lunix kist op te zetten vindt ik ook wat..Die ISA 2006 gaat wel aardig om met IPSEC. Sessies verbreken wel maar hij bouwd ze snel zelf weer op als er een pakketje bezorgd moet worden op dat IPSEC netwerk. Allen krijg ik geen verbinding van de ene wrv200 naar de andere wrv200.

 

Je moet zo zien, er staan 2 wrv200 routers met IPSEC geconfigureerd op 2 andere locaties. Die hebben allebij een eigen andere eigen interne ip-range. De 1 heeft 192.168.101.0/24 en die andere heeft 192.168.102.0/24.

 

Als ik dus een IPSEC tunnel wil configuren op m'n ISA 2006 moet ik dus 2 tunnels configureren. De remote secure group van elke tunnel mag niet het zelfde zijn en ook niet overlappen. Vandaar dus 192.168.101.0/24 en 192.168.102.0/24..

 

De remote secure group die dan in die 2 wrv200 routers geconfigureerd moet worden (mijn kan van de tunnel) is 192.168.100.0/24..

 

Wat dus inhoud dat de ene wrv200 een interne range heeft van 192.168.101.0/24 en een IPSEC tunnel naar 192.168.100.0/24

 

En de andere wrv200 heeft een interne range van 192.168.102.0/24 en een IPSEC tunnel naar 192.168.100.0/24

 

Dit werkt allemaal prima..Alleen lukt het me niet om van de ene wrv200 naar de andere wrv200 te gaan..

 

Ik moet mijn inziens in beide wrv200's statische routes aanmaken.

Voor de ene 192.168.101.0/24 naar gateway 192.168.100.1

En voor de andere 192.168.102.0/24 naar gateway 192.168.100.1

 

Maar ik kan in die wrv200 bij statische routes niet kiezen voor de IPSEC interface..Dus krijg ik die routes er niet in..

 

Als ik nu met 1 van die wrv200's naar het netwerk wil van de andere wrv200 gaat ie eruit over de default gateway..Internet dus..

 

Ik hoop dat je het snapt..