Bossman1

Level 2
  • 6Posts
  • 0Oplossingen
  • 1Likes

Verbinden VPN buiten LAN

Ik heb een OpenVPN op een Raspberry Pi 4B draaien, maar ik kan alleen binnen hetzelfde netwerk verbinden met de VPN (als ik de verbinding met het Wifi netwerk verbreek met bv. mijn Android telefoon, dan kan hij niet meer met de VPN verbinden). 

Ook kan ik niet in de server logs komen vanuit de terminal. Wanneer ik "/var/log/openvpn.log" invoer, krijg ik "permission denied" terug. 

Hopelijk is er iemand op dit forum die mij kan helpen. 

13 Reacties 13
anoniemforum

Level 18
T.E.A.M.
  • 9762Posts
  • 581Oplossingen
  • 2657Likes

je probeert waarschijnlijk via private 192.168.178.*** ip-adres verbinding te maken

 

om van buitenaf de vpn te kunnen gebruiken moet je poorten open zetten en inloggen met je public ip-adres www.watismijnip.com

 

https://openvpn.net/community-resources/how-to/

 

 

Bossman1
Topicstarter
Level 2
  • 6Posts
  • 0Oplossingen
  • 1Likes

Welke poorten moet ik openzetten? Ik gebruik UDP (als dat nodige info is).

Ik snap niet helemaal wat u bedoelt met inloggen met public ip-adres. Het adres zelf heb ik kunnen vinden, maar hoe en waar ik het moet toepassen, snap ik niet. 

DennyW

Level 17
  • 3150Posts
  • 251Oplossingen
  • 921Likes

@Bossman1 

Poorten "open zetten" (port forwarden) is alleen nodig als je wilt dat derden van buitenaf zich met de jouw VPN-server kunnen verbinden om deze toe te laten op (een gedeelte van) jouw thuisnetwerk. Het is mij niet duidelijk of dit wel jouw bedoeling is.

 

Om "/var/log/openvpn.log" te kunnen bekijken dan moet je eerst inloggen in het onderliggende besturingssysteem (Linux) dat op de Raspberry Pi draait. Bij veel (niet alle!) kan je als gewone Linux user een opdracht met "verhoogde rechten" (dus als root) uitvoeren door de opdracht vooraf te laten gaan met het woordje "sudo". (Soms wordt er dan om invoer van het wachtwoord gevraagd maar dat is ook afhankelijk van de Linux-distro.) Er zijn in Linus meerder methoden om een (log) bestand of gedeelte hiervan (met behulp van filtering) uit te lezen. Veel gebuikte tekst tools (die werken op de command line in een terminal-scherm) in Linux zijn b.v. vi (maar dan moet je je wel eerst verdiepen in de instructies) en nano. nano (het commando invoeren met kleine letter!) is veel vriendelijker. Kijk dus eerst een of je het bestand kan lezen (=openen met nano) met het commando:

sudo nano /var/log/openvpn.log

 

 

 

Bossman1
Topicstarter
Level 2
  • 6Posts
  • 0Oplossingen
  • 1Likes

@DennyW

Ik wil graag mijn VPN op meerdere plekken dan alleen thuis kunnen gebruiken. Moet ik dan ook poorten forwarden om dit te kunnen? 

 

sudo nano heeft gewerkt! Hartstikke bedankt. Ik neem aan dat ik hier makkelijker problemen kan vinden.

DennyW

Level 17
  • 3150Posts
  • 251Oplossingen
  • 921Likes

@Bossman1 

Oké, als je vanaf een buitenlocatie toegang wilt hebben tot de server (of in dit geval eigenlijk) via de server, dan zal je je wel nog een en ander moeten doen.

-Je Ziggo-modem-router is (op locatie) van buitenaf alleen te benaderen op diens externe IP-adres.
-Normaal wil de firewall van de router niemand zomaar binnenlaten.
-Al jouw apparaten die thuis een verbinding hebben met /aangesloten zijn op de router "zitten" in het LAN ( en hebben interne IP-adressen zoals 192.168.178.xx).
Met een z.g. portforward-instelling in de router kan je aan geven dat een aanroep op de poort waar de server op "luistert" doorverwezen wordt naar het IP-adres van de VPN-server. (De firewall laat dit verkeer dan toe.) Niet alle poorten hoeven "open"; alleen die ene poort waarop de portforward moet reageren.

 

Om dit te laten slagen moet je eerst weten of jouw de firmware van jouw modem-router geschikt is (IP versie 4 gebruikt of full dual stack IPv4 en IPv6) óf dat je Dualstack Lite hebt (DS-lite). Bij DS lite kan dit niet. Dan moet Ziggo je modem omzetten.

Verder als dat allemaal gelukt is, dan is er nog het "probleem"dat je formeel geen vast (statisch) extern IP-adres bij Ziggo hebt. Je hebt een z.g. dynamisch IP-adres. Het IP-adres kan wel eens wijzigen (niet vaak hoor, maar het kan). Ook hier is wel een oplossing voor via andere bedrijven; die zorgen dan voor een DNS-verwijzing zodat jouw server op naam aan te roepen is (i.p.v. met ingave van een IP-adres).

 

Er zijn in dit forum meerdere topic met uitleg over portforwarden te vinden.

Opm.: Het lijkt mij ook verstandig om (t.z.t.) op de RasberryPi ook een firewall te installeren (en te configuren).

 

 

 

Bossman1
Topicstarter
Level 2
  • 6Posts
  • 0Oplossingen
  • 1Likes

@DennyW 

Ik heb Ziggo vanochtend gebeld over DS-lite en dat blijk ik niet te hebben, wel heeft de medewerker IPv6 uitgezet. 

Moet ik voor het portforwarden de port invoeren die OpenVPN gebruikt? Of moet ik ergens gaan zoeken welke port ik open moet zetten? 

Is verder Dynu een voorbeeld van zo'n bedrijf dat DDNS regelt? Dynu is gratis en werd aangeraden. 

Heel erg bedankt voor de antwoorden die u al hebt getypt voor mij, ik waardeer de hulp erg.

DennyW

Level 17
  • 3150Posts
  • 251Oplossingen
  • 921Likes

@Bossman1 

Inderdaad ik doelde op DDNS (DynDNS). Welk bedrijf het beste is kan ik niet zeggen. Overwegend beperkt zich zo’n gratis dienst tot IPv4. Of er ook (gratis) DDNS-diensten zijn met IPv6 weet ik eerlijk gezegd niet. (Het wordt nu zo langzamerhand wel tijd dat dit standaard wordt.)

 

Ik heb alleen ervaring met noip.com. Hier moest ik periodiek steeds aangeven (gratis abonnement verlengen) dat ik de dienst nog wilde blijven gebruiken. E.e.a. had dacht ik ook te maken met het feit dat, in de praktijk, mijn dynamische Ziggo-IP-adres nooit veranderde.
Het beste is om geautomatiseerd aan de DDNS-provider je actuele IP-adres door te (laten) geven. Hiertoe verstekken zij programmaatjes (demons voor Linux) die dit verzorgen. Ook routers (zelfs die van Ziggo) hebben zo’n tool “ingebakken”. Echter het kan dan zijn dat de provider-keuze  “beperkt” is. Ik liet dit door mijn NAS doen; daar zit dat ook in. Vaak kunnen de devices die je (al) hebt meer dan dat je beseft.

 

Het terugzetten op IPv4 Only verbaast mij een beetje. Dit is namelijk alleen nodig als je DS-Lite hebt. Bij DS-Lite heb je namelijk een steeds wisselend, met andere gebruikers gedeeld, IPv4 IP-adres.  
Als je full dual stack hebt, dan heb je wel (volwaardig) individueel (dynamisch) IPv4 IP-adres (als mede een IPv6 IP-adres (prefix).
In het verleden werd geventileerd dat het daarom bedrijfsbeleid is om dual stack niet om te zetten naar IPv4 Only; een dergelijke mutatie actie door een servicemedewerker zou daarom geblokkeerd zijn.

 

Als je googelt op OpenVPN (zoek-sleutel: openvpn port), dan is de standaard luisterpoort 1194 (UDP). Als alternatieve poort zou 443 TCP bruikbaar zijn.

DennyW

Level 17
  • 3150Posts
  • 251Oplossingen
  • 921Likes

@Bossman1 

Nog even een aanvulling op het bovenstaande:

Als je DS-Lite hebt dan ontbreekt in de router de mogelijkheid om een port-forward te kennen ingeven.

Als je full dual stack IPv4 IPv6 hebt dan wordt port forward voor IPv6, per merk / type Ziggo-modem-router, anders geregeld. Heb je een Connectbox dan doet men dat met filtering (zelf heb ik geen Connectbox). De deskundigen vinden deze wijze van implementatie "nog" niet volledig uitontwikkeld dan wel niet niet gebruikers vriendelijk. Hoe en wat je moet instellen zou nogal  ondoorzichtig zijn. Op zijn minst weinig erg intuïtief.
Dat het anders gaat bij IPv6 is gelegen in het feit dat IPv6 (in tegenstelling tot IPv4) formeel geen NAT gebruikt. Dat hoeft ook niet omdat elk IPv6 device (naast lokale IPv6 adressen ook) een individueel extern IPv6 heeft.

Bossman1
Topicstarter
Level 2
  • 6Posts
  • 0Oplossingen
  • 1Likes

@DennyW 

Ik heb de portforward optie gevonden in de modem instellingen en daar heb ik port 1194 ingevoerd en het IP-adres van mijn telefoon (zowel het 4G IP en het IP wanneer verbonden met een Wifi netwerk). Echter werkte dat niet als gewenst, want ik kon nog steeds niet met de VPN verbinden vanaf mijn 4G. Bij protocol voerde ik eerst UDP in en daarna beiden (werkte allebei niet) en ik had hem gelijk op actief gezet. 

Verder heb ik deze guide van Ziggo gebruikt bij het portforwarden: https://community.ziggo.nl/t5/Tips-van-Ziggo/Port-forwarding-op-de-Connectbox/ba-p/653799 

 

DennyW

Level 17
  • 3150Posts
  • 251Oplossingen
  • 921Likes

@Bossman1 

Een porforward moet verwijzen naar een (hier een VPN-) server! Op de telefoon gebruik je z.g. client-software. Een server wordt namelijk aangeroepen / geconnect door clients.

 

N.B.: Test-tools en test-websites kunnen alleen een openpoort melden als de server:

- actief is;
- genegen is te reageren op een aanroep. (Veiligheidsinstelling kunnen door hebben dat de aanroep niet komt van een geëigende client en daarom de aanroep negeren/verwerpen, zonder terugmelding om zo minder info prijs te geven).

Bossman1
Topicstarter
Level 2
  • 6Posts
  • 0Oplossingen
  • 1Likes

@DennyW 

Het is me gelukt om te verbinden met de VPN vanaf mijn 4G. Ik kan alleen niet het internet op via de VPN. Ik heb al geprobeerd een NAT op te zetten op de Pi, maar dat lijkt niks te doen. Weet u nog wat ik hieraan kan doen/waar ik moet zoeken? 

Nogmaals erg bedankt voor alle moeite die u hierin steekt, het helpt mij zeer. 

DennyW

Level 17
  • 3150Posts
  • 251Oplossingen
  • 921Likes

@Bossman1 

VPN heeft eigenlijk meerdere toepassingen. Zo kan b.v. een bedrijf thuiswerkers of buitendiensmedewerkers op lokatie, toegang geven tot het bedrijfsnetwerk. Bedrijven plegen ook wel de netwerkjes van vestigingen met VPN-tunnels met elkaar te verbinden.

Veel pariculieren gebruiken client-software op elk device die met de servers van VPN-providers te verbinden zodat hun verkeer versleuteld over het internet gaat en / om te doen voor komen dat men zich in een ander land bevindt.

 

En inderdaad, het moet ook mogelijk zijn om een VPN-device of een VPN-router te gebruiken als (collectieve) gateway. Die moet dan weer een tunnel opbouwen met een VPN-server (van een VPN-provider?). Eigenlijk is dat dezelfde werkwijze al twee bedrijfsvestigingen met elkaar verbinden.

 

Of jouw OpenVPN / Raspberry-Pi-configuratei hier ook voor geschikt is en hoe dat dan moet, durf ik niet te zeggen. Bij een VPN-router zou je denken dat je daar het gateway-verkeer mee kan beïnvloeden. Als jouw RP die centrale rol zou moeten vervullen, dan moet je m.i.
of:

-in de cliennet-softeware de RP als gateway kunne opgeven. De RP zelf moet dan wel de echte router als gateway voor internet gebruiken;
of:

iets anders (misschien wel de RP?) moet voor DHCP-sever spelen, (en dan moet de DHCP van de router wel uitgeschakeld worden!) zodat alle andere devices de juist gateway gaan gebruiken.

 

Of dit allemaal kan met jouw Open VPN-versie op de RP weet ik echt niet. Hopelijk geeft de documentatie hier antwoord op of is er iemand met relevante VPN-ervaring genegen, dit hier uit de doeken te doen.

Er is wel ooit een topic in dit forum door moderator gemaakt met wat meer uitleg over VPN. Moet je maar even naar zoeken.

DennyW

Level 17
  • 3150Posts
  • 251Oplossingen
  • 921Likes

@Bossman1 

Wellicht geheel ten overvloede:
Als het initiatief voor een VPN-verbinding van binnenuit het thuisnetwerk gedaan wordt, dan is er geen (normaliter) geen portforward nodig. Een portforward is altijd nodig als er (ongevraagd / onaangekondigd) iemand van buitenaf naar binnen wil.

E-mail notificaties
Aan Uit

Ontvang een update bij nieuwe reacties in dit topic.

Uitgelicht topic