Ik gebruik al lange tijd NordVPN vanaf mijn PC. Omdat ik gebruik wil maken van mijn thuisnetwerk wil ik de VPN-verbinding verplaatsen naar de Fritzbox. Dat lijkt me niet te lukken. Bij het oproepen van webpages als Google en Tweakers krijg ik de pagina wel voorgeschoteld maar lijken ze niet helemaal te laden, andere websites laden helemaal niet. Graag hulp van een meer ervaren IT-er
Deze procedure heb ik gevolgd en voor mezelf opgeschreven:
-zorg dat je PC geen VPN-verbinding heeft
-inloggen op Fritzbox 5490
-klik op Internet
-klik op Permit Access
-kies tab VPN
-klik op Add VPN connection
-vink aan : Connect this FRITZ!Box with a company’s VPN
-klik aan Next
-Voer de gegevens in b.v.
-mijn inlognaam en ww van NordVPN
-naam vd VPN connectie: b.v. NordVPN1
-webadres: nl896.nordvpn.com
-IP adres van remote netwerk: 213.232.87.124
-subnetmask: 255 255 255 0
-send all netwerktraffic via the VPN Conn: aangevinkt
(IP adres van remote network: (te achterhalen met wat is mijn IP-adres: moet je dus even je PC met deze VPN-server hebben verbonden) bv: 213 232 87 124)
-klik op OK
-bevestig met telefoon
-klik op apply
-verdere info vzv belangrijk: Linux Mint 19.3
-uitgeschakelde Firewall (UFW)
Wat gebeurd er met je IPv6 verbindingen wanneer je deze VPN aanzet? Ik zou verwachten dat die niet via de VPN gaan lopen omdat de meeste VPN’s geen IPv6 doen.
Zowel google als tweakers hebben een IPv6 adres op hun webserver staan en daar zal je waarschijlijk gebruik van willen maken.
@optimist: nog even uitgeprobeerd maar ik vind toch het IP-adres dat eindigt op 124. Desondanks .123 geprobeerd maar dat werkt helemaal niet. In elk geval bedankt.
Moet het ip adres van het remote netwerk niet 0.0.0.0 netmask 0.0.0.0 zijn?
(vervanging van default gw?) nu routeer je alleen 213.232.87.0/24
Remote netwerk is bij bedrijfs netwerken het netwerk achter de VPN gateway, in jouw geval het internet… (0.0.0.0/0)
Disclaimer: ik heb geen Fritzbox maar een zelfbouw router.
@Noci. Heb eerst subnetmask op 0.0.0.0 gezet en krijg de mededeling dat dat illegal is. Vervolgens ook het netwerk IP veranderd in 0.0.0.0 -->> geen verbinding
Volgens mij werkt NordVPN, sinds 2018, alleen nog maar met openVPN.
Als u klaar bent, moet u de gebruikershandleiding vinden die bij uw router is geleverd. Als je het niet in de buurt hebt, maak je geen zorgen: het is meestal te vinden op de website van de fabrikant. Zoek in de gebruikershandleiding naar eventuele vermeldingen van OpenVPN-ondersteuning . Het moet worden opgegeven of de router OpenVPN-server , client of beide ondersteunt. Om de VPN in te kunnen stellen, moet de router de OpenVPN-client ondersteunen, of het nu met de serveroptie is of zonder.
@Optimist & jemmie. Op mijn PC heb ik inderdaad OpenVPN geinstalleerd en daar werkt het goed. Ik kwam nu een pagina tegen die uitgaat van het opzetten van een virtuele router.
https://www.wizcase.com/blog/fritz-box-vpn-setup/
Kijken of me dat gaat lukken. Bedankt voor het meedenken.
Frank
Dit gaat over het maken van een VPN verbinding van een willekeurige plaats in de wereld naar je thuis netwerk.
De enige veilige oplossing voor IoT maar dat is even niet het onderwerp.
(VPN Client op een laptop instaleren en dan naar het thuisnetwerk koppelen.)
NordVPN heeft in 2018 PPTP & L2TP eruit gegooid … PP2P snap ik dat is in 1998 al gekraakt. en was real time te kraken in 2009, worst case 1 uur daarna had je sysadmin credentials op alle PPTP ontsolten systemen. (Zoek eens op PPTP & Moxie Marlinspike, hij bood een service hiervoor aan via Amazon, kosten waren de compute kosten van AWS).
L2TP is een vrij nodeloze aanvulling op IPSEC…, als IPSEC nu ook verdwenen is hebben ze het kind met het badwater wegegooid.
(IPSEC is het enige tunnel protocol dat de werking van IP nauwelijks beinvloed en heeft ook fors minder overhead).
Het lijkt erop dat alleen OpenVPN nog ondersteund wordt. (Kies in dat geval in ieder geval voor de UDP variant).
Dag Noci. Voor het via VPN benaderen van mijn Fritzbox vanaf internet zie ik genoeg handleidingen. Het gaat mij echter inderdaad om het gebruik van een commerciële VPN dienst (NordVPN in mijn geval) vanuit mijn eigen home netwerk. Als ik de tekst van die link lees begrijp ik dat dat niet rechtstreeks vanuit de Fritzbox kan maar wel met een workaround. Daarvoor heb je dan 2 stukjes software nodig: echter als ik die download zie ik dat dat .exe bestanden zijn voor Windows. Laat ik nou net Linux gebruiken!!!
Pfff Ik zag ergens de verzuchting staan dat Fritzbox dat maar eens wat gemakkelijker moest maken. Op de NordVPN-site zag ik een aantal merken routers staan dat geadviseerd werd: Invizbox, Asus, Netgear en Linksys. Daar staat Fritzbox en TP-link dus niet tussen.
Ik ga nog maar eens kijken of ik op een NordVPN-forum nog een antwoord kan vinden.
Mijn NordVPN abonnement loopt nog 3,5 maand. Tegen die tijd heeft Freedom misschien een eigen VPN-service die geschikt is voor op de Fritzbox
Het IP protocol is een datagram georiënteerd protocol waarbij verlies van pakketten opgevangen wordt op een hoger niveau.
Bij UDP door de applicatie (OpenVPN, DNS, etc.) maar als een hogere laag niet meer geinteresseerd is in de data dan is de kous af.
Als TCP als tunnel techniek gebruikt wordt zal ALLE data (ook retransmits, etc.) altijd aankomen. Daar houdt een systeem die bv. een UDP vraag stelt (DNS lookup) geen rekening mee, en zal bij hernieuwd verzoek ook 2 maal antwoord krijgen…
(Hier kost het alleen maar capaciteit).
Dan het probleem bij TCP via een TCP tunnel, hierbij kan het heel druk worden omdat voor TCP een retransmit gevraagd wordt, omdat het vertraagd nog maar een retransmit etc. etc. tot de zaak blokkeert. Met name op een DSL lijn met wat lijn storing kan dit lawine effect makkelijk optreden.
Een Tunnel protocol moet zo dicht mogelijk op IP lijken om geen verstoringen te veroorzaken. (IPSEC is hiervoor in de IPv6 standaard opgenomen geweest. Het was ook een verplicht onderdeel voor IPv6, alleen de eeuwige discussie over wel/niet encryptie stond voor sommige organisaties acceptatie van IPv6 in de weg waardoor het op enig moment weer uit de standaard gehaald is.
Next best is UDP. (GRE is er ook nog maar dat is zonder encryptie & beveiliging).
In volgorde van voorkeur (mijn lijstje)
WireGuard – Is een efficient (met name op mobieltjes) UDP tunnel protocol waarbij ook portknocking is ingebouwd. (Je kunt een server niet detecteren, anders dan een grote hoeveelheid verkeer voor een poort die verder niet reageert of foute data).
IPSEC – Past het best bij de IP standaard
OpenVPN (UDP) – Heeft nogal wat configuratie werk nodig
OpenVPN (TCP) – Alleen geschikt voor een perfect netwerk zonder verlies
Ik pas wireguard toe op de volgende manier:
Op alle mobiele apparatuur een tunnel naar het huisadres met AL HET VERKEER via de tunnel. Op de firewall thuis draait ook een pi-hole container die DNS verkeer filter, en de firewall blokkeert ook nog een aantal keuzes.
Via de wireguard tunnel zijn alle systemen in de thuis VLAN’s bereikbaar. Ook VoIP (Thuis PBX) kan op deze manier ondanks dat de mobiele provider een CGNAT oplossing gebruikt.
Hierdoor is de batterij levensduur van m’n toestel met ~30% toegenomen. (minder gebabbel met allerlei reclame en data collectie servers).
Om het even af te ronden. Wat ik nu heb opgestoken: NordVPN gebruikt het OpenVPN protocol, de Fritzbox werkt met het IPsec-protocol en dat is niet te matchen. Kan NordVPN dus alleen gebruiken op losse apparaten en zodra ik mijn netwerk in wil duiken moet ik VPN uitzetten.
Ik zag in Nieuwsbrief van febr. 2020 staan dat Freedom overweegt een eigen VPN te gaan instellen, ben benieuwd of en wanneer dat gaat gebeuren en met welk protocol dat dan werkt.
Bedankt voor de opmerkingen.
Voor de protocollen zouden dus zowel IPSEC, OpenVPN als WireGuard handig zijn. Dan zijn alle partijen vertegenwoordigd.
Overigens is het in eigen hand hebben van wat er ondersteund wordt de oorzaak dat ik zelf m’n firewall samengesteld heb.
@Noci. Dat lijkt me ideaal. Zou dat een softwarematige wijziging vragen voor de Fritzbox of ook een aanpassing in de hardware? Ik heb er weinig verstand van, ik vermoed jij veel meer.
Overigens vraag ik me meer zaken hieromtrent af:
-Als ik het begrijp uit de info rechts en links is IPSEC destijds ontwikkeld door o.a. Microsoft hetgeen me al wat huiverig maakt, maar ik las ook dit: Potentially compromised by the NSA. It uses the Diffie Hellman process to securely exchange public keys needed to encrypt your traffic. Edward Snowden has previous revealed that the NSA may have discovered a way to break this procedure.
Ik noteer wel dat heel veel VPN providers gebruik maken van het OPENVPN-protocol vanwege de veiligheid, het feit dat het opensource is.
-vervolgens vraag ik me dan af of dit bij Freedom bekend is en hoe men er daar tegen aan kijkt. Men heeft toch voor Fritzbox gekozen die geen gebruik maakt van het OPENVPN-protocol
-hoe het dan zal gaan (zie vermelding Nieuwsbulletin febr. 2020) als Freedom een eigen VPN dienst gaat starten/gebruiken.
Kortom een aantal vragen waar ik geen antwoord op weet.
Als DH gekraakt is dan kun je alles wel afschrijven want ALLE encryptie TLS, SSL, etc. gebruiken het om een sessiekey te maken.
Private/Public key is alleen geschikt voor authenticatie en relatief korte berichten ie. een sessie sleutel. De rest is dan met de sessiesleutel ge-encrypt.
Officieel zijn DES en 3DES verplicht geĂŻmplementeerd en hoeven niet gebruikt te worden want AES is er ook.
DES is gekraakt, de sleutel voor 3DES is te kort.
IPSEC is ook opensource, StrongSWAN, LibreSWAN, KAME.
Ik denk dat IPSEC ten onrechte als erg complex gezien wordt. (beheer-keuze-stress) Microsoft heeft er mogelijk ook een plasje over gedaan, maar de NIET adoptie door Microsoft heeft het zeker niet makkelijk gemaakt. Pas toen PPTP (WEL van microsoft) echt niet meer kon is IPSEC een soort van beschikbaar gekomen in windows, en dan nog met een krakkemikkige UI waardoor je vrijwel altijd iets van derden nodig had om het werkbaar te krijgen.
Ik denk dat het beter is om te stellen dat IPSEC er is ondanks Microsoft. De eerste implementatie was FreeSwan, later gefiorked in OpenSwan (Oportunistic encryption) + StrongSwan(certificaat authenticatie) later is OpenSwan gekorked naar LibreSwan.
De Originele FreeSwan werd gehost bij XS4ALL (eind jaren 90).
FreeSwan gebruikte een out of kernel driver met eigen “pseudo ethernet” adapter, terwijl de kernel developers ook iets met IPSEC zijn gaan doen, de hele IP-stack omgebouwd hebben (packet transform). Hierdoor ontstond de uitdaging voor een firewall om de bron van een pakket te bepalen of het van buiten de tunnel of uit de tunnel kwam op een interface.
Maar DH1/DH2/DH5 heeft een te korte sleutel…, DH19 … dh23 oid is lang genoeg.
Ook moet er GEEN aggressive mode gebruikt worden.
Dat iets veel gebruikt wordt is beslist geen maat voor veiligheid… PPTP is al heel lang in gebruik en er zijn nog steeds beheerders die het perse willen gebruiken. het is eind jaren 90 conceptueel gekraakt, rond 2010 had Moxie Marlinspike (ja die van Signal) een AWS dienst waar je voor compute tijd kosten (~USD 100) binnen pakweg een uur toegang had tot willekeurig welke PPTP beveiligde site… Het is pas rond 2015 oid door Microsoft ten grave gedragen dat het niet zo goed meer was.
L2TP was overigens een soort PPTP over IPSEC om het in ieder geval beter te verpakken.
Dat gezegd hebbende OpenVPN heeft veel betere papieren dan PPTP… Al zijn er ook foute implementatie keuzen zoals TCP als carrier.
Voor apparatuur op batterijen is het concept van Wireguard veel beter. omdat het heel veel onderhandeling uit de loop haalt.
Wireguard heeft kernel drivers (vanaf 5.72 oid zit het er al standaard in, (wel configureren), en het kan ook in usermode als het nodig is.
Ik verwacht niet dat hardware aangepast hoeft te worden.(tenzij de flash omvang te klein wordt).