Koppla ihop nätverk med VPN men behålla gateway till Internet?

Permalänk

Koppla ihop nätverk med VPN men behålla gateway till Internet?

Jag har två nätverk, ett hemma och ett på landet.
När vi är på landet så brukar jag koppla upp min Windows10 laptop till hemmanätet via OpenVPN så att jag kan nå alla enheter därhemma, men ändå använda Internet via routern på landet (en TPLink MR600 4G-router).
Det görs genom att servern inte trycker ut någon

"redirect-gateway def1 bypass-dhcp"

till klienten.

Nu skall vi få fiber installerat på landet och då byter jag till min Asus RT-AC68U (som jag tidigare kört hemma).

Fråga:
Eftersom denna router har möjlighet att koppla upp med OpenVPN så skulle det ju teoretiskt kunna bli så att jag kan koppla ihop hela nätet på landet med nätet hemma över fibern genom att låta routerns få en egen OVPN-fil med uppkopplingsdata.

Men jag vill inte att Internet-trafik på landet skall gå via VPN utan bara trafik mot hemmanätet (det har en annan basadress än nätet på landet). Så ifall man vill nå 192.168.119.xxx (hemma) från en dator på landet som har adressen 192.168.117.yyy så skulle det routas via VPN men om den i stället vill nå tex google.com skall det gå direkt via routern på landet utan att passera VPN.
Detta för att inte slöa ner Internet-accesser.

Så om routern på landet använder en uppkoppling som saknar "redirect-gateway def1 bypass-dhcp" hos servern, kommer då routern att fungera som tidigare för paket som skall till Internet, dvs gå direkt via kopplingen på landet?
Eller är ASUS gjord sådan att den ifall man aktiverar VPN också stänger den egna gatewayen?

Någon som provat eller vet ändå?

PS:
Glömde säga att hemma har jag en Ubuntu OpenVPN server med två ingångar på olika portar, en som gör full VPN där all trafik går via VPN och en annan som bara hanterar trafik till hemmanätet och inte routar annan trafik genom tunneln.
Det är den senare som jag tänkte använda på Asus-routern ifall den klarar av att bara köra viss trafik genom tunneln och allt annat direkt.
DS

Komplettering
Permalänk
Medlem

Det du letar efter är väl Split Tunneling, om jag förstått dig korrekt rätt?

Permalänk
Skrivet av Printscreen:

Det du letar efter är väl Split Tunneling, om jag förstått dig korrekt rätt?

Ja, det är det jag menar och jag har satt upp detta på servern med två olika openvpn-instanser på två olika portar.
Den ena skickar kommandot att köra all trafik genom tunneln och den andra bara för det lokala servernätet.

Den delen är klar redan, men vad jag ville veta är ifall Asus-routern som VPN-klient klarar av denna situation, nämligen:
- All lokal trafik går direkt
- All trafik till mitt hemma-subnät går via tunneln till hemmaservern
- All annan extern trafik går via gateway i routern till Internet

Det handlar alltså om Asus router i VPN-mod är kapabel att köra på detta sätt?

Bas-konfigurationen i VPN-mode verkar vara att skicka all extern trafik via VPN, och så vill jag inte ha det.
Men det kan ju också vara för att de inte beskrivit den här moden...

Permalänk
Medlem
Skrivet av Bosse_470:

Ja, det är det jag menar och jag har satt upp detta på servern med två olika openvpn-instanser på två olika portar.
Den ena skickar kommandot att köra all trafik genom tunneln och den andra bara för det lokala servernätet.

Den delen är klar redan, men vad jag ville veta är ifall Asus-routern som VPN-klient klarar av denna situation, nämligen:
- All lokal trafik går direkt
- All trafik till mitt hemma-subnät går via tunneln till hemmaservern
- All annan extern trafik går via gateway i routern till Internet

Det handlar alltså om Asus router i VPN-mod är kapabel att köra på detta sätt?

Bas-konfigurationen i VPN-mode verkar vara att skicka all extern trafik via VPN, och så vill jag inte ha det.
Men det kan ju också vara för att de inte beskrivit den här moden...

Ja det ska gå, jag har gjort exakt så som du söker. Men jag har dock en ASUS AC86U som OpenVPN server. Sedan har jag en ASUS AC58U som är ansluten som VPN klient till servern. Klienten surfar på sitt eget "WAN" dvs trafik mot internet går direkt men den kommer också åt subnätet på server sidan. Detta är full möjligt. Nu Förstår jag att du har en ubuntu OpenVPN server. Det som är viktigt att lokala nätet på server sidan och klient sidan har olika subnät t.ex. server LAN 192.168.1.xx och klient LAN 192.168.2.xx. Sedan måste du konfigurera på server sidan att klienten ditt "stuga router" har en INTERNT subnät exempel: 192.168.2.0/24.

Permalänk
Skrivet av stanikz:

Ja det ska gå, jag har gjort exakt så som du söker. Men jag har dock en ASUS AC86U som OpenVPN server. Sedan har jag en ASUS AC58U som är ansluten som VPN klient till servern. Klienten surfar på sitt eget "WAN" dvs trafik mot internet går direkt men den kommer också åt subnätet på server sidan. Detta är full möjligt.

Bra att höra, tack!

Skrivet av stanikz:

Nu Förstår jag att du har en ubuntu OpenVPN server. Det som är viktigt att lokala nätet på server sidan och klient sidan har olika subnät t.ex. server LAN 192.168.1.xx och klient LAN 192.168.2.xx. Sedan måste du konfigurera på serversidan att klienten (din "stuga router") har en INTERNT subnät exempel: 192.168.2.0/24.

Det är redan ordnat:
Hemmanät: 192.168.119.x
Stugnät: 192.168.117.x
Tunnelnät (local only): 10.8.139.x
Tunnelnät (webaccess): 10.8.0.x
Jag insåg efter att jag dragit igång openvpn-servern för många år sedan att det nog varit bättre med ett annat nät än 10.8.0.x...
Men jag var ovan då och använde kokboks-inställningar.
Numera gör jag sånt som liknar local only ovan, eller t.o.m kör sånt som 10.207.113.x i tunneln för att det skall vara extremt ovanligt att kollidera med två VPN-tunnlar öppna med samma tunneladress.

Har dock aldrig gjort detta med att själva routern är klient.

Permalänk
Medlem
Skrivet av Bosse_470:

Bra att höra, tack!
Det är redan ordnat:
Hemmanät: 192.168.119.x
Stugnät: 192.168.117.x
Tunnelnät (local only): 10.8.139.x
Tunnelnät (webaccess): 10.8.0.x
Jag insåg efter att jag dragit igång openvpn-servern för många år sedan att det nog varit bättre med ett annat nät än 10.8.0.x...
Men jag var ovan då och använde kokboks-inställningar.
Numera gör jag sånt som liknar local only ovan, eller t.o.m kör sånt som 10.207.113.x i tunneln för att det skall vara extremt ovanligt att kollidera med två VPN-tunnlar öppna med samma tunneladress.

Har dock aldrig gjort detta med att själva routern är klient.

Jag förstår, men det är så pass simpelt i routern, du klickar på VPN -> VPN Client -> Add profile -> klicka på OpenVPN fliken -> laddar in OVPN filen och användar uppgifter. Som jag sade, det viktiga är konfigurationen på server sidan.

Permalänk
Skrivet av stanikz:

Jag förstår, men det är så pass simpelt i routern, du klickar på VPN -> VPN Client -> Add profile -> klicka på OpenVPN fliken -> laddar in OVPN filen och användar uppgifter. Som jag sade, det viktiga är konfigurationen på server sidan.

OK, låter bra!
Jag förbereder detta nu men eftersom det snart är vinter så har vi stängt stugan och är inte där längre.
Men om fibern blir framdragen snart så åker jag dit.

De gräver i området nu och vi har redan fått fibermottagaren installerad och fiberslang dragen till huset i augusti.
Sist vi var där hade de grävt förbi med slangarna ute i gatan också så vår ände var inte längre synlig vid infarten.
Förhoppningen är ju att det skall vara inkopplat om några veckor.

Och när jag då åker ut måste jag ha med mig allt som kan behövas...
Skall tex sätta upp Asus-routern och konfigurera den rätt men kan inte ta ner det gamla nätet förrän det nya funkar.
Spännande...

Permalänk

UPPDATERING:
Jag skapade en OVPN-fil på Ubuntuservern nyss där inget lösenord behövs, bara själva certifikaten.
Det betyder att Asus bara behöver koppla upp med den profil-filen så skall det funka.

Testning...
Jag funderar nu på att kolla det hela genom att dra igång stug-routern här hemma eftersom jag har två enheter kopplade på fiberboxen:
- Min huvudrouter Asus RT-AC86U
- En annan router som sköter mitt gästnät plus IP-telefonen (den kommer från Bahnhof)
Om jag kopplar in stug-routern till Bahnhof-routern så når den Internet fast via ett annat LAN än det som jag har hemma.
Då kan jag ju konfigurera den med VPN (genom att ansluta min Windows10 PC till WiFi på RT-AC68U).
När det är gjort skall jag kunna nå min NAS och andra enheter på hemmanätet fast jag är kopplad mot stug-routern.
Funkar det är det ju bara att köra ute i stugan!

Permalänk
Medlem
Skrivet av Bosse_470:

UPPDATERING:
Jag skapade en OVPN-fil på Ubuntuservern nyss där inget lösenord behövs, bara själva certifikaten.
Det betyder att Asus bara behöver koppla upp med den profil-filen så skall det funka.

Testning...
Jag funderar nu på att kolla det hela genom att dra igång stug-routern här hemma eftersom jag har två enheter kopplade på fiberboxen:
- Min huvudrouter Asus RT-AC86U
- En annan router som sköter mitt gästnät plus IP-telefonen (den kommer från Bahnhof)
Om jag kopplar in stug-routern till Bahnhof-routern så når den Internet fast via ett annat LAN än det som jag har hemma.
Då kan jag ju konfigurera den med VPN (genom att ansluta min Windows10 PC till WiFi på RT-AC68U).
När det är gjort skall jag kunna nå min NAS och andra enheter på hemmanätet fast jag är kopplad mot stug-routern.
Funkar det är det ju bara att köra ute i stugan!

Jag har aldrig testat så som du gjort t.ex. att endast använda mig av certifikat utan authentisering. Men det ska nog gå då authentiserings uppgifterna ligger som "optional" i ASUS GUI:n.

Vad jag förstår har du fått två routrar att kommunicera med varandra fast med olika subnät (LAN) hemma via VPNservern? Jag hade nog testat konfigurerat ASUS AC68U routern att koppla sig till mobilt bredban, om det finns möjlighet för det. Så att båda routrarna är på separata WAN och sedan testat köra och se om det verkligen fungerar. För det är rätt klurigt med OpenVPN.

Permalänk
Skrivet av stanikz:

Jag har aldrig testat så som du gjort t.ex. att endast använda mig av certifikat utan autentisering. Men det ska nog gå då autentiserings-uppgifterna ligger som "optional" i ASUS GUI:n.

När man bygger OVPN-filen och skapar de olika certifikaten så finns det en option att kryptera certifikatet med ett lösenord.
Men man kan hoppa över detta och då blir OVPN-filen "öppen", dvs den fungerar utan användarinput.
Jag brukar göra sådana för tex Raspberry-Pi enheter som skall vara uppkopplade mot hemmanätet. Dessa filer kommer ju inte ut någonstans ändå. De som jag lämnar ut till människor som skall koppla upp sig får lösenordsskydd.

Skrivet av stanikz:

Vad jag förstår har du fått två routrar att kommunicera med varandra fast med olika subnät (LAN) hemma via VPNservern? Jag hade nog testat konfigurerat ASUS AC68U routern att koppla sig till mobilt bredban, om det finns möjlighet för det. Så att båda routrarna är på separata WAN och sedan testat köra och se om det verkligen fungerar. För det är rätt klurigt med OpenVPN.

Nja, det är inte riktigt så....
Jag har två routrar här hemma, en Asus RT-AC86U som sköter mitt hemma-LAN där tex OpenVPN-servern finns.
Sen har jag också en av Bahnhof tillhandahållen router för min IP-telefoni.
Båda koppas till fiberboxen på var sitt uttag och får varsin WAN-adress (Bahnhof delar ut två adresser till sina fiberkunder).

Nu har jag genomfört testet jag skrev om och kopplat in stug-routern till fiberboxen så den fått en egen WAN-adress.
Sen har jag kopplat upp mobilen till stug-WiFi och öppnat en webbläsare till dess router-config.
Här har jag sen aktiverat VPN-client med den nyss tillverkade OVPN-filen. Och startat om routern.
När jag nu loggar in på stug-routern igen så kan jag därefter öppna en webbsida på en av mina RPi-enheter som finns på hemma-LAN! Jag kan också nå min NAS-enhet etc.
Men om jag kollar den externa adressen för telefonen så blir den en annan än den externa adressen på mitt hemmanät.
Så det verkar som om jag bara behöver åka ut och koppla in den här routern i stugan när IP-Only är klara med fiberinkopplingen!

Permalänk
Medlem
Skrivet av Bosse_470:

När man bygger OVPN-filen och skapar de olika certifikaten så finns det en option att kryptera certifikatet med ett lösenord.
Men man kan hoppa över detta och då blir OVPN-filen "öppen", dvs den fungerar utan användarinput.
Jag brukar göra sådana för tex Raspberry-Pi enheter som skall vara uppkopplade mot hemmanätet. Dessa filer kommer ju inte ut någonstans ändå. De som jag lämnar ut till människor som skall koppla upp sig får lösenordsskydd.
Nja, det är inte riktigt så....
Jag har två routrar här hemma, en Asus RT-AC86U som sköter mitt hemma-LAN där tex OpenVPN-servern finns.
Sen har jag också en av Bahnhof tillhandahållen router för min IP-telefoni.
Båda koppas till fiberboxen på var sitt uttag och får varsin WAN-adress (Bahnhof delar ut två adresser till sina fiberkunder).

Nu har jag genomfört testet jag skrev om och kopplat in stug-routern till fiberboxen så den fått en egen WAN-adress.
Sen har jag kopplat upp mobilen till stug-WiFi och öppnat en webbläsare till dess router-config.
Här har jag sen aktiverat VPN-client med den nyss tillverkade OVPN-filen. Och startat om routern.
När jag nu loggar in på stug-routern igen så kan jag därefter öppna en webbsida på en av mina RPi-enheter som finns på hemma-LAN! Jag kan också nå min NAS-enhet etc.
Men om jag kollar den externa adressen för telefonen så blir den en annan än den externa adressen på mitt hemmanät.
Så det verkar som om jag bara behöver åka ut och koppla in den här routern i stugan när IP-Only är klara med fiberinkopplingen!

Jo, jag förstår hur OVPN fungerar utan ”user input”, men jag tänkte mer utifrån säkerhetsaspekten (kanske bara jag som är nojig). Men vad kul att du fick det till och fungera :). All lycka

Permalänk

Om man vill koppla ihop två nätverk fullständigt och bara använda vad som finns i ASUS routers så kan man läsa denna tråd på SNB Forums!
Det är en fullständig tutorial om hur man skall göra (lång).