Telia.fi etusivulle Telia.fi etusivulle

VPN kiinteän laajakaistan reitittimeen

  • 16 December 2020
  • 5 kommenttia
  • 462 katselukertaa
T
Arvonimi

Kotiverkossa wlanin perästä löytyy televisioita, Chromecastia, Applen Air-mikäseon, robotti-imuri, sekä useita Android ja IOS mobiileja. Reitittimenä on tällä hetkellä Telewellin EAV510. 


 


Mökillä on sim-kortilla toimivan reitittimen perässä vähän samanlaista settiä kalustoa ainakin silloin kun siellä ollaan paikalla + turvakamerasysteemi.


 


Joka paikassa kohkataan VPNn eduista. Tuli mieleen, että näissä kiinteissä kohteissa voisiko koko kaluston hoitaa kerralla reitittimeen asennetulla VPN:llä. Olen tekniikassa ummikko ja näillä foorumeilla keskustelut vilisevät kolmikirjaimisia kummajaisia ja terminologiaa niin, ettei niistä mitään ymmärrä. Sen verran olen surffannut, että olen tullut käsitykseen, että tuo reititin (Telian toimittama laajakaistaan liittyen) ei reititinpohjaista VPNää tue. Ainakin jossakin (https://fi.vpnmentor.com/blog/kuinka-asentaa-vpn-reitittimeen/) sanottiin, että reitittimeen pitäisi asentaa DD-WRT alkueräisen ohjelmiston tilalle (?). Ja DD-WRT-projektin sivuilla olevasta laiteluettelosta ei Telewelliä löydy lainkan.


 


Kysymys kuuluu, onko porukoilla kokemusta, haenko pyrkimyksilläni pelkkiä vaikeuksia, vai onko järjestelmä kohtuullisella vaivalla pystytettävissä ja miten se kannattaisi toteuttaa.


 


@TaneliEerikki  Kiittää ja toivotta hyvää Joulua!

5 kommenttia

SINAD
Arvonimi
Käyttäjätaso 3
Kunniamerkki +14

Tarvitset molempiin päihin reitittimet joissa on IPsec Site-to-Site ominaisuus, julkisen IP:n (kiinteässä liittymässä oletuksena, mobiilissa lisäpalveluna) ja kummankin pään modeemit tulee olla siltaavina, eli reitittimen pitää nähdä suoraan julkinen IP. Julkisen IP-osoitteen tulisi olla niin pysyvä kuin ikinä mahdollista. Telian kiinteissä se pysyy jos et sammuta tai vaihda laitteita toisiin. Mobiilipuolella sekin pitää ostaa lisäpalveluna. Jos IP:tä ei saa millään täysin pysyväksi, tarvitset myös DynDNS-palvelun sekä reitittimen, joka osaa raportoida julkisen IP:n muutokset sinne.

 

Kun nämä asiat ovat kunnossa, on loppu aika helppoa:

- Lähiverkon laitteet määritellään eri aliverkkoihin (esim. 192.168.1.x kotilaitteille ja 192.168.2.x etälaitteille)

- Em. aliverkot syötetään reitittimen IPsec-asetuksiin

- Annetaan vastapään IP-osoite tai DynDNS-verkkonimi

- Jos DynDNS käytössä, määteillään reitittimeen myös se

- Kehitetään hyvä salausavain, joka syötetään molempien päiden laitteisiin

 

Toimiessaan reitittimet pyrkivät muodostamaan yhteyden automaattisesti. Sen muodostuttua kumpikin lähiverkko näkee toisensa ja laitteiden välllä voi kommunikoida kaikilla protokollilla.

 

Itse ajelin tuota jo yli 10 vuotta sitten ADSL-linjan päällä silloisella TeleWellin EA716V2-reitittimellä menestyksekkäästi. VPN tunneleita oli tuolloin useita yhtä aikaa, ainakin isän, äidin sekä yhden sukulaisen verkkoihin.

 

Nykylaitteista en osaa sanoa muuta kuin että ainakin Ubiquitin EdgeRouterilla onnistuu ja olen sitä käyttänyt pojan kanssa, mutta juuri tällä hetkellä tunneli ei ole käytössä kun poika muutti opiskelemaan sellaiselle paikkakunnalle ettei saa kunnollista kiinteää nettiä. Mutta tätä ennen VPN pelitti pojalle vallan mainiosti ja pystyi käyttämään kotiverkon palveluita etänä. Hänellä reitittimenä EdgeRouter Lite ja mulla ErgeRouter ERpro-8. Vaikka IP-osoite pysyykin aika hyvin niin mulla on myös maksettu DynDNS-palvelu käytössä ja EdgeRouter päivittää osoitteen tarvittaessa. Tämä on tosin hätätilanteisiin eli jos IP-osoite vaihtuisi esim. kesken lomamatkan ja sen tuloksena menettäisin kaikki yhteydet kotiin plus että esimerkiksi puhelimen nettiyhteys lakkaisi toimimasta kokonaan, koska se käyttää omaa DNS palvelinta.

 

EdgeRoutereissa on rautakiihdytetty IPsec, joka tarkoittaa sitä että VPN tunneli toimii aina verkon saatavissa olevalla täydellä nopeudella.


Asetusten säätöön näille löytyy netistä hyviä tutoriaaleja, niiden perusteella pitäisi onnistua aika helpost.

irritus
Arvonimi
Käyttäjätaso 7
Kunniamerkki +16
@TaneliEerikki@  kirjoitti:

Reitittimenä on tällä hetkellä Telewellin EAV510. 

No tuossa ainakin on sisäänrakennettu VPN-tuki. Joskaan ihan kaikkiin konfiguraatioihin se ei taivu. Telewellin OpenVPN toteutus tukee kirjatumisvaihtoehdoista ainoastaan yhteisvarmenne, käyttäjätunus ja salasana yhdistelmää.

 

Mikäli vastapään reititin käyttää laitekohtaisia varmenteita ilman salasanaa tai pelkkää salasanaa ilman varmenteita, sitä ei saa juttelemaan Telewellin kanssa.

 

Applella on useampia Air-johdannaisia laitteita. Apple Airport on edesmennyt langattoman lähiverkon tukiasema ja reititin. Apple Macbook Air on ohut kannettava tietokone.

 

@TaneliEerikki@  kirjoitti:

Tuli mieleen, että näissä kiinteissä kohteissa voisiko koko kaluston hoitaa kerralla reitittimeen asennetulla VPN:llä.

Kyllä, kuten myös liikkuvassa käytössä. Esimerkiksi Teltonikan mobiilireitittimissä on sisäänrakennettu VPN-tuki.

 

Koska VPN:ää voi käyttää moneen tarkoitukseen, tässä vaiheessa on hyvä varmistaa, mihin haluat käyttää VPN:ää?

 

Onko tarkoituksesi yhdistää kotisi ja mökkisi lähiverkot, jotta voit käyttää valvontakameroitasi ja pölynimuriasi turvallisesti molemmista paikoista?

 

Vai onko tarkoitus ottaa yhteys johonkin kaupalliseen VPN-palveluun, jotta voit seurata videopalveluita, joiden näkyvyys Suomeen on estetty?

 

@TaneliEerikki@  kirjoitti:

tuo reititin (Telian toimittama laajakaistaan liittyen) ei reititinpohjaista VPNää tue.

Tuo? Siis toimittiko Telia sinulle Telewellin?

 

Yleisesti ottaen Telian toimittamissa laitteissa, kuten Huawei, Sagemcom, Technicolor ja Thomson, ei ole VPN:ää.

 

@TaneliEerikki@  kirjoitti:

reitittimeen pitäisi asentaa DD-WRT alkueräisen ohjelmiston tilalle (?).

Vaihtoehtoisia laiteohjelmistoja saa vain muutamille reitittimille. Lisäksi laiteohjelmiston päivittämisessä tulee olla erittäin huolellinen, sillä väärään reitittimeen asennettu väärä laiteohjelmisto tekee reitittimestä tiiliskiven, eli se ei sen jälkeen enää toimi.

 

Jos näin käy, laitteen palauttaminen toimivaksi vaatii syvällistä tietämystä elektroniikasta, ellei ole jopa täysin mahdotonta.

 

Mikäli termit JTAG ja 3,3 V sarjaportti eivät sano sinulle mitään, etkä halua ottaa riskiä reitittimen menemisestä rikki, suosittelen, että pysyt laitteissa, joissa on tarvittavat ominaisuudet jo tehtaalta lähtiessään.

irritus
Arvonimi
Käyttäjätaso 7
Kunniamerkki +16
@SINAD@  kirjoitti:

Tarvitset molempiin päihin reitittimet joissa on IPsec Site-to-Site ominaisuus, julkisen IP:n (kiinteässä liittymässä oletuksena, mobiilissa lisäpalveluna) ja kummankin pään modeemit tulee olla siltaavina, eli reitittimen pitää nähdä suoraan julkinen IP.

Itse en suosittele ”mun eka oma vpn” käyttöön IPsec-protokollaa, juuri sen takia, että se vaatii molempiin päihin julkiset ip-osoitteet ja vielä suoraan reitittimille asti.

 

Kiinteän verkon laitteissa tämän saa yleensä järjestettyä helposti. Mobiilireitittimissä sen sijaan siltaus on usein rikki ja se hukkaa liikennettä tai toimii muuten oudosti. Mobiilidatalla hyvin toimivan julkisen ip-osoitteen saa IPsec-reitittimelle asti ainoastaan ostamalla 4G-reitittimen, jossa on sisäänrakennettu IPsec-tuki.

 

Ensimmäiseen vpn-projektiin suosittelen OpenVPN-protokollaa. Se sujahtaa NAT:in portinohjauksen läpi sukkelasti ja julkinen ip-osoite tarvitaan vain yhteyden palvelinpäähän.

A

Useimmat VPN palvelut sallivat vähintään viiden laitteen yhdistämisen. VPN reititin lasketaan vain yhdeksi laitteeksi ja järjestelmä on kohtuullisen helppo asentaa. Oheisessa artikkelissa on vertailtu yli 200 VPN palvelua ja artikkelin linkkien kautta löytyvät helpot asennusohjeet reitittimelle.

https://www.arvomedia.fi/paras-vpn-yhteys-suomeen/

SINAD
Arvonimi
Käyttäjätaso 3
Kunniamerkki +14

Tässä kyseisessä tapauksessa ei käytetä mitään VPN-palvelua lainkaan, vaan se perustetaan itse kahden eri pisteen välille.

Vastaa


Käyttöehdot
Evästeasetukset