Telia Yhteisö
peruuta
Näytä tulokset kohteelle 
Hae sen sijaan kohdetta 
Tarkoititko: 
TaneliEerikki
Uusi keskustelija
  • 0 custom-general.kudos
  • 12 custom-general.replies
  • 0 custom-general.solutions

VPN kiinteän laajakaistan reitittimeen

Kotiverkossa wlanin perästä löytyy televisioita, Chromecastia, Applen Air-mikäseon, robotti-imuri, sekä useita Android ja IOS mobiileja. Reitittimenä on tällä hetkellä Telewellin EAV510. 

 

Mökillä on sim-kortilla toimivan reitittimen perässä vähän samanlaista settiä kalustoa ainakin silloin kun siellä ollaan paikalla + turvakamerasysteemi.

 

Joka paikassa kohkataan VPNn eduista. Tuli mieleen, että näissä kiinteissä kohteissa voisiko koko kaluston hoitaa kerralla reitittimeen asennetulla VPN:llä. Olen tekniikassa ummikko ja näillä foorumeilla keskustelut vilisevät kolmikirjaimisia kummajaisia ja terminologiaa niin, ettei niistä mitään ymmärrä. Sen verran olen surffannut, että olen tullut käsitykseen, että tuo reititin (Telian toimittama laajakaistaan liittyen) ei reititinpohjaista VPNää tue. Ainakin jossakin (https://fi.vpnmentor.com/blog/kuinka-asentaa-vpn-reitittimeen/) sanottiin, että reitittimeen pitäisi asentaa DD-WRT alkueräisen ohjelmiston tilalle (?). Ja DD-WRT-projektin sivuilla olevasta laiteluettelosta ei Telewelliä löydy lainkan.

 

Kysymys kuuluu, onko porukoilla kokemusta, haenko pyrkimyksilläni pelkkiä vaikeuksia, vai onko järjestelmä kohtuullisella vaivalla pystytettävissä ja miten se kannattaisi toteuttaa.

 

@TaneliEerikki  Kiittää ja toivotta hyvää Joulua!

3 vastausta
SINAD
Konkari
  • 464 custom-general.kudos
  • 903 custom-general.replies
  • 33 custom-general.solutions

Tarvitset molempiin päihin reitittimet joissa on IPsec Site-to-Site ominaisuus, julkisen IP:n (kiinteässä liittymässä oletuksena, mobiilissa lisäpalveluna) ja kummankin pään modeemit tulee olla siltaavina, eli reitittimen pitää nähdä suoraan julkinen IP. Julkisen IP-osoitteen tulisi olla niin pysyvä kuin ikinä mahdollista. Telian kiinteissä se pysyy jos et sammuta tai vaihda laitteita toisiin. Mobiilipuolella sekin pitää ostaa lisäpalveluna. Jos IP:tä ei saa millään täysin pysyväksi, tarvitset myös DynDNS-palvelun sekä reitittimen, joka osaa raportoida julkisen IP:n muutokset sinne.

 

Kun nämä asiat ovat kunnossa, on loppu aika helppoa:

- Lähiverkon laitteet määritellään eri aliverkkoihin (esim. 192.168.1.x kotilaitteille ja 192.168.2.x etälaitteille)

- Em. aliverkot syötetään reitittimen IPsec-asetuksiin

- Annetaan vastapään IP-osoite tai DynDNS-verkkonimi

- Jos DynDNS käytössä, määteillään reitittimeen myös se

- Kehitetään hyvä salausavain, joka syötetään molempien päiden laitteisiin

 

Toimiessaan reitittimet pyrkivät muodostamaan yhteyden automaattisesti. Sen muodostuttua kumpikin lähiverkko näkee toisensa ja laitteiden välllä voi kommunikoida kaikilla protokollilla.

 

Itse ajelin tuota jo yli 10 vuotta sitten ADSL-linjan päällä silloisella TeleWellin EA716V2-reitittimellä menestyksekkäästi. VPN tunneleita oli tuolloin useita yhtä aikaa, ainakin isän, äidin sekä yhden sukulaisen verkkoihin.

 

Nykylaitteista en osaa sanoa muuta kuin että ainakin Ubiquitin EdgeRouterilla onnistuu ja olen sitä käyttänyt pojan kanssa, mutta juuri tällä hetkellä tunneli ei ole käytössä kun poika muutti opiskelemaan sellaiselle paikkakunnalle ettei saa kunnollista kiinteää nettiä. Mutta tätä ennen VPN pelitti pojalle vallan mainiosti ja pystyi käyttämään kotiverkon palveluita etänä. Hänellä reitittimenä EdgeRouter Lite ja mulla ErgeRouter ERpro-8. Vaikka IP-osoite pysyykin aika hyvin niin mulla on myös maksettu DynDNS-palvelu käytössä ja EdgeRouter päivittää osoitteen tarvittaessa. Tämä on tosin hätätilanteisiin eli jos IP-osoite vaihtuisi esim. kesken lomamatkan ja sen tuloksena menettäisin kaikki yhteydet kotiin plus että esimerkiksi puhelimen nettiyhteys lakkaisi toimimasta kokonaan, koska se käyttää omaa DNS palvelinta.

 

EdgeRoutereissa on rautakiihdytetty IPsec, joka tarkoittaa sitä että VPN tunneli toimii aina verkon saatavissa olevalla täydellä nopeudella.


Asetusten säätöön näille löytyy netistä hyviä tutoriaaleja, niiden perusteella pitäisi onnistua aika helpost.

irritus
Konkari
  • 541 custom-general.kudos
  • 948 custom-general.replies
  • 82 custom-general.solutions


@TaneliEerikki  kirjoitti:

Reitittimenä on tällä hetkellä Telewellin EAV510. 

No tuossa ainakin on sisäänrakennettu VPN-tuki. Joskaan ihan kaikkiin konfiguraatioihin se ei taivu. Telewellin OpenVPN toteutus tukee kirjatumisvaihtoehdoista ainoastaan yhteisvarmenne, käyttäjätunus ja salasana yhdistelmää.

 

Mikäli vastapään reititin käyttää laitekohtaisia varmenteita ilman salasanaa tai pelkkää salasanaa ilman varmenteita, sitä ei saa juttelemaan Telewellin kanssa.

 

Applella on useampia Air-johdannaisia laitteita. Apple Airport on edesmennyt langattoman lähiverkon tukiasema ja reititin. Apple Macbook Air on ohut kannettava tietokone.

 


@TaneliEerikki  kirjoitti:

Tuli mieleen, että näissä kiinteissä kohteissa voisiko koko kaluston hoitaa kerralla reitittimeen asennetulla VPN:llä.


Kyllä, kuten myös liikkuvassa käytössä. Esimerkiksi Teltonikan mobiilireitittimissä on sisäänrakennettu VPN-tuki.

 

Koska VPN:ää voi käyttää moneen tarkoitukseen, tässä vaiheessa on hyvä varmistaa, mihin haluat käyttää VPN:ää?

 

Onko tarkoituksesi yhdistää kotisi ja mökkisi lähiverkot, jotta voit käyttää valvontakameroitasi ja pölynimuriasi turvallisesti molemmista paikoista?

 

Vai onko tarkoitus ottaa yhteys johonkin kaupalliseen VPN-palveluun, jotta voit seurata videopalveluita, joiden näkyvyys Suomeen on estetty?

 


@TaneliEerikki  kirjoitti:

tuo reititin (Telian toimittama laajakaistaan liittyen) ei reititinpohjaista VPNää tue.

Tuo? Siis toimittiko Telia sinulle Telewellin?

 

Yleisesti ottaen Telian toimittamissa laitteissa, kuten Huawei, Sagemcom, Technicolor ja Thomson, ei ole VPN:ää.

 


@TaneliEerikki  kirjoitti:

reitittimeen pitäisi asentaa DD-WRT alkueräisen ohjelmiston tilalle (?).


Vaihtoehtoisia laiteohjelmistoja saa vain muutamille reitittimille. Lisäksi laiteohjelmiston päivittämisessä tulee olla erittäin huolellinen, sillä väärään reitittimeen asennettu väärä laiteohjelmisto tekee reitittimestä tiiliskiven, eli se ei sen jälkeen enää toimi.

 

Jos näin käy, laitteen palauttaminen toimivaksi vaatii syvällistä tietämystä elektroniikasta, ellei ole jopa täysin mahdotonta.

 

Mikäli termit JTAG ja 3,3 V sarjaportti eivät sano sinulle mitään, etkä halua ottaa riskiä reitittimen menemisestä rikki, suosittelen, että pysyt laitteissa, joissa on tarvittavat ominaisuudet jo tehtaalta lähtiessään.

irritus
Konkari
  • 541 custom-general.kudos
  • 948 custom-general.replies
  • 82 custom-general.solutions


@SINAD  kirjoitti:

Tarvitset molempiin päihin reitittimet joissa on IPsec Site-to-Site ominaisuus, julkisen IP:n (kiinteässä liittymässä oletuksena, mobiilissa lisäpalveluna) ja kummankin pään modeemit tulee olla siltaavina, eli reitittimen pitää nähdä suoraan julkinen IP.

Itse en suosittele ”mun eka oma vpn” käyttöön IPsec-protokollaa, juuri sen takia, että se vaatii molempiin päihin julkiset ip-osoitteet ja vielä suoraan reitittimille asti.

 

Kiinteän verkon laitteissa tämän saa yleensä järjestettyä helposti. Mobiilireitittimissä sen sijaan siltaus on usein rikki ja se hukkaa liikennettä tai toimii muuten oudosti. Mobiilidatalla hyvin toimivan julkisen ip-osoitteen saa IPsec-reitittimelle asti ainoastaan ostamalla 4G-reitittimen, jossa on sisäänrakennettu IPsec-tuki.

 

Ensimmäiseen vpn-projektiin suosittelen OpenVPN-protokollaa. Se sujahtaa NAT:in portinohjauksen läpi sukkelasti ja julkinen ip-osoite tarvitaan vain yhteyden palvelinpäähän.