Site-to-site VPN opzetten

Site to site VPN

In mijn vorige artikel over “wat is VPN” heb ik het ook gehad over site-to-site VPN. Ik heb hierin aangegeven dat je hiervoor een iets geavanceerde router moet hebben dan de huis-tuin-en-keuken routers die bij de meeste mensen prive thuis staat.

Om nu eens aan te geven hoe eenvoudig het is om zelf een site-to-site VPN op te zetten, zal ik hieronder laten zien hoe ik dit zelf gerealiseerd heb doormiddel van 2 draytek routers.

Opzet

Locatie 1 Locatie 2
Apparaat Draytek 2850Vn Draytek 2130n
LAN IP-subnet 172.19.3.0 192.168.1.0
LAN subnetmasker 255.255.255.0 255.255.255.0
Router IP adres 172.19.3.1 192.168.1.1

 

VPN aanzetten op beide routers

Allereerst moeten er één of meerdere protocollen worden aangezet in beide routers. Het simpelste is om alle drie de opties aan te zetten en eventueel later de protocollen uit te zetten die niet worden gebruikt. Deze opties kun je aanvinken door naar het menu “VPN and Remote Access” te gaan en vervolgens te kiezen voor “Remote Access Control Setup”. Je zou nu een soort gelijk scherm moeten zien zoals hieronder.

Remote access control setup

Profielen aanmaken

Er dienen profielen aangemaakt te worden op beide routers. Op de ene router moet een dial-out profiel worden aangemaakt, en op de andere router een dial-in profiel. Het maakt niet uit op welke router je het dial-out of dial-in profiel aanmaakt.

In mijn opstellen synchroniseer ik bestand van locatie 1 naar locatie 2. Ik vond het daarom logisch om op locatie 1 een dial-out profiel in te stellen en op locatie 2 een dial-in profiel.

Dial-out profiel aanmaken voor locatie 1

We gaan nu een profiel aanmaken op locatie 1 welke vervolgens een connectie moet gaan opzetten met locatie 2. Om die te doen moeten we naar het “VPN and Remote Access” menu en klikken vervolgens op “LAN to LAN”. Je krijgt nu een soortgelijk overzicht te zien als hieronder, alleen zal er nog geen profiel aanwezig zijn. In mijn geval is er al een profiel aanwezig welke actief is en op dit moment een verbinding heeft met locatie 2.

LAN to LAN profile overview

Common Settings

Klik nu op “Index 1” en je krijgt een scherm te zien waar je het profiel kunt instellen. Het begint met de “Common Settings” zoals hieronder te zien is.

LAN to LAN profile - common settings

De volgende velden/opties moeten voorzien worden van een waarde:

Profile Name
Een logische naam waaraan jijzelf kunt zien naar welke locatie er een VPN verbinding opgezet gaat worden.

Enable this profile
Deze optie moet worden aangezet om het profiel “actief” te kunnen maken

VPN Dial-Out Through
Hier moet je aangeven welke WAN verbinding hij moet gebruiken. Deze router beschikt over meerdere WAN verbindings mogelijkheden, dus het is zaak dat je de goede verbinding kiest.

Call Direction
Deze moet op Dial-Out worden gezet. Kies hier geen “Both”, want dan is de kans heel groot dat je het uiteindelijk niet werkend zult krijgen. Dit hangt namelijk af van de type draytek routers die je gebruikt. Door één router op Dial-Out te zetten en de andere op Dial-In zul je het altijd werkend moeten krijgen.

Always on
Deze optie zou ik altijd aanzetten, anders verbreekt hij na een bepaalde idle tijd zelf de verbinding.

Enable PING to keep alive
Voor de zekerheid zou ik deze ook aanzetten en het veld “PING to the IP” vullen met een IP adres van een server of router die altijd beschikbaar zou moeten zijn.

Dial-Out settings

Nu kunnen we de Dial-Out settings in gaan vullen, wat er ongeveer uit zal zien zoals hieronder.

LAN to LAN - Dail-out settings

De volgende velden/opties zijn belangrijk:

Type of Server I am calling
Ikzelf heb gekozen voor IPsec Tunnel. Een wat betere manier van encryptie welke met ook geadviseerd is door Draytek zelf.

Server IP/Host Name for VPN
Hier moet je het publieke IP adres van locatie 2 invullen. Dit is namelijk het IP adres waarmee hij een connectie mee gaat opzetten.

Pre-Shared Key
Aangezien ik voor IPsec gekozen heb moet ik een “IKE Pre-Shared Key” opgeven. Deze key moet eenmalig in beide routers ingevoerd worden. Deze key wordt gebruikt voor het encrypten/decrypten van het berichten verkeer.

IPsec Security Method
Kies hier voor “High(ESP)” en dan voor de optie “3DES with Authentication”.

TCP/IP Network Settings

We kunnen nu een stuk overslaan en komen bij het punt TCP/IP Network Settings. Dit zal er ongeveer zo uitzien als hieronder.

LAN to LAN - TCP/IP network settings

De volgende velden zijn belangrijk:

Remote Network IP
Dit is het netwerk van locatie 2, in dit voorbeeld 192.168.1.0

Local Network IP
Dit is het adres van de router op locatie 1, in dit voorbeeld 172.19.3.1

We zijn nu klaar met het instellen van de draytek router op locatie 1 en kunnen nu de draytek router op locatie 2  gaan instellen.

Dial-in profiel aanmaken voor locatie 2

We gaan op deze router ook naar het “VPN and Remote Access” menu en kiezen hier ook voor “LAN to LAN”. We krijgen nu onderstaand scherm te zien. Je ziet nu dat niet alle draytek routers dezelfde configuratie schermen bevatten.

LAN to LAN profile overview draytek 2130

Het is de bedoeling dat we nu op de knop “Add Tunnel” klikken van het bovenste gedeelte. We hebben namelijk gekozen voor IPSec en niet voor PPTP. Wanneer we op deze knop klikken krijgen we onderstaand scherm te zien.

LAN to LAN - Dail-in settings

De volgende velden/opties zijn belangrijk:

Enabled
Deze spreekt voor zich denk ik. Deze moet aan.

Always On
Zet deze ook aan om altijd een verbinding te blijven houden.

Authentication Type
Kies hier voor Pre-Shared Key

Pre-Shared Key
Vul hier de waarde van de Pre-Shared Key in die je ook hebt ingevuld in de router van locatie 1.

Confirm Pre-Shared Key
Vul hier als extra controle nogmaals dezelfde key in.

Local Network / Mask
Hier vul je het adres in van het locale netwerk. In dit voorbeeld is dat 192.168.1.0

Remote Network / Mask
Vul hier het adres in van het netwerk van locatie 1. In dit voorbeeld 172.19.3.0

Controle

Om nu te controleren of het werkt, kies ik ervoor om weer in te loggen in de router van locatie 1. Ga nu wederom naar het “VPN and Remote Access” en kies dan voor “Connection Management”. We krijgen dan onderstaand scherm te zien.

LAN to LAN - Connection management

Bij “VPN Connection Status” kunnen we zien of we een VPN verbinding hebben op dit moment. Is dit niet het geval, dan kunnen we via “General Mode” een profiel selecteren en daarna op “Dial” drukken. Nu zou er een verbinding opgezet moeten worden welke actief zou moeten blijven.

About Jean-Pierre Broeders

Jean-Pierre Broeders is sinds 2000 werkzaam als software engineer. Sinds 2006 heeft hij een eigen bedrijf genaamd FreelyIT waar hij als freelancer opdrachten uitvoert in de rol van senior .NET developer, consultant en integratie specialist.

4 Kommentaar

  1. Mooie post trouwens. Nuttige informatie!

  2. Ik begrijp er weinig van, ik ben ook helemaal niet thuis in deze materie.

    Ik heb sinds Donderdag een VPN service van NordVPN. Ik heb speciaal een VPN router gekocht met een krachtige processor. Ik moet in de map
    Configuration/VPN/IPSEC Setting de gegevens invullen.

    Ik begrijp iets meer na het lezen van deze website doch heb ik geen idee wat ik daar allemaal moet invullen.

    Welke informatie moet NordVPN mij verstrekken alleen dat IP-adres wat ze me hebben gegeven?

    Ik hoop dat iemand mij verder kan helpen.

    • Jean-Pierre Broeders

      Ik heb geen ervaring met NordVPN en heb geen idee welke router je hebt gekocht, maar op de volgende pagina staat precies hoe je een VPN connectie op router niveau moet aanmaken met een aantal verschillende routers.
      https://nordvpn.com/tutorials/

    • Nordvpn is een soort van proxyserver en wordt meer gebruikt voor het (illigaal) downloaden van films e.d.
      Het is dus geen router maar een dienst.

      Meer dan het maskeren van je eigen wan adres doet het niet.

      Gr

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.