Gå til innhold
🎄🎅❄️God Jul og Godt Nyttår fra alle oss i Diskusjon.no ×

Behøver hjelp med DMZ for å unngå et double-NAT oppsett


Anbefalte innlegg

Trodde jeg hadde fått det til, men ser ikke slik ut. Kort forklart:

Quote

Har 2 routere. Og får til at nettsider viser VPN sin IP i Xbox-en sin Microsoft Edge. Likevel så detekterer Xbox-en min double-NAT. Hvorfor skjer det? Trodde at jeg hadde fått til DMZ på første router som ellers alltid gir min norske IP. Mulig at jeg skal ta diskusjonen over i en separat debatt da dette er litt detaljaktig. Så for den som kan veilede meg i AsusWRT menyene, følg gjerne med over.

Topologi:

Fiber > Router1 gir norsk IP -> DMZ til dedikert IP-adresse på Router1 -> Nytter samme DMZ IP som WAN IP på Router2 -> OpenVPN satt i Router2

Unnskyld jeg er ikke helt stødig i nettverk, men har forsøkt å følge en youtube-guide for DMZ. Jeg glemmer nokså fort, men kan kanskje grave fram oppskrift jeg har fulgt for å belyse oppsettet grundigere her.

Resultater:

Får norsk IP på Router1

Får utenlandsk IP på alt av utstyr tilkoblet Router2

Xbox tilkoblet Router2 avslører likevel double-NAT og Xbox-en opplyser at dette kan medføre gamingproblemer når en gamer med flere andre gamere.

Har nyttet grc.com sin ShieldsUp for å avlese IP adresse i MS Edge inni Xbox-en. Får da en 185.213.xxx.xxx adresse som er Mullvad sin. Da jeg foreløpig har VPN-tjenesten min hos dem.

Endret av G
Lenke til kommentar
Videoannonse
Annonse

Siden du kjører vpn på router 2 kan du egentlig glemme alt av port forwarding og dmz på din egen router. Ingenting du gjør på router 2 har noen innvirkning siden du kjører vpn. Se på det som at du fysisk sitter på vpn adressen, alt av port forwarding må derfor gjøres hos vpn levrandøren. Har du tenkt å fortsette med vpn så for all del deaktiver dmz på routeren din. Å sette noe i dmz er en særdeles dårlig ide. Bruk heller port forward hvis du må eksponere noe mot internett, dmz er totalt unødvendig å er en kjempe sikkerhetsrisk. 

Støtter ikke vpn levrandøren din åpning av porter så bytt levrandør.

Hvis du vil bruke portforward senere, uten vpn så siden du har dobbelt NAT må du port forwarde 2 ganger. Først fra router 1 til router 2 og deretter fra router 2 og til den enheten du vil ha åpne porter på. Slutt med dmz umiddelbart, for din egen og resten av nettverkets sin sikkerhet.. 

Lenke til kommentar

Jeg er newb hva gjelder nettverksaktig IT.

Men, jeg trodde at det å sette router1 i DMZ ikke gjorde at resten av dens switch ble utsatt for noe uhumsk fra internett, men at det var en isolert videreføring slik at de hackere på internett som slapp inn på DMZ-tilgangen ikke så resten av router1-aktiviteten.

Dessuten så har jo router2 sin egen "brannmur". Så hvordan blir dette en dårlig idé? Utbroder gjerne mer om det.

Lenke til kommentar

Enhet har LAN IP bak NAT. Den er ikke synlig utenifra (WAN) med mindre porter åpnes (enten av enheten selv eller statisk i NAT-enheten via det som heter port forwarding). Enhet har lyst på WAN IP. Enhet velger å ta i bruk VPN. Enhet får WAN IP fra VPN-tilbyder via en tunnel som går helt ifra LAN og ut gjennom alle NAT-enheter. Enhet er nå sårbar for alt som er tilkoblet Internett.

 

Lenke til kommentar
1 hour ago, AnthonyEdwardS said:

Enhet har LAN IP bak NAT. Den er ikke synlig utenifra (WAN) med mindre porter åpnes (enten av enheten selv eller statisk i NAT-enheten via det som heter port forwarding). Enhet har lyst på WAN IP. Enhet velger å ta i bruk VPN. Enhet får WAN IP fra VPN-tilbyder via en tunnel som går helt ifra LAN og ut gjennom alle NAT-enheter. Enhet er nå sårbar for alt som er tilkoblet Internett.

Hvilke av de to routerne? Den ene, og da hvilken av dem? Begge routere sårbare pga. dette? Det virker som om at en newb som meg behøver noe mer detaljer i forklaringene.

Endret av G
Lenke til kommentar
14 hours ago, G said:

Jeg er newb hva gjelder nettverksaktig IT.

Men, jeg trodde at det å sette router1 i DMZ ikke gjorde at resten av dens switch ble utsatt for noe uhumsk fra internett, men at det var en isolert videreføring slik at de hackere på internett som slapp inn på DMZ-tilgangen ikke så resten av router1-aktiviteten.

Dessuten så har jo router2 sin egen "brannmur". Så hvordan blir dette en dårlig idé? Utbroder gjerne mer om det.

Jeg leste det som at du hadde satt router 2 sin IP i dmz på router 1, men det er kansje ikke det du har gjort? Det er kansje xboxen du har satt i dmz? Grunnen til at jeg sa at det er en kjempe sikkerhetsrisk var at jeg gikk ut ifra at du hadde satt selve router 2 i dmz, som vil si at den er åpen for hele verden, selv om den er isolert fra retsen av enhetene på router 1 så har du jo flere ting koblet til router 2 som da er vid åpen og en angriper kan da lett komme seg videre til alle de enhetene. Det hjelper lite at router 2 har en egen brannmur når du har åpnet opp hele routeren ved å sette den i dmz. 

Om det er bare xboxen du har satt i dmz så ja, da er den isolert fra resten av nettverket,men den er forstatt vid åpen. Derfor sa jeg at det er ikke en særlig god ide å sette noe i dmz. Alt kan hackes, spessielt når det er vid åpent... Jeg setter aldri noe i dmz, selv om det bare hadde vært en xbox. Da hadde jeg heller åpnet de portene som kreves,slik at resten ikke pip åpent. Men ja, det er din xbox, ikke kom å klag på at den er blitt hacket hvertfall om du velger å sette den i dmz..

Jeg kan se nytten av det i en bedift med 1 eller flere brannmurer foran noe i dmz. Men det er sjelden man ser noe sånt i et hjemmenettverk.

Uansett så bruker du jo vpn, så selv om du setter xboxen i dmz så hjelper det lite. Så skjønner egentlig ikke hvorfor vi diskuterer det engang.

Endret av strike_
Lenke til kommentar

Hvordan kan man sette Xbox-en i DMZ, som du uttrykker som en mulighet? Da jeg tolker at DMZ er noe du må arve i fra oven. Dingsen som lever på en DMZ-IP adresse vil vel motta en åpen vei ut til internettet? Se nederst også..

Nå vet jeg jo ikke med 100 % sikkerhet at jeg har gjort ting riktig. Har forsøkt støtte meg til youtube-guide.

Så når jeg satte DMZ så skjedde dette på router1, og det krevde visst IP-adresse i DHCP poolen. Så satte jeg router2 til den spesifikke IP-adressen som var pekt til i DMZ-oppsettet på router1. Sånn fritt fra hukommelsen, begynner å bli fryktelig mange dager siden for meg, å huske med tunga beint i munnen her nå.

Altså så håpte jeg på at hele router2 sin DHCP lå inn under den DMZ-en fra router1.

Xbox-en er siden bare koblet rett i router2 uten noe mer om og men. Så dersom jeg plugget til en PS4 der så deler de VPN som OpenVPN på router2 gir og sånn sett bør de kunne se hverandre siden de begge henger på router2 sin DHCP ??

Men, hvordan Xbox-en da kan tolke at dette er dobbelt-NAT skjønner jeg meg ikke helt på. For en skulle jo tro at DMZ fraskillet det, samt at VPN fraskillet det ytterligere fra DMZ oppå der igjen og landet alt langt uti det vide internettverden.

Men, kan hende at de forskjellige skallene som skal pakke inn og beskytte de tingene jeg forestillet meg at skulle oppstå da ikke fungerer som jeg hadde klekket dette ut. Jeg er tross alt en nettverks-newb. Dette her er vel noe av det mest avanserte jeg noensinne har gjort på min router/routere, tross alt. Jeg hverken fra eller til nå må jeg ærlig innrømme.

Forsøker meg igjen på topologien jeg egentlig hadde ønsket meg å få til:

Router 1

asus-rt-ax55.jpg.b00b2c2e5e1857900b1d2c0d668d7ef8.jpg DMZ --> WAN IP adresse router2. Her håper jeg 🙏 selvsagt at resten av switch-ports (LAN) henter seg                        |                                norsk IP og håper igjen 🙏 at er helt adskillet / isolert fra DMZ 

        |                     

        |

        |

Router 2 tilkoblet en LAN-port på Router1

asus-rt-ax55.jpg.b00b2c2e5e1857900b1d2c0d668d7ef8.jpgOpenVPN

        |

        |

XSX

tilkoblet rett i Router2 på en ordinær RJ45 av dens switchporter (LAN)xbox-series-x-1-tb-sort.jpg.ada42dee5d0b295f500e023817b8f21b.jpg

Alt skal være åpnet for IPv6 da det så ut til at noe krevde sånt. Tror at det var VPN'et som behøvde IPv6 åpnet, om jeg klarer å huske stødig her nå da.

Altså trodd jeg at DMZ kun var en nødvendighet for å ri av seg dobbelt-NAT om folk skjønner tankegangen. Mulig at jeg har noen tankerekkefeil her, men vil gjerne høre om noen fagfolk har sitt syn på det jeg forsøker å oppnå og om jeg faktisk har tankerekkefeil eller om det jeg kanskje tenker nokså innenfor likevel.

Altså det jeg forsøker å oppnå er at router2 opplever å være direkte tilkoblet modem-router i fra ISP, på tross av at den må veien gjennom DMZ for å få dette. Deretter så håper jeg at OpenVPN-innstillingen satt hele router2 i VPN.

Endret av G
Lenke til kommentar
27 minutes ago, G said:

Nå vet jeg jo ikke med 100 % sikkerhet at jeg har gjort ting riktig. Har forsøkt støtte meg til youtube-guide.

Så når jeg satte DMZ så skjedde dette på router1, og det krevde visst IP-adresse i DHCP poolen. Så satte jeg router2 til den spesifikke IP-adressen som var pekt til i DMZ-oppsettet på router1. Sånn fritt fra hukommelsen, begynner å bli fryktelig mange dager siden for meg, å huske med tunga beint i munnen her nå.

Altså så håpte jeg på at hele router2 sin DHCP lå inn under den DMZ-en fra router1.

Xbox-en er siden bare koblet rett i router2 uten noe mer om og men. Så dersom jeg plugget til en PS4 der så deler de VPN som OpenVPN på router2 gir og sånn sett bør de kunne se hverandre siden de begge henger på router2 sin DHCP.

Men, hvordan Xbox-en da kan tolke at dette er dobbelt-NAT skjønner jeg meg ikke helt på. For en skulle jo tro at DMZ fraskillet det, samt at VPN fraskillet det ytterligere fra DMZ oppå der igjen og landet alt langt uti det vide internettverden.

Men, kan hende at de forskjellige skallene som skal pakke inn og beskytte de tingene jeg forestillet meg at skulle oppstå da ikke fungerer som jeg hadde klekket dette ut. Jeg er tross alt en nettverks-newb. Dette her er vel noe av det mest avanserte jeg noensinne har gjort på min router/routere, tross alt. Jeg hverken fra eller til nå må jeg ærlig innrømme.

Litt vanskelig å forstå oppsettet ditt, men du hadde antakelig fått samme melding om du helt kuttet ut router1, for som jeg leser det, så skjer 1. NAT'ing på router2 når dataene sendes over VPN-tunnellen (som er satt opp på router2 om jeg forstår deg rett) og 2. NAT'ing skjer hos VPN-leverandøren siden de ikke gir deg en dedikert IP utfra det jeg leste på mullvad's sine sider. 

Når xbox'en din forsøker å opprette en portmapping prater den med router2, men egentlig skulle den (også) prate med den enhet som utfører natting hos VPN-leverandøren for at det skal kunne fungere for når Microsoft's server forsøker å "ringe tilbake" til deg på den port xbox'en ba om å få åpnet, så vil det kun kunne fungere om VPN-leverandørens NAT'ings enhet faktisk vet om den porten din xbox ønsker å åpne, og det vet den jo ikke.  Derfor resonerer xbox'en seg helt riktig frem til at du sitter i et dobbelt-NAT scenario. 

Lenke til kommentar

Samtidig så henter alle enhetene som ikke sitter på DMZ sin NAT i fra router1 går jeg ut i fra?

Gjør jeg noe feil da? Skulle jeg ha satt opp VPN-et bedre med innstillinger enn deg jeg har gjort. Eller er det noe jeg ikke kan forvente å få mullvad til å se på noe som helst vis når jeg kjører VPN på en router?

Xbox-en må jeg kunne forvente at fungerer tipp-topp eller kan det faktisk gå ut over game performance som Xbox-en varsler om? Har jeg noen sikkerhetsbrister i det hele tatt her egentlig, eller beskytter router2 med sin NAT-aktige vegg som sikkerhetsbarriere? Eller har VPN penetrert det i router2? Hvordan skal jeg forstå alt i sammen av dette som den newb jeg er?

Lenke til kommentar
3 hours ago, G said:

Hvordan skal jeg forstå alt i sammen av dette som den newb jeg er?

Dette er ingen kritikk, men ut fra det du har skrevet så langt, forstår du bortimot ingenting om nettverk, men det samme gjelder også de 99,9% av alle andre på nett og det behøver slettes ikke være noget problem sålenge du holder det enkelt og bare går for standard oppsett som alle andre.  Dropp VPN, dobbelte routere, DMZ og mye vil være gjort ifht et trygt oppsett som fungerer utmerket.  

Hva er forresten grunnen til du vil spille gjennom VPN?  Du nevner også gaming performance, noe som passer veldig dårlig i kombinasjon med VPN-tjenester der altid vil resultere i eksta latency og passer særlig dårlig i kombinasjon med low-end VPN-tjenester uten dedikert IP.  Jeg skjønner ærlig talt ikke meningen med det du driver med.  Er det en regionsperre du vil komme deg utenom? 

  • Liker 2
Lenke til kommentar

Må si at jeg holder med @tigerdyr her. Jeg trodde jeg hadde forklart meg ganske greit, men ser ikke ut til at det går inn. Så da gir jeg dessverre opp. Har ikke tid til å finne frem teskje i dag 😛

13 hours ago, G said:

men vil gjerne høre om noen fagfolk har sitt syn på det jeg forsøker å oppnå og om jeg faktisk har tankerekkefeil eller om det jeg kanskje tenker nokså innenfor likevel.

Jeg er overhodet ikke det du kaller "fagfolk", så hvis det er det du venter på så får du nesten bare venter videre. Men jeg vil tippe de nikker med hodet når du spør om du har "tankerekkefeil".

Lenke til kommentar

1. fordi jeg ønsker å game på annen IP, og at jeg kan skifte dersom det blir for mye trolling fra andre på P2P-forbindelsen

2. fordi jeg ønsker muligens å teste Netflix der

3. fordi jeg ønsker at mer enn en enhet som har fysisk nettverkskabel mulighet for tilkobling skal kunne dele på VPN

4. fordi jeg ønsker en VPN-app når jeg er på reise på åpne usikrede WiFi-nettverk med mobiltelefon og/eller nettbrett

5. ja, kunne kjøpe noe geo-blocket online. Som andre bekjente i andre land kan gå fysisk i butikk å hente selv eller på vegne av meg. Gjelder først og fremst Walmart papirfotoutskrifter for kjerringa (som bor med meg i Norge) tenker jeg. Men plutselig så er det jeg som sitter med behover selv som dukker opp før man vet ordet av det.

Primært disse forholdene, men det kan jo tenkes at det kommer nye behov til etterhvert. 5 Euro i mnd. for noe slikt kan "nesten" forsvares.

Jeg er ikke noen "kvalitetsgamer" enda, som har spesielle behov til hastighet. Jeg hater foreløpig Battleroyal titler, da jeg aldri har gitt det mitt fulle engasjement. En må vel regne med at refleksene til en gamling som meg er noe skrantene ift. dagens ADHD-ungdom likevel. Nå forstår jeg jo at det er viktig med noe hastighet, men f.eks. i GTO som jo ikke er en rendyrket Battle royal-spilltittel selv om enkelte elsker å bruke det til sånt, så behøver man ikke særlig hastighet.

Nå kommer jeg jo i fra :laugh: ca. 20 FPS på PS4 da i GTO, og er over på noe annet fps på XSX konsollet mitt som spillkarakteren min er konvertert over til. Har 120 Hz LG CX å spille på. Står altså ikke helt tilbake skjerm-messig.

Jeg har ekstremt god ping hos Altibox. Når jeg så kjører det via, f.eks. Mullvad i Gøteborg så får en ikke så fryktelig tap vil jeg si. Helsingborg er dårligere da. Trafikken vår fra Norge må vel uansett ofte via Sverige likevel. Sånn sett så vil jeg en VPN i Sverige komme nærmere de andre i P2P når det kommer til download for meg, mens min upload må bli verre for meg selv. Har dere tenkt noe sånn selv enda, at en kommer nærmere verden også om en velger en av de riktigere serverne? Selvsagt så vil det nok være noe å hente på å kjøre det hos Altibox i stedetfor, men tanken min er nok ikke så fjern på dette heller da. Spesiellt mhp. på at ping kanskje er mer stabil hos sin egen fiber-ISP.

Jeg vet jo ikke lengre om internett forholder seg slik for Norge. Men, en gang i fortiden så gjorde det jo det at Sverige tråler alt av vår internettrafikk omtrentlig. Det gamle av internettopologi har vel også en tendens til å kunne holde seg i fra 90-tallet og fram til i dag. Det finnes jo fiber langs de samme toglinjene fortsatt, langs de samme høyspentkablene etc. etc., noe nytt har nok kommet til etterhvert fra 90- og 2000-tallet. Men sannsynlig ikke så fryktelig mange nye hovedstamnett.

486681561_binr_G.jpg.3e37027e3befea35e8c452e22fbb2ab8.jpg

Se det tok sin tid, men fikk binært tall på G-profilen nå i kveld. Sånt varmer en gammal PC-entusiast litt.

Nettverk har aldri helt vært min styrke hva gjelder IT-relaterte ting. Hva er det som river mest i sjela når dere vurderer mine nettverkssprell? Er det at jeg forsøker noe for avansert på løsning, når jeg ikke har forutsetninger? Altså jeg har jo både en norsk-IP på router1 og svensk-IP (eller hva jeg velger selv) på router2 som sviver uten stress. Men, det jeg lurer på er sikkerhetsaspektene her. Har jeg gjort ting feil mhp. nettverkssikkeret er jo alfa og omega-spørsmålet? Så får heller det at folk liker orginale/uorginale løsninger dårligere enn meg vike litt vel?

Selv så synes jeg ikke tankesporet mitt er helt feiltenkt, ut i fra hva jeg ønsker av sluttløsning. Men, det kan jo være jeg konfigurer som en med 10 tommeltotter. Det vet jeg jo ikke, da jeg erklærer meg for nettverks-newb, på tross av å ha skrudd på egne PC-er siden 1994. Det er ærligere å innrømme på hvilket IT-område en er newb enn å utgi seg for noe man ikke er.

Jeg trodde jeg skulle mer møtt en avkreftelse, el. kanskje være heldige å se en bekreftelse. "Gratulerer du satte det opp på riktig vis". Men, blir istedet møtt med at "alt jeg tenker" på er feiltanke.

Men, at noe fungerer er ikke ensbetydende med god datasikkerhet. Det er jo på det rene.

Endret av G
Lenke til kommentar
G skrev (1 time siden):

1. fordi jeg ønsker å game på annen IP, og at jeg kan skifte dersom det blir for mye trolling fra andre på P2P-forbindelsen

2. fordi jeg ønsker muligens å teste Netflix der

3. fordi jeg ønsker at mer enn en enhet som har fysisk nettverkskabel mulighet for tilkobling skal kunne dele på VPN

4. fordi jeg ønsker en VPN-app når jeg er på reise på åpne usikrede WiFi-nettverk med mobiltelefon og/eller nettbrett

5. ja, kunne kjøpe noe geo-blocket online. Som andre bekjente i andre land kan gå fysisk i butikk å hente selv eller på vegne av meg. Gjelder først og fremst Walmart papirfotoutskrifter for kjerringa (som bor med meg i Norge) tenker jeg. Men plutselig så er det jeg som sitter med behover selv som dukker opp før man vet ordet av det.

Primært disse forholdene, men det kan jo tenkes at det kommer nye behov til etterhvert. 5 Euro i mnd. for noe slikt kan "nesten" forsvares.

Jeg er ikke noen "kvalitetsgamer" enda, som har spesielle behov til hastighet. Jeg hater foreløpig Battleroyal titler, da jeg aldri har gitt det mitt fulle engasjement. En må vel regne med at refleksene til en gamling som meg er noe skrantene ift. dagens ADHD-ungdom likevel. Nå forstår jeg jo at det er viktig med noe hastighet, men f.eks. i GTO som jo ikke er en rendyrket Battle royal-spilltittel selv om enkelte elsker å bruke det til sånt, så behøver man ikke særlig hastighet.

Nå kommer jeg jo i fra :laugh: ca. 20 FPS på PS4 da i GTO, og er over på noe annet fps på XSX konsollet mitt som spillkarakteren min er konvertert over til. Har 120 Hz LG CX å spille på. Står altså ikke helt tilbake skjerm-messig.

Jeg har ekstremt god ping hos Altibox. Når jeg så kjører det via, f.eks. Mullvad i Gøteborg så får en ikke så fryktelig tap vil jeg si. Helsingborg er dårligere da. Trafikken vår fra Norge må vel uansett ofte via Sverige likevel. Sånn sett så vil jeg en VPN i Sverige komme nærmere de andre i P2P når det kommer til download for meg, mens min upload må bli verre for meg selv. Har dere tenkt noe sånn selv enda, at en kommer nærmere verden også om en velger en av de riktigere serverne? Selvsagt så vil det nok være noe å hente på å kjøre det hos Altibox i stedetfor, men tanken min er nok ikke så fjern på dette heller da. Spesiellt mhp. på at ping kanskje er mer stabil hos sin egen fiber-ISP.

Jeg vet jo ikke lengre om internett forholder seg slik for Norge. Men, en gang i fortiden så gjorde det jo det at Sverige tråler alt av vår internettrafikk omtrentlig. Det gamle av internettopologi har vel også en tendens til å kunne holde seg i fra 90-tallet og fram til i dag. Det finnes jo fiber langs de samme toglinjene fortsatt, langs de samme høyspentkablene etc. etc., noe nytt har nok kommet til etterhvert fra 90- og 2000-tallet. Men sannsynlig ikke så fryktelig mange nye hovedstamnett.

486681561_binr_G.jpg.3e37027e3befea35e8c452e22fbb2ab8.jpg

Se det tok sin tid, men fikk binært tall på G-profilen nå i kveld. Sånt varmer en gammal PC-entusiast litt.

Nettverk har aldri helt vært min styrke hva gjelder IT-relaterte ting. Hva er det som river mest i sjela når dere vurderer mine nettverkssprell? Er det at jeg forsøker noe for avansert på løsning, når jeg ikke har forutsetninger? Altså jeg har jo både en norsk-IP på router1 og svensk-IP (eller hva jeg velger selv) på router2 som sviver uten stress. Men, det jeg lurer på er sikkerhetsaspektene her. Har jeg gjort ting feil mhp. nettverkssikkeret er jo alfa og omega-spørsmålet? Så får heller det at folk liker orginale/uorginale løsninger dårligere enn meg vike litt vel?

Selv så synes jeg ikke tankesporet mitt er helt feiltenkt, ut i fra hva jeg ønsker av sluttløsning. Men, det kan jo være jeg konfigurer som en med 10 tommeltotter. Det vet jeg jo ikke, da jeg erklærer meg for nettverks-newb, på tross av å ha skrudd på egne PC-er siden 1994. Det er ærligere å innrømme på hvilket IT-område en er newb enn å utgi seg for noe man ikke er.

Jeg trodde jeg skulle mer møtt en avkreftelse, el. kanskje være heldige å se en bekreftelse. "Gratulerer du satte det opp på riktig vis". Men, blir istedet møtt med at "alt jeg tenker" på er feiltanke.

Men, at noe fungerer er ikke ensbetydende med god datasikkerhet. Det er jo på det rene.

1. Dette er noe du fint kan løse med å kun kjøre VPN på PCen du spiller på.

2. Dette er også noe du fint kan løse ved å kun kjøre tredjeparts VPN forbindelse direkte på klienten.

3. Dette kan med visse VPN-tilbydere også løses ved å benytte VPN-oppkobling på klientbasis.

4. Dette har absolutt ingenting med ditt eget hjemmenettverk å gjøre med mindre du selv vurdere å hoste VPN ved å sette opp din egen VPN-server i hjemmenettet (og åpne porter inn til denne).

5. Dette kan også løses ved å kun kjøre VPN-klientsoftware på den aktuelle enhet (være det mobil, PC, gaming-konsoll, nettbrett, etc etc).

 

Kort sagt, du har ikke sagt noe som helst om hvorfor du ønsker VPN-forbindelse på en enhet som så forsyner ditt eget LAN med Internettforbindelse.. Hvis du tror du vil få bedre ping av å sende all nettverkstrafikk gjennom en VPN-tunnell til en tredjepart så vet jeg ikke hvor jeg skal begynne en gang.. Du har ikke en gang nevnt noe om hva som får de til å stole mer på VPN-tilbyderen din enn din norske Internettleverandør..

Og jo, ting har forandret seg noe enormt siden 1990 og 2000-tallet.. Du kunne bare glemme å kjøpe MPLS/VPRN tjenester med spredt routing og alternativ fremføring med dual ring protection og fiberhastigheter for 10 år siden.. I beste fall fikk du 2 Mbps ende til ende med 99.98% SLA.. Men la oss si at din konspirasjonsteori stemmer. I ditt hode, hva er det som får deg til å tro at en VPN-tilbyder (som tross alt leverer via Internett, altså via TCP/IP som alltid har vært og alltid vil være best effort) vil gi deg bedre ping, bedre redundans og alternative føringsveier ut av Kongeriket Norge? VPN er bare en tjeneste oppå eksisterende infrastruktur. Du får ikke flere router ut av Norge og sikkerheten din flyttes forbedres ikke, den bare flyttes til den aktuelle endepunkt-server du velger hos VPN-tilbyderen din.

Endret av AnthonyEdwardS
  • Liker 1
  • Innsiktsfullt 1
Lenke til kommentar
12 minutes ago, AnthonyEdwardS said:

1. Dette er noe du fint kan løse med å kun kjøre VPN på PCen du spiller på.

2. Dette er også noe du fint kan løse ved å kun kjøre tredjeparts VPN forbindelse direkte på klienten.

3. Dette kan med visse VPN-tilbydere også løses ved å benytte VPN-oppkobling på klientbasis.

4. Dette har absolutt ingenting med ditt eget hjemmenettverk å gjøre med mindre du selv vurdere å hoste VPN ved å sette opp din egen VPN-server i hjemmenettet (og åpne porter inn til denne).

5. Dette kan også løses ved å kun kjøre VPN-klientsoftware på den aktuelle enhet (være det mobil, PC, gaming-konsoll, nettbrett, etc etc).

 

Kort sagt, du har ikke sagt noe som helst om hvorfor du ønsker VPN-forbindelse på en enhet som så forsyner ditt eget LAN med Internettforbindelse.. Hvis du tror du vil få bedre ping av å sende all nettverkstrafikk gjennom en VPN-tunnell til en tredjepart så vet jeg ikke hvor jeg skal begynne en gang.. Du har ikke en gang nevnt noe om hva som får de til å stole mer på VPN-tilbyderen din enn din norske Internettleverandør..

..

I ditt hode, hva er det som får deg til å tro at en VPN-tilbyder (som tross alt leverer via Internett, altså via TCP/IP som alltid har vært og alltid vil være best effort) vil gi deg bedre ping, bedre redundans og alternative føringsveier ut av Kongeriket Norge? VPN er bare en tjeneste oppå eksisterende infrastruktur. Du får ikke flere router ut av Norge og sikkerheten din flyttes forbedres ikke, den bare flyttes til den aktuelle endepunkt-server du velger hos VPN-tilbyderen din.

Nei, jeg var ikke skråsikker på at ping hos VPN skulle være meg helt til hjelp. Men, for den andre gaming-part da, så vil han jo måtte game med meg mot VPN sin IP. Trafikken som skjer i VPN-tunnelen må en forvente at i Skandinavia er relativt gode greier. Tenker på den som skjer mellom VPN og hjem til deg. Som med alt sånn hastighetsflyt så vil jo svakeste leddet i kjeden utgjøre flaskehalsene.

Jeg har tenkt at det er enklere å konfigurere på router, for så å enklere bare kunne stikke inn nettverkskablene i router til de enheter som behøver VPN. Enheter som ikke skal ha VPN kobler jeg naturligvis i router1.

Å ha klienter på alt av utstyr kan vel fort føre til sine egne oppsettsutfordringer. Jeg vet ikke hvor jeg skal begynne en gang for å konfigurere VPN-klient på plass på en PS4 til eksempel. Eller til Xbox One som jeg har Netflix på. Xbox Series X har jeg gaming på.

Mullvad har også et tak på 5 brukere i utgangspunktet. Dersom jeg nytter 1 bruker på router så dekker den jo fort inn 2-3 enheter på kun 1 bruker. Så står det da fri en bruker til min mobil, en bruker til en annen i heimen sin mobil også baller det jo på seg. Selv om det kan være varierende bruk, slik at du ikke bruker alle alltid samtidig om du er på ferie, så kan det jo likevel være at VPN-profilen har talt det som 1 bruker ved oppsettet (det vet jeg ikke sikkert hvor dynamisk de er).

Endret av G
Lenke til kommentar
G skrev (2 timer siden):

Nei, jeg var ikke skråsikker på at ping hos VPN skulle være meg helt til hjelp. Men, for den andre gaming-part da, så vil han jo måtte game med meg mot VPN sin IP. Trafikken som skjer i VPN-tunnelen må en forvente at i Skandinavia er relativt gode greier. Tenker på den som skjer mellom VPN og hjem til deg. Som med alt sånn hastighetsflyt så vil jo svakeste leddet i kjeden utgjøre flaskehalsene.

Jeg har tenkt at det er enklere å konfigurere på router, for så å enklere bare kunne stikke inn nettverkskablene i router til de enheter som behøver VPN. Enheter som ikke skal ha VPN kobler jeg naturligvis i router1.

Å ha klienter på alt av utstyr kan vel fort føre til sine egne oppsettsutfordringer. Jeg vet ikke hvor jeg skal begynne en gang for å konfigurere VPN-klient på plass på en PS4 til eksempel. Eller til Xbox One som jeg har Netflix på. Xbox Series X har jeg gaming på.

Mullvad har også et tak på 5 brukere i utgangspunktet. Dersom jeg nytter 1 bruker på router så dekker den jo fort inn 2-3 enheter på kun 1 bruker. Så står det da fri en bruker til min mobil, en bruker til en annen i heimen sin mobil også baller det jo på seg. Selv om det kan være varierende bruk, slik at du ikke bruker alle alltid samtidig om du er på ferie, så kan det jo likevel være at VPN-profilen har talt det som 1 bruker ved oppsettet (det vet jeg ikke sikkert hvor dynamisk de er).

Da gjenstår mysteriet "Hvorfor trenger du DMZ i det hele tatt?"....

Hvorvidt du setter opp router2 på innsiden eller utsiden av router1 (noe du potensielt kan med en enkel switch koblet i ONT hvis ONT/fiber-mediaconverter ikke har nok porter) har ikke noe å si hvis du kobler opp VPN ifra router2 til din VPN-tilbyder, DA VPN TUNNELLEN VIL GI ROUTER2 EN WAN IP UAVHENGIG OM ROUTER2 HAR DMZ ELLER PORT FORWARDINGER. Kun hvis du selv skal sette opp en WAN til LAN tjeneste (som en VPN-server hostet hjemme hos deg ville vært) vil du trenge å åpne NAT med port forwarding eller DMZ.. Selv hvis Altibox (din ISP) hadde kun gitt deg CGNAT WAN IP så hadde du ikke hatt problemer med en VPN klient på router2 (eller på VPN klient på innsiden av router2)..

  • Liker 1
Lenke til kommentar
8 hours ago, AnthonyEdwardS said:

Da gjenstår mysteriet "Hvorfor trenger du DMZ i det hele tatt?"....

Hvorvidt du setter opp router2 på innsiden eller utsiden av router1 (noe du potensielt kan med en enkel switch koblet i ONT hvis ONT/fiber-mediaconverter ikke har nok porter) har ikke noe å si hvis du kobler opp VPN ifra router2 til din VPN-tilbyder ..

Blir det noen angrepsflate i en dum (unmanaged) eller managed switch som henges på mediaconverter da? Siden en slik kun vil arve det ISP sine dingser gir ut, og i seg selv ikke har noen beskyttelse i switch i det hele tatt. Det ISP tilbyr er tross alt blottlagt internett. Så er det da rom for hackere å infisere switch på noen som helst måte å opprette noe man-in-the-middle som da ISP ikke kan rydde bort fordi switch du velger å koble på ikke er deres eget utstyr.

Er det fare for det, eller hvordan tenker en ift. nettverkssikkerhet her?

Må switch ha støtte for noe spesiellt i seg for at det blir optimalt (sånn ved spesifikasjoner, ift. anskaffelse), dersom løsningen i det hele tatt blir å anbefale?

Tenker dere at denne løsningen er bedre enn DMZ av en eller annen grunn, pga. det er "renere", "ryddigere"? Om det kan utdypes noe på det videre?

Bør en helst involvere ISP og be dem om å skaffe en to-ports eller flereports mediaconverter, enn å skulle anskaffe switch på egenhånd?

Endret av G
Lenke til kommentar
  • 4 uker senere...

her var det mye grøt. Men ut ifra det jeg ser er det et ønske om å sette opp vpn på en router for at en enhet skal kunne være på vpn uten at alle de andre er det.

 

Stor blandig av begreper her. Orker ikke nøste opp. Den riktige måten å gjøre dette på er som følger:

 

router 1 som er router med offentlig ipadresse setter du opp en statisk route på og låser ipadressen som router 2 får til denne slik at du alltid får samme ipadresse.

 

offentlig ipadresse. (eksempel 8.8.8.8) router 1

asus-rt-ax55.jpg.b00b2c2e5e1857900b1d2c0d668d7ef8.jpg    på router kjøres NAT(PAT)for å oversette alle ipadresser på innsiden til 8.8.8.8

privat ipadresse (fks. 192.168.0.1/24) her går du inn og låser macadressen til router 2 til den ipadressen den får.(la oss si 192.168.0.45, Du setter også opp statisk route som peker på denne ipadressen. Nettverket du router opp skal være det private nettet du har på innsiden av router 2.

privat ytre ipadresse på router 2 er 192.168.0.45

asus-rt-ax55.jpg.b00b2c2e5e1857900b1d2c0d668d7ef8.jpg 

privat indre ipadresse på router 2 er fks. 192.168.1.1/24(må være et annet nett enn på router 1). På denne routeren skrur du av NAT. og setter opp VPNtilkoblingen din.

 

 

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...