O2 SmartBox a VPN

[Daniel Mašek]

Prosim o pomoc. Potrebuji zprovoznit u rodicu VPN do site za timto routerem. Ta predrazena s.acka samozrejme VPN neumi a navic nejde dat ani do Bridge modu, abych za to povesil nejaky router s VPN funcionalitou. Navic maji 250Mbit, takze se okruh pouzitelnych modemu se minimalizuje na zarizeni s podporou  Supervectoring 35b. Poskytovatel je O2, takze terminator od Cetinu nehrozi. Slo by to nejak resit bez vymeny tohodle h.vna? Nejsem az tak znaly v sitarine... Dekuji moc.

[Reklama]

[Ondřej Caletka]

Slo by to nejak resit bez vymeny tohodle h.vna?

Jistě, můžeš VPN zprovoznit na jakémkoli počítači za tím modemem. Na to přeci není potřeba přepínat modem do bridge, zvlášť když na WAN straně modemu beztak není veřejná IPv4 adresa.

Spíš bys měl mít rozmyšlené, jakou VPN technologii použiješ a jakým způsobem ji nakonfiguruješ. Pokud je to O2, tak v by v té vnitřní síti mělo fungovat IPv6, takže bych doporučoval místo pokusů s VPN komunikovat přímo po IPv6, tak, jak byl internet kdysi navržen.

[Daniel Mašek]

Verejna IPv4 tam na WAN je, to problem neni. Jak to bude zapojene bez bridge? VPN koncentrator bude v LAN nebo jine podsiti? Bude stacit proroutovat porty? Z hlediska LAN ale bude default GW ten puvodni router, to podle mne fungovat nebude. IPv6 mi nebude resit zabezpeceni, ja nemam problem tam na routeru propagovat porty te interni sluzby, to je aktualni stav, to by mi nijak nepomohlo. Chci ten pristup proste zabezpecit.

[LivingLegend]

Nějak nerozumím o co ti jde. Potřebuješ přes VPN hnát jen určité porty nebo celou komunikaci. Jak to myslíš že nejde zabezpečit IPV6?

[Daniel Mašek]

Potrebuji se dostat na kamerovy system a podobne veci, aniz bych to oteviral ven.

[Reklama]

[Radek Zajíc]

Nejlepsim resenim je samozrejme zmena poskytovatele za nekoho normalniho, kdo umi terminator a verejnou IPv4 adresu. Pak tam budete moct pripojit vlastni router s funkci vpn serveru (coz asi je to, co hledate - von server).

Alternativne - pokud to smrtbox umi - se nabizi von koncentrator v LAN (klidne raspberry pi) s vlastni IPv6 adresou a portforwardovanym IPv4 portem na smrtboxu. Do DNS pak pridat hostname ukazujici na verejnou IPv4 smrtboxu a IPv6 adresu VPN koncentratoru.

Pokud VPN koncentrator bude mit IP 192.168.1.2/24, pro VPN pouzivat blok 192.168.8.0/24 a smrtbox 192.168.1.0/24, pak na smrtboxu bude potreba pridat zaznam do routovaci tabulky smrtboxu "routuj 192.168.8.0/24 via @92.168.1.2". Pokud to ta krabice umi. Neni totiz vubec delana pro pokrocile uzivatele, jak jsem se kdysi dozvedel.

No a nebo si muzete poridit vlastni modem s podporou VDSL2 35b (az 250 Mbps). Klidne i ten zyxel s oficialnim firmwarem. A za nej pak povesit ten router s funkci vpn koncentratoru.
https://www.patro.cz/zyxel-vdsl2-vmg4005-b50a-single-line-bridge-2/?gclid=EAIaIQobChMIvsuZvvi_6wIVFLTVCh0luAWfEAQYAyABEgLeN_D_BwE

[Martin Poljak]

Z hlediska LAN ale bude default GW ten puvodni router, to podle mne fungovat nebude. IPv6 mi nebude resit zabezpeceni, ja nemam problem tam na routeru propagovat porty te interni sluzby, to je aktualni stav, to by mi nijak nepomohlo. Chci ten pristup proste zabezpecit.

Nestačilo by za router od poskytovatele vrazit něco dalšího (RPi, cokoliv jiného) kde do jednoho portu přijde WAN, do druhého LAN, poběží na tom DHCP server, celé to bude NAT a pokud tedy ta věc od poskytovatele umí alespoň port forwarding nebo routovat dovnitř, je to úplně v pohodě a můžete mít VPN server přímo tam a pokud ne, levné VPS, na kterém vám může ten VPN server běžet stojí asi osmdesát korun měsíčně? (Sám to takhle používám.)

Rodiče předpokládám nic, na co by nutně potřebovali veřejnou IP nepoužívají a i to pak jde snadno řešit.

[Ondřej Caletka]

Verejna IPv4 tam na WAN je, to problem neni. Jak to bude zapojene bez bridge? VPN koncentrator bude v LAN nebo jine podsiti?

Ano, v LAN.

Bude stacit proroutovat porty?

Ano.

Z hlediska LAN ale bude default GW ten puvodni router, to podle mne fungovat nebude.

Při použití VPN se samostatným rozsahem adres to skutečně může být problém, pokud na Smart boxu není možné buď nastavit statické směrování, nebo vypnout DHCP server a provozovat vlastní na VPN koncentrátoru, který bude klientům instalovat patřičné směrovací záznamy.

V každém případě je ale možné použít bridged VPN, například OpenVPN v režimu tap.

[dastin dastin]

Fritzbox7590 apod. maji primo funkci VPN a uzivat Fritzbox musi O2 povolit, jelikoz ma certifikat u Cetinu. Ja ho pouzivam a mam spojeni VPN s nasi siti v nemecku. AVM ma i svou DYNku xxx.myfritz.net. Komunikace  v menu je anglicky, nemecky, polsky atd. V Reichu mam provoz pouze prez kartu z O2 a FRITZ!Box 6890, nemam verejnou adresu a bezi to presto dobre. Nejsem IT-ak a nastavil jsem to bez problemu.