Discussion:
VPN en tunnel
(te oud om op te antwoorden)
Paul van der Vlis
2023-12-02 18:18:54 UTC
Permalink
Hoi,

Ik sprak laatst iemand die me vroeg wat een VPN is.

Ik zei hem "een tunnel, met nog wat routing-regels".

Zijn jullie het daarmee eens?

Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl
Paul van der Vlis
2023-12-02 18:22:03 UTC
Permalink
Post by Paul van der Vlis
Hoi,
Ik sprak laatst iemand die me vroeg wat een VPN is.
Ik zei hem "een tunnel, met nog wat routing-regels".
Klopt natuurlijk niet helemaal, een tunnel heeft geen IP nummer en een
VPN wel (normalerwijze een /24).

Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl
Richard Lucassen
2023-12-02 21:01:15 UTC
Permalink
On Sat, 2 Dec 2023 19:22:03 +0100
Post by Paul van der Vlis
Post by Paul van der Vlis
Hoi,
Ik sprak laatst iemand die me vroeg wat een VPN is.
Ik zei hem "een tunnel, met nog wat routing-regels".
Klopt natuurlijk niet helemaal, een tunnel heeft geen IP nummer en
een VPN wel (normalerwijze een /24).
Een tunnel is gewoon een virtuele netwerkkabel en meer niet. Wat je
vervolgens met die virtuele kabel doet is zo ongeveer hetzelfde als met
een echte kabel, De meest kale (encrypte) tunnel is een wireguard
tunnel, dat zijn twee virtule devices met een encrypted verbinding
ertussen. Daar zit geen ip adres aan vast zoals je al zei, niks van dat
alles. Alsof je een fysieke netwerkkaart erin stopt, die heeft ook geen
ip adres.

Een OpenVPN tunnel is ook een virtuele netwerkkabel maar daar zitten
heel veel opties bijgebouwd. Verder heb je allerhande soorten tunnels
maar ze hebben één ding gemeen: het zijn allemaal virtuele
netwerkkabels. Een hoop mensen denken dat ze met een VPN veilig zitten
maar je bent net zo veilig als met een fysieke kabel.

R.
--
Richard Lucassen
http://contact.xaq.nl/
Paul van der Vlis
2023-12-03 09:31:07 UTC
Permalink
Post by Richard Lucassen
On Sat, 2 Dec 2023 19:22:03 +0100
Post by Paul van der Vlis
Post by Paul van der Vlis
Hoi,
Ik sprak laatst iemand die me vroeg wat een VPN is.
Ik zei hem "een tunnel, met nog wat routing-regels".
Klopt natuurlijk niet helemaal, een tunnel heeft geen IP nummer en
een VPN wel (normalerwijze een /24).
Een tunnel is gewoon een virtuele netwerkkabel en meer niet. Wat je
vervolgens met die virtuele kabel doet is zo ongeveer hetzelfde als met
een echte kabel, De meest kale (encrypte) tunnel is een wireguard
tunnel, dat zijn twee virtule devices met een encrypted verbinding
ertussen. Daar zit geen ip adres aan vast zoals je al zei, niks van dat
alles. Alsof je een fysieke netwerkkaart erin stopt, die heeft ook geen
ip adres.
Dat ben ik toch niet met je eens. Wireguard geeft het begin- en eindpunt
van een tunnel wel degelijk een IP-adres, kan meerdere tunnels
samenvoegen tot een netwerk, voegt een statische route toe, kan de DNS
wijzigen. En meer.

Wat ik een kale tunnel vind, is wat je met "SSH -NR" kunt maken.
Post by Richard Lucassen
Een OpenVPN tunnel is ook een virtuele netwerkkabel maar daar zitten
heel veel opties bijgebouwd.
Ik heb jarenlang met VPN's gewerkt, eerst OpenSwan en later OpenVPN,
maar mis niets in Wireguard. Ik ben allen maar enthousiast!
Post by Richard Lucassen
Verder heb je allerhande soorten tunnels
maar ze hebben één ding gemeen: het zijn allemaal virtuele
netwerkkabels.
Tunnels wel ja.
Post by Richard Lucassen
Een hoop mensen denken dat ze met een VPN veilig zitten
maar je bent net zo veilig als met een fysieke kabel.
Een fysieke kabel kun je afluisteren. Dat lukt je bij een goede VPN
niet, tenzij er daarna weer onbeveiligd het internet mee opgaat.

Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl
Richard Lucassen
2023-12-03 18:18:57 UTC
Permalink
On Sun, 3 Dec 2023 10:31:07 +0100
Post by Paul van der Vlis
Post by Richard Lucassen
Een tunnel is gewoon een virtuele netwerkkabel en meer niet. Wat je
vervolgens met die virtuele kabel doet is zo ongeveer hetzelfde als
met een echte kabel, De meest kale (encrypte) tunnel is een
wireguard tunnel, dat zijn twee virtule devices met een encrypted
verbinding ertussen. Daar zit geen ip adres aan vast zoals je al
zei, niks van dat alles. Alsof je een fysieke netwerkkaart erin
stopt, die heeft ook geen ip adres.
Dat ben ik toch niet met je eens. Wireguard geeft het begin- en
eindpunt van een tunnel wel degelijk een IP-adres, kan meerdere
tunnels samenvoegen tot een netwerk, voegt een statische route toe,
kan de DNS wijzigen. En meer.
Nou, dat doet het wrapper script wat erbij zit (die ik nooit gebruik
overigens). Als je de zuivere wireguard gebruikt heb je alleen een
device:

# ip link add dev wg1 type wireguard
# ip link set wg1 up
# ip link show wg1
13: wg1: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state
UNKNOWN mode DEFAULT group default qlen 1000 link/none

Doe dat aan de andere kant (wel met de juiste gegevens in wg.conf) en je
hebt een werkende tunnel waar je nog niets mee kan:

wg1 <---> wg1

Nu kun je er een adres en routes aan toevoegen:

# wg setconf wg1 wg.conf
# ip address add 1.2.3.4/24 dev wg1
# ip route add 5.6.0.0/16 dev wg1
Post by Paul van der Vlis
Wat ik een kale tunnel vind, is wat je met "SSH -NR" kunt maken.
Het is erg handig, zeker, maar ik zou dat geen tunnel noemen.
Post by Paul van der Vlis
Post by Richard Lucassen
Een OpenVPN tunnel is ook een virtuele netwerkkabel maar daar zitten
heel veel opties bijgebouwd.
Ik heb jarenlang met VPN's gewerkt, eerst OpenSwan en later OpenVPN,
maar mis niets in Wireguard. Ik ben allen maar enthousiast!
Dan zitten wij op dezelfde golflengte :) Maar OpenVPN heeft opties die
je niet in de PtP (point to point) WG vindt, zoals een layer2 tunnel
met tap (ethernet) devices, een device met MTU van 1500 of een multihome
udp server wat handig is bij meerdere externe lijnen. Overigens heeft
OpenVPN nu een kernelmodule en daardoor hoeft OpenVPN niet meer ieder
pakket tussen userspace en kernelspace heen en weer te schuiven.
Ik heb trouwens nog nooit met die kernel-module versie gespeeld. Het
zal flink wat cpu time schelen bij een flink belaste OpenVPN server.
Post by Paul van der Vlis
Post by Richard Lucassen
Een hoop mensen denken dat ze met een VPN veilig zitten
maar je bent net zo veilig als met een fysieke kabel.
Een fysieke kabel kun je afluisteren. Dat lukt je bij een goede VPN
niet, tenzij er daarna weer onbeveiligd het internet mee opgaat.
Moet je wel fysieke toegang hebben tot de kabel. Als ik fysieke
toegang heb tot een Linux computer kan ik ook van alles uitvreten.
Maar veel mensen wanen zich onbespied door een VPN. Nou, de
VPN-provider aan de andere kan kan precies zien wat jij uitvreet. Dan
heb ik toch liever een NL provider die zich aan de Nederlandse wet moet
houden.

R.
--
Richard Lucassen
http://contact.xaq.nl/
Cecil Westerhof
2023-12-03 19:47:49 UTC
Permalink
Post by Richard Lucassen
Maar veel mensen wanen zich onbespied door een VPN. Nou, de
VPN-provider aan de andere kan kan precies zien wat jij uitvreet. Dan
heb ik toch liever een NL provider die zich aan de Nederlandse wet moet
houden.
Ja, ik snap niet waarom iedereen VPN's zo geweldig vindt. Eigenlijk
alle sites gebruiken HTTPS, dus voorkomen dat er meegekeken wordt (wat
bijna altijd wordt genoemd) slaat gewoon nergens op: het verkeer is
reeds versleuteld.
Dat je provider niet weet waar je naartoe gaat klopt, maar je VPN
provider weet het wel. Dus je verlegt alleen maar het probleem. En ik
heb meerdere keren voorbij zien komen dat VPN providers die 'niet
logden wat hun klanten deden' toch die informatie af konden geven toen
daarom werd gevraagd.
Het enige dat interessant zou kunnen zijn (voor zover ik het kan
bepalen) is dat je sites kunt benaderen die niet vanuit Nederland kunt
benaderen. Nu heb ik dat heel af en toe, maar wat mij betreft niet de
moeite.

Of zit ik er helmaal naast en vergeet ik iets heel belangrijks?

Wat handig kan zijn is een VPN tussen twee punten die jezelf beheert,
maar dat geldt niet voor mij.
--
Cecil Westerhof
Senior Software Engineer
LinkedIn: http://www.linkedin.com/in/cecilwesterhof
Paul van der Vlis
2023-12-03 22:14:34 UTC
Permalink
Post by Cecil Westerhof
Post by Richard Lucassen
Maar veel mensen wanen zich onbespied door een VPN. Nou, de
VPN-provider aan de andere kan kan precies zien wat jij uitvreet. Dan
heb ik toch liever een NL provider die zich aan de Nederlandse wet moet
houden.
Ja, ik snap niet waarom iedereen VPN's zo geweldig vindt. Eigenlijk
alle sites gebruiken HTTPS, dus voorkomen dat er meegekeken wordt (wat
bijna altijd wordt genoemd) slaat gewoon nergens op: het verkeer is
reeds versleuteld.
Het verkeer is wel versleuteld, maar de metadata en DNS niet. Dus je
provider kan b.v. zien dat je naar een sexsite gaat of een torrent
upload of download. In Duitsland kun je voor die torrents boetes
krijgen, in Nederland misschien ook wel bij uploaden.
Post by Cecil Westerhof
Dat je provider niet weet waar je naartoe gaat klopt, maar je VPN
provider weet het wel. Dus je verlegt alleen maar het probleem.
Dit klopt, maar wellicht maak je niet alleen gebruik van je provider,
maar ook van b.v. wifi bij derden, die misschien niet altijd te
vertrouwen zijn. Zo ken ik bijvoorbeeld iemand die een open wifi heeft,
en het verkeer logt en doorzoekt omdat hij dat leuk vind.

Veel mensen gebruiken het omdat ze films downloaden op sites zoals de
Piratebay (ja, hij is er nog steeds).
Post by Cecil Westerhof
En ik
heb meerdere keren voorbij zien komen dat VPN providers die 'niet
logden wat hun klanten deden' toch die informatie af konden geven toen
daarom werd gevraagd.
Het enige dat interessant zou kunnen zijn (voor zover ik het kan
bepalen) is dat je sites kunt benaderen die niet vanuit Nederland kunt
benaderen. Nu heb ik dat heel af en toe, maar wat mij betreft niet de
moeite.
Ben ik het mee eens. Je kunt overigens ook een proxy gebruiken, er zijn
nog altijd gratis proxies volgens mij.
Post by Cecil Westerhof
Of zit ik er helmaal naast en vergeet ik iets heel belangrijks?
Wat handig kan zijn is een VPN tussen twee punten die jezelf beheert,
maar dat geldt niet voor mij.
Wat ik ook weleens zie is dat iemand een variabel IP heeft, en via een
VPN een vast IP krijgt. En op zo'n manier toegang krijgt tot machines
die anderen niet kunnen bereiken. Bijvoorbeeld een ondernemer en een
groep developers die alleen toegang tot machines hebben via de VPN.

Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl
Paul van der Vlis
2023-12-04 10:05:03 UTC
Permalink
Post by Richard Lucassen
On Sun, 3 Dec 2023 10:31:07 +0100
Post by Paul van der Vlis
Post by Richard Lucassen
Een tunnel is gewoon een virtuele netwerkkabel en meer niet. Wat je
vervolgens met die virtuele kabel doet is zo ongeveer hetzelfde als
met een echte kabel, De meest kale (encrypte) tunnel is een
wireguard tunnel, dat zijn twee virtule devices met een encrypted
verbinding ertussen. Daar zit geen ip adres aan vast zoals je al
zei, niks van dat alles. Alsof je een fysieke netwerkkaart erin
stopt, die heeft ook geen ip adres.
Dat ben ik toch niet met je eens. Wireguard geeft het begin- en
eindpunt van een tunnel wel degelijk een IP-adres, kan meerdere
tunnels samenvoegen tot een netwerk, voegt een statische route toe,
kan de DNS wijzigen. En meer.
Nou, dat doet het wrapper script wat erbij zit (die ik nooit gebruik
overigens). Als je de zuivere wireguard gebruikt heb je alleen een
# ip link add dev wg1 type wireguard
# ip link set wg1 up
# ip link show wg1
13: wg1: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state
UNKNOWN mode DEFAULT group default qlen 1000 link/none
Doe dat aan de andere kant (wel met de juiste gegevens in wg.conf) en je
wg1 <---> wg1
# wg setconf wg1 wg.conf
# ip address add 1.2.3.4/24 dev wg1
# ip route add 5.6.0.0/16 dev wg1
Post by Paul van der Vlis
Wat ik een kale tunnel vind, is wat je met "SSH -NR" kunt maken.
Het is erg handig, zeker, maar ik zou dat geen tunnel noemen.
Post by Paul van der Vlis
Post by Richard Lucassen
Een OpenVPN tunnel is ook een virtuele netwerkkabel maar daar zitten
heel veel opties bijgebouwd.
Ik heb jarenlang met VPN's gewerkt, eerst OpenSwan en later OpenVPN,
maar mis niets in Wireguard. Ik ben allen maar enthousiast!
Dan zitten wij op dezelfde golflengte :) Maar OpenVPN heeft opties die
je niet in de PtP (point to point) WG vindt, zoals een layer2 tunnel
met tap (ethernet) devices,
Wireguard staat hier wel in het lijstje van Wikipedia:
https://en.wikipedia.org/wiki/TUN/TAP

Bedoel je hiermee dat OpenVPN deel kan uitmaken van een lokaal netwerk?
Post by Richard Lucassen
een device met MTU van 1500
Daar heb ik niet zoveel verstand van. Wireguard heeft dus altijd een wat
lagere MTU? En wat is daar het nadeel van, behalve de iets grotere
overhead?
Post by Richard Lucassen
of een multihome udp server wat handig is bij meerdere externe lijnen.
Hmm, zegt me niet zoveel.
Post by Richard Lucassen
Overigens heeft
OpenVPN nu een kernelmodule en daardoor hoeft OpenVPN niet meer ieder
pakket tussen userspace en kernelspace heen en weer te schuiven.
OK.
Post by Richard Lucassen
Ik heb trouwens nog nooit met die kernel-module versie gespeeld. Het
zal flink wat cpu time schelen bij een flink belaste OpenVPN server.
Ja, ik heb ook wel gezien dat het behoorlijk trager kan worden door
OpenVPN. Zeker als de hardware zwak is.
Post by Richard Lucassen
Post by Paul van der Vlis
Post by Richard Lucassen
Een hoop mensen denken dat ze met een VPN veilig zitten
maar je bent net zo veilig als met een fysieke kabel.
Een fysieke kabel kun je afluisteren. Dat lukt je bij een goede VPN
niet, tenzij er daarna weer onbeveiligd het internet mee opgaat.
Moet je wel fysieke toegang hebben tot de kabel. Als ik fysieke
toegang heb tot een Linux computer kan ik ook van alles uitvreten.
Maar veel mensen wanen zich onbespied door een VPN. Nou, de
VPN-provider aan de andere kan kan precies zien wat jij uitvreet. Dan
heb ik toch liever een NL provider die zich aan de Nederlandse wet moet
houden.
Ligt eraan, als je juist die NL wet wil omzeilen kan een provider in het
buitenland wel weer prettig zijn.

Er is overigens toch wel iets wat ik mis in VPN's, namelijk het
forwarden van broadcasting. In sommige gevallen wil je dat vanwege
beperkingen in bepaalde software.

Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl
Richard Lucassen
2023-12-04 21:36:53 UTC
Permalink
On Mon, 4 Dec 2023 11:05:03 +0100
Post by Paul van der Vlis
https://en.wikipedia.org/wiki/TUN/TAP
Uiteraard, maar het is geen VPN met zeer uitgebreide mogelijkheden. Er
zijn zat gevallen te bedenken waarin een WG tunnel niet voldoet.
Post by Paul van der Vlis
Bedoel je hiermee dat OpenVPN deel kan uitmaken van een lokaal
netwerk?
Ja, als je bedoelt dat het een virtuele kabel is met ethernet devices:
je kunt met OpenVPN een layer 2 tunnel maken, die transporteert ethernet
frames (vandaar het tap device) en kun je twee locaties in hetzelfde
broadcast domein zetten:

locatie1 <--> locatie2
10.1.0.0/24 <--> 10.1.0.0/24

Kan erg handig zijn :)
Post by Paul van der Vlis
Post by Richard Lucassen
een device met MTU van 1500
Daar heb ik niet zoveel verstand van. Wireguard heeft dus altijd een
wat lagere MTU? En wat is daar het nadeel van, behalve de iets
grotere overhead?
WG heeft een MTU van 1420. Dat hoeft geen probleem te zijn als alles
goed werkt maar ik heb een paar ziggo lijnen gehad die een mtu van 1452
hadden en daarbij moest ik de wg tunnel op een mtu van 1372 of 1360
zetten (o.i.d.) omdat de ingepakte pakketten er niet doorheen pasten.
Dat lag niet aan wireguard.
Post by Paul van der Vlis
Post by Richard Lucassen
of een multihome udp server wat handig is bij meerdere externe lijnen.
Hmm, zegt me niet zoveel.
Als je een *udp* OpenVPN server hebt met meerdere lijnen en met policy
routing (meerdere route tabellen) en de ene lijn heeft 1.2.3.4 met de
default route en de andere lijn 5.6.7.8 (met een default route in
een andere tabel) dan kom je over lijn 2 binnen naar dst ip 5.6.7.8 en
gaan de antwoorden via lijn 1 met als source address 1.2.3.4 weer
terug. Dat gaat niet werken kan ik je verzekeren :-)

Met de optie "multihome" geeft OpenVPN antwoord met het ip waar het op
binnengekomen is. Een fraaie workaround voor typisch udp
(connectionless) gedrag.
Post by Paul van der Vlis
Post by Richard Lucassen
Ik heb trouwens nog nooit met die kernel-module versie gespeeld. Het
zal flink wat cpu time schelen bij een flink belaste OpenVPN server.
Ja, ik heb ook wel gezien dat het behoorlijk trager kan worden door
OpenVPN. Zeker als de hardware zwak is.
Probeer die kernelmodule versie maar eens
Post by Paul van der Vlis
Post by Richard Lucassen
Moet je wel fysieke toegang hebben tot de kabel. Als ik fysieke
toegang heb tot een Linux computer kan ik ook van alles uitvreten.
Maar veel mensen wanen zich onbespied door een VPN. Nou, de
VPN-provider aan de andere kan kan precies zien wat jij uitvreet.
Dan heb ik toch liever een NL provider die zich aan de Nederlandse
wet moet houden.
Ligt eraan, als je juist die NL wet wil omzeilen kan een provider in
het buitenland wel weer prettig zijn.
Een goede reden voor een VPN is om in een ander land de geo-ip
restricties te omzeilen.
Post by Paul van der Vlis
Er is overigens toch wel iets wat ik mis in VPN's, namelijk het
forwarden van broadcasting. In sommige gevallen wil je dat vanwege
beperkingen in bepaalde software.
Je bedoelt broadcasten naar het broadcast adres van een netwerk? Dat
gaat sowieso alleen maar in het "broadcast domain", zodra je gaat
routeren werkt broadcasten niet meer voorbij de gateway. Een layer 2
tunnel met OpenVPN (tap devices) doet dat wel. IIRC hoef je niet eens
een ip adres aan beide uiteinden te geven. Maar het is alweer een
tijdje terug dat ik daarmee gerommeld heb.

R.
--
Richard Lucassen
http://contact.xaq.nl/
Loading...