OpenVPN-verbinding op UDM Pro

[rheinen]

Hoi allemaal,

Ik heb onlangs UniFi OS UDM Pro 3.0.19 geïnstalleerd. Deze versie biedt de mogelijkheid om een OpenVPN client op te zetten. Dat heb ik gedaan met Mullvad.

Volgens deze video:

zou de VPN-verbinding dan voor al het verkeer moeten werken. Via Traffic Management zou dan bepaald verkeer uitgezonderd kunnen worden.

Bij mij doet zich de situatie voor dat wanneer ik de VPN-verbinding heb opgezet, geen enkel verkeer via deze verbinding loopt. Ik controleer dat door mijn IP-adres in te voeren op whatsmyip.com en ik zie dan mijn eigen WAN-adres. Wanneer ik echter in Traffic Management een route aanmaak dat bijvoorbeeld mijn desktop-verkeer via Mullvad moeten lopen, dan lijkt het te werken, want mijn WAN-adres is dan het adres van Mullvad. Klopt het dat dit de juiste manier is voor een UDM Pro met OS 3.0.19?

Daarnaast nog een vraag: wanneer ik mijn desktop-verkeer via Mullvad laat lopen, dan popt deze nog wel steeds op in Pi-hole en er worden ook DNS-verzoeken gemaakt. Volgens mij moet dat niet kunnen, omdat bij een VPN-verbinding de DNS-verzoeken ook via de Mullvad zouden moeten lopen. Is dat juist? En zo ja, hoe kan deze situatie zich dan voordoen?

Alvast dank voor jullie hulp.

 

[Hofstede]

Klopt. Bij default gaat er niets over de VPN tunnel, je moet met traffic management zelf bepalen wat je via de tunnel wilt sturen.

 

[rheinen]

Oké, goed om te horen.

Heb je ook een idee hoe het kan dat mijn desktop nog steeds in Pi-hole opduikt, terwijl de VPN-verbinding is ingeschakeld?

 

[Davey400]

Oké, goed om te horen.

Heb je ook een idee hoe het kan dat mijn desktop nog steeds in Pi-hole opduikt, terwijl de VPN-verbinding is ingeschakeld?

Een beetje laat antwoord, maar dat gedrag is normaal; op je interne netwerk verandert er niets.
Door de UDM als VPN client in te stellen (en een route te maken) wordt al het verkeer vanaf je UDM over die VPN geleidt; het interne verkeer blijft zoals gezegd gelijk.

 

[Davey400]

Maar goed. Ik kwam dus op dit topic omdat ik aan het kijken was of er al een topic was m.b.t. het onderwerp 'UDM inzetten als VPN client'.
Dit n.a.v. de info in dit topic: https://unifi-forum.nl/onderwerpen/security-detection-target-home-assistant.5617/

Anyway, zojuist zonder verdere voorkennis eens geprobeerd, en het blijkt simpeler dan gedacht, als je VPN aanbieder een beetje meewerkt.
Even heel kort door de bocht: vanuit VPN ga je naar VPN client. Hier de situatie waar ik al een verbinding heb:

'OpenVPN' blijkt een standaard de zijn. Als je op Create New klikt en je kiest voor OpenVPN kom je hier:

Daar kun je een configfile uploaden. Mijn VPN aanbieder bood dat gewoon aan op hun website, met een configfile per exitnode.
Die upload je naar je UDM, je geeft je username en wachtwoord et voila, connectie loopt.
Zo simpel is dat.
Alleen doet jouw netwerk er dan nog niets mee; daarvoor moet je even een route aanmaken. Ook dat is simpel:
Je gaat naar Routing, en dan naar Traffic Routing. Daar voeg je een nieuwe route toe, en je kiest voor de net nieuw aangemaakte OpenVPN client:

Vervolgens kies je bij 'select Device or Network' voor welke netwerken je dit wilt toepassen.

Deze test gedaan met zowel een apart VLAN als het hele netwerk; beiden werken prima en vrijwel instantaan.
Afhankelijk van het gekozen configfile kom ik in mijn geval uit een ander land.
Op deze manier zou je dus ook wat meer VPN clients op kunnen zetten die je dus alvast configureert en waarbij je dus alleen nog maar de route hoeft aan te passen (keuze clientprofiel dus) om snel van exitnode te wisselen.

Ik vind mooi!

 

[Eddie the Eagle]

Ik doe er helemaal niks mee maar even uit nieuwsgierigheid @Davey400 , wat voor snelheden haal je hiermee ?

In het verleden was er nog wel eens kritiek op het ontbreken van een Kill Switch maar dat schijnt (min of meer) opgelost te zijn na OS 3.1. Misschien eens leuk om te testen, ik weet alleen niet goed hoe je dat zou kunnen doen.

 

[Davey400]

Da's wel een interessante. Je bent natuurlijk wel en ook vooral afhankelijk van de prestaties van de gebruikte VPN partij en de gekozen exit-node.
Tests gedaan met speedtest.net omdat die overal wel een testnode hebben staan en zelf uitzoekt waarmee hij kan connecten.
Mijn internetsnelheid is 400/400.
Hier denkt ie dat ik in Brussel zit:


Via NY is vooral de upload dramatisch:

AMS13 (er zijn er 15 bij mijn provider):

AMS1 doet dan weer dit:

Lissabon:

Johannesburg 3:

En dan tot slot: Parijs:

M.a.w.: je bent vooral afhankelijk van de VPN provider en de gekozen node.
Ook heel grappig om te zien dat je bij elk land ook andere reclame-zooi om de speedtest basis heen ziet.
Voor de volledigheid nog één zonder VPN op dezelfde client.


Zo genoeg?

 

[Davey400]

Ik zie net overigens bij mijn VPN provider dat ze de lijst met VPN servers semi-live updaten.
Er staan 280 servers op en per server wordt de beschikbare capaciteit weergegeven.
Zou mooi zijn als dat dynamisch in te zetten zou zijn in de UDM...

 

[Eddie the Eagle]

Zo genoeg?

Zeker, het geeft een goed beeld, dank je. Zoals verwacht, lever je in op je ISP prestaties, het maakt daarbij niet uit of je abbo 400/400 of 1000/1000 is, dit wordt de bottleneck. Maakt ook niet uit verder, blijft een leuke functie.