Vraag

Nieuwe router en ip conflicten met VPN verbinding kantoor

  • 27 October 2021
  • 33 reacties
  • 464 keer bekeken
B
Rank
Reputatie 3
Badge

Ik had op mijn vorige router (Experia 8 van Telfort) een andere lokale ip range ingesteld op 192.169.22.xxx

De reden was dat ik conflicten had met de ip adressen van kantoor, welke in dezelfde standaard range zat en daardoor kon ik de vpn verbinding naar kantoor niet gebruiken tijdens het thuis werken.

Onlangs heeft KPN een firmware doorgevoerd, waarna diverse zaken niet meer functioneerden. Ik heb daarom een nieuwe router ontvangen, de Experia 12.

Standaard staat deze weer op 192.168.2.xxx en dus zijn de ip conflicten weer terug en heb ik weer problemen bij de vpn verbinding.

 

De helpdesk stuurde me weer naar dit forum en ik vermoed dat het eerste antwoord weer zal zijn dat dit uit veiligheidsoverwegingen niet veranderd kan worden, of dat ik zelf maar (op eigen kosten) een extra modem/router moet plaatsen voor een lokale ip range. Er zullen in deze "thuiswerk-tijd” toch nog heel veel meer mensen tegen aan lopen?

Maar men zei mij bij de helpdesk dat er schijnbaar toch nog wel andere mogelijkheden zijn en daar ben ik dan wel benieuwd naar. Ik zit er eigenlijk niet op te wachten om een eigen router aan te schaffen, omdat KPN het nodige heeft dicht gegooid. Is het toch mogelijk, zonder extra hardware, om op de één of andere manier mijn thuis range anders in te (laten) stellen dan die van kantoor?

Dit topic is gesloten. Staat je antwoord hier niet bij, gebruik dan de zoekfunctie van de Community of stel je vraag in een nieuw topic.

33 reacties

wjb
Rank
Reputatie 7

Er zijn de onderstaande mogelijkheden:

1) Een eigen router achter de V12 plaatsen.

2) De V12 vervangen door een eigen router.

3) KPN vriendelijk doch dringend verzoeken de V12 om te ruilen voor een V10.

4) KPN vriendelijk doch dringend verzoeken het aanpassen van het subnet op de V12 mogelijk te maken.

5) Een andere provider kiezen omdat KPN niet wil luisteren.

Be positive, avoid negativity, enjoy life and stay healthy!
Nick83
Rank
Reputatie 7
Badge +24

Ik vind het raar dat een bedrijf een ip range gebruikt die 1 van de grootste providers bij zijn klanten gebruikt. Wat ook niet gewijzigd kan worden. En dat is niet sinds vandaag of gisteren hoor. Op de Experiabox v9 kon het bijvoorbeeld ook niet. En dat ding is toch al 10 of misschien wel 15 jaar oud ofzo.

*spaart ongelezen priveberichten* ( ͡° ͜ʖ ͡°)
wjb
Rank
Reputatie 7

Ik vind het raar dat een bedrijf een ip range gebruikt die 1 van de grootste providers bij zijn klanten gebruikt. Wat ook niet gewijzigd kan worden. En dat is niet sinds vandaag of gisteren hoor. Op de Experiabox v9 kon het bijvoorbeeld ook niet. En dat ding is toch al 10 of misschien wel 15 jaar oud ofzo.

Toch is het echt te zot voor woorden dat KPN weigert om het subnet aanpasbaar te maken. Zelf gebruik ik privé subnets binnen 192.168.0.0/16 , zakelijk binnen 10.0.0.0/8 en in VPN tunnels binnen 172.16.0.0/12 maar er zijn best veel bedrijven die 192.168.x.x adressen gebruiken.

Be positive, avoid negativity, enjoy life and stay healthy!
Nick83
Rank
Reputatie 7
Badge +24

... maar er zijn best veel bedrijven die 192.168.x.x adressen gebruiken.

En daar is ook niks niks mee. Een willekeurige router die je in de winkel koopt, van bijvoorbeeld ASUS of Netgear, die gebruikt vaak 192.168.1.x. KPN heeft daar al op geanticipeerd door 192.168.2.x te gebruiken. Waarom ga je dan als bedrijf precies datzelfde subnet gebruiken?

*spaart ongelezen priveberichten* ( ͡° ͜ʖ ͡°)
wjb
Rank
Reputatie 7

... maar er zijn best veel bedrijven die 192.168.x.x adressen gebruiken.

En daar is ook niks niks mee. Een willekeurige router die je in de winkel koopt, van bijvoorbeeld ASUS of Netgear, die gebruikt vaak 192.168.1.x. KPN heeft daar al op geanticipeerd door 192.168.2.x te gebruiken. Waarom ga je dan als bedrijf precies datzelfde subnet gebruiken?

Omdat je wellicht een MKB (klein zakelijk) abonnement bij KPN hebt.

Be positive, avoid negativity, enjoy life and stay healthy!
Nick83
Rank
Reputatie 7
Badge +24

... maar er zijn best veel bedrijven die 192.168.x.x adressen gebruiken.

En daar is ook niks niks mee. Een willekeurige router die je in de winkel koopt, van bijvoorbeeld ASUS of Netgear, die gebruikt vaak 192.168.1.x. KPN heeft daar al op geanticipeerd door 192.168.2.x te gebruiken. Waarom ga je dan als bedrijf precies datzelfde subnet gebruiken?

Omdat je wellicht een MKB (klein zakelijk) abonnement bij KPN hebt.

Ja ... en? Je hebt als systeembeheerder bij een bedrijf toch ook hersens in je hoofd zitten? Dan snap je toch dat het veel logischer is om zelf een ander subnet te nemen?

*spaart ongelezen priveberichten* ( ͡° ͜ʖ ͡°)
wjb
Rank
Reputatie 7

... maar er zijn best veel bedrijven die 192.168.x.x adressen gebruiken.

En daar is ook niks niks mee. Een willekeurige router die je in de winkel koopt, van bijvoorbeeld ASUS of Netgear, die gebruikt vaak 192.168.1.x. KPN heeft daar al op geanticipeerd door 192.168.2.x te gebruiken. Waarom ga je dan als bedrijf precies datzelfde subnet gebruiken?

Omdat je wellicht een MKB (klein zakelijk) abonnement bij KPN hebt.

Ja ... en? Je hebt als systeembeheerder bij een bedrijf toch ook hersens in je hoofd zitten? Dan snap je toch dat het veel logischer is om zelf een ander subnet te nemen?

Als jij een klein zakelijk abonnement hebt, dan heb je ook een Experia/KPN Box net als een consument en zit je ook vast in het subnet 192.168.2.0/24.

Be positive, avoid negativity, enjoy life and stay healthy!
Nick83
Rank
Reputatie 7
Badge +24

Als jij een klein zakelijk abonnement hebt, dan heb je ook een Experia/KPN Box net als een consument en zit je ook vast in het subnet 192.168.2.0/24.

Ik dacht eigenlijk dat klein zakelijk een v10 kreeg. Waarbij het wel mogelijk is om het te wijzigen.

Als dat niet zo is, dan moet je als bedrijf zijnde zo'n ding niet eens willen gebruiken.

*spaart ongelezen priveberichten* ( ͡° ͜ʖ ͡°)
B
Rank
Reputatie 3
Badge

Dank jullie voor je reactie.

Heel eerlijk gezegd vind ik het niet relevant wat mijn werkgever of haar systeembeheerder al dan niet had moeten doen. Feit is dat ze in eenzelfde ip range zit als ik en vele anderen. En als ik het forum eens doorzoek, is mijn werkgever bij lange na niet de enige.

Het is erg jammer dat mijn KPN router op dit punt dicht zit, in tegenstelling tot mijn vorige Telfort modem en dat ik dat graag oplos. Maar helaas lijkt het erop neer te komen dat ik dan zelf in een andere/extra router.…

Ik heb het probleem deels kunnen oplossen door mijn ip adressen te laten starten bij 192.168.2.100, want dat kun je dan gek genoeg weer wel instellen!

Maar dat levert nog altijd conflicten op, o.a. dat ik niet bij de router kom, als ik de von verbinding heb gemaakt.

A

Hallo @bnwgraaf , ik zie dit soort problemen steeds vaker voorbijkomen sinds steeds meer mensen thuiswerken door de pandemie. 

Een particulier moet met een consumentenproduct een verbinding maken met een zakelijke omgeving die bepaalde eisen stelt aan de kwaliteit en de betrouwbaarheid van de verbinding.

Ik vind dat als de klant aan kan tonen de consumentenlijn tevens zakelijk te gebruiken, KPN dit tegemoet moet komen met een zakelijke router, waar instellingen mogelijk zijn voor een goed zakelijk dataverkeer.

Een zakelijke V10 is bijvoorbeeld anders ingericht dan een V10 voor consumenten, om maar een voorbeeld te noemen.

 

wjb
Rank
Reputatie 7

Ik vind dat als de klant aan kan tonen de consumentenlijn tevens zakelijk te gebruiken, KPN dit tegemoet moet komen met een zakelijke router, waar instellingen mogelijk zijn voor een goed zakelijk dataverkeer.

Dit is wat mij betreft nergens voor nodig, het enige is dat KPN het aanpassen van het subnet mogelijk zou moeten maken op al haar courante Experia/KPN Boxen.

Be positive, avoid negativity, enjoy life and stay healthy!
A

Ik vind dat als de klant aan kan tonen de consumentenlijn tevens zakelijk te gebruiken, KPN dit tegemoet moet komen met een zakelijke router, waar instellingen mogelijk zijn voor een goed zakelijk dataverkeer.

Dit is wat mij betreft nergens voor nodig, het enige is dat KPN het aanpassen van het subnet mogelijk zou moeten maken op al haar courante Experia/KPN Boxen.

Hallo @wjb , ook goed, als er maar iets gedaan wordt vanuit KPN voor dit soort situaties.

 

 

wjb
Rank
Reputatie 7

Ik vind dat als de klant aan kan tonen de consumentenlijn tevens zakelijk te gebruiken, KPN dit tegemoet moet komen met een zakelijke router, waar instellingen mogelijk zijn voor een goed zakelijk dataverkeer.

Dit is wat mij betreft nergens voor nodig, het enige is dat KPN het aanpassen van het subnet mogelijk zou moeten maken op al haar courante Experia/KPN Boxen.

Hallo @wjb , ook goed, als er maar iets gedaan wordt vanuit KPN voor dit soort situaties.

Klopt en ik snap oprecht ook niet waarom KPN het aanpassen van het subnet niet mogelijk maakt. Waarschijnlijk puur omwille van klantenservice zodat die altijd kunnen verwijzen naar http://192.168.2.254 om in te loggen op de Experia/KPN Box.

Als dat zo is, laat KPN dan ook eens gaan nadenken over de beperkingen die daarmee geïntroduceerd worden en de problemen die daardoor ontstaan.

Ik beheer het netwerk van mijn hoogbejaarde ouders (ook KPN abonnee) en zij hebben een V9. Ook ik kan geen goede VPN verbinding opzetten zonder mijn eigen subnet aan te passen. Gelukkig gebruik ik mijn eigen router en dus is dat voor mij geen probleem.

Be positive, avoid negativity, enjoy life and stay healthy!
A

@bnwgraaf  Jij of je werkgever zal moeten buigen. Als je glasvezel hebt (ik denk van niet), kan je, als het zou moeten de ene enkele werkPC direct op de glasvezel convertor aansluiten. Net als vroeger (inbelmodems enzo) is er dan maar 1 PC in huis die op het internet kan. Windows kan PPPoE als het goed is en de meeste netwerkkaart stuurprogramma’s kunnen met VLAN (ID 6 selecteren) overweg. Is een hachelijk advies, maar is een manier om zonder extra hardware toch je VPN actief te hebben.

obelisk
Rank

@bnwgraaf  Jij of je werkgever zal moeten buigen. Als je glasvezel hebt (ik denk van niet), kan je, als het zou moeten de ene enkele werkPC direct op de glasvezel convertor aansluiten. Net als vroeger (inbelmodems enzo) is er dan maar 1 PC in huis die op het internet kan. Windows kan PPPoE als het goed is en de meeste netwerkkaart stuurprogramma’s kunnen met VLAN (ID 6 selecteren) overweg. Is een hachelijk advies, maar is een manier om zonder extra hardware toch je VPN actief te hebben.

Ik vermoed dat je ruzie krijgt met de security afdeling omdat het feitelijk hetzelfde is als je PC in de DMZ zetten (of erger nog, direct aan het internet knopen).

Maar goed, wat zijn de conflicten? Want een beetje VPN moet volgens mij wel heen werken om het feit dat IP ranges overlappen. Het betekend hooguit dat je home devices niet benaderbaar zijn, maar of dat uit oogpunt van de werkgever een probleem is?

Herstel controle over je thuisnetwerk! Blij met mijn Mikrotik hEX router en wAP ac wifi / Grandstream HT802 ATA / TV ontvanger(s) Arris VIP5202 (2x)
Nick83
Rank
Reputatie 7
Badge +24

Maar goed, wat zijn de conflicten? Want een beetje VPN moet volgens mij wel heen werken om het feit dat IP ranges overlappen. Het betekend hooguit dat je home devices niet benaderbaar zijn, maar of dat uit oogpunt van de werkgever een probleem is?

Die situatie heeft die nu dus:

Ik heb het probleem deels kunnen oplossen door mijn ip adressen te laten starten bij 192.168.2.100, want dat kun je dan gek genoeg weer wel instellen!

Maar dat levert nog altijd conflicten op, o.a. dat ik niet bij de router kom, als ik de von verbinding heb gemaakt.

 

*spaart ongelezen priveberichten* ( ͡° ͜ʖ ͡°)
obelisk
Rank

Ik ben wel benieuwd welke apparaten dan benaderd moeten worden want ik kan (behalve de printer) niet een bedenken die ik nodig zou hebben (voor het werk).

… waarbij ik niet wil uitsluiten dat er legitieme redenen zijn, ik kan ze alleen even niet bedenken. :wink:

Herstel controle over je thuisnetwerk! Blij met mijn Mikrotik hEX router en wAP ac wifi / Grandstream HT802 ATA / TV ontvanger(s) Arris VIP5202 (2x)
A

@bnwgraaf  Jij of je werkgever zal moeten buigen. Als je glasvezel hebt (ik denk van niet), kan je, als het zou moeten de ene enkele werkPC direct op de glasvezel convertor aansluiten. Net als vroeger (inbelmodems enzo) is er dan maar 1 PC in huis die op het internet kan. Windows kan PPPoE als het goed is en de meeste netwerkkaart stuurprogramma’s kunnen met VLAN (ID 6 selecteren) overweg. Is een hachelijk advies, maar is een manier om zonder extra hardware toch je VPN actief te hebben.

Ik vermoed dat je ruzie krijgt met de security afdeling omdat het feitelijk hetzelfde is als je PC in de DMZ zetten (of erger nog, direct aan het internet knopen).

Is zeker niet hetzelfde. Bij o.a. Microsoft zijn ze niet zo dom dat als de interface een globaal routeerbaar IP adres krijgt toegewezen, ze dan de firewall vrolijk op ‘Home’ laten staan. Dat wordt ‘Public’. Is volgens mij bij WindowsXP al zo. O.a. in Windows7 wordt een nieuw interface profile/object gemaakt van een bepaald default template. Gebeurt zelfs al als er een andere router wordt ingezet maar met subnet nog steeds zelfde. Je kan makkelijk aan DHCP server enzo zien of er ‘netwerkwissel’ is.

DMZ in een router instellen kan een Windows cliënt niet (echt) detecteren, dus dan blijft de firewall op ‘Home’ staan en zullen diverse services van internet toegankelijk zijn.

 

obelisk
Rank

@bnwgraaf  Jij of je werkgever zal moeten buigen. Als je glasvezel hebt (ik denk van niet), kan je, als het zou moeten de ene enkele werkPC direct op de glasvezel convertor aansluiten. Net als vroeger (inbelmodems enzo) is er dan maar 1 PC in huis die op het internet kan. Windows kan PPPoE als het goed is en de meeste netwerkkaart stuurprogramma’s kunnen met VLAN (ID 6 selecteren) overweg. Is een hachelijk advies, maar is een manier om zonder extra hardware toch je VPN actief te hebben.

Ik vermoed dat je ruzie krijgt met de security afdeling omdat het feitelijk hetzelfde is als je PC in de DMZ zetten (of erger nog, direct aan het internet knopen).

Is zeker niet hetzelfde. Bij o.a. Microsoft zijn ze niet zo dom dat als de interface een globaal routeerbaar IP adres krijgt toegewezen, ze dan de firewall vrolijk op ‘Home’ laten staan. Dat wordt ‘Public’. Is volgens mij bij WindowsXP al zo. O.a. in Windows7 wordt een nieuw interface profile/object gemaakt van een bepaald default template. Gebeurt zelfs al als er een andere router wordt ingezet maar met subnet nog steeds zelfde. Je kan makkelijk aan DHCP server enzo zien of er ‘netwerkwissel’ is.

DMZ in een router instellen kan een Windows cliënt niet (echt) detecteren, dus dan blijft de firewall op ‘Home’ staan en zullen diverse services van internet toegankelijk zijn.

 

Windows Firewall had ik inderdaad even over het hoofd gezien. VLANs op Windows heb ik weinig succes mee, op geen van mijn systemen kon ik daar wat mee.

Maar het probleem was niet dat de VPN het niet deed, maar dat lokale resources niet meer benaderd konden worden. Dat los je met deze methode niet op.

Herstel controle over je thuisnetwerk! Blij met mijn Mikrotik hEX router en wAP ac wifi / Grandstream HT802 ATA / TV ontvanger(s) Arris VIP5202 (2x)
H
Rank
Reputatie 5
Badge +5

De thuisadressen op 100 laten beginnen is ook geen goede oplossing, de netwerken overlappen nog steeds. Als het werkt heb je geluk, maar correct is het niet. Als op het bedrijf maar een paar systemen bereikt moeten worden met vast IP adres, zou de beheerder, afhankelijk van de mogelijkheden van de VPN, speciale routes kunnen “pushen” naar die servers om dit soort toestanden te voorkomen.  Dan vallen alleen de systemen thuis uit die toevallig hetzelfde adres hebben, en dat kun je dan wel verhelpen door de DHCP-range aan te passen.   Blijft dat het een slechte zaak is dat de V12 een essentiele functionaliteit mist, zeker met thuiswerken.

 

obelisk
Rank

Als je werkgever besluit om geen split tunnel configuratie in te stellen maar volledige routering heb je er nog steeds niets aan. :) Ik blijf het een academisch probleem vinden tot iemand me een real-life voorbeeld kan geven dat me overtuigd.

Herstel controle over je thuisnetwerk! Blij met mijn Mikrotik hEX router en wAP ac wifi / Grandstream HT802 ATA / TV ontvanger(s) Arris VIP5202 (2x)
wjb
Rank
Reputatie 7

Ik blijf het een academisch probleem vinden tot iemand me een real-life voorbeeld kan geven dat me overtuigd.

Waarvan moet je overtuigd worden?

Be positive, avoid negativity, enjoy life and stay healthy!
B
Rank
Reputatie 3
Badge

De thuisadressen op 100 laten beginnen is ook geen goede oplossing, de netwerken overlappen nog steeds. Als het werkt heb je geluk, maar correct is het niet. Als op het bedrijf maar een paar systemen bereikt moeten worden met vast IP adres, zou de beheerder, afhankelijk van de mogelijkheden van de VPN, speciale routes kunnen “pushen” naar die servers om dit soort toestanden te voorkomen.  Dan vallen alleen de systemen thuis uit die toevallig hetzelfde adres hebben, en dat kun je dan wel verhelpen door de DHCP-range aan te passen.   Blijft dat het een slechte zaak is dat de V12 een essentiele functionaliteit mist, zeker met thuiswerken.

 

Het is inderdaad een workaround.

In mijn geval scheelt het dat ik eigenlijk vanuit huis mijn (CAD) workstation compleet overneem, met behulp van HP Remote Graphics, welke speciaal bedoelt is voor remote werken op een workstation, waarbij bijvoorbeeld performance belangrijk is en zelfs de commando’s van mijn 3D Connexion muis gewoon vanuit huis werken. Daarbij moet ik dus verbinding maken met mijn workstation op de zaak, welke dus over een vast ip adres beschikt, onder de 192.168.2.100.

Dus opzich werkt dat nu, zolang ik in mijn eigen netwerk hetzelfde ip adres maar niet gebruik.

Ideaal is het dus nog steeds niet. Ik begrijp dat ik tijdens mijn werk niet ook toegang hoeft te hebben tot bijvoorbeeld mijn eigen router, dus ik kan natuurlijk uit de voeten. Maar het blijft een workaround en wat dit betreft zou ik wel weer terug willen naar mijn oude (Telfort) router, maar goed, die kon de nieuwe KPN firmware dus niet goed aan. Dus ja, ik kan uit de voeten, maar nee, ik vind het niet ideaal dat dit dicht gegooid is.

obelisk
Rank

Ik blijf het een academisch probleem vinden tot iemand me een real-life voorbeeld kan geven dat me overtuigd.

Waarvan moet je overtuigd worden?

Omdat ik het probleem niet zie. Werkt de VPN, geen probleem, dat je lokale resources niet kan benaderen is ‘collateral damage’. Alleen als je die lokale resources ook NODIG hebt samen met een actieve VPN zie ik een probleem. Daar heb ik nog geen voorbeeld van kunnen bedenken.

Herstel controle over je thuisnetwerk! Blij met mijn Mikrotik hEX router en wAP ac wifi / Grandstream HT802 ATA / TV ontvanger(s) Arris VIP5202 (2x)
wjb
Rank
Reputatie 7

Omdat ik het probleem niet zie. Werkt de VPN, geen probleem, dat je lokale resources niet kan benaderen is ‘collateral damage’. Alleen als je die lokale resources ook NODIG hebt samen met een actieve VPN zie ik een probleem. Daar heb ik nog geen voorbeeld van kunnen bedenken.

Dus het is bij jou nog niet opgekomen dat bijvoorbeeld het raadplegen van een document op jouw eigen NAS terwijl je een remote desktop verbinding hebt naar een PC via die VPN tunnel niet mogelijk is in zo'n scenario zonder expliciete split tunneling. Of wat als ik het volume van mijn Sonos apparatuur wil aanpassen of een ander nummer wil streamen terwijl ik via VPN aan het werk ben  Ik denk dat ik dagelijks situaties heb dat ik tegelijkertijd zowel resources op mijn locale netwerk gebruik als dat ik via site-2-site VPN resources op een remote netwerk benader. 

Be positive, avoid negativity, enjoy life and stay healthy!

De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank
Forumvoorwaarden