Beantwoord

L2tp VPN ports

  • 19 januari 2014
  • 19 reacties
  • 25503 keer bekeken

Beste Allemaal,

ik heb EX V8 achter de V8 heb ik mijn eigen Firewall voor mijn Virtueel omgevening,

ik heb de pptp VPN geconfigureerd en die werkt prima, ik heb port 1723 nat naar mijn firewall vanuit de V8,

nu wil ik ander VPN protocol gebruiken L2TP, deze protocol heeft 3 UDP porten nodig

500 UDP

4500 UDP

1701 UDP

ik heb neetje die porten genat naar mijn firewall vanuit de V8 maar helaas werkt mij VPN tunnel nog niet !

ik heb op de internet gevonden dat ik protocol ID 50 en 51 moet openen op mijn gateway ( V8 ) maar deze optie heeft die niet !

kan iemand mijn vragen beantworden ?

blockeerd KPN l2TP VPN protocol ?

kan ik AH en ESP protocol openen op de V8 ?

icon

Beste antwoord door vyatta2014 23 januari 2014, 01:02

Beste WJB

het heeft me gelukt om de tunnel up te krijgen met L2TP over IPSEC met Certificate VPN,

erg bedankt voor all jouw hulp !

mocht je vragen hebben hoe ik dat gedaan heb, kan je mij altijd op de prive benaderen !

Bekijk origineel

19 reacties

Reputatie 7
Hoi vyatta2014, welkom op het forum.

Zo te lezen wil je een "echte" IPSec VPN tunnel opzetten i.p.v. een minder veilige pptp VPN tunnel.

Dit is een wijs besluit als het gaat om de beveiliging van jouw communicatie over Internet.

Ik heb dit zelf ook gerealiseerd door een "RV180W Wireless-N Multifunction VPN Firewall" achter mijn V9 (maar kan ook met een V8) te plaatsen.

Deze heb ik opgenomen zoals beschreven in het topic Gebruik een eigen router achter de Experia Box. (Voorbeeld: Gescheiden netwerk voor privé en zakelijk gebruik met VPN)

Wat voor een apparaat gebruik jij als Firewall om de VPN tunnel op jouw LAN te onderhouden?

Dat je protocol ID 50 en 51 niet tegenkomt is omdat dit geen TCP of UDP protocollen zijn, maar IP protocollen en die worden (helaas) niet door Experia Boxen doorgelaten.

Dit betekent dat sommige IPSec VPN toepassingen, zoals bijvoobeeld Cisco QuickVPN, niet te realiseren zijn.

Ik gebruik zelf de gratis VPN client (standard edition) van Shrew Soft Inc op mijn PC's en de NCP VPN Client op mijn android tablet en telefoon.

Daarnaast heb ik een site-to-site VPN verbinding tussen mijn kantoor en mijn thuiskantoor.

Dit loopt allemaal zonder problemen.

De truc zit hem in het opnemen van jouw eigen "router/firewall" als DMZ Host van de V8.

Beste WJB,

ik gebruik Vyatta ( Debian IOS) Cisco firewall/router tussen mijn servers en V8,

namelijk de VPN l2TP is set en alles werkt van subnet naar de ander, Van V8 192.168.2.0/24 naar 10.10.10.0/24 en IP worden uit gegeven vanaf mijn Firewall,

het probleem is de VPN vanuit de internet kant gaat over v8 as de gateway, daar gebeurt de reject VPN subneting !

welke porten heb je forward naar jouw Firewall vanauit de V8 ?

P.S. ik gebruik gewoon Windows 8 VPN Tunnel Connection

Reputatie 7
Hoi vatta2014,

Geen enkele, want de firewall is als DMZ Host ingesteld op de Experia Box en voor een DMZ Host hoef je nooit port-forwardings te definiëren.

Zie het door mij aangehaald topic in mijn vorige bericht.

Het heeft mij ook heel wat hoofdbrekens bezorgt. (Zie ter vermaak mijn eerste topic op dit forum: VPN Pasthrough.)

Ook is de inrichting van jouw VPN tunnels op de firewall uiteraard essentieel voor een succesvolle eerste fase van de IPsec tunnel negotiation.

Beste WJB,

de firewall van de Lan kant is prima, omdat ik van een subnet naar een subnet kan VPN geen probleem,

ik heb ook mijn firewall gebruikt als DMZ maar toch geen resultaat !

mijn FW is een VM ! met 2 NIC

erg frustr. met die v8 !

Reputatie 7
Ik heb ook de grootste moeite gehad om die VPN werkend te krijgen vanaf een PC via Internet terwijl alles functioneerde tussen het subnet van de Experia Box en het subnet achter de firewall.

Het probleem bleek uiteindelijk niet te zitten in de Experia Box, maar in de configuratie van de IKE policy table.

Daar komt bij dat de client dus geen gebruik mag maken van ping commando's om de VPN tunnel te "testen".

(Typische Cisco VPN implementatie zoals QuickVPN) Deze komen namelijk niet van buiten door de Experia Box (IP protocol 51). Achter de Experia Box heb je hier geen last van en werkt dus alles.

Bij mij was de oplossing:

1) Juiste opzet van de IKE policy table

2) Gebruik van de VPN client van Shrew Corp Inc voor PC's en NCP VPN client op Android.

Beste Wjb,

erg bedankt voor de hulp,

waar heb je deze stap aangepast op de firewall of Experia V8?

Juiste opzet van de IKE policy table ?

 ik ga geen site to site bouwen maar van client laptop naar Firewall

ik heb namelijk de test uitgevoerd vanuit een ziggo consument line en werkt prima zonder problemen mee !

Reputatie 7
Beste vyatta2014,

Nu weet ik niet welke opmerking van mij "geholpen" heeft, maar ok. ;)

De IKE policies onderhoud je op de VPN firewall (in mijn geval dus de Cisco RV180W) en daar definieer je onder andere de pre-shared key en vanaf welke publieke IP adressen VPN verbindingen kunnen worden opgezet.

Het verschil tussen een site-to-site VPN en een VPN van een client (desktop/notebook/tablet/telefoon) is dat in het eerste geval alleen een verbinding vanaf het publieke IP adres van de andere "site" kan worden opgezet terwijl in het tweede geval alle publieke IP adressen toegestaan zijn en dat authentication plaatsvindt op basis van een FQDN, User-FQDN of DER ASN1 DN.

Uiteraard zijn er ook andere verschillen zoals keepalive en zo maar die hebben geen invloed op de opbouw van de VPN tunnel zelf.

Het is nu dus gelukt om de VPN verbinding via Internet op te zetten.

Wat heb je veranderd waardoor het nu wel gelukt is?

este WJB

ik heb de VPN werken vanuit een Ziggo ISP niet KPN,

ik heb mijn firewall achter een Ziggo router en het werkt prima,

over de pre share key alles is geconfigureerd, en alles werkt prima,

na de trace route blijkt de V8 dropt de package vanuitde internet !

Reputatie 7
Het lijkt er op dat je tegen precies hetzelfde fenomeen aanloopt waar ik ook lange tijd tegenaan gelopen ben.

Namelijk als laatste stap voor dat de tunnel opgebouwd is een ping naar interne adres van de VPN server.

Deze ping is dan nog niet binnen de tunnel en dus zichtbaar voor de Experia Box en helaas wordt deze ping (ICMP) geblokkeerd waardoor de tunnel niet tot stand kan worden gebracht. (Jouw dropped package.)

De door mij genoemde VPN client stuurt geen ping en kan de VPN tunnel dus wel succesvol opbouwen met een VPN firewall achter een KPN Experia Box.

Voorstel: Gebruik die VPN cliënt eens, niet geschoten is altijd mis. ;)

Beste WJB,

ik heb al mogelijkheiden geprobeerd helaas krijg ik de tunnel niet up !

alles werkt tot die bij de Eperia box komt !

ik vind het raar dat jij de alleen die mooeit heb genomen om mijn vragen/ probleem te beantworden, niemand van KPN mensen ! ( erg bedankt WJB ),

als ik hier niet geholpen kan worden helaas na volgende maand ga ik mijn contract overzetten naar ziggo waar ik mijn vrijheid heb op mijn internet lijn heb !

Reputatie 7
Beste vyatta2014,

Je hebt een te hoge dunk van de gemiddelde expertise van KPN medewerkers achter dit forum.

Daar komt bij dat KPN zich (vaak terecht) niet verantwoordelijk voelt voor issues anders dan storingen van de lijn en de Experia Box. Dit zijn dan ook de topics waar ze op reageren.

Voor topics zoals deze ben je toch echt afhankelijk van mede forumleden die de wil (en hopelijk de kennis) hebben om je te helpen.

Kan jij wel een VPN tunnel opzetten vanaf een PC op het 192.168.2.0/24 subnet?

Zo ja, kan je de opbouw van de tunnel tracen om te zien of daar een ping gestuurd wordt tijdens de deze opbouw.

Zo ja, dan is de VPN client niet geschikt om van buitenaf een VPN verbinding op te zetten.

Wat ik op Internet lees is dat de "standaard" Windows L2TP VPN Client inderdaad een ping verstuurt tijdens de opbouw van de VPN tunnel.

Dit werkt dan dus prima achter de Experia Box, maar niet door de Experia Box.

Als je het wil, dan help ik je graag.

Mijn voorstel is dan wel om de VPN client van Shrew Soft Inc te installeren en deze eerst vanaf een PC in het 192.168.2 subnet een VPN tunnel op te laten bouwen.

Als dat goed geconfigureerd is (werkt), dan zal je met dezelfde instellingen ook van buiten een VPN verbinding  kunnen opbouwen.

Als je wil, dan mag je me een privé bericht sturen met de instellingen van jouw VPN tunnel.

Wat ik uiteraard niet wil weten is jouw publieke Ip adres en de pre-shared key. ;)

Ik kan dan kijken of ik daar nog rare dingen in zie.

Beste WJB,

de Tunnel werkt prima vanuit mijn subnet 192.168.0.2/24 naar 10.10.10.01/24

zodra ik die vanuit de internet probeerd te bouwen komt die terug met security issues, ik kan de tunnel traceren en ik zie dat die mijn IP heeft bereikt en de rejected ! porten zijn goed door op de lan.

als ik mijn VM Firewall met zelfd configuratie achter een ziggo model op ander locatie, werkt alles prima via de internet, echter ben ik zeker dat die is niet een configuratie issue maar de ICMP wordt geblockeerd en stops de tunnel te bouwen,

ik heb mijn tunnel probeerd te bouwen op basis van KPN Dns zodat de ping de tunnel wakker maakt, het lukt ook niet !

Reputatie 7
Tja, dat zeg ik dus ook de hele tijd, het is een ICMP issue.

Dat is ook waarom ik zeg dat er een VPN Client gebruikt moet worden die niet pingt (ICMP).

Gebruik dus eens die VPN Client van Shrew Soft Inc, daarvan weet ik dat deze geen ping verstuurt om het target netwerk te verifiëren en daarvan weet ik dat ie dus wel in staat is de VPN tunnel op te bouwen.

Bij mij doet ie dat immers ook dwars door de Experia Box.

T.a.v. de configuratie snap ik dat die akkoord is.

Kan je hem ook geconfigureerd krijgen op de VPN Client van Shrew Soft Inc?

Als dat gelukt is, dan ben ik er van overtuigd dat je daarmee ook van buiten een VPN tunnel kunt opbouwen.

Beste WJB,

erg bedankt voor je help, ik ben nu even bezig met een L2TP VPN met certificate die stuur geen ping en hoeft de verbiending niet te controlleeren !

ga ik die morgen test en kom ik bij terug met de resultaat !

erg bedankt!

Reputatie 7
Hoi vyatta2014,

Misschien is dit artikel interessant voor jou.

Het is niet zozeer de ping die geblokkeerd wordt door de Experia Box, maar het fenomeen pingen in combinatie met NAT-T.

Begrijpelijk want als de client er vanuit gaat dat het IP adres (verkregen bij het opbouwen van de tunnel) een publiek adres is, dan verstuurt hij de ping rechtsreeks naar dat adres en komt die dus zelfs niet eens meer aan op de Experia Box. Het verkregen adres is immers het WAN IP adres van de VPN server en dat is een 192.168.2.x adres i.p.v. het publieke adres.

Niet geschoten is altijd mis. ;) 

Note: Het artikel is ook geldig voor Windows 7 en dus waarschijnlijk ook voor Windows 8 want die is qua engine ongeveer gelijk aan Windows 7.

Beste WJB

het heeft me gelukt om de tunnel up te krijgen met L2TP over IPSEC met Certificate VPN,

erg bedankt voor all jouw hulp !

mocht je vragen hebben hoe ik dat gedaan heb, kan je mij altijd op de prive benaderen !

Reputatie 7
Uiteraard ben ik (en ander forumleden waarschijnlijk ook) benieuwd hoe je die VPN tunnel hebt opgezet.

Waar ik met name benieuwd naar ben is welke VPN Client je gebruikt hebt.

Je praat over Certificate VPN, maar ik denk dat je VPN certificates bedoeld.

Daar heb ik ruim voldoende ervaring mee, dus daar ben ik minder benieuw naar.

IPSEC achter de Experiabox V9 lukt echt niet, ik heb echt van alles geprobeerd.
Mijn Experiabox V9 routeert van mijn publieke IP-nr naar 192.168.2.x en daar zijn alle poorten juist ingesteld.
Daarachter heb ik een RRAS (softwarematige router) deze routeert van 192.168.2.x naar 172.21.x.x
Ook hier zijn alle poorten en policies juist ingesteld.
- PPTP werkt op alle devices en over de hele keten.
- IKEv2 werkt op windows PC/Laptop en op windows Phone (is namelijk zonder IPSEC) over de gehele keten.
- IPSEC/IKEv2 werkt op het LAN (subnet 192.168.2.x en 172.21.x.x) maar niet via internet (publieke IP), via Android device.
- IPSEC/L2TP werkt op het LAN (subnet 192.168.2.x en 172.21.x.x) maar niet via internet (publieke IP), alle devices.

Bij mij gaat het dus fout in de Experiabox V9 die laat iets niet door (zou best ICMP kunnen zijn).
Vervelende is dus dat IOS en Android alleen IKEv2 i.c.m. IPSEC ondersteunt en L2TP moet sowieso via IPSEC.
Dus is de enige optie PPTP voor deze devices maar dat is weer niet veilig.

Kortom ik loop vast 😫
Ik hoop echt dat KPN IPSEC mogelijk maakt in de Experiabox!!!!
Reputatie 7
Ik hoop echt dat KPN IPSEC mogelijk maakt in de Experiabox!!!!Dit issue ligt niet aan de Experia Box, maar aan double-natting ofwel twee natting devices (routers) achter elkaar en zal ook optreden als de hoofdrouter geen Experia Box is. Dit fenomeen is inherent aan de wijze waarop een IPSec tunnel opgebouwd wordt waarbij er als laatste stap binnen de VPN tunnel een ping gestuurd wordt naar het IP adres waarmee oorspronkelijk de VPN verbinding opgebouwd werd. Dat is dus het publieke/WAN IP adres van Experia Box en daar ligt de crux. Dat IP adres is bij double-natting binnen de tunnel niet te bereiken. Komt er geen response, dan wordt de VPN verbinding verbroken.

Zelf heb ik achter onze Experia Box een Cisco RV180W VPN Gateway staan waarmee ik IPSec VPN verbindingen opzet.
Ik gebruik echter VPN cliënts die die laatste stap (ping) overslaan. (NCP VPN cliënt op Android en Shrewsoft VPN cliënt op Windows)

Reageer