Beantwoord

VPN Passthrough

  • 26 april 2013
  • 63 reacties
  • 24029 keer bekeken

Reputatie 7
Mijn bedrijf vereist dat werkplekken thuis middels een IPSec VPN verbinding beveiligd worden voor toegang op het bedrijfsnetwerk. Deze VPN verbinding wordt vanuit het kantoor geïnitieerd naar een Cisco VPN Server die achter de router thuis (KPN TG789vn) geplaatst is.

Met behulp van port forwarding van TCP poort 443 of 60443 en UDP poorten 500 en 4500 wordt de VPN tunnel opgezet. Deze VPN tunnel wordt succesvol tot stand gebracht echter de laatste fase van het activeren van de tunnel is de verificatie van het LAN (thuis) door het versturen van een ping naar het interne adres van de Cisco VPN Server. Deze is niet succesvol omdat de router van KPN icmp requests blokkeert.

KPN: Kunnen jullie mijn router zo configureren dat icmp requests doorgelaten worden?

icon

Beste antwoord door wjb 7 september 2013, 16:31

Ook de ZTE H220N, die ik van KPN heb mogen ontvangen, bood geen oplossing voor het probleem.

Ik heb dus nu maar een eigen router (Cisco RV180W) ingezet om de internet verbinding met KPN te onderhouden. (Methode 1: http://netwerkje.com/eigen-router)

Als switch heb ik een Dell Powerconnect 2808 opgenomen om te zorgen dat de door KPN gebruikte VLAN's correct gerouteerd worden.

Deze switch is als onderstaand geconfigureerd:

Poort 1: Aangesloten op het Genexis glasvezel modem van KPN met de VLAN's 4, 6 en 7 tagged

Poort 2: Aangesloten op de WAN zijde van de eigen Cisco router met VLAN 6 untagged

Poort 3: Aangesloten op de router van KPN (Experia box V8) met VLAN 4 en 7 tagged

Poort 4: Aangesloten op de LAN zijde van de eigen Cisco router met VLAN 1 untagged

Poort 5-8: Geconfigureerd als LAN (VLAN 1 untagged) Deze poorten fungeren nu dus feitelijk als extra LAN poorten van de eigen router waarop dus ook PC's, Servers, netwerkschijven (NAS) etc. bekabeld aangesloten kunnen worden.

De KPN router wordt nu alleen nog maar gebruikt voor iTV (VLAN 4) en de telefoon (VLAN 7), internet (VLAN 6) wordt afgewikkeld via de eigen Cisco router.

Ik heb dan ook de WiFi op de KPN router uitgeschakeld, deze heeft toch geen zin meer.

Een nadeel aan deze oplossing is dat (wijzigingen in) de instellingen op de KPN router niet meer automatisch op de KPN router doorgevoerd worden.

Dus als er een stroomstoring is geweest (komt gelukkig niet vaker dan 1 keer per 2 jaar voor) of als KPN de instellingen van iTV of de telefoon aanpast, dan moet de KPN router eerst ook weer even aan het internet (VLAN 6) gehangen worden, zodat de instellingen weer geladen kunnen worden.

Dit doe ik door op poort 2 van de switch (eigen router) VLAN 6 te verwijderen en op poort 3 (KPN router) VLAN 6 tagged toe te voegen. Nadat vervolgens de instellingen op de KPN router weer geladen zijn draai ik deze wijzigingen weer terug.

Een voordeel van de oplossing is dat ik nu zelf het volledige beheer heb over wat er wel en niet toegestaan wordt in de firewall van de router en (en dat is nog wel het voornaamste) dat de problemen die ik ondervond nu verholpen zijn.

Mijn configuratie is nu dus zoals getoond op: http://netwerkje.com/switch-configuratie met als extra een verbinding tussen één van de LAN poorten van de eigen router en poort 4 van de switch.

Overigens kan je tegenwoordig (in ieder geval op de Experia box V8) alle LAN poorten gebruiken voor het aansluiten van TV's. Dit betekent dus dat de door KPN geleverde switch voor de distributie van iTV naar meerdere TV's kan komen te vervallen. (Gewoon direct op de Experia box aansluiten.)

Bekijk origineel

63 reacties

Reputatie 7
Beste Joran,

Dank voor je reactie, goede vakantie gehad?

Ik zou liever zien dat de Experia V8 dit alsnog gaat ondersteunen, maar als het ZTE modem wel een oplossing gaat bieden (wat ik moet aannemen gezien de antwoorden van Jeroen3), dan ben ik in ieder geval (tijdelijk) geholpen.

Wel wil ik dan voorstellen dat ik de Experia V8 behoud en dat er alsnog een oplossing gezocht wordt door firmwarebeheer (al is het maar voor andere gebruikers en voor een éénduidiger beheer bij jullie zelf).

Het nadeel van de ZTE is een maximale snelheid op het LAN van 100Mb, maar dat vang ik wel op door er een 1Gb switch achter te plaatsen voor de bekabelde werkstations (Dit in verband met een NAS op ons interne netwerk waar de backups van deze werkstations op worden opgeslagen).

WiFi verbindingen halen in de praktijk toch geen 100Mb, dus daar kan ik wel mee leven als die via het ZTE modem afgewikkeld worden.

Reputatie 7
Badge +28
Dag wjb,

Je mag in dit geval inderdaad de V8 achter de hand houden. Ik kan bevestigen dat de ZTE op een ICMP ping reageert, of dat het hele probleem oplost durf ik niet te garanderen. Ik verwacht morgen een bevestiging over het versturen van de ZTE, dan laat ik het je direct weten. Als ik nieuws heb over een aanpassing van de firmware zal ik dat ook laten weten, maar ik verwacht dat dit wel enige tijd in beslag zal nemen.

Met vriendelijke groet,

Joran

Reputatie 7
Ook de ZTE H220N, die ik van KPN heb mogen ontvangen, bood geen oplossing voor het probleem.

Ik heb dus nu maar een eigen router (Cisco RV180W) ingezet om de internet verbinding met KPN te onderhouden. (Methode 1: http://netwerkje.com/eigen-router)

Als switch heb ik een Dell Powerconnect 2808 opgenomen om te zorgen dat de door KPN gebruikte VLAN's correct gerouteerd worden.

Deze switch is als onderstaand geconfigureerd:

Poort 1: Aangesloten op het Genexis glasvezel modem van KPN met de VLAN's 4, 6 en 7 tagged

Poort 2: Aangesloten op de WAN zijde van de eigen Cisco router met VLAN 6 untagged

Poort 3: Aangesloten op de router van KPN (Experia box V8) met VLAN 4 en 7 tagged

Poort 4: Aangesloten op de LAN zijde van de eigen Cisco router met VLAN 1 untagged

Poort 5-8: Geconfigureerd als LAN (VLAN 1 untagged) Deze poorten fungeren nu dus feitelijk als extra LAN poorten van de eigen router waarop dus ook PC's, Servers, netwerkschijven (NAS) etc. bekabeld aangesloten kunnen worden.

De KPN router wordt nu alleen nog maar gebruikt voor iTV (VLAN 4) en de telefoon (VLAN 7), internet (VLAN 6) wordt afgewikkeld via de eigen Cisco router.

Ik heb dan ook de WiFi op de KPN router uitgeschakeld, deze heeft toch geen zin meer.

Een nadeel aan deze oplossing is dat (wijzigingen in) de instellingen op de KPN router niet meer automatisch op de KPN router doorgevoerd worden.

Dus als er een stroomstoring is geweest (komt gelukkig niet vaker dan 1 keer per 2 jaar voor) of als KPN de instellingen van iTV of de telefoon aanpast, dan moet de KPN router eerst ook weer even aan het internet (VLAN 6) gehangen worden, zodat de instellingen weer geladen kunnen worden.

Dit doe ik door op poort 2 van de switch (eigen router) VLAN 6 te verwijderen en op poort 3 (KPN router) VLAN 6 tagged toe te voegen. Nadat vervolgens de instellingen op de KPN router weer geladen zijn draai ik deze wijzigingen weer terug.

Een voordeel van de oplossing is dat ik nu zelf het volledige beheer heb over wat er wel en niet toegestaan wordt in de firewall van de router en (en dat is nog wel het voornaamste) dat de problemen die ik ondervond nu verholpen zijn.

Mijn configuratie is nu dus zoals getoond op: http://netwerkje.com/switch-configuratie met als extra een verbinding tussen één van de LAN poorten van de eigen router en poort 4 van de switch.

Overigens kan je tegenwoordig (in ieder geval op de Experia box V8) alle LAN poorten gebruiken voor het aansluiten van TV's. Dit betekent dus dat de door KPN geleverde switch voor de distributie van iTV naar meerdere TV's kan komen te vervallen. (Gewoon direct op de Experia box aansluiten.)

Reputatie 7
Zojuist heb ik ook de Experia Box V9 (ZTE ZXHN H368N) mogen ontvangen van KPN.

Hierdoor had ik gedurende een paar seconden vier verschillende routers van KPN in huis.

(TG789vn, ZTE H220N, Arcadyan TGV7519 en de ZTE H368N)

Ik heb de slechtste van de vier (TG789vn) weer mogen (moeten) inleveren.

Ik ga nu nog één poging wagen om een inkomende VPN verbinding (IPSec) door de EB V9 op te zetten. (KPN heeft mij in een mail beloofd dat het zou moeten werken...)

Het resultaat zal ik hier weer posten want als het werkt, dan zou dat ook wel eens een doorbraak kunnen betekenen voor al die mensen die problemen hebben met gameconsoles.

Ik heb zelf geen gameconsole zoals een Ps3 of Xbox, dus kan ik dat helaas ook niet testen. (Iemand anders al ervaring met de EB V9 en gameconsoles?)

In ieder geval betekent het dat ik straks een ZTE H220N en een Experia Box V8 werkeloos heb liggen.

Reputatie 4
Badge +1
Een nieuw modem!

Ik ben beniewd.

Ondertussen geeft Google 0 resultaten met H368N en KPN, ben jij de eerste met dit modem?

Specs ervan

Reputatie 7
Ik weet niet of ik de eerste ben die een Experia Box V9 heeft ontvangen, maar één van de eerste zal ik waarschijnlijk wel zijn.

Je zal nog even geduld moeten hebben met het lezen van de eerste resultaten met deze router.

Mijn linker onderbeen zit momenteel in het gips waardoor het fysiek lastig is mijn V8 te vervangen aangezien deze helemaal bovenin mijn meterkast opgehangen is en ik er momenteel gewoonweg niet bij kan.

Reputatie 7
Badge +28
Het zal inderdaad een van de eerste zijn. De V9 wordt zeer beperkt uitgeleverd, dit zal in de nabije toekomst toenemen. Ik volg dit topic nog steeds met interesse, ik hoop dat dit een oplossing gaat bieden. Beterschap gewenst!

Met vriendelijke groet,

Joran

Reputatie 7
Ook de Experia Box V9 biedt geen oplossing voor de door mij ondervonden problemen met het opbouwen van inkomende VPN verbinding vanaf een werkstation via internet.

De Experia Box V9 (ZTE H368N) is feitelijk gelijk aan de ZTE H220N echter nu met ondersteuning van gigabit verbindingen.

De configuratie mogelijkheden zijn identiek en dus nog steeds ver onder de maat en volledig dichtgetimmerd door KPN.

Mijn Cisco VPN router staat als DMZ Host achter de V9.

Alles functioneert vlekkeloos.

- PC's aangesloten op de Cisco kunnen zonder problemen op internet.

- Host to Host VPN verbindingen kunnen probleemloos worden opgezet. Zowel geïnitieerd op de Cisco router zelf (uitgaand) als geïnitieerd door de andere zijde (inkomend).

- Het opzetten van een VPN verbinding vanaf een werkstation is echter nog steeds niet mogelijk.

Als workaround heb ik er nu voor gekozen om mijn medewerkers een VPN verbinding met ons kantoor op te laten zetten en tussen kantoor en mijn thuis locatie een host-to-host VPN verbinding te configureren.

Nu kunnen we dus via ons kantoor toch de servers op mijn thuis locatie benaderen.

Ik laat het nu maar zo, de inspanning om tot de gewenste configuratie te komen is groot genoeg geweest.

Wel is het (waarachijnlijk) zo dat een eigen router als DMZ Host die bonjour en uPnP ondersteunt de oplossing voor al die gaming, airplay en airprint problemen zou kunnen zijn.

Wie kan mij helpen met de VLan instelling op een DDWRT router 

Reputatie 4
Badge +1
Je kaapt een beetje dit topic, post-it.

http://netwerkje.com/eigen-router

Het was natuurlijk verwacht dat een nieuw kpn modem deze methode van internetgebruik niet ging toelaten. Jammer kpn, weer een steekje laten vallen.

Ik heb hier een ZTE h220n en een TG789vn. Die tg789vn is werkelijk het slechtste apparaat wat ik ook in mijn bezit heb gehad, op die ene DOA cisco na.

De ZTE h220n is het meest compatible met diverse protocollen zoals bonjour en airplay, werkt meestal met portforwarding en ondersteund dmz. Hij is het eenvoudigst te gebruiken met je eigen router.

Over de Arcadyan kan ik niets zeggen, maar aan de grote hoeveelheid vragen hier, en op andere fora, verwacht ik dat dit een vervanger is voor de tg789vn.

Dus ja, de zte is het beste wat je kan krijgen bij kpn.

Reputatie 7
Vandaag toch nog maar een laatste poging ondernomen om een VPN verbinding van een werkstation op internet (inkomende VPN) op te zetten.

En zowaar SUCCESVOL!!!

Dat betekent dat de Experia Box V9 toch een grote verbetering lijkt te zijn t.o.v. de V8.

De DMZ functionaliteit lijkt volledig te functioneren.

Ik gebruik zelf geen uPnP, maar omdat de ZTE H220N hiermee ook succesvol om lijkt te gaan heb ik er het volste vertrouwen in dat dit op de V9 (ZTE H368N) ook het geval zal zijn.

Het lijkt er dus op dat ik nu eindelijk een router heb die mij niet meer blokkeert in het door mij gewenste gebruik van Internet.

Wel zou ik het op prijs stellen dat de optie om een backup van de configuratie van de router te kunnen maken en deze te kunnen restoren weer geactiveerd wordt in de firmware van de router.

Hiermee kan dit topic dus eindelijk voorgoed gesloten worden.

Reputatie 4
Badge +1
Mooi. 

Echter is die backup feature recent uit de firmware verdwenen.

Reputatie 7
Dat klopt, ik heb het vermoeden dat die backup van de configuratie ook de door KPN angstvallig geheim gehouden sip instellingen (voor telefonie) bevat en dat ze daarom die optie verwijderd hebben.

Als iemand nog zo'n config.bin bestand heeft staan, dan is het een onderzoek waard of de sip instellingen inderdaad onderdeel zijn van de backup.

sorry daarvoor.

begin gewoon een beetje wanhopig te worden.

Even een oplossing voor de H220N airplay probleem.

het probleem zit hem QOS functie in de router als deze uit zet werkt het prima.

Reputatie 4
Badge +1
De WMM QoS bedoel je?

Als je QoS uitzet kan je niet meer bellen en tv kijken, dus dat vinkje bestaat niet.

 

Ik heb nog meerdere van die bin bestanden liggen.

Echter zijn ze niet echt leesbaar. Het is echt een binary dump. Daar kan je niets mee zonder de achterliggen structures te kennen.

Reputatie 7
Hoi Jeroen3,

Ik had al wel verwacht dat die bin bestanden niet leesbaar zijn want zoals je zelf ook al zegt het is echt een binary dump. Dit staaft echter wel mijn vermoeden dat deze dump alle informatie bevat die nodig is om de sip instellingen te achterhalen en dat dat de reden is waarom ze de optie om een backup te maken van de configuratie hebben verwijderd.

Experts kunnen vast en zeker deze binary dumps analyseren en zo de benodigde info daar uit halen.

Als je die info eenmaal hebt, dan betekent dat dat je in staat bent om je telefoonummer thuis ook elders te gebruiken, zelfs als je met vakantie of op zakenreis bent en internet toegang hebt. Er zijn vast en zeker mensen die een gat in de lucht zullen springen als deze sip gegevens openbaar worden. 

In de V8 h220n zit het zeker wel.

en als je hem uit zet kan je zeker ook wel tv kijken.

 QoS zorgt er alleen voor dat bij Voip en de IPTV stream voorang krijgt op download en airplay verkeer zo dat je beter bereikbaar blijft en je tv beeld niet gaat haperen als je veel data over netwerk aan het versturen bent.

 

maar de Qos kan niet goed overweg met airplay.

 

 

 

 

 

 

hier zie deze post op het forum hier word de oplossing al eerder geven 

http://forum.kpn.com/t5/Internet/ZTE-H220N-i-c-m-Apple-apparaten-wifi/td-p/43526

Reputatie 7
Beste post-it,

Op de experia boxen is geen mogelijkheid om QoS in te stellen, alleen de mogelijkheid om WMM QoS in te stelen. WMM QoS staat voor "WiFi MultiMedia Quality of Service" en zorgt alleen voor het verlenen van een hogere prioriteit van MultiMedia verkeer op het wireless netwerk, NIET op het bekabelde netwerk of de lijn naar internet, daar hebben voip (telefonie) en televisie per definitie een hogere prioriteit.

Jullie bedoelen waarschijnlijk hetzelfde, maar toch... ...deze optie heeft geen enkele invloed op het bekabelde gedeelte van het netwerk.

Sorry dat ik zo'n oud topic omhoog haal, maar als ik het goed begrijp moet VPN achter een H368N werken? Ik krijg het niet werkend namelijk. Ik heb nu een Draytek Vigor 2925 achter de H368N staan. Deze heb ik ingesteld als DMZ host, maar ik kan van buitenaf geen VPN verbinding tot stand brengen. Intern op het netwerk werkt het wel, dus de VPN werkt. Ik heb het vermoeden dat de firewall van de H368N roet in het eten gooit, maar deze kan ik niet uitzetten.

Reputatie 5
Badge +5
heb je de juiste poorten ook geforward op de Draytek ? 

De Draytek is ook de vpn server, dus poorten forwarden is niet nodig

Reputatie 5
Badge +5
Je hebt wel te maken met dubbel NAT (tenzij in bridge mode) dus je zal naar mijn mening op de draytek de poorten moeten forwarden. Dmz houdt in dat de experiabox voor dit ip alles doorlaat, maar je hebt wel te maken met de draytek.
Reputatie 4
Badge +1
Kijk in de handleiding van de draytek of het nodig is de VPN poorten naar zichzelf te forwarden.

Nee het is niet nodig om op de Draytek poorten (naar zichzelf) te forwarden. De situatie is heel simpel:

internet -> experiabox -> Draytek (in DMZ). Ik lees veel op internet dat ondanks dat de Draytek als DMZ host is aangewezen, de experiabox toch nog sommige dingen blokkeert (pingen lukt bijvoorbeeld ook niet). Helaas kan ik de firewall op de experiabox niet volledig uitschakelen, is dat iets dat de klantenservice misschien voor me zou kunnen regelen?

Reageer