Vraag

IPSec in het buitenland

  • 8 oktober 2018
  • 64 reacties
  • 1217 keer bekeken


Toon eerste bericht

64 reacties

Reputatie 7
Badge +28
Ik weet niet wat ze uit aan het zoeken zijn, maar dat kan Tom vast vertellen als ze weer contact hebben opgenomen met hem. Na jouw verhaal ben ik wel erg benieuwd wat er uit komt en wat de oplossing voor Tom gaat zijn.
Maar, eigenlijk snap ik de hele gang van zaken niet. Volgensmij is dit gewoon een probleem met hoe de APN NAT doet, en wanneer je advancedinternet gebruikt is dit niet aan de orde. Echter, die werkt niet in het buitenland.

Ik verwacht van een Technische Dienst van een grote provider dat zij of bekend zijn met dit probleem (er zullen vast meer klanten zijn die een IPSec VPN opzetten op basis van XAUTH).
En, eigenlijk snap ik niet zo goed wat de aansluiting van TS hiermee te maken heeft, volgensmij kan de Technische Dienst dit heel goed zelf testen. Eén van hen zal vast wel een IPSec servertje hebben en anders kunnen ze die vast wel even maken en dit testen. Dan kunnen ze ook nog hun eigen Linux client gebruiken en hebben ze zelf direct toegang tot de logs van beide kanten van de IPSec tunnel.

Ik heb toegang tot deze logs. En ik heb zelf geen KPN mobiel aansluiting bij de hand om dit te testen, maar volgensmij (na het zien van de logregel die TS plaatste) heeft dit te maken met hoe NAT gedaan wordt op de portalmmm APN, en wordt het eerste bericht van de IPSec verbinding met een ander extern IP gedaan dan daarna. En dan is de VPN server in de war (logisch).

Ik weet niet in hoe verre TS en zijn/haar werkgever hier tijd in willen steken, maar met iets meer log regels of een simpele TCPdump/pcap zou al bevestigd kunnen worden of het inderdaad om meerdere (externe) IPs gaat.

Robin

Dank voor je reactie! Ik ben het echt volledig met je eens en had niet alleen gehoopt maar zelfs verwacht dat KPN niet alleen die conclusie zou trekken maar het ook vrij simpel zou kunnen fixen. Na ruim 2,5 week (en nog 3 dagen buitenland te gaan...) is mijn vertrouwen behoorlijk gezakt.

De logs laten wel degelijk steeds hetzelfde IP Adres zien, dat is het dus niet. Zoals je in onderstaande (enigszins geanonimiseerd mbv {XXX}) logs kunt zien:

2018:10:25-18:18:09 kerberos pluto[14729]: packet from 77.62.131.115:500: received Vendor ID payload [RFC 3947]
[…]
2018:10:25-18:18:09 kerberos pluto[14729]: packet from 77.62.131.115:500: received Vendor ID payload [xauth]
[…]
2018:10:25-18:18:09 kerberos pluto[14729]: packet from 77.62.131.115:500: received Vendor ID payload [Dead Peer Detection]
2018:10:25-18:18:09 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[5] 77.62.131.115 #12: responding to Main Mode from unknown peer 77.62.131.115
2018:10:25-18:18:09 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[5] 77.62.131.115 #12: NAT-Traversal: Result using RFC 3947: no NAT detected
2018:10:25-18:18:09 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[5] 77.62.131.115 #12: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2018:10:25-18:18:09 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[5] 77.62.131.115 #12: Peer ID is ID_DER_ASN1_DN: 'C=nl, L={XXX}, O={XXX}, CN={XXX}, E={XXX}@{XXX}'
2018:10:25-18:18:09 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[5] 77.62.131.115 #12: crl not found
2018:10:25-18:18:09 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[5] 77.62.131.115 #12: certificate status unknown
2018:10:25-18:18:09 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[5] 77.62.131.115 #12: we have a cert and are sending it
2018:10:25-18:18:09 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[5] 77.62.131.115 #12: Dead Peer Detection (RFC 3706) enabled
2018:10:25-18:18:09 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[5] 77.62.131.115 #12: sent MR3, ISAKMP SA established
2018:10:25-18:18:09 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[5] 77.62.131.115 #12: sending XAUTH request
2018:10:25-18:18:13 kerberos pluto[14729]: packet from 77.62.131.115:500: Main Mode message is part of an unknown exchange
2018:10:25-18:18:16 kerberos pluto[14729]: packet from 77.62.131.115:500: Main Mode message is part of an unknown exchange
2018:10:25-18:18:19 kerberos pluto[14729]: packet from 77.62.131.115:500: Main Mode message is part of an unknown exchange
2018:10:25-18:18:32 kerberos pluto[14729]: packet from 77.62.131.115:500: Main Mode message is part of an unknown exchange
2018:10:25-18:18:40 kerberos pluto[14729]: ERROR: asynchronous network error report on ppp0 for message to 77.62.131.115 port 500, complainant 77.62.131.115: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]


Vergelijk ik dit met een verbinding via de lokale WiFi zie ik:

2018:10:25-18:17:40 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[4] 87.18.192.60:50617 #10: responding to Main Mode from unknown peer 87.18.192.60:50617
2018:10:25-18:17:40 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[4] 87.18.192.60:50617 #10: NAT-Traversal: Result using RFC 3947: peer is NATed
2018:10:25-18:17:41 kerberos pluto[14729]: | NAT-T: new mapping 87.18.192.60:50617/51932)
2018:10:25-18:17:41 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[4] 87.18.192.60:51932 #10: ignoring informational payload, type IPSEC_INITIAL_CONTACT
2018:10:25-18:17:41 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[4] 87.18.192.60:51932 #10: Peer ID is ID_DER_ASN1_DN: 'C=nl, L={XXX}, O={XXX}, CN={XXX}, E={XXX}@{XXX}'
2018:10:25-18:17:41 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[4] 87.18.192.60:51932 #10: crl not found
2018:10:25-18:17:41 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[4] 87.18.192.60:51932 #10: certificate status unknown
2018:10:25-18:17:41 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[4] 87.18.192.60:51932 #10: we have a cert and are sending it
2018:10:25-18:17:41 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[4] 87.18.192.60:51932 #10: Dead Peer Detection (RFC 3706) enabled
2018:10:25-18:17:41 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[4] 87.18.192.60:51932 #10: sent MR3, ISAKMP SA established
2018:10:25-18:17:41 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[4] 87.18.192.60:51932 #10: sending XAUTH request
2018:10:25-18:17:55 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[4] 87.18.192.60:51932 #10: parsing XAUTH reply
2018:10:25-18:17:55 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[4] 87.18.192.60:51932 #10: extended authentication was successful
2018:10:25-18:17:55 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[4] 87.18.192.60:51932 #10: sending XAUTH status
2018:10:25-18:17:56 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[4] 87.18.192.60:51932 #10: parsing XAUTH ack
2018:10:25-18:17:56 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[4] 87.18.192.60:51932 #10: received XAUTH ack, established
2018:10:25-18:17:56 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[4] 87.18.192.60:51932 #10: parsing ModeCfg request
2018:10:25-18:17:56 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[4] 87.18.192.60:51932 #10: unknown attribute type (28683)
2018:10:25-18:17:56 kerberos pluto[14729]: "D_for VPN Users to LAN-6"[4] 87.18.192.60:51932 #10: peer requested virtual IP %any
2018:10:25-18:17:56 kerberos pluto[14729]: acquired existing lease for address x.x.5.1 in pool 'VPN Pool (Cisco)'

De NAT detectie mislukt dus zodra ik via de KPN verbinding ga :(

Ik weet niet wat ze uit aan het zoeken zijn, maar dat kan Tom vast vertellen als ze weer contact hebben opgenomen met hem. Na jouw verhaal ben ik wel erg benieuwd wat er uit komt en wat de oplossing voor Tom gaat zijn.
Ik weet het ook niet, na het contact of er een trace gestart mocht worden en de vraag met welk IP adres ik een verbinding opzet is er complete radiostilte.

@Marcia_ aangezien ik mijn hele vakantie geen volledig gebruik heb kunnen maken van mijn abonnement neem ik aan dat er een (gedeeltelijke) restitutie vanuit KPN verwacht mag worden, weet jij hoe ik die procedure in gang kan zetten? (kan jij dit wellicht doen?)
Reputatie 7
Badge +28
Wat rot dat de communicatie vanuit ons zo slecht is, excuses daarvoor. Zo weet je niet bepaald wat je kunt verwachten, dus handig is anders. Voor wat betreft restitutie: begrijp ik goed dat je 'alleen' geen gebruik hebt kunnen maken van een VPN verbinding? Het bellen/gebeld worden en mobiel internet werkte verder wel? Dan zit er vanuit ons naar verwachting geen restitutie in: dat wat wij horen te leveren, werkt immers naar behoren.

Mede daarom ben ik benieuwd wat onze technische dienst uiteindelijk gaat zeggen. Mocht het toch zo zijn dat we echt iets nagelaten hebben, kunnen we zeker nog naar de opties kijken. Dat wil ik in ieder geval even afwachten voordat ik er een definitieve uitspraak over ga doen. Wil je het me laten weten als je maandagmiddag nog niets gehoord hebt? Dan bel ik er meteen weer achteraan.

Hopelijk heb je ondanks dit gedoe toch een aangename tijd in het buitenland!
Reputatie 7
Badge +30
Hmm, daar ging mijn idee 😃 Ik heb eigenlijk net niet genoeg ervaring om de hele log van Pluto te begrijpen, maar ik neig echt heel erg naar een probleem met hoe de VPN werkt en hoe NAT werkt bij KPN.

OF, deelt de VPN server een IP uit in dezelfde range als de KPN NAT range? Maar heeft Tele2/T-Mobile/Vodafone een andere NAT range die niet overeenkomt met de VPN IP Range? En dat hierdoor de routing table op de telefoon in de war komt.

Maar Marcia, dit "probleem" is misschien wel een algemeen probleem met denk ik een bepaald type VPN (range) icm de standaard APN toch?
  • https://forum.kpn.com/mobiele-diensten-18/ipsec-441328
Wat rot dat de communicatie vanuit ons zo slecht is, excuses daarvoor. Zo weet je niet bepaald wat je kunt verwachten, dus handig is anders. Voor wat betreft restitutie: begrijp ik goed dat je 'alleen' geen gebruik hebt kunnen maken van een VPN verbinding? Het bellen/gebeld worden en mobiel internet werkte verder wel? Dan zit er vanuit ons naar verwachting geen restitutie in: dat wat wij horen te leveren, werkt immers naar behoren.

Mede daarom ben ik benieuwd wat onze technische dienst uiteindelijk gaat zeggen. Mocht het toch zo zijn dat we echt iets nagelaten hebben, kunnen we zeker nog naar de opties kijken. Dat wil ik in ieder geval even afwachten voordat ik er een definitieve uitspraak over ga doen. Wil je het me laten weten als je maandagmiddag nog niets gehoord hebt? Dan bel ik er meteen weer achteraan.

Hopelijk heb je ondanks dit gedoe toch een aangename tijd in het buitenland!

Rot is nog heel netjes verwoord voor een probleem wat na 3 weken nog geen zicht heeft op oplossing... Ik ben onthutst door het gebrek aan voortgang, van de grootste (en duurste!) provider van Nederland had ik dit niet verwacht.

Verder; gezien het feit dat IPSEC een volstrekt normaal internet protocol betreft ben ik het niet eens met de stelling dat ik gewoon gebruik heb kunnen maken van mijn verbinding. Een voor mij essentieel protocol wordt door KPN geblokkeerd of eerder; niet goed geïmplementeerd op het voor NAT verantwoordelijke KPN apparaat en dan specifiek RFC 3947 (https://www.ietf.org/rfc/rfc3947.txt) Het feit dat collega providers in Nederland (specifiek Vodafone en prijsvechter Tele2!) dit wel correct implementeren bewijst impliciet dat er in principe ook geen technische beperking kan zijn.

Graag verneem ik hoe ik een restitutie verzoek in kan dienen.

Hmm, daar ging mijn idee 😃 Ik heb eigenlijk net niet genoeg ervaring om de hele log van Pluto te begrijpen, maar ik neig echt heel erg naar een probleem met hoe de VPN werkt en hoe NAT werkt bij KPN.

OF, deelt de VPN server een IP uit in dezelfde range als de KPN NAT range? Maar heeft Tele2/T-Mobile/Vodafone een andere NAT range die niet overeenkomt met de VPN IP Range? En dat hierdoor de routing table op de telefoon in de war komt.

[..]

Kortgezegd komt het er in mijn ogen op neer dat KPN RFC 3947 (Negotiation of NAT-Traversal in the IKE) niet correct lijkt te implementeren waardoor de VPN gateway de vervolg pakketten niet kan correleren aan de inlog van mijn device. Zie https://community.cisco.com/t5/security-documents/how-does-nat-t-work-with-ipsec/ta-p/3119442 voor meer info.
Reputatie 7
Wat is het IP adres van jouw telefoon op het KPN 4G netwerk?
Op mijn OnePlus 5T kan ik dat terugvinden onder "Instellingen" -> "Over de telefoon" -> "Status".
Wat is de IP adres range van de VPN server?
Wat is het IP adres van jouw telefoon op het KPN 4G netwerk?
Op mijn OnePlus 5T kan ik dat terugvinden onder "Instellingen" -> "Over de telefoon" -> "Status".
Wat is de IP adres range van de VPN server?

Dank je voor je reactie! Aangezien e.e.a. al mis gaat tijdens de authenticatie hebben de IP adressen er niets mee te maken.
Reputatie 7
Wat is het IP adres van jouw telefoon op het KPN 4G netwerk?
Op mijn OnePlus 5T kan ik dat terugvinden onder "Instellingen" -> "Over de telefoon" -> "Status".
Wat is de IP adres range van de VPN server?

Dank je voor je reactie! Aangezien e.e.a. al mis gaat tijdens de authenticatie hebben de IP adressen er niets mee te maken.
Toch zou ik graag willen weten wat het IP adres van jouw telefoon op het KPN 4G netwerk is en in welke IP range de VPN server IP adressen toewijst.
Maar als je die niet wilt geven, ook prima, dan houd ik direct weer op met meedenken.
Wat is het IP adres van jouw telefoon op het KPN 4G netwerk?
Op mijn OnePlus 5T kan ik dat terugvinden onder "Instellingen" -> "Over de telefoon" -> "Status".
Wat is de IP adres range van de VPN server?

Dank je voor je reactie! Aangezien e.e.a. al mis gaat tijdens de authenticatie hebben de IP adressen er niets mee te maken.
Toch zou ik graag willen weten wat het IP adres van jouw telefoon op het KPN 4G netwerk is en in welke IP range de VPN server IP adressen toewijst.
Maar als je die niet wilt geven, ook prima, dan houd ik direct weer op met meedenken.

Ik stel je input zeker op prijs, helemaal nu KPN totaal niet thuis geeft. Ik kan dit helaas niet zien op mijn iPhone vrees ik, maar laten we voor de vorm zeggen dat deze overlappen; wat betekent dat dan in jouw ogen?
Reputatie 7
Als de subnetten overlappen dan zal er nooit een VPN verbinding opgebouwd kunnen worden.
Als de subnetten overlappen dan zal er nooit een VPN verbinding opgebouwd kunnen worden.
Helder, mocht iemand weten hoe ik het local IP van een 3/4G verbinding op een iPhone op kan vragen hoor ik het graag.
Reputatie 7
Als de subnetten overlappen dan zal er nooit een VPN verbinding opgebouwd kunnen worden.Helder, mocht iemand weten hoe ik het local IP van een 3/4G verbinding op een iPhone op kan vragen hoor ik het graag.http://www.iplookup.net
Als de subnetten overlappen dan zal er nooit een VPN verbinding opgebouwd kunnen worden.Helder, mocht iemand weten hoe ik het local IP van een 3/4G verbinding op een iPhone op kan vragen hoor ik het graag.http://www.iplookup.net
Daarmee krijg je het IP Adres waarachter ik geNAT zit en dus niet mijn lokale IP.
Reputatie 7
En wat is dat IP adres dan?
En wat is dat IP adres dan?
77.62.129.238
Reputatie 7
En wat is dat IP adres dan?77.62.129.238Dat ziet er goed uit.
En wat is dat IP adres dan?77.62.129.238Dat ziet er goed uit.
In zoverre dat t een KPN IP adres is bedoel je? (https://ip-lookup.net/goto_?host-77-62-129-238.kpn-gprs.nl )
Reputatie 7
Badge +30
Ik heb eigenlijk geen idee of dit überhaupt kan op een iPhone.
Deze misschien? https://itunes.apple.com/us/app/lirum-device-info-lite/id591660734?mt=8

Ik heb op dit moment geen test sim om dit te proberen, maar volgensmij deelt portalmmm/internet gewoon 10.0.0.0/8 IPs uit (waarschijnlijk is die 10/8 verder gesubnet).
Vodafone levert ook een IP in de 10/8 range: 10.121.205.28 bijvoorbeeld maar met een subnetgrootte van /29. Kans is dus kleiner dat het e.e.a. overlapt.
Geen idee hoe Tele2 dit doet, en wat de subnetmaskers zijn bij zowel Vodafone als KPN, en welke range je VPN connectie gebruikt.

@Marcia_, weet jij dit toevallig of kan je dit na vragen? Hoe groot zijn ze subnetten die voor KPN 4g gebruikt worden? Zijn dat "gewoon" /24'jes of a la Vodafone /29'jes?

Robin
Ik heb eigenlijk geen idee of dit überhaupt kan op een iPhone.
Deze misschien? https://itunes.apple.com/us/app/lirum-device-info-lite/id591660734?mt=8

Ik heb op dit moment geen test sim om dit te proberen, maar volgensmij deelt portalmmm/internet gewoon 10.0.0.0/8 IPs uit (waarschijnlijk is die 10/8 verder gesubnet).
Vodafone levert ook een IP in de 10/8 range: 10.121.205.28 bijvoorbeeld maar met een subnetgrootte van /29. Kans is dus kleiner dat het e.e.a. overlapt.
Geen idee hoe Tele2 dit doet, en wat de subnetmaskers zijn bij zowel Vodafone als KPN, en welke range je VPN connectie gebruikt.

@Marcia_, weet jij dit toevallig of kan je dit na vragen? Hoe groot zijn ze subnetten die voor KPN 4g gebruikt worden? Zijn dat "gewoon" /24'jes of a la Vodafone /29'jes?

Robin

Onderweg naar huis nog vlug even in Duitsland langs de snelweg getest en bizar genoeg is volgens die app het IP-adres een /32 !?

Vwb KPN probleem nu opgelost, we zijn weer in Nederland 😢 Ben nog steeds geschokt door het totale gebrek aan oplossing in deze...
@Marcia_ verneem nog steeds graag van je hoe ik restitutie aanvraag in kan dienen.
Reputatie 7
Ik heb op dit moment geen test sim om dit te proberen, maar volgensmij deelt portalmmm/internet gewoon 10.0.0.0/8 IPs uit (waarschijnlijk is die 10/8 verder gesubnet).Met een subnet 10.0.0.0/8 is de kans natuurlijk enorm groot dat er overlap is met het subnet van de VPN server en dat daardoor geen VPN verbinding opgezet kan worden.
Ook ik ben heel benieuwd hoe groot die subnetten werkelijk zijn.
Reputatie 7
Badge +30
Zou t dan toch een /32 zijn zoals die app zegt met een statische route ofzo?

@Marcia_?
Reputatie 7
Badge +28
Ik heb zelf geen antwoord op de vragen over submetten. Heb het wel bij een collega van de technische dienst nagevraagd, maar die wist het ook niet direct. Wel is dat uit te zoeken, dus als we contact opnemen met jou, Tom, is dat iets om na te vragen bij mijn collega. Dan kunnen we het door middel van het lopende ticket verder uit laten zoeken.

Voor wat betreft de compensatie, hier kom ik later vandaag op terug.
Zou t dan toch een /32 zijn zoals die app zegt met een statische route ofzo?

@Marcia_?

Ik kan me niet voorstellen dat KPN genoeg publieke IP adressen heeft om iedereen een eigen adres te geven. Het ruikt (zoals jij eerder zelf al opmerkte) naar een heel vreemde NAT oplossing waardoor de IKE uitwisseling spaak loopt.

Ik heb zelf geen antwoord op de vragen over submetten. Heb het wel bij een collega van de technische dienst nagevraagd, maar die wist het ook niet direct. Wel is dat uit te zoeken, dus als we contact opnemen met jou, Tom, is dat iets om na te vragen bij mijn collega. Dan kunnen we het door middel van het lopende ticket verder uit laten zoeken.

Voor wat betreft de compensatie, hier kom ik later vandaag op terug.

Bedankt voor je reactie! Mocht ik je collegas spreken zal ik het direct laten weten. Ik hoor graag van jullie (al wordt t testen zelf lastig nu ik weer in Nederland verblijf)
Reputatie 7
Badge +28
Ik heb zelf maar weer even gebeld met onze technische dienst en de collega heeft weer doorgegeven dat je een update wenst. Vooralsnog dus geen duidelijkheid van mijn kant, sorry. Ook over compensatie wil ik dus nog niets roepen, omdat mij nog steeds niet duidelijk is wat er precies speelt. Je hebt dus niet zoveel aan deze update, maar ik wilde je het wel even laten weten.
Ik heb zelf maar weer even gebeld met onze technische dienst en de collega heeft weer doorgegeven dat je een update wenst. Vooralsnog dus geen duidelijkheid van mijn kant, sorry. Ook over compensatie wil ik dus nog niets roepen, omdat mij nog steeds niet duidelijk is wat er precies speelt. Je hebt dus niet zoveel aan deze update, maar ik wilde je het wel even laten weten.
Dank je voor al je moeite @Marcia_, wordt zeer op prijs gesteld.

Huh, ik krijg een mail dat mijn vraag is beantwoord, dat lijkt me niet te kloppen?

Reageer