Krijg VPN niet werkend

[TheFronz]

Hallo, Ik probeer al een paar dagen een VPN verbinding te bewerkstelligen, maar krijg hem niet werkend.

De situatie mbt mijn hardware is als volgt:
Ik maak gebruik van de modem van Horizon (Samsung) van Ziggo.
Ik beschik over een NAS van Synology DS214.
Op mijn laptop draait Windows 10 64 bit.

Ik heb het volgende gedaan op mijn NAS:

Op mijn NAS heb ik de applicatie voor VPN server geinstalleerd. Ik heb gekozen voor L2TP/IPSec. Ik heb de L2IPSEC VPN server ingeschakeld en gekozen voor de Verificatie “MS-CHAP v2”. Ook heb ik een vooraf gedeelde sleutel ingevoerd. Verder heb ik bij Configuratiescherm gekozen voor de tabbladen Beveiliging/Firewall. Bij de Firewall heb ik 4 vinkjes aangezet bij VPN server (poort 1723, 1194,1701, 500 en 4500). Vervolgens aangegeven dat de verbinding mag worden toegestaan.

Ik heb het volgende gedaan op de Horizon box:

Ik ben ingelogd op het menu van de modem en heb daar de poorten 1723, 1194,1701, 500 en 4500 geforward gekoppeld aan het interne IP-adres van mijn NAS (192.168.192.XX)
Toen de instellingen opgeslagen en het menu weer verlaten.

Ik heb het volgende gedaan op mijn laptop:
Ik heb geklikt op “Een VPN verbinding toevoegen”. Bij VPN provider kies ik voor (de enige) optie “Windows ingebouwd”. Bij naam verbinding voer ik uiteraard gewoon een naam in en bij servernaam-adres voer ik mijn externe IP-adres in 24.XXX.XXX.XX.
Bij VPN type kies ik LT2PIPSec met vooraf gedeelde sleutel. Ik voer de vooraf gedeelde sleutel in en bij type aanmelding kies ik voor gebruikersnaam en wachtwoord.

Wanneer ik klaar ben, ga ik naar adapterinstellingen en kies eigenschappen van de VPN-adapter. Ik ga vervolgens naar Beveiliging en geef aan dat de verschillende protocollen toegestaan zijn.

Vervolgens zorg ik ervoor dat ik geen verbinding meer via WIFI heb (maak gebruik van 4G van mijn telefoon).
Wanneer ik dan bij de VPN verbinding op verbinding maken klik, moet ik een gebruikersnaam en wachtwoord opgeven. Ik maak hierbij gebruik van de inloggegevens van mijn NAS (waarvan het wachtwoord overigens gelijk is aan het wachtwoord van de “vooraf gedeelde sleutel”).
Vervolgens is hij een tijdje bezig en krijg ik de volgende melding:
The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer.

Vergeef me mijn uitgebreide uitleg, maar dat doe ik om te laten zien welke stappen ik precies heb gezet.


Heb ook NOD32 en mijn Firewall al eens tijdelijk uitgezet op mijn laptop, maar dat geeft geen beter resultaat. Weet dus niet waar het nu niet goed gaat.
Uiteraard heb ik ook gegoogled op deze melding. Ik zie dan onder andere het volgende:

a> L2TP based VPN client (or VPN server) is behind NAT. (GEEN IDEE HOE IK DIT MOET OPLOSSEN OF CONTROLEREN)

b> Wrong certificate or pre-shared key is set on the VPN server or client (PRE-SHARED KEY GECONTROLEERD, GEEN IDEE HOE IK HET CERTIFICAAT CONTROLEER)

c> Machine certificate or trusted root machine certificate is not present on the VPN server. (GEEN IDEE HOE IK DIT MOET CONTROLEREN)

d> Machine Certificate on VPN Server does not have ‘Server Authentication’ as the EKU (IDEM)

Ik heb zo geen idee waar het nu niet goed gaat. Ziet iemand wat ik over het hoofd zie? Wie kan mij hiermee helpen?

Alvast bedankt voor het meedenken!

[Babylonia]

L2TP / IPSEC  gebruikt alleen de poorten 500, 1701 en 4500
Die andere twee die je eveneens doorstuurt, zijn voor de VPN-protocollen PPTP (1723) en OpenVPN (1194).

Verder is niet duidelijk of je TCP gebruikt of UDP.   Voor L2TP / IPSEC  moeten alle poorten als UDP worden doorgestuurd.
(Alleen bij PPTP - 1723 wordt TCP gebruikt).

In je Firewall regels moet je tevens toegang verschaffen tot het virtueel gebruikte VPN netwerk wat je hebt ingesteld in de NAS met de instellingen van de VPN-server.

[Klikoo.]

Heb je onderstaand ook uitgevoerd? Hier liep ik tegenaan, nu werkt het wel op mijn laptop. Mogelijk bij jou ook het geval?


1. Druk op de Windows toets en tegelijkertijd op R om dit uit te voeren.

2. Tik in regedit en klik OK. Klik ja indien gevraagd wordt of je de app toelaat wijzigingen op je PC aan te brengen.

3. Zoek in het linkerdeelvenster en klik op de map: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent

4. Klik op het menu bewerken en beweeg je cursor over Nieuw. Klik op  DWORD. Een nieuwe register zal verschijnen in het rechterdeelvenster, met de naam nieuwe waarde #1.

5. Hernoem dit bestand: AssumeUDPEncapsulationContextOnSendRule (dit is hoofdlettergevoelig en bevat geen spaties) en tik op ENTER.

6. Klik met de rechtermuisknop op AssumeUDPEncapsulationContextOnSendRule, en klik dan op wijzigen.

7. Tik 2 in in het vak Waardegegevens, en klik op OK

8. Start de computer opnieuw op.

[Babylonia]

Dat lijken me niet normaal uit te voeren werkzaamheden om een VPN-verbinding tot stand te kunnen brengen.
Iets voor de gevorderde IT-er.
Binnen het Windows OS zitten er "normaal" bereikbare gebruiksopties om makkelijk een VPN-Client in te kunnen stellen.
(In een "Wizard"-achtige vorm met vervolgschermen).

[Klikoo.]

Dat klopt, maar ook op de support pagina van Microsoft is deze register aanpassing te vinden. Is voor iedereen best wel te doen als je de stappen letterlijk opvolgt. Het is een eenmalig iets wat je moet doen, verder blijven gewoon die normale gebruiksopties van toepassing om simpel een VPN verbinding te maken. Hieraan verandert verder niets.

[Babylonia]

Ik heb op geen enkele Windows computer dat ooit hoeven te doen om een VPN-verbinding op te zetten onder het PPTP of L2TP/IPSec protocol.
Niet op mijn eigen laptop, die van mijn dochter, die van mijn Ex, of de desktop PC's die deze personen gebruiken.

Ook de VPN Client instellingen onder Android gelden normaal begrijpelijke gebruikersopties om in te stellen,
niet moeilijk doenerij via een register.

Het is de eerste beschrijving voor Windows die ik daarover lees die je hier te berde brengt om je register aan te moeten passen.
Dus "waarom een eerste keer" je dat zou moeten instellen verbaast me hooglijk.
Lijkt me meer iets als je buiten de normale werkwijze om iets hebt verkloot aan je OS, om het dan te "repareren".
Voor de topic starter lijkt me niet van toepassing te zijn, die probeert "vers" een VPN-connectie op te zetten.

[Klikoo.]

Ook dat klopt, op sommige heb ik het ook niet hoeven te doen. Het schijnt oude bug te zijn in Windows, schijnt zelfs al in Windows 7 te zitten. Op mijn nieuwe laptop heb ik het wel moeten doen onder W10, op mijn ander ander merk laptop tot nu toe niet hoeven te doen. Ik snap het probleem eigenlijk niet, je doet eenmalig indien nodig deze aanpassing en het is voor altijd opgelost. Je blijft verder onveranderd via het menu ander VPN maken. Hier een oude Microsoft link. https://support.goldenfrog.com/hc/nl/articles/203814366-VyprVPN-L2TP-IPSec-VPN-installatie-voor-Windows-7

Als bij de TheFronz dit het probleem oplost is hij toch ook weer blij? Anders is het inderdaad doorspitten.

[Klikoo.]

Hier een oude Microsoft link. https://support.goldenfrog.com/hc/nl/articles/203814366-VyprVPN-L2TP-IPSec-VPN-installatie-voor-Windows-7

Ik bedoel deze link, er zijn er blijkbaar meer van. https://support.microsoft.com/en-us/kb/926179

[Babylonia]

Het kan natuurlijk daar aan liggen.  Vreemd dat Microsoft daar in de loop van de tijd dan niet zelf een patch voor heeft uitgebracht om het probleem op te lossen en kennelijk nu nog steeds in Windows 10 zit.

Maar gezien de eerdere reacties van @TheFronz in dit draadje waarbij poorten van verschillende VPN-protocollen door elkaar worden gehaald, niet duidelijk is of hij UDP gebruikt in plaats van TCP, Firewall regels etc.  lijkt me het probleem eerder al in die basis-instellingen te liggen.
Omdat je toch "van buiten af" moet testen om een VPN-verbinding tot stand te brengen, kan hij waarschijnlijk makkelijker een smartphone daarvoor inzetten via het 3G/4G netwerk en daarin even een VPN-Client aanmaken. Heb je niets met Windows te maken.
(Die smartphone benut hij toch al om in zijn testen als WiFi hotspot te gebruiken, en dan daarmee met zijn laptop het 4G netwerk op).

[Klikoo.]

Ik weet het, maar het blijft Microsoft. Ene bug eruit, maakt een andere erin. Zo zie je in het logboek van Windows nog steeds fout 7031 vaak optreden. Is al jaren bekend bij Microsoft, moeten nog een keer met een update daarvoor komen. En zo zijn er veel meer. Dat die VPN op de ene laptop niet meteen werkt en de ander wel kan goed te maken hebben met gebruikte hardware en hardware combinaties. Weten wij veel. Wat ik altijd eerst naar kijk is dat mijn laptop intern de VPN werkt. Dan weet ik dat ze elkaar verstaan. Daarna ga ik via het externe IP adres kijken. Doet het moeilijk dan ga ik alsnog eens goed naar de router poorten kijken, eventueel de zaak ook nog eens opnieuw opstarten. Werkt het extern dan weet ik al dat het op vakantie doorgaans wel werkt.

[Babylonia]

Wat ik altijd eerst naar kijk is dat mijn laptop intern de VPN werkt.

Grappig, intern heb ik via PC's nog nooit een VPN-verbinding werkend gehad. Juist geen problemen "van buiten uit".
Wel intern via OpenVPN vanuit een Android smartphone en tablet.

[Klikoo.]

Ja, wel gek. Zou toch ook moeten werken? Ik vul gewoon het IP adres van mijn Nas in en dan maakt hij gewoon verbinding. Eventueel naam en wachtwoord invullen en dan doet hij het. Open VPN en PPTP werken ook in en extern.

[Babylonia]

Misschien zit het verschil daarin dat ik de VPN-server op de (Synology) router heb geïnstalleerd, niet op de NAS.
Door vanuit mijn smartphone via WiFi met het  L2TP/IPSec  protocol in te loggen op het WAN-IP adres van de Synology router (is het toegewezen LAN-IP adres vanuit de 1e router) heb ik ook een VPN-verbinding. Maar dat is eigenlijk niet "intern", maar vanuit een loopback "extern" weer terug.

OpenVPN werkt zelfs dus terug als loopback "twee routers" diep, en dan met het WAN-IP adres van de 1e router ofwel mijn internet aansluiting.

[Klikoo.]

Dat zou wel eens een heel logische verklaring kunnen zijn. Bij mij loopt het via een Asus RT68 router.

[TheFronz]

Verder is niet duidelijk of je TCP gebruikt of UDP.   Voor L2TP / IPSEC  moeten alle poorten als UDP worden doorgestuurd.
(Alleen bij PPTP - 1723 wordt TCP gebruikt).

In je Firewall regels moet je tevens toegang verschaffen tot het virtueel gebruikte VPN netwerk wat je hebt ingesteld in de NAS met de instellingen van de VPN-server.

Excuses voor mijn late reactie. Was twee weken afwezig. Ik had de poorten op BEIDE staan, maar heb ook het bovenstaande geprobeerd. Voor wat betreft de Firewall: ik heb de Firewall ook al eens tijdelijk uitgeschakeld, maar ook dat leverde geen resultaat op.