VPN server: Geen verbinding mogelijk met DS112 over L2TP/IPsec via Ziggo (UBEE3

[Boertje]

Mijn installatie thuis bestaat uit een Ziggo aansluiting met een UBEE3200 modem router. Het WiFi deel van de router gebruik ik niet en staat uitgeschakeld. ( De WiFi hotspot functie van de router blijft echter wel actief!) . Achter de router heb ik een bedraade verbinding naar een switch waarop ondermeer mijn Synology DS112 staat aangesloten.

Omdat ik ook van een andere locatie mijn DS112  wil kunnen benaderen ( Ook de DSM ) ben ik aan het experimenteren gegaan met een VPN verbinding. Omdat ik de standaard aanwezige VPN cliënt in Windows 7 wilde gebruiken, ben ik begonnen met het opzetten van een PPTP verbinding. Dat lukte niet en het bleek dat er veel problemen worden gemeld, ook op dit forum, met het opzetten van een PPTP VPN via het Ziggo netwerk/router.

Vervolgens  heb ik OpenVPN geprobeerd. Hierbij lukt het wel om een VPN verbinding op te zetten, maar de verbinding met de webinterface van de DSM lukt niet (net zo min als die van de UBEE,net zo min als die van mijn switch (DD-WRT),  vreemd is wel dat ik de webinterface van een Belkin access-point wel kan bereiken!? ).

Omdat het niet mogelijk is om een OpenVPN cliënt te installeren op mijn PC op het werk, valt openVPN eigenlijk af….blijft L2TP/IPSec over. Deze optie wordt onder DSM 4.3beta ondersteund. Vervolgens  heb ik de beta DSM 4.3 gedownload en de VPN applicatie bijgewerkt naar de laatste versie. In deze versie is het mogelijk een L2TP/IPSec VPN verbinding op te zetten. Bij het  maken van de verbinding krijg ik echter steeds een foutmelding, zie onderstaand plaatje



De poorten die noodzakelijk zijn voor het doorlaten van het L2TP/IPSec verkeer heb ik geforward naar de DS112. Om te kijken of het probleem in de firewall zit heb ik de DS112 tijdelijk in de DMZ van de UBee modem/router gezet, dit maakte  ook geen verschil. Daar zal het probleem dus niet in zitten, of zie ik iets over het hoofd?

Ook het kiezen van een andere verificatie methode PAP ipv MS-CHAP V2 maakt geen verschil.
De VPN server van Synology kent weinig instellingen. Het protocol kent echter vele instellingen  zie bijvoorbeeld http://technet.microsoft.com/nl-nl/library/cc784994(v=ws.10).aspx Ik verdenk toch dat er iets niet goed gaat in het proces, wat blijkt uit de foutmelding. Is dit een bug of is er iets anders aan de hand?

[Briolet]

Ik heb dezelfde Ubee en daar lukt het wel mee (PPTP wordt door iets in de Ubee geblokkeerd).

Je kunt het beste enig probleem in de router uitsluiten door van binnen je eigen netwerk een VPN richting IP van je nas  op te zetten. Als dat al niet lukt, zit er iets fout in de protocol instellingen. Over de precieze  instellingen kan ik niet veel zeggen omdat ik op een iMac werk en de windows en opties daar vast, net iets anders zijn.

Let wel, met de Ubee kun je niet vanuit je eigen netwerk een vpn opzetten naar je publieke ip. Wat wel lukt is om een externe inlog te simuleren door op je eigen WifiSpot in te loggen en van daaruit een vpn op te zetten.

[Plerry]

... Let wel, met de Ubee kun je niet vanuit je eigen netwerk een vpn opzetten naar je publieke ip. Wat wel lukt is om een externe inlog te simuleren door op je eigen WifiSpot in te loggen en van daaruit een vpn op te zetten.

Dat is een leuke manier om een NAT loopback probleem te omzeilen.

Is dat ook een beetje snel, als je langs die weg met "jezelf" verbindt? 

[Briolet]

Is dat ook een beetje snel, als je langs die weg met "jezelf" verbindt? 

Nee, het is ook gewoon traag. (max 3 Mbps van de hotspot) Ik kan me niet voorstellen dat de Ubee een uitzondering maakt als je op je eigen WifiSpot zit. Het data verkeer zal dan ook via de WifiSpot naar de Ziggo server gaan en vandaar weer terug naar je Ubee. Dus waarschijnlijk dezelfde snelheid als elke andere Wiifispot in Nederland.

Maar wel verdomd handig om thuis een externe inlog te testen omdat ik geen G3 internet tot mijn beschikking heb. 

Bij forwardings ondersteunt de Ubee wel loopbacks, maar niet bij VPN. Mijn airport ondersteunt in beide situaties loopback. Dus lekker handig als je ervaringen van de ene router bij de andere gaat gebruiken.

PS: Voor de aardigheid eens getest: Down 2.63 Mbps, Up 0.87 Mbps, ping 46 sec.
Maar hier inloggen en wat editen gaat nauwlijks anders dan regulier. 

[Hofstede]

Als je met de Windows VPN client een L2TP/IPSEC VPN server achter een router met NAT wil benaderen moet je in Windows een registry-instelling toevoegen.

Zie deze link: http://support.microsoft.com/kb/926179

De waarde die je moet gebruiken is 2.

Het is een document voor Windows Vista maar het geldt ook voor de nieuwere Windows versies.

[Plerry]

Als je met de Windows VPN client een L2TP/IPSEC VPN server achter een router met NAT wil benaderen moet je in Windows een registry-instelling toevoegen. ...

Iemand ervaring met ShrewSoft als client voor een L2TP/IPsec VPN verbinding naar je Syno?
ShrewSoft is voor mij de Windows en Linux/BSD client bij uitstek voor IPsec verbindingen naar de VPN server in mijn Fritz!Box router.
Werkt in die setup probleemloos op meerdere PC's voor (gelijktijdige) IPsec VPN verbindingen.

[Boertje]

zucht...de tip van Hofstede heeft ook niet geholpen....

Volgens mij zit er iets niet lekker in de gebruikte poorten. Een poortscan op de L2TP/IPsec poorten 500,1701 en 4500 geeft aan: gesloten.

Zelfs als de Synology tijdelijk in de DMZ wordt gezet van de router krijg ik hetzelfde resultaat.

De firewall van de Synology staat op alles accepteren...ik snap het niet meer

Het lijkt er toch op dat deze poorten door Ziggo cq de router geblokkeerd worden....

[Hofstede]

Werkt het wel als je op je interne netwerk een VPN verbinding opbouwt met het interne IP adres van je NAS?

[nl3prc]

Ik heb op het ziggo-gebruikers.nl gelezen dat de firewall in het modem/router ook nog wel eens roet in het eten wil gooien

Mogenlijk staat deze te hoog ingesteld

[Briolet]

Ik heb op het ziggo-gebruikers.nl gelezen dat de firewall in het modem/router ook nog wel eens roet in het eten wil gooien.

Behalve dan dat de meeste meldingen daar van mensen komen die er geen verstand van hebben en bij alle problemen de schuld bij de firewall leggen. Ik heb ook de Ziggo Ubee 3200 router, heb de firewall op de hoogste stand staan, ben nu ingelogd op de WifiSpot en vandaar via VPN weer op mijn eigen netwerk ingelogd terwijl ik dit type.

De firewall blokkeert alleen poorten die van binnen naar buiten geopend willen worden. Ingaand hoeft ook niet omdat daar de NAT firewall zit die default al alles tegenhoudt. De geforwarde poorten kun je altijd gebruiken, ongeacht de firewall settings. 

Ik zou dus eerst eens rechtstreeks op je nas inloggen zodat de router niet in je keten zit. Dan kun je dat uitsluiten als storingsbron.

Heb je wel goed geforward? Als extern IP moet je 0.0.0.0 invullen (dat staat er al bij default). Als daar een IP ingevuld wordt, kun je er alleen vanaf dat bron IP inkomen.

[nl3prc]

Nou je het zegt die poort fwd kan ook nog wel eens niet goed zijn was bij ons ook zo
Maar we kregen wel het goede antwoord
Zie Port forwarding

[Boertje]

Ik zou dus eerst eens rechtstreeks op je nas inloggen zodat de router niet in je keten zit. Dan kun je dat uitsluiten als storingsbron.

Rechtstreeks vanaf het interne netwerk naar de nas lukt de  L2TP/IPsec VPN verbinding wel. Vandaar dat mijn aandacht zich op de router cq Ziggo richt

Heb je wel goed geforward? Als extern IP moet je 0.0.0.0 invullen (dat staat er al bij default). Als daar een IP ingevuld wordt, kun je er alleen vanaf dat bron IP inkomen.

Ik ben er vrij zeker van dat ik goed heb geforward. Ik had om dat te testen even poort 5000 geforward. Via de Wifispot van Ziggo kon ik toen gewoon de webinterface van de nas benaderen.

De firewall settings van de nas staan op alle verbindingen toestaan, dat kan het dus eigenlijk ook niet zijn...

Voor de volledigheid hier nog even de forward settings en de resultaten van de poortscan:

[nl3prc]

Wat gebruikt jij een rare local ipnummer ik verwacht eerder iets van 192.168.178.xxx

[Boertje]

Valt wel mee hoor, de door mij gebruikte range is gewoon een standaard range voor pive netwerken, zie IP range private network

[Hofstede]

Geen garantie, maar misschien het proberen waard:

Ik zie dat je bij de port-forwarding voor alle drie forwards exact dezelfde omschrijving hebt gebruikt. Sommige routers gaan daarmee de fout in. Geef ze eens alle drie een andere omschrijving?

Overigens levert enig zoekwerk met Google als resultaat dat er veel meer mensen dit probleem hebben. Het lijkt er op dat er een bug in de Ubee modem zit, waardoor hij, ondanks dat je de poorten vrijgeeft, de poorten voor IPSEC toch blijft blokken. Hetzelfde wat jij ook ziet. Helaas is er niemand met een directe oplossing. Een complexe oplossing zou zijn om Ziggo de routerfunctionaliteit uit te laten schakelen en er een andere router achter te plaatsen.