MrManuzz
Gedreven Ontdekker
  • 8Reacties
  • 0Oplossingen
  • 3Likes

GRE protocol lijkt geblokkeerd - VPN - pptp

Heb al jaren dezelfde werkende setup in huis en merk dat ik vandaag geen VPN connectie vanuit het internet met mijn thuisnetwerk kan maken. De setup die ik al erg lang in gebruik heb;
Ziggo modem (Ubee, ingesteld om alle traffic naar een 'dmz host' te sturen) - DMZ host (een Ubiquiti  EdgeRouter alwaar een pptp service draait).
Op het Ziggo Ubee modem staat pptp passthrough aan. Wanneer een apparaat/VPN client vanuit het internet een VPN verbinding opzet, stuurt het modem alle traffic door naar de EdgeRouter alwaar een EdgeRouter pptp service de autorisatie verzorgt en benodigde DHCP informatie tbv mijn LAN terugstuurt naar de VPN client. Heeft jarenlang zonder problemen gewerkt. In eerste instantie heb ik gedacht dat het probleem aan de EdgeRouter moest liggen, echter als ik vanuit mijn LAN met een VPN client verbindt werkt alles net als vanouds zonder problemen.
Dan maar gaan sniffen en wat zie ik dan;
Wanneer een VPN client vanuit het internet verbinding maakt, zie ik op de EdgeRouter op poort 1723 verkeer binnenkomen. Alles lijkt goed te gaan totdat de EdgeRouter de eerste pakketten GRE protocol naar de client gaat sturen. Daarna blijft het stil vanuit de client, er komt geen GRE traffic terug.
De enige conclusie die ik kan trekken is dat ergens in het Ziggo netwerk, of in mijn modem het GRE protocol niet langer doorgelaten wordt.
Nogmaals deze setup heeft jarenlang probleemloos gewerkt. Er zijn tav de EdgeRouter geen firmware updates geweest en er zijn geen configuratie aanpassingen geweest. Zoals gezegd vanuit het LAN connecteer ik zonder problemen via pptp aan de EdgeRouter. De clients waarmee ik heb getest zijn 2 verschillende Android telefoons en een reguliere Windows 10 laptop vanuit een bedrijfsnetwerk waarvandaan pptp naar mijn thuisomgeving ook altijd heeft gewerkt. Gebruikmakend van het 4G netwerk van de mobiele provider is exact dezelfde niet werkende situatie zichtbaar.
Wie heeft de gouden tip, of kan bevestigen dat GRE nu door Ziggo geblokkeerd wordt?

15 Reacties 15
Ronihd
Super Expert
Super Expert
  • 7206Reacties
  • 266Oplossingen
  • 2138Likes

Hoi, 
Welkom op dit klanten helpen klanten forum van Ziggo.

Ik denk dat alleen een Ziggo moderator b.v @Alex er een antwoord op kan geven , vandaar even de tag en nu even wachten tot Alex dit heeft gelezen 😉 

Mariska
Community Moderator
Community Moderator
  • 4119Reacties
  • 400Oplossingen
  • 853Likes

Hey @MrManuzz

Ik moet je eerlijk zeggen dat ik niet in deze materie zit dus ik ben eens voor je rond gaan vragen en voor zover wij weten wordt Generic Routing Encapsulation verkeer bestemd voor poort 1723 niet geblokkeerd. Je merkt dit ook omdat je nog wel kortstondig verkeer via die poort ontvangt. Het is lastig zeggen wat er exact mis gaat en waarom het nu plots niet meer goed functioneert.
 

Ik lees dat je in het modem DMZ actief hebt. Dat betekent dat je dus eigenlijk het modem deels nog in router-mode gebruikt. Gezien je prosumer hardware van Ubiquity in huis hebt raad ik je aan om het modem in bridge mode te zetten. Zo regel je eenvoudig alles vanaf je eigen hardware zonder tussenkomst van nog eventuele modem instellingen. Hier lees je hoe je dit doet. 


Ik ben erg benieuwd of verkeer via poort 1723 wel doorkomt nadat je modem in bridge mode staat. Laat je het aan ons weten? 

MrManuzz
topicstarter
Gedreven Ontdekker
  • 8Reacties
  • 0Oplossingen
  • 3Likes

Beste Mariska,

Dank voor je reactie. Ik heb naar je tip over bridge modus gekeken. Het blijkt dat ik mijn modem niet zelf in bridge kan zetten en dat ik daarvoor de klantenservice nodig heb. Afhankelijk of zij dat direct kunnen uitvoeren (en eventueel weer terug kunnen zetten) zal ik kijken of het een optie is. Wanneer de omschakeling 'ergens' in de komende 24 uur plaatsvindt is het geen optie omdat ik mijn eigen mail server (en meer diensten) draai achter het modem. Wat ook jammer is -maar daar kan ik mee leven- is dat de WiFi functie van het modem dan vervalt. Hier maak ik gebruik van als ik onderhoud pleeg aan m'n eigen netwerk. M'n omgeving kan dan toch doorwerken.
Ik heb inmiddels een installatie van OpenVPN werkend dus ik mijn grootste probleem is er even niet meer. Helemaal ideaal is dat niet omdat je voor iedere client certificaten moet aanmaken en installeren. Pptp is wat dat betreft iets vriendelijker in gebruik.

Mariska
Community Moderator
Community Moderator
  • 4119Reacties
  • 400Oplossingen
  • 853Likes

@MrManuzz daar kan ik je gelukkig uitsluitsel over geven! Als we vanaf deze kant je modem in bridge mode zetten dan is dat binnen 5 min geregeld, het terugzetten in router mode gaat net zo snel. Je kunt dit dan ook het allerbeste regelen door met ons te bellen of live te chatten zodat je direct contact hebt op een moment wanneer het jou goed uitkomt. 

MrManuzz
topicstarter
Gedreven Ontdekker
  • 8Reacties
  • 0Oplossingen
  • 3Likes

Beste Mariska,

Ik heb m'n modem nog niet in bridge mode geprobeerd, maar wil jullie / Ziggo wel het volgende meegeven. Om te bepalen waar het probleem zich nu bevindt heb ik gezocht naar een manier om te bepalen of GRE doorgelaten wordt. Ik heb daartoe de volgende test uitgevoerd.


https://www.howtonetworking.com/VPN/testgre.htm

 

Direct aan mijn Ziggo modem heb ik een Windows 8 laptop aangesloten. Er is dus geen andere apparatuur in het spel. Windows firewalls gedeactiveerd en gecontroleerd of er een volledig open internetverbinding is op de laptop. Vervolgens heb ik pptpsrv.exe gestart en via een andere laptop die aan een mobiele hotspot verbonden is (netwerk van Vodafone) pptpclnt.exe gestart. Wat je ziet is dat het reguliere verkeer over port 1723 goed doorkomt. Ook hier, op het moment dat er GRE gepraat wordt gaat het mis, zie de laatste 2 regels van onderstaande output (en vergelijk dit met de output die je in de genoemde link ziet);

pptpclnt.exe <mijn_ziggo_ipadres>

Initializing WinSock...
Obtaining host information...
Successfully resolved server's host information

======================================
Enter data to send to server (between 1 and 255 chrs.), then hit enter:
-->hallo dit is een test

Successfully connected to server using TCP port 1723 (PPTP)
Sending data to server

Waiting for a reply to the data which was just sent...
Received a reply. Reply contains the following text:
---> Hello, there! This is a reply from the server.

=================================
Connectivity test to TCP Port 1723 was successful!!!
Closing down socket...
=================================

Creating a socket to test GRE protocol traffic...

WSASocket() failed: 10013

 

Ik zou het toch waarderen als jullie je netwerkconfiguratie nog eens grondig bekijken. Zoals ik al eerder zei, het heeft jarenlang gewerkt en ineens werkt het niet meer.

 



 

anoniemforum
Super Expert
Super Expert
  • 5509Reacties
  • 377Oplossingen
  • 915Likes

pptp is een oud protocol voor vpn en niet veilig meer aanbevolen is om nieuwe vpn protocol te gebruiken zoals open vpn, L2TP, IPsec of IKEv2

MrManuzz
topicstarter
Gedreven Ontdekker
  • 8Reacties
  • 0Oplossingen
  • 3Likes

Wat veilig en acceptabel is bepaalt iedereen voor zichzelf. Het juiste beveiligingsniveau kan pas bepaald worden nadat een risicoanalyse heeft plaatsgevonden en een data-eigenaar bepaalt welk risico acceptabel is en welk niet. Op basis daarvan kunnen risico mitigerende maatregelen genomen worden totdat het rest risico acceptabel is. Je kan dus niet zomaar voor iemand bepalen wat veilig is en wat niet.
Los hiervan helpt een opmerking als hierboven niet. Je hebt waarschijnlijk al gelezen dat ik tijdelijk een OpenVPN oplossing heb geimplementeerd. Waar het om gaat is dat het Ziggo netwerk naar mijn modem geen GRE mee doorlaat en dat zou ik graag opgelost zien. Als jeme daarmee kunt helpen graag.

anoniemforum
Super Expert
Super Expert
  • 5509Reacties
  • 377Oplossingen
  • 915Likes

heb je de EdgeRouter al 30 seconde van de stroom gehad?

 

https://community.ziggo.nl/t5/Tips-van-Ziggo/VPN-Thuis-een-VPN-server/ba-p/656536

0479C262-4F06-499E-9B54-486139D97C13.jpeg

MrManuzz
topicstarter
Gedreven Ontdekker
  • 8Reacties
  • 0Oplossingen
  • 3Likes

Ja ik heb de Edgerouter aan alle kanten bekeken (en gereboot) en zoals je hebt kunnen lezen a) kan ik via mijn LAN de VPN verbinding prima opzetten naar dezelfde interface op de Edgerouter. Daarmee valt de Edgerouter buiten de verdenking en b) heb je kunnen lezen dat ik de Edgerouter in zijn gehele buiten de keten heb gezet en geprobeerd heb tussen 2 laptops met het Ziggo modem er tussenin een PPTP/GRE test te doen waaruit duidelijk op te maken is dat ook tussen die componenten het mis gaat op het moment dat het GRE protocol in actie moet komen.
Ik hoop dus nog steeds op een netwerkengineer van Ziggo zelf die de moeite wil nemen om het circuit naar mijn huis even te bekijken en vast te stellen of GRE nog doorgelaten wordt op dat circuit.

anoniemforum
Super Expert
Super Expert
  • 5509Reacties
  • 377Oplossingen
  • 915Likes

weet je misschien of er kort geleden

het modem of de router een firmware update is uitgevoerd 

 

MrManuzz
topicstarter
Gedreven Ontdekker
  • 8Reacties
  • 0Oplossingen
  • 3Likes

"Nogmaals deze setup heeft jarenlang probleemloos gewerkt. Er zijn tav de EdgeRouter geen firmware updates geweest en er zijn geen configuratie aanpassingen geweest."
Het is allemaal in de tekst te lezen.

 

En beste SuperExpert (want ik zie verder geen naam), heb je ook gelezen dat ik mijn EdgeRouter uit de hele keten heb gehaald en dat het dan aantoonbaar nog steeds niet werkt? Het heeft dus geen zin om de router verder te verdenken. Wat er in of rondom het Ziggo modem gebeurt, helaas schermt Ziggo dit af dus dat zie ik niet. Vroeger was ik zelf in staat om mijn modem bv in bridge te zetten, die functionaliteit is jaren geleden al afgeschermd. Dompertje......

Het lijkt er erg op dat dit forum me niet gaat helpen. Sorry voor de mensen die met goede wil iets willen betekenen. Ik heb de hoop dat de echte experts / engineers van Ziggo meelezen, maar dat lijkt niet zo te zijn 😞

 

robinjoo19
Gedreven Raadgever
  • 536Reacties
  • 7Oplossingen
  • 141Likes


@MrManuzz  schreef:

Vroeger was ik zelf in staat om mijn modem bv in bridge te zetten, die functionaliteit is jaren geleden al afgeschermd. Dompertje......

 

 


je zegt zelf dit kleine kant tekening mensen in voormalig upc gebied kunnen nog steeds zelf hun modem in bridge mode zetten

Cecilia
Community Moderator
Community Moderator
  • 5002Reacties
  • 1099Oplossingen
  • 1481Likes

Hi @MrManuzz

We hebben de situatie nogmaals voorgelegd aan één van onze technische experts en hierbij werd het volgende aangegeven. 

Door het gebruik van een eigen Edge router is de voorkeur om het modem in bridge te zetten. Dat advies is hier eerder al gegeven, maar helaas tot op heden nog niet geprobeerd. 

Verder gebruik je NAT van het modem inclusief de wifi, omdat je graag de wifi wilt gebruiken zodra je onderhoud doet aan je eigen netwerk en de rest hier niet door wordt gehinderd. Een dubbele NAT slag (en de bijbehorende werking en configuratie) is niet iets wat aan te raden is. Een betere oplossing had een accespoint geweest voor de momenten waarop je onderhoud aan je netwerk wilt plegen. 

 

Dit is uiteraard wel allemaal klant eigen, maar nogmaals is het wel belang om in bridge mode te gaan testen want vanaf dat punt kunnen wij dan ook verder helpen zoeken 🙂 Mocht je hiervoor openstaan dan horen we dat natuurlijk graag.

 

 

MrManuzz
topicstarter
Gedreven Ontdekker
  • 8Reacties
  • 0Oplossingen
  • 3Likes

Beste Cecillia,

 

Dank voor je bericht en fijn te lezen dat er aan jullie kant nog even aandacht voor geweest is. Ik ben me er van bewust dat bridge modus technisch beter is dan de huidige setup. We gaan nu even 2 weken op vakantie en daarna zal ik met de klantenservice contact opnemen om het modem in bridge te zetten.

 

Mariska
Community Moderator
Community Moderator
  • 4119Reacties
  • 400Oplossingen
  • 853Likes

Helemaal goed! Geniet van je vakantie @MrManuzz. We laten je topic open staan en horen graag weer van je als je de tijd hebt gehad om hiermee aan de slag te gaan. 

Uitgelicht topic