1
Vraag
2
Reacties
3
Oplossing
dijkmane

Level 3
  • 427Posts
  • 31Oplossingen
  • 19Likes

opzetten VPN verbinding en bijbehorende poorten

ok, probleem en ik vind dat ik minder goed geholpen ben aan de telefoon.

situatie :
kerkgebouw, Ziggo aansluiting sinds 2013.
stabiele netwerkomgeving, 5 werkstations, NAS en Win2012 server
in 2014 overgegaan van SBS2003 naar server 2012, alles netjes ingesteld, DHCP doet de Windows Server, net als de DNS, begin 2016 alle werkstations vervangen voor nieuwe met W10.
externe gebruikers met laptop bellen in met VPN en kunnen zo bij de bestanden.
dit werkt al zo sinds 2006 met de oude server en ook meteen prima met ziggo en de nieuwe server.
voor VPN heb ik poorten opengezet om met verschillende protocollen VPN te kunnen maken.
dit zijn de poorten : 47,1723,1194,500,4500,1701,443
alles werkt prima, iedereen blij.

probleem:
tot ik ergens in april klachten kreeg van gebruikers dat ze geen VPN meer konden maken, kregen foutmelding.
welke wisten ze niet meer en tijdelijk konden ze wel even naar het gebouw fietsen om zo via interne netwerk bij de bestanden te komen, er zat niet zoveel haast achter.
modem gereset, zelf geprobeerd, werkt inderdaad niet meer.
dit even vergeten en nu het grondiger aan het uitzoeken.
het lukt mij met geen mogelijkheid meer om een VPN op te zetten van buitenaf.
ook vanaf een andere locatie lukt dit niet.
intern, via het interne netwerk, lukt dit direct en prima, de Win2012 server is dus in orde.
gecontroleerd of de juiste poorten open staan op modem, dit is het geval, dit is ook niet gewijzigd sinds 2013 :


poortscan gedaan vanuit huis, ik vind alleen poort 21 en 1723 open, de rest staat dicht.
afgelopen donderdag grote stroomstoring in zwolle, 5uur lang, dus alles is uit geweest.
opzetten VPN lukt na opstarten nog steeds niet.

ik verdenk sterk het modem.

modem terug gezet naar fabrieksinstelling.
( sh*t, kon ik er op de fiets naartoe, want springt naar hele andere interne IP range.. 🙂 )
poorten weer opengezet, modem restart,
VPN lukt na opstarten nog steeds niet.

krijg aan de telefoon, na enige discussie te horen dat ik de beveiliging heb uitgezet omdat de DHCP op het modem niet aan staat (??) en Ziggo ondersteund dat niet....

dus ik braaf DHCP op de server uit gezet en op het modem DHCP aan, modem reset
VPN lukt na opstarten nog steeds niet.

ik weer terugbellen.
"wij verlenen geen ondersteuning aan openzetten poorten, u krijgt geen nieuw modem"
"wij kunnen hem in bridge zetten zodat u met uw eigen router dit wel kunt instellen"
( ik raak dan wifispots kwijt en juist in een kerk wil ik dat niet ).
op de vraag of ik van Ziggo dan zo'n router krijg werd ik naar de webshop verwezen.
gevraagd wat een nieuw modem kost, stuur maar op met de factuur erbij, "nee meneer die is bruikleen, wij verkopen die niet".

uiteindelijk roept ie ; "ga maar naar de community, daar hoort u vandaag de oplossing nog wel"

dus ik ben benieuwd
Oplossing

Geaccepteerde oplossingen
dijkmane
Topicstarter
Level 3
  • 427Posts
  • 31Oplossingen
  • 19Likes
ok, dank voor je tips,

echter, als de firmware niet is geupdate en mijn netwerk niet is gewijzigd, waarom zou dan ineens deze wijziging nodig zijn ?

ik wacht de interventie van Jesse even af.

Bekijk in context

125 Reacties 125
Meldingen
Aan Uit
Jonathan-458

Level 16
  • 2489Posts
  • 168Oplossingen
  • 499Likes
Beste dijkmane,

Zou u kunnen checken of u bent overgezet naar IPv6?
IPv6-Test

Zo ja, neem dan contact op met Ziggo om IPv4 aan te vragen.

MVG
dijkmane
Topicstarter
Level 3
  • 427Posts
  • 31Oplossingen
  • 19Likes
nee, dit modem ondersteund nog geen IPv6
ik zit daar gewoon nog op IPv4
Jonathan-458

Level 16
  • 2489Posts
  • 168Oplossingen
  • 499Likes
Beste dijkmane,

Werken alle services welke gebruikmaken van deze porten wel lokaal?

In server logs zijn ook geen weigeringen te vinden?

IP adres is niet veranderd? (neem aan van niet)

Is de firmware van het modem bijgewerkt rond deze periode.

Probeer het eens met een eigen router.

MVG
dijkmane
Topicstarter
Level 3
  • 427Posts
  • 31Oplossingen
  • 19Likes
jazeker, als in in t pand ben en gewoon via netwerk een VPN op zet, werkt het direct.
ook als ik de VPN laat afhandelen door een Synology NAS, werkt dit prima.
op beide is dit ook terug te vinden in de logs.

zodra ik het vanuit huis of werk probeer, krijg ik geen verbinding.

wel FTP, dus het IP adres is uiteraard correct.

logs blijven leeg als ik van buiten probeer in te loggen, de poorten staan dus echt dicht.
firmware lijkt niet bijgewerkt ;


ik heb geen eigen router, waarom zou ik die gaan kopen als die van Ziggo het ook zou moeten doen en het de afgelopen 4-5 jaar prima gedaan heeft ?.
Jonathan-458

Level 16
  • 2489Posts
  • 168Oplossingen
  • 499Likes
Uhm, dan lijkt het probleem het modem.

Zou u een hard reset kunnen uitvoeren, hierbij word de firmware en config file geheel nieuw geladen.

1 minute op reset knop drukken, zou voldoende moeten zijn, Hierbij duurt het resetten langer dan normaal. (Ongeveer na 5 a 10 min is het modem weer online)

Er is geen mogelijkheid om met een eigen of die van iemand in de omgeving te testen?

MVG
dijkmane
Topicstarter
Level 3
  • 427Posts
  • 31Oplossingen
  • 19Likes
hard reset heb ik al gedaan.
en een ander modem van iemand anders, weet niet of dat werkt, kun je zomaar een modem verwisselen dan ?
Jesse Z
Oud Community Moderator
Oud Community Moderator
  • 973Posts
  • 84Oplossingen
  • 106Likes
Graag ondersteun ik je hier verder bij! Wanneer ik klantgegevens op basis van jouw Community account probeer te achterhalen kom ik uit op een ander modem.
Stuur je mij een privébericht met daarin het adres waar het om gaat? Dan duik ik er vanaf hier even verder in. 🙂
Jonathan-458

Level 16
  • 2489Posts
  • 168Oplossingen
  • 499Likes
Beste dijkmane,

Okey, dit is mogelijk, maar gaat iets meer tijd overheen doelde eigenlijk om tijdelijk uw modem te brigden en een router in uw omgeving te lenen zodat we zeker zijn dat we het bij het modem moeten zoeken.

Wacht hier nog maar even mee tot Jesse de instellingen is na gegaan.

Ik ben iets vergeten overigens, modem firewall instellingen, probeer een lager niveau en schakel blokkades voor anonieme aanvragen uit.

MVG
dijkmane
Topicstarter
Level 3
  • 427Posts
  • 31Oplossingen
  • 19Likes
ok, dank voor je tips,

echter, als de firmware niet is geupdate en mijn netwerk niet is gewijzigd, waarom zou dan ineens deze wijziging nodig zijn ?

ik wacht de interventie van Jesse even af.
Jonathan-458

Level 16
  • 2489Posts
  • 168Oplossingen
  • 499Likes
Werkelijk geen idee, het zou in elkgeval niet mogen.
dijkmane
Topicstarter
Level 3
  • 427Posts
  • 31Oplossingen
  • 19Likes
update ;

na diverse vruchteloze pogingen te hebben ondernomen, mede met behulp van Jesse, heb ik een nieuw modem opgestuurd gekregen.
een connectbox.
deze netjes geïnstalleerd, internet en telefoon werkt.
wederom de juiste poorten opengezet, te weten ;
47, 1701, 1194, 500 en 4500 open voor UDP en 1723 open voor TCP.

nog steeds niet mogelijk om een VPN op te zetten, het netwerkverkeer komt niet aan op de NAS die achter de open poorten staat.
intern, dus op het interne netwerk zelf, is het prima mogelijk om op 3 manieren een VPN op te zetten, PPTP, L2TP en OpenVPN, alles werkt, maar niet vanuit WAN..

besloten om connectbox in bridge te zetten en zelf een router aan te schaffen.

dit gedaan ( laten doen ) een er een Draytek 2120 achter gehangen.

wederom, internet en telefoon werkt prima, VPN niet.....!!

juiste poorten staan open.
met geen mogelijkheid VPN te maken.

als test 47, 1701, 1194, 500 en 4500 stuk voor stuk open gezet voor TCP en laten verwijzen naar een interne webserver, op al die poorten werkt dat prima vanuit WAN is dan die pagina te bezoeken.
maar op UDP en VPN werkt dit niet.

gegaan naar een ICT bedrijf die dit nader heeft onderzocht en daar een beetje wijzer geworden.
( ze hebben daar ADSL via KPN )
indien we daar in W10 een VPN verbinding maken en specifiek kiezen voor PPTP, dan kunnen we een VPN verbinding maken.
op de andere 2 protocollen ( L2TP en OpenVPN ) werkt het niet !
het werkt ook niet als je in de instellingen kiest voor automatisch, alleen specifiek PPTP werkt.

ik weer naar huis, proberen, nee !?
MAAR, stel ik mijn GSM in als hotspot en verbind de laptop via dat hotspot met internet en probeer ik specifiek PPTP, dan heb ik wel VPN, zelfde dus als bij het ICT bedrijf.
disconnect en weer proberen via mijn eigen Ziggo, NG.

mijn conclusie is dus dat Ziggo actief UDP verkeer op deze poorten tegenhoudt en blijkbaar niet wenst dat men VPN gebruikt.

iets anders zou ik niet kunnen bedenken.

dus Ziggo, willen jullie aub deze wijziging weer ongedaan maken en VPN verkeer op jullie eigen netwerk weer mogelijk maken ?
Jesse Z
Oud Community Moderator
Oud Community Moderator
  • 973Posts
  • 84Oplossingen
  • 106Likes
level4 of Jonathan-458

Hebben jullie wellicht nog een idee? Technisch gezien wordt dit verkeer niet geblokkeerd op ons netwerk (dit vanaf de CMTS getest) en het modem is al eens vervangen.

Aan de achterkant blijven we dit verder onderzoeken, maar dit lijkt geen configuratie-ding te zijn aan onze kant. Hier blijven we natuurlijk wel op hopen!
level4

Level 1
  • 2516Posts
  • 129Oplossingen
  • 153Likes
Jesse Ziggo wrote:
level4 of Jonathan-458

Hebben jullie wellicht nog een idee?


Een paar dingen in de basis;

1) VPN Passthrough werkt op deze modems, ongeacht de bridgemodus. ik heb diverse NAS-sen achter alle genoemde modems staan bij klanten welke ik via IPSEC VPN en/of OpenVPN benader.

2) Voor het kunnen bereiken van geforwarde diensten achter de router (de draytek, in de laatst genoemde configuratie) vanuit het eigen LAN netwerk, moet de router 'NAT Loopback' ondersteunen. Doet deze dat niet, of staat deze optie uit, dan kan een geforwarde poort alleen worden benaderd vanaf een extern adres. Beide genoemde modems hebben deze optie niet. Het bereiken van geforwarde diensten is dus niet mogelijk. Mogelijk heeft de nu-verbonden Draytek de optie wel.

3) Voor het laten werken van een portforwarding, moet er een correct gateway-adres zijn ingevuld op de endpoint (de NAS in dit verhaal). Ik neem aan dat de gateway correct is ingevuld in de netwerksettings ?

--

Los daarvan; hebben de meeste NAS-sen (synology, qnap) een firewall actief, waardoor verkeer van interne services kan worden geblokkeerd. Is dit gecontroleerd ?

Daar weer los van; In de instellingen van de VPN service kan mogelijk worden bepaald vanaf welke adressen (-of subnetten) mag worden verbonden. Is dit gecontroleerd ?

--

Ik zou zelf de scope verkleinen, en beginnen met het vaststellen of een simpele TCP portforwarding naar de NAS werkt. Bijvoorbeeld door op de NAS de webserver te activeren, en deze dan te benaderen vanaf een extern/(bijv. mobiel) netwerk. Werkt dit goed, dan zou ik eerst proberen één VPN dienst (bijv. OpenVPN, die is het simpelst) werkend te krijgen. Werkt dit ook goed, dan kan je de complexere protocollen toevoegen/proberen.
dijkmane
Topicstarter
Level 3
  • 427Posts
  • 31Oplossingen
  • 19Likes
at 1 : je vergeet dat ik van een werkende situatie kom, zomaar ineens is dit gestopt, maar volgens mij heb ik de Draytek goed staan.



at 2 : kan de optie niet vinden als iets dat aan of uit gezet kan worden, echter de succesvolle PPTP verbinding vanuit non Ziggo bewijst dat er in ieder geval iets werkt.

at 3 : dacht t wel :



firewall NAS staat uit :


vanaf waar VPN kan ik niet instellen in de NAS.

betreffende poorten geforward ( TCP ) naar interne webserver :





OpenVPN en L2TP krijg ik niet aan de gang, enkel dus PPTP vanuit non Ziggo aansluiting.
Jonathan-458

Level 16
  • 2489Posts
  • 168Oplossingen
  • 499Likes
Beste dijkmane,

Hele rare situatie, VPN Server's L2TP/IPSEC en OpenVPN werken op meerdere Ziggo locaties probleemloos, alle wel in bridge mode icm een eigen router.

Zou u Syslog kunnen activeren op uw Draytek en willen focussen op de firewall zodat u kunt zien of deze de externe aanvragen überhaupt wel detecteert.

MVG
dijkmane
Topicstarter
Level 3
  • 427Posts
  • 31Oplossingen
  • 19Likes
da's wel een goede, syslog.

zie wel iets gebeuren, nu nog begrijpen wat .. :
( hier en daar x geplaatst om werkelijke IP te verduisteren, ik haal alleen VPN gerelateerde zaken uit de brij van text.. ).
na enablen syslog diverse pogingen gedaan via diverse protocollen.

15:16:14", "Virtual Server: 94.215.135.x:54718 -> 192.168.1.2:1723 (TCP) PPTP"
15:16:46", "Local User (MAC=00-11-32-0C-BC-3B): 192.168.1.2:1723 -> 94.215.135.x:54718 (TCP) close connection"
dus na 30 sec gaat de verbinding weer dicht ?

15:19:43", "NAT GRE session 29871 time out, las time = 597508170 ..."

15:23:49", "Virtual Server: 94.215.135.x:500 -> 192.168.1.2:500 (UDP)"
15:24:26", "Virtual Server: 94.215.135.x:4500 -> 192.168.1.2:4500 (UDP)"
15:24:26", "Virtual Server: 94.215.135.x:500 -> 192.168.1.2:500 (UDP)"
15:26:39", "Virtual Server: 94.215.135.x:500 -> 192.168.1.2:500 (UDP)"

verder geen verwijzingen, ook geen succesvolle verbinding.

accesspoint op GSM aangezet, PPTP verbinding gemaakt, direct succesvol



maar wordt niets gelogd door syslog.

we zien dus dat mijn requests vanuit huis aankomen, maar komt er wel wat terug ?

tevens blijft t vreemd dat via KPN GSM er wel verbinding mogelijk is, er is verschil met hoe mijn ( en andere ) ziggo verbinding t doet.
level4

Level 1
  • 2516Posts
  • 129Oplossingen
  • 153Likes
dijkmane wrote:
accesspoint op GSM aangezet, PPTP verbinding gemaakt, direct succesvol
..
tevens blijft t vreemd dat via KPN GSM er wel verbinding mogelijk is, er is verschil met hoe mijn ( en andere ) ziggo verbinding t doet.


Je zegt dat het via een GSM/Hotspot verbinding werkt. Dat is dus feitelijk 'van buitenaf' als ik het goed begrijp. Dus eigenlijk hoe het hoort te werken..

Van binnenuit het LAN (-en of WIFI) is het logisch dat het niet werkt. (waarom zou je dat willen uberhaupt?)

Of lees/begrijp ik je laatste post verkeerd ?
dijkmane
Topicstarter
Level 3
  • 427Posts
  • 31Oplossingen
  • 19Likes
niet helemaal.
GSM/Hotspot werkt, echter enkel PPTP

van binnenuit LAN werkt ook, op alle protocollen. ( enkel om te testen of de NAS het wel goed doet, wel dus, ik verbind dan wel met het interne IP adres )

vanuit mijn huis naar deze locatie ( Ziggo -> Ziggo ) werkt VPN niet ( wel FTP en website, etc als het maar TCP is )
level4

Level 1
  • 2516Posts
  • 129Oplossingen
  • 153Likes
dijkmane wrote:
van binnenuit LAN werkt ook, op alle protocollen. ( enkel om te testen of de NAS het wel goed doet, wel dus, ik verbind dan wel met het interne IP adres )

Logisch, het is dan ook intern verkeer. Dus dat begrijp ik.

vanuit mijn huis naar deze locatie ( Ziggo -> Ziggo ) werkt VPN niet ( wel FTP en website, etc als het maar TCP is )

Dit begrijp ik nog steeds niet helemaal. Je zit dus in je interne LAN, en probeert verbinding te maken met je WAN IP, die een forwarding heeft terug naar je interne LAN (de NAS) correct ?

In dat geval kan ik me goed voorstellen dat het niet werkt. Het is ook niet logisch, waarom zou je perse willen verbinden aan een WAN IP, terwijl de NAS gewoon intern beschikbaar is.

De log meldt dat ook, in min of meer dezelfde bewoordingen:
15:16:46", "Local User (MAC=00-11-32-0C-BC-3B): 192.168.1.2:1723 -> 94.215.135.x:54718 (TCP) close connection"


VPN is voor toegang vanaf een andere locatie, geheel buiten je eigen netwerk.
Dat werkt nu, inclusief de forwarding eromheen, klaarblijkelijk. Daarmee lijkt je vraag beantwoord, of is er nu nog iets over wat niet werkt ?