1
Vraag
2
Reacties
3
Oplossing
dijkmane

Level 3
  • 427Posts
  • 31Oplossingen
  • 19Likes

opzetten VPN verbinding en bijbehorende poorten

ok, probleem en ik vind dat ik minder goed geholpen ben aan de telefoon.

situatie :
kerkgebouw, Ziggo aansluiting sinds 2013.
stabiele netwerkomgeving, 5 werkstations, NAS en Win2012 server
in 2014 overgegaan van SBS2003 naar server 2012, alles netjes ingesteld, DHCP doet de Windows Server, net als de DNS, begin 2016 alle werkstations vervangen voor nieuwe met W10.
externe gebruikers met laptop bellen in met VPN en kunnen zo bij de bestanden.
dit werkt al zo sinds 2006 met de oude server en ook meteen prima met ziggo en de nieuwe server.
voor VPN heb ik poorten opengezet om met verschillende protocollen VPN te kunnen maken.
dit zijn de poorten : 47,1723,1194,500,4500,1701,443
alles werkt prima, iedereen blij.

probleem:
tot ik ergens in april klachten kreeg van gebruikers dat ze geen VPN meer konden maken, kregen foutmelding.
welke wisten ze niet meer en tijdelijk konden ze wel even naar het gebouw fietsen om zo via interne netwerk bij de bestanden te komen, er zat niet zoveel haast achter.
modem gereset, zelf geprobeerd, werkt inderdaad niet meer.
dit even vergeten en nu het grondiger aan het uitzoeken.
het lukt mij met geen mogelijkheid meer om een VPN op te zetten van buitenaf.
ook vanaf een andere locatie lukt dit niet.
intern, via het interne netwerk, lukt dit direct en prima, de Win2012 server is dus in orde.
gecontroleerd of de juiste poorten open staan op modem, dit is het geval, dit is ook niet gewijzigd sinds 2013 :


poortscan gedaan vanuit huis, ik vind alleen poort 21 en 1723 open, de rest staat dicht.
afgelopen donderdag grote stroomstoring in zwolle, 5uur lang, dus alles is uit geweest.
opzetten VPN lukt na opstarten nog steeds niet.

ik verdenk sterk het modem.

modem terug gezet naar fabrieksinstelling.
( sh*t, kon ik er op de fiets naartoe, want springt naar hele andere interne IP range.. 🙂 )
poorten weer opengezet, modem restart,
VPN lukt na opstarten nog steeds niet.

krijg aan de telefoon, na enige discussie te horen dat ik de beveiliging heb uitgezet omdat de DHCP op het modem niet aan staat (??) en Ziggo ondersteund dat niet....

dus ik braaf DHCP op de server uit gezet en op het modem DHCP aan, modem reset
VPN lukt na opstarten nog steeds niet.

ik weer terugbellen.
"wij verlenen geen ondersteuning aan openzetten poorten, u krijgt geen nieuw modem"
"wij kunnen hem in bridge zetten zodat u met uw eigen router dit wel kunt instellen"
( ik raak dan wifispots kwijt en juist in een kerk wil ik dat niet ).
op de vraag of ik van Ziggo dan zo'n router krijg werd ik naar de webshop verwezen.
gevraagd wat een nieuw modem kost, stuur maar op met de factuur erbij, "nee meneer die is bruikleen, wij verkopen die niet".

uiteindelijk roept ie ; "ga maar naar de community, daar hoort u vandaag de oplossing nog wel"

dus ik ben benieuwd
Oplossing
125 Reacties 125
Meldingen
Aan Uit
Jonathan-458

Level 16
  • 2489Posts
  • 168Oplossingen
  • 499Likes
Beste jack_kerkrade,

Okey, zou raar zijn als dit daadwerkelijk zo zou zijn, VPN wordt juist steeds belangrijker.

Zie ook Jesse-Ziggo's eerdere post:
https://community.ziggo.nl/thuisnetwerk-101/opzetten-vpn-verbinding-en-bijbehorende-poorten-18974/index1.html#post191069

In voormalig Ziggo gebiedt werkt een door mij opgezet l2tp echter nog wel... (wassenaar)

Als de instellingen wel op een andere lijn werken, denk ik eerder dat het ergens op routing fout gaat, er zijn de laatste tijd soms wat vage routing problemen, weinig aan Ziggo toe te schuiven overigens.

Daarnaast als ze alleen port 500 & 4500 blokkeren wat was de redenatie dat OpenVPN dan niet werkte? (kan ook lokaal zijn)

Jesse Ziggo & Serkan Ziggo
Zouden jullie dit eens kunnen na gaan.

MVG
Gusto

Level 7
  • 1490Posts
  • 34Oplossingen
  • 147Likes
En nu maar hopen, dat jouw router dat wel goed afhandelt 😉
Verwijderd account
Niet van toepassing
dijkmane Als ik het hele verhaal zo lees dan is in eerste instantie de enige wijziging het vernieuwen van de clients geweest (windows 10), ik neem aan dat het hier gaat om de built-in van Windows
Wat eventueel zou kunnen werken is het volgende:

Kies de vpn connectie binnen settings

kies bij related settings voor change adapter options

rechtsklik op de vpn connectie en kies properties

kies de security tab en vink bij Allow these protocols, Microsoft CHAP Version 2 (MS-CHAP v2) AAN

succes!
level4

Level 1
  • 2516Posts
  • 129Oplossingen
  • 153Likes
jack_kerkrade wrote:
Beste, vandaag heeft medewerker van Ziggo toegegeven dat ze actief port 500 en 4500 udp blocken.
Hierdoor is een ipsec vpn niet mogelijk. Blijft toch raar.

en zit in ziggo gebied, maar ja kan men zien dat men nog steeds de zaken niet recht getrokken heeft tussen ziggo en upc. Ook lekker verwarrend voor die mensen aan een servicedesk.


Ik (en mijn klanten) zijn dagelijks afhankelijk van ipSEC verbindingen, in zowel Ziggo als UPC gebied. Het statement van de medewerker is dus aantoonbaar onjuist. Het zal een wilde gok geweest zijn denk ik.
dijkmane
Topicstarter
Level 3
  • 427Posts
  • 31Oplossingen
  • 19Likes
mguzz wrote:
dijkmane Als ik het hele verhaal zo lees dan is in eerste instantie de enige wijziging het vernieuwen van de clients geweest (windows 10), ik neem aan dat het hier gaat om de built-in van Windows
Wat eventueel zou kunnen werken is het volgende:

Kies de vpn connectie binnen settings

kies bij related settings voor change adapter options

rechtsklik op de vpn connectie en kies properties

kies de security tab en vink bij Allow these protocols, Microsoft CHAP Version 2 (MS-CHAP v2) AAN

succes!


zo ongeveer elke combinatie van settings al gehad en ook een W7 client of zelfs een XP client werken ook niet.

ik blijf bij mijn conclusie dat men de poorten 500 en 4500 UDP blocken, iets anders kan ik er nu niet van maken.

ga van de week proberen of t de andere kant op wel werkt ( dus thuis VPN server maken en vanaf probleemlocatie toegang proberen ).
met jack_kerkrade eens dat niveau van eerste lijn wat dit betreft bedroevend laag is, alles is er daar op gericht de beller zsm weer "terug in zn hok" te duwen met onzin antwoorden.

maar ja, wat moet je doen om eens iemand aan de lijn te krijgen die t wel begrijpt ?
Jonathan-458

Level 16
  • 2489Posts
  • 168Oplossingen
  • 499Likes
Beste Dijkmane & jack_kerkrade,

Binnen het document Netwerkneutraliteit. staat het volgende:

Om te voorkomen dat een bepaald adres gebruikt wordt voor het versturen van spam moeten particuliere klanten voor het rechtstreeks versturen van mail via SMTP (op TCP poort 25) gebruik maken van de mailservers van Ziggo. Deze beperking geldt niet voor zakelijke klanten. Gebruik van publieke webmail services is gewoon toegestaan;


Toegang naar gedeelde mappen en printers wordt vaak misbruikt om privébestanden te stelen of te beschadigen, of om computers te besmetten met schadelijke software. Om consumenten te beschermen wordt deze toegang op het Ziggo netwerk geblokkeerd. Binnen het thuisnetwerk is het delen van bestanden wel mogelijk maar niet met het internet. Het betreft de poorten (UDP en TCP 135 t/m 139 en TCP 445)


Dus alleen porten 445 en 25 zijn beperkt geblokkeerd en porten 135/139 geheel.

Test het inderdaad op een andere internet verbinding of neem de configuratie nog een keer door, houd rekening met NAT-T en Certificaten.

Ik moet er alsnog bij zeggen dat het een rare situatie betreft, zeker in dijkmane's geval omdat hij dit op WS,NAS en Router werkend heeft geprobeerd te krijgen.

Probeer anders eens iPerf over deze UDP porten werkzaam te krijgen.

MVG
Jesse Z
Oud Community Moderator
Oud Community Moderator
  • 973Posts
  • 84Oplossingen
  • 105Likes
Goedemorgen,

Laat ik beginnen met het rectificeren van een aantal onjuistheden die in dit topic worden genoemd. Natuurlijk heeft Jonathan dit ook al gedaan, maar dit bevestig ik graag. Op netwerkniveau gelden namelijk enkel de volgende restricties:

25: Geblokkeerd voor verkeer met een andere destination dan de Ziggo SMTP server (geldt alleen voor oud-Ziggo gebied)
135: Geblokkeerd voor TCP en UDP verkeer
136: Geblokkeerd voor TCP en UDP verkeer
137: Geblokkeerd voor TCP en UDP verkeer
138: Geblokkeerd voor TCP en UDP verkeer
139: Geblokkeerd voor TCP en UDP verkeer
445: Geblokkeerd voor TCP verkeer
520: Geblokkeerd voor UDP verkeer

Daarnaast is het firewall niveau in je modem ook van invloed. Standaard staat deze op low en ook dan zijn poorten 500 en 4500 niet geblokkeerd. Per setting wordt in de interface aangegeven welke restricties er gelden, het kan geen kwaad om dit te controleren.

@dijkmane, via een privéconversatie hebben we hier natuurlijk ook al het nodige contact over gehad. Heb je inmiddels het nieuwe modem ontvangen? Deze is ruim een maand geleden verzonden maar ik zie hem nog niet geactiveerd.
Jonathan-458

Level 16
  • 2489Posts
  • 168Oplossingen
  • 499Likes
Jesse Ziggo
Zou je kunnen doorgeven dat 520 niet in dat document vermeld staat.

Thx

MVG
dijkmane
Topicstarter
Level 3
  • 427Posts
  • 31Oplossingen
  • 19Likes
Jesse Ziggo wrote:
Goedemorgen,

Laat ik beginnen met het rectificeren van een aantal onjuistheden die in dit topic worden genoemd. Natuurlijk heeft Jonathan dit ook al gedaan, maar dit bevestig ik graag. Op netwerkniveau gelden namelijk enkel de volgende restricties:

25: Geblokkeerd voor verkeer met een andere destination dan de Ziggo SMTP server (geldt alleen voor oud-Ziggo gebied)
135: Geblokkeerd voor TCP en UDP verkeer
136: Geblokkeerd voor TCP en UDP verkeer
137: Geblokkeerd voor TCP en UDP verkeer
138: Geblokkeerd voor TCP en UDP verkeer
139: Geblokkeerd voor TCP en UDP verkeer
445: Geblokkeerd voor TCP verkeer
520: Geblokkeerd voor UDP verkeer

Daarnaast is het firewall niveau in je modem ook van invloed. Standaard staat deze op low en ook dan zijn poorten 500 en 4500 niet geblokkeerd. Per setting wordt in de interface aangegeven welke restricties er gelden, het kan geen kwaad om dit te controleren.

@dijkmane, via een privéconversatie hebben we hier natuurlijk ook al het nodige contact over gehad. Heb je inmiddels het nieuwe modem ontvangen? Deze is ruim een maand geleden verzonden maar ik zie hem nog niet geactiveerd.


nwe modem heb ik direct dezelfde dag geactiveerd en getest.
dat werkte dus niet ( de VPN dan )
modem toen in bridge laten zetten en de draytek erachter gezet, dat is hierboven te lezen.
oude modem moet je al terugontvangen hebben.

projectje heeft even stil gelegen, volgende week ga ik vanaf de andere kant naar huis VPN proberen..
jack_kerkrade

Level 5
  • 111Posts
  • 1Oplossingen
  • 7Likes
Beste Dijkmane en andere gebruikers en moderators en ziggo mensen,

Ik herken de deze situatie. Wij kampen met hetzelfde probleem. PPTP werkt, L2TP of IKEv2 werkt niet.

Ik bedoel dus.

Server (ziggo) - client (ziggo) PPTP wel
Server (ziggo) - client (andere isp) PPTP wel
Server (ziggo) - client (ziggo) l2tp niet
Server (ziggo) - client (andere isp) l2tp niet
Server (ziggo) - client (ziggo) ikev2 niet
Server (ziggo) - client (andere isp) ikev2 niet

Er wordt nu door ziggo aangegeven dat ze poort 500 en 4500 wat noodzakelijk zijn niet blocken. eerst wel nu in een keer niet.
een andere medewerker zegt : pak een mkb abo dan werkt het.
Het rare hiervan is dat ik zo een mkb kan pakken zelfs met behoud van huidig modem. Dus loopt over dezelfde infrastructuur, want ziggo komt echt geen nieuwe kabel trekken.
Dus ergens in de routeringen van ziggo wordt het mkb omgeleid naar waarschijnlijk een andere core waar IPsec wel wordt toegestaan. En als het niet bij ziggo ligt, waar dan? Liberty global?

Het is mij echt een raadsel en dat met ongeveer een 30 jaar ervaring (langer dan de leeftijd van de gemiddelde servicedeskmedewerker van Ziggo 🙂 ) in de it en ja ook met het leggen van VPN verbindingen naar diverse locaties in diverse landen.

En ja ik probeer via elke weg een oplossing te krijgen (kreeg dat net als min of meer een verwijt van ziggo). Ik wil graag een oplossing en een werkende VPN server die meer kan dan alleen PPTP.

Dank U.
jack_kerkrade

Level 5
  • 111Posts
  • 1Oplossingen
  • 7Likes
level4 wrote:
dijkmane wrote:
met mijn Ubee kan ik het subnet niet uitlezen, maar ik zie even niet waarom dat dit probleem zou veroorzaken


Bij het opzetten van de verbinding door de client, krijgt deze een IP toegewezen door NAS.
Dit toegewezen IP moet buiten de (interne-) client-netwerkrange zijn, wil de VPN kunnen werken.

Blijft echt een vreemd verhaal hoor. Het blijft ook lastig beoordelen zonder fysiek zicht te hebben op de totale configuratie.


Wat je daar stelt klopt niet helemaal. De range wat de NAS verstrekt moet buiten de range van de aanwezige DHCP range liggen. bijv. Dhcp x.x.x.100-200 en Nas van x.x.x.201-220 Dan werkt vpn gewoon.
Er mag geen conflict optreden tussen de verstrekte IP's op hetzelfde netwerk. Ik kan best wel stellen dat deze locatie niet buiten een /24 subnet vallen. Is geen bedrijf met meer dan 255 netwerkdevices.
dijkmane
Topicstarter
Level 3
  • 427Posts
  • 31Oplossingen
  • 19Likes
fijn dat jack_kerkrade mijn situatie herkend !
ik snap het ook niet meer, heb wel het gevoel dat er mensen bij Ziggo meer weten, maar dit niet melden of mogen melden.

zelf ben ik al met netwerken bezig sinds 4Mbit token ring en 10base2 netwerken, meer dan 25 jaar geleden, maar deze situatie valt voor mij niet te analyseren en troubleshooten zonder de complete juiste informatie.

inmiddels moet ik dus op zoek naar andere oplossingen of zelfs een andere provider voor deze locatie.
jack_kerkrade

Level 5
  • 111Posts
  • 1Oplossingen
  • 7Likes
Er zijn hele rare dingen hier aan de hand. Ziggo zegt dat ze op wijkcentrale (switches) wel het verkeer zien. maar ik hier thuis zie niets..... Client roep naar wan ip maar er komt nix aan. Ziggo heeft netwerk issues zeker weten. Bewust of onbewust. Maar heb zo mijn vermoeden dus. Het mag niet, een goed beveiligde vpnserver. Dan kan de aivd er niet op inbreken. Op ze moeten al een "man in the middle" gaan gebruiken. Het is gewoon ziek dat een firma als ziggo zich hiervoor leent dus. Ik heb die shit vpn nodig voor zakelijke zaken, geen bommen plaatsen. De eikels.
Bert

Level 21
T.E.A.M.
  • 78294Posts
  • 5293Oplossingen
  • 23334Likes
"Dan kan de aivd er niet op inbreken."
Dream on, en soms is het gelukkig dat dit wel kan, hiermee voorkom je een hoop ellende.

En jou privacy gegevens gooien ze niet op straat, ze zijn daar zelfs niet in geïnteresseerd.
Ze hebben wel wat beters te doen.
Jonathan-458

Level 16
  • 2489Posts
  • 168Oplossingen
  • 499Likes
dijkmane & jack_kerkrade,

Jesse Ziggo was/is bezig voor jullie om het een en ander na te gaan binnen het netwerk van Ziggo toch?

Dus ik stel voor om ook daar even op te wachten, het probleem treft namelijk niet iedereen.

Als het echt nodig is overweeg tijdelijk gebruik van PPTP of maak tijdelijk gebruik van de fail-over internet voor VPN.

MVG
Gusto

Level 7
  • 1490Posts
  • 34Oplossingen
  • 147Likes
jack_kerkrade wrote:
Er zijn hele rare dingen hier aan de hand. Ziggo zegt dat ze op wijkcentrale (switches) wel het verkeer zien. maar ik hier thuis zie niets..... Client roep naar wan ip maar er komt nix aan. Ziggo heeft netwerk issues zeker weten. Bewust of onbewust. Maar heb zo mijn vermoeden dus. Het mag niet, een goed beveiligde vpnserver. Dan kan de aivd er niet op inbreken. Op ze moeten al een "man in the middle" gaan gebruiken. Het is gewoon ziek dat een firma als ziggo zich hiervoor leent dus. Ik heb die shit vpn nodig voor zakelijke zaken, geen bommen plaatsen. De eikels.


Ach, dan doe je die VPN toch gewoon over je backup-lijn. 😉
dijkmane
Topicstarter
Level 3
  • 427Posts
  • 31Oplossingen
  • 19Likes
ik begrijp niet precies wat Jonathan-458 bedoeld met ;
of maak tijdelijk gebruik van de fail-over internet voor VPN.


en in mijn situatie werkt PPTP alleen vanaf een niet ziggo client.
wie er van mijn clients wel of geen ziggo heeft weet ik niet en heb ik ook geen invloed op.
momenteel vraag ik, als workaround, maar aan mijn clients of ze hun synchronisatie even binnen het pand willen komen doen op regelmatige basis, ze wonen gelukkig allemaal dichtbij.

met een MKB aansluiting zou het wel werken is er gemeld, maar hoe dan, komen ze dan een nieuwe kabel trekken ?
Verwijderd account
Niet van toepassing
dijkmane wrote:
ik begrijp niet precies wat Jonathan-458 bedoeld met ;
of maak tijdelijk gebruik van de fail-over internet voor VPN.


en in mijn situatie werkt PPTP alleen vanaf een niet ziggo client.
wie er van mijn clients wel of geen ziggo heeft weet ik niet en heb ik ook geen invloed op.
momenteel vraag ik, als workaround, maar aan mijn clients of ze hun synchronisatie even binnen het pand willen komen doen op regelmatige basis, ze wonen gelukkig allemaal dichtbij.

met een MKB aansluiting zou het wel werken is er gemeld, maar hoe dan, komen ze dan een nieuwe kabel trekken ?

Bij een mkb abo kunje aanvullend diverse diensten bestellen zoals voip, vpn e.d..
Jonathan-458

Level 16
  • 2489Posts
  • 168Oplossingen
  • 499Likes
Beste dijkmane zelfde als wat Gusto bedoelt, extra internet lijn via xDSL welke als backup dient.

Het statement dat het met MKB pakketten wel zou werken is natuurlijk onzin, Jesse heeft dit meerdere malen bevestigd anders hadden denk ik ook meerdere netwerkbeheerders deze problemen gemeld, het lijkt echt op een incident.

Beste N.N. ik denk niet dat de kosten hiervan in verhouding staan voor ZZP'ers, kleinere ondernemers of organisaties, daarnaast zou VPN zowel client- als server-sided gewoon moeten werken. Ik ervaar zelf op meerdere locaties geen problemen met VPN, level4 geeft het zelfde aan.

MVG
level4

Level 1
  • 2516Posts
  • 129Oplossingen
  • 153Likes
Jonathan-458 wrote:
Ik ervaar zelf op meerdere locaties geen problemen met VPN, level4 geeft het zelfde aan.

MVG


Dat klopt, dit werkt nog ongewijzigd goed hier (prive/fZiggo/connectbox in bridge/eigen router + ipsec, openvpn, pptp)