Beantwoord

Connect Box - SSL-VPN (SonicWall NetExtender) werkt niet


@Mark Ziggo

ik heb hier (voormalig Ziggo gebied) sinds afgelopen maandag een nieuw modem (ConnectBox) en kan sindsdien niet meer via VPN verbinden met mijn werk. Voorheen had ik een Ubee modem, zonder wifi of router en werkte alles prima via mijn eigen router.
Vanmorgen de Wifispots uit laten zetten op de ConnectBox (wilde ik toch al doen) maar dit heeft het VPN probleem niet opgelost. Wifispots staan dus wel uit nu.

Specifiek heb ik een probleem met VPN verbindingen over de ipsec en L2tp protocollen. PPTP werkt wel nog gewoon, maar dat wordt door mijn kantoor niet meer ondersteund.
Ik ben voor de verbinding met kantoor afhankelijk van deze VPN en kan dus simpelweg niet meer thuiswerken door deze problemen.

Heb al geprobeerd de firewall helemaal uit te zetten in de ConnectBox (opties Low en High heb ik niet gevonden) maar dat helpt niet.
Ook heb ik mijn eigen router als DMZ-host ingesteld en geprobeerd via mijn eigen router te verbinden, maar ook dat werkt niet.

Wat is hier de oplossing?

Mvg Mollema85
icon

Best beantwoord door Mark Ziggo 23 april 2018, 12:26

Jonathan-458 schreef:

Jammer dat de betreffende Ziggo medewerker ook geen verdere toelichting gaf. @Mark Ziggo indien mogelijk zou je hiervan iets kunnen delen?


Ik heb de desbetreffende collega om meer uitleg gevraagd. Er zat een slechte connectie (brak, traag of capaciteitsprobleem) in de route van het verkeer tussen thuis en werk (buiten ons netwerk). Door het modem om te schakelen naar DS-Lite loopt het verkeer over een andere route en omzeilen we het probleem.

Bekijk origineel

18 Reacties

Reputatie 7
Badge +31
@Mollema85
Zie je hier een IPv6 adres? http://ipv6-test.com onder IPv6 connectivity
@Be rt bedankt voor je reactie.
Nee, ik heb gewoon nog een IPv4 adres. Dus daar kan het helaas niet aan liggen.

Reputatie 7
Badge +31
@Mollema85 Dan wordt het even wachten tot hier iemand voorbij komt die meer thuis is in het VPN en de Connect box.
Ik heb geen van beiden in gebruik en kan ik er weinig zinnigs over zeggen.
Reputatie 6
Hoi @Mollema85, welkom op onze Community! Balen dat je met je nieuwe modem niet direct de VPN verbinding aan de praat hebt kunnen krijgen.
Omdat jij een Connect Box hebt (en geen Ubee EVW321B) heb ik je reactie even verplaatst naar een nieuw topic, jij ervaart een ander probleem.

Ik heb hier onlangs een aantal tips voor opgeschreven in het topic Verbinding maken met een VPN-server. Had je deze wellicht al gevonden?

Vraag in ieder geval na welke poorten er worden gebruikt in de verbinding naar je werk en forward deze in de Connect Box naar je eigen PC.
Wellicht staat UPnP uit. Dan kan het ook zomaar opgelost zijn door UPnP aan te zetten, maar dat is een minder veilige oplossing dan handmatig de juiste poorten te forwarden.

Succes en laat ons weten of het is gelukt!
@Mark Ziggo
Bedankt voor je reactie en het aanmaken van een nieuw topic.
Je post m.b.t. de VPN-verbindingen heb ik bekeken, maar daar kom ik helaas niet verder mee.
UPNP staat al aan. Port-forwarding heb ik geprobeerd, maar heeft geen effect. Het gaat om een VPN over SSL (poort 443). In eerste instantie dacht ik trouwens dat het om VPN op IPSec/L2TP ging, maar dat is dus niet juist heb ik nu begrepen van onze IT-afdeling.

Ik zal de situatie wat verder verduidelijken om misschien nog gerichter tot een oplossing te komen.
Wat is het probleem?
VPN verbinding met kantoor wordt opgezet, maar zodra ik data over de lijn probeer te halen verbreekt deze. DNS van kantoor is dan ook niet meer benaderbaar en daardoor zijn ook netwerkschijven verdwenen. Her-verbinden van de client werkt wel, maar daarna herhaald zich het bovenstaande.
Laptop is rechtstreeks via LAN-kabel met Connect Box verbonden, dus niet via WiFi. WiFi is op de Connect Box uitgeschakeld.
Sinds wanneer speelt het probleem?
Sinds ik het nieuwe Ziggo modem geïnstalleerd heb (Connect Box). Voorheen had ik een UBEE modem zonder WiFi, maar het router (Apple Airport Extreme) wat ik daarmee gebruikte wordt niet meer ondersteund door mijn werkgever. Dat router gebruik ik nu als WiFi router (met mac-filter en IP-toewijzing) met een separaat netwerk voor alleen draadloze apparaten en deze is geconfigureerd als DMZ-host in de Connect Box. Het router in het Ziggo modem en het 2e router werken in een compleet verschillende IP-range. Laptop van het werk is niet via dit 2e router verbonden maar rechtstreeks met de Connect Box, dus er is vanuit de laptop met de VPN gezien geen sprake van een dubbele NAT.
Welk type VPN wordt er gebruikt?
SSL VPN van SonicWall over poort 443
Welke VPN-cliënt wordt er gebruikt?
SonicWall NetExtender
Is er ook sprake van een foutmelding (en welke)?
Foutmeldingen zijn mij niet bekend. Heb de vraag bij onze IT-afdeling neergelegd en die gaan de logs nog even nalopen. Op het eerste oog lijkt de verbinding aan de client-zijde verbroken te worden. Volgt zodra beschikbaar.
Heb je al contact gehad met de beheerder van de server en wat geeft deze aan?
Die geeft aan dat het overal probleemloos werkt (ook bij andere Ziggo klanten) en dat ik de enige ben met deze klachten.
Andere relevante info?
- Andere pc van werkgever aangesloten op Connect Box en geprobeerd VPN op te zetten, zelfde problemen.
- Mijn laptop bij een vriend aan zijn Ziggo verbinding gehangen (andere woonplaats), werkt probleemloos. Wel heeft hij een ander type modem staan (UBEE EVW3200). Dat modem heeft wel veel meer instelmogelijkheden dan de Connect Box, zoals bijvoorbeeld ‘VPN-passthrough’ opties. Ook is hier geen 2e router aangesloten in DMZ.
- Een collega in Amsterdam met Ziggo aansluiting heeft net als ik een Connect Box maar ervaart met dezelfde client geen problemen.
- Alle andere internet-gebonden applicaties (verschillende domotica) en andere VPN-verbindingen (PPTP en TLS) werken probleemloos, zelfs via het 2e router voor WiFi (en dus dubbele NAT).

Ik heb alle opties en varianten die ik ken inmiddels nagelopen, maar ik zie niet waar de problemen zouden kunnen ontstaan.

Heeft iemand een idee waar dit aan kan liggen?
Alvast bedankt!
Reputatie 6
Bedankt voor de uitgebreide omschrijving! Wellicht kan @Jonathan-458 of @level4 hier ook een blik op werpen?

Als eerst doe ik een paar aannames, klopt dit?:
- Je laptop waarmee je de VPN-verbinding maakt heeft een vast IP adres (ingesteld in de Connect Box)
- Poort 443 is geforward naar dat IP adres (in de Connect Box)

Ik vraag mij af waarom de Airport Extreme niet meer ondersteund wordt, is daar een specifieke reden voor? Je vorige Ubee modem had geen router (laat staan wifi) dus de VPN werd altijd door de Airport Extreme geregeld en ik vraag me af waarom het via die router niet meer zou werken. Wellicht wijst dat ons in de juiste richting van de oorzaak.

Ik ben ook benieuwd wat er gebeurt als je de DMZ-host verwijdert uit de configuratie van de Connect Box.

De VPN-opties die in de Ubee EVW3200 staan worden in de Connect Box niet weergegeven, maar deze worden wel ondersteund en staan altijd aan.
Op grond van klachten die ik langs zag komen, het volgende.

De Combi DMZ-host, Port Forwards, UPnP
kan problemen geven op de ConnectBox.
Noem het gerust een vage indruk van mij, want dat is het.

Mogelijke tests om er achter te komen of het hieraan ligt ivm het VPN-probleem.
Test 1
DMZ-host weglaten (volgt een suggestie van Mark)
UPnP uit en Port Forward proberen naar vast Ip van Laptop OF
UPnP aan en helemaal geen Port Forwards (vast Ip Laptop niet nodig, maar is niet verboden)
Test 2
DMZ-host instellen en dan idem:
UPnP uit en Port Forward naar vast Ip Laptop OF
UPnP aan en helemaal geen Port Forwards (vast Ip Laptop niet nodig, maar is niet verboden)

Wat levert dit op?
NB het kan zijn dat een Reboot van de ConnectBox nodig is na wijziging
van dit soort instellingen. Mocht de ConnectBox dit zelf niet melden,
dan adviseer ik je dit bij de tests toch maar te doen.

Bottom line/shot in the dark. Wat gebeurt er als je de Firewall van de ConnectBox
tijdelijk uit zet. Kun je die instellen op LOW (oid) ipv waar ie nu op staat?
Kortom: Helpt een lagere Firewall instelling?

Gr Han
Bedankt voor de reacties!
Zal even ingaan op de gestelde vragen.

@Mark Ziggo
Je aannames kloppen. Laptop heeft een vast IP-adres ingesteld in de Connect Box. Poort 443 heb ik zowel geforward als niet geforward geprobeerd. Hierin is geen verschil te merken.

Ik heb gisteravond nog getest of het verwijderen van de DMZ-host effect heeft. Dit levert geen verbetering op. UPNP uitzetten heb ik nog niet geprobeerd.

V.w.b. de Apple Airport Extreme deze heeft een bekend probleem met de Sonicwall VPN door iets in de afhandeling van de ‘TCP three-way handshake for the SSL connection’. Aan de Sonicwall kant is hier een firmware update voor uitgebracht, maar doordat de firmware van de Airport Extreme niet meer bijgewerkt wordt bestaat dit probleem nog steeds. Mijn werkgever wil hier geen ondersteuning meer voor bieden.
De VPN heeft het via de Airport Extreme nooit stabiel gedaan. Voorheen prikte ik mijn werk-laptop gewoon rechtstreeks in het UBEE modem en kreeg dus een publiek IP-adres, maar aangezien er dan helemaal geen firewall meer aanwezig is leek me dit niet de best-practice en daarom heb ik een nieuw modem met router bij Ziggo aangevraagd. De SSL VPN is nog niet lang (2 maanden) in gebruik op kantoor, maar vervangt nu helaas een PPTP VPN die niet veilig meer gevonden wordt maar wel altijd probleemloos gewerkt heeft.
Zoals gezegd werkt de SSL VPN verder prima bij andere Ziggo aansluitingen en ook via andere providers en zelfs bijvoorbeeld vanuit het netwerk van de Hogeschool Arnhem Nijmegen… Alleen via mijn Connect Box werkt het niet.

@hanh
De enige optie in de voorgestelde tests die ik nog niet geprobeerd heb ik het uitzetten van UPNP. Dat kan ik nog eens proberen. DMZ-host weghalen of laten staan i.c.m. wel of geen port-forwarding heb ik in alle varianten al geprobeerd en dat levert niets op.

In de Connect Box die ik heb staan kan ik de Firewall alleen helemaal uitzetten. Dat heb ik ook al geprobeerd en ook dat levert geen verbetering op helaas.


Nog even een aanvulling op de post van gisteren:
De log-file van de VPN-server geeft verder geen vermelding van fouten in mijn verbinding. Ik wordt verbonden en uiteindelijke (veel later dan dat de verbinding aan de clientzijde al niets meer doet) uitgelogd en opnieuw verbonden, waarschijnlijk door een time-out.
Het lijkt er zeer sterk op dat er wel verkeer vanuit de VPN-server vertrekt, maar dat dit niet bij de client op mijn laptop aankomt.
@Mollema85
Ok. Je begrijpt waar ik heen wilde. Dat is prettig.
Wat ik opschreef is wat It-logica en geen eigen ervaring.
Ik las dat je de meeste dingen zelf al probeerde/uitsloot.
Dat is goed. Probeer die ene inderdaad ook nog maar ff. Je weet maar nooit.

Als dit ook niks oplevert dan ????????????????? van mijn kant.

Wat kun je dan nog doen?
- gezeik: je hebt een maatje met een ConnectBox waar het wel werkt;
wat is het precieze verschil tussen jou en hem qua instellingen?
- een andere ConnectBox proberen; Mark zal je daar ongetwijfeld mee helpen

Gr Han
Reputatie 6
Badge +16
Beste @Mollema85,

Ik ken dit momenteel eigenlijk alleen als IPv6 DS-Lite gebruikt wordt, maar dat is niet zo in uw geval zo te zien.

Welke Connectbox model heeft u? Compal / Arris HW versie?

Ik zou het probeer met het modem in bridge modus zodat alleen Internet door komt en zaken als routing/firewall/DNS en overige zaken niets beïnvloeden.
(alleen PC port 1 aansluiten, reboot mogelijk nodig)
zorg wel voor actieve bescherming op PC

Het zou ook een WAN sided IP conflict kunnen zijn maar dan zou uw Extern IP in de zelfde reeks moeten liggen als wat uw werkgever gebruikt.

MVG
Reputatie 6
Jonathan-458 schreef:

Welke Connectbox model heeft u? Compal / Arris HW versie?


Compal

Jonathan-458 schreef:

Ik zou het probeer met het modem in bridge modus zodat alleen Internet door komt en zaken als routing/firewall/DNS en overige zaken niets beïnvloeden.


Ik zet je modem graag even in bridge om dit te proberen @Mollema85

Daarnaast zou je ook nog een keer de fabrieksinstellingen van de Connectbox kunnen herstellen en daarmee testen. Als het in die configuratie (met- of zonder port forwarding) wel werkt moet het toch iets met de configuratie van/voor de tweede router zijn.
@Mark Ziggo
@Jonathan-458
Hartelijk dank voor de reacties.

Het modem in bridge modus zetten heb ik inderdaad ook overwogen, maar dat zou betekenen dat ik terug bij af ben en weer zit met een router wat niet ondersteund wordt. Dit doe ik dan ook liever niet.

Ik heb wel goed nieuws; het probleem is inmiddels opgelost!
Gisteravond heb ik een bel-afspraak gehad met een technische dienst medewerker van Ziggo die op afstand met me meegekeken heeft.
De conclusie hiervan is dat het modem nu in IPv6 DS Lite gezet is en dat daarmee de VPN-verbinding wel stabiel te gebruiken is. De VPN loopt daarbij overigens wel over IPv4, want het kantoor heeft nog geen IPv6.
Technisch begrijp ik dit overigens nog niet helemaal waarom het via DS Lite wel werkt en via mijn eigen IPv4 adres niet. Misschien dat iemand hier nog een toelichting kan geven?
Het belangrijkste is dat het nu weer werkt en ik weer vanuit huis kan werken!

Bedankt allemaal voor het meedenken naar een oplossing.
Topic mag gesloten worden wat mij betreft.

Mvg
Reputatie 6
Badge +16
@Mollema85
Bridge zonder router was puur even voor testen.

Apart dat IPv4 juist een probleem oplevert en IPv6 DS-Lite niet, meestal is het anders om ivm shared IPv4 adres. ik hoop dat het probleemloos voor u blijft werken.

Jammer dat de betreffende Ziggo medewerker ook geen verdere toelichting gaf. @Mark Ziggo indien mogelijk zou je hiervan iets kunnen delen?

Hebben ze ook een andere range IPv4 adresssen geprobeert?

MVG
@Jonathan-458 @Mark Ziggo @Mollema85

Net als Jonathan vind ik dit opmerkelijk, want a-typisch & zou ik daar meer
over willen weten. Het is wel fijn dat het nu werkt!

Rule of Thumb op dit Forum is immers:
Heb je een ConnectBox en een probleem met VPN?
Dan zal de ConnectBox wel in IPv6 DS-Lite Mode staan.
Laten omzetten naar IPv4 Mode & klaar is kees.
Er zijn voldoende bewijzen dat dit een oplossing kan zijn
voor een TS.
Nadeel van een Rule of Thumb is dat details achterwege blijven &
inzicht in het precieze waarom onder water blijft.
Maakt niet uit, als de geadviseerde oplossing maar werkt (in de meeste gevallen).

Dat de VPN van Mollema juist goed werkt in IPv6 DS-Lite mode ipv in IPv4 mode
levert van mijn kant de volgende twee observaties op.

--- er is geen Port Forward nodig voor de VPN-Client
Zo dit wel het geval was dan zou het niet kunnen werken.
DS-Lite ondersteunt nl geen IPv4 Port Forwards.

M.i is er trouwens nooit een Port Forward nodig voor een VPN-Client van een Remote Server.
De Client initieert het data-verkeer over de port (of ports) die nodig is (zijn).
Die staan dus per definitie open voor Responses vanuit de Server- de Router onthoudt dit.
Een NAT waarlangs het verkeer gaat, moet natuurlijk wel perfekt werken!
NB een potentieel probleem is dat een andere dienst in je network via een Forward al luistert naar een externe port die nodg is voor VPN- bij SSL-VPN 443.

Voor de volledigheid. Dit alles ligt uiteraard anders bij een eigen Lokale VPN-Server
die open moet staan voor access vanuit de buitenwereld.
Voor remote access zullen de juiste poorten een Forward moeten krijgen
naar het vaste interne Ip van de VPN Server.
Misschien dat daar het misverstand vandaan komt dat er voor een VPN-Client
ook Port Forwards nodig zouden zijn.

-- een speculatie over de oorzaak
Dat het in IPv4 mode niet werkt is wonderlijk.
Zou er iets niet helemaal lekker zijn met de NAT van deze firmware?

Een probleem met VPN kan ook aan een Bug in de Firewall liggen.
Er is getest of dit het geval was.
Met Firewall uit werkte het ook niet in IPv4 mode.

Ik geloof overigens niet dat SSL-VPN speciale eisen stelt aan de Firewall.
Dat is bij andere typen VPN wel het geval. Er moeten pakketjes
van een specifiek Protocol (dit gaat niet over ports!) worden doorgelaten.
Daarvoor is so-called VPN-Passthrough nodig. Bij veel Routers kun je dit aan of uitzetten.
De ConnectBox heeft die feature, maar die staat altijd aan.

Gr Han

Noot. Hoewel behoorlijk IT-involved, vind ik VPN lastige materie.
Zou mezelf beslist geen expert willen noemen op dit gebied.
Het is dus mogelijk dat ik iets heel stoms heb beweerd. Graag laten weten.
Reputatie 6
Jonathan-458 schreef:

Jammer dat de betreffende Ziggo medewerker ook geen verdere toelichting gaf. @Mark Ziggo indien mogelijk zou je hiervan iets kunnen delen?


Ik heb de desbetreffende collega om meer uitleg gevraagd. Er zat een slechte connectie (brak, traag of capaciteitsprobleem) in de route van het verkeer tussen thuis en werk (buiten ons netwerk). Door het modem om te schakelen naar DS-Lite loopt het verkeer over een andere route en omzeilen we het probleem.
@Mark Ziggo
Interessant blijft natuurlijk wel, dat een probleem met SSL-VPN icm de ConnectBox
niet opgelost hoeft te worden door de ConnectBox in IPv4 mode te zetten,
zoals hier voor een VPN-probleem op de ConnectBox met redelijk succes wordt geadviseerd.
Meestal zonder te weten welk type VPN wordt gebruikt.
Dit zou m.i iets kunnen zijn voor je loofwaardige initiatief om de voorlichting
over VPN eens stevig ter hand te nemen.
Het blijft zo te zien wel lastige stuff om over voor te lichten. Niet in het minst omdat het aantal varianten/situaties groot is.
Gr Han
Reputatie 6
@hanh, het blijft uitzoekwerk en we zien veel individuele oorzaken.

De reden dat het switchen naar IPv4 werkt kan hetzelfde zijn als in dezen, namelijk dat het verkeer een andere route neemt (wat bij een Full-DS profiel weer anders werkt). Deze switch, zonder een troubleshoot, is een botte bijl om gewoon maar te proberen. Het kan immers weinig kwaad en lost het probleem misschien snel op.

Omdat er zoveel uitzonderingen zijn vind ik het moeilijk om dat in één overzichtelijk en makkelijk leesbaar topic samen te vatten. Daarom gekozen voor dit format: Algemene info over VPN met verschillende doorverwijzingen en uitnodiging om elk probleem individueel te behandelen.
@Mark Ziggo
Kun je PM voor mij tijdelijk aanzetten?
Gr Han

Reageer