Beantwoord

opzetten VPN verbinding en bijbehorende poorten

  • 20 juni 2017
  • 125 reacties
  • 30850 keer bekeken


Toon eerste bericht
Dit topic is gesloten. Staat je antwoord hier niet bij, stel dan je vraag in een nieuw topic.

125 Reacties

Reputatie 7
Badge +1
@Jonathan-458, @dijkmane

Ik trok inderdaad de verkeerde conclusies m.b.t. de locaties, zal beter lezen de volgende keer 🤓

Zelf heb ik even geen ideeën meer, behalve nog ééntje dan misschien.. Geen van beide WAN ip's eindigen op .255 hoop ik ?
Beste,

@Audie
Wat is de exacte foutmelding op uw PC en om welk type vpn gaat het?

@dijkmane
Ik begin langzamerhand een beetje op te raken met ideeën.

MVG
Reputatie 4
Badge +5
ja, ik ook, daarom ook hier .. 🙂

ga nog proberen om ergens een GSM modem te scoren om t pand even daaraan te hangen zodat ik echt kan bewijzen dat t aan Ziggo ligt en niet aan mijn omgeving.

heb nog wel een ISDN router en een lijn daar, maar nergens een account, anders kan ik dat proberen.
Reputatie 7
Badge +1
Ziggo WAN IP's eindigen niet op .255 ?
LAN Subnet aan beide zijden is wel verschillend ?
Reputatie 4
Badge +5
nee eindigen niet op 255, beide niet.

met mijn Ubee kan ik het subnet niet uitlezen, maar ik zie even niet waarom dat dit probleem zou veroorzaken.
ik kan via TCP wel gewoon de geforwarde poorten aldaar bereiken en FTP'en.
ook exchange active sync werkt, alleen VPN niet meer
Reputatie 7
Badge +1
met mijn Ubee kan ik het subnet niet uitlezen, maar ik zie even niet waarom dat dit probleem zou veroorzaken

Bij het opzetten van de verbinding door de client, krijgt deze een IP toegewezen door NAS.
Dit toegewezen IP moet buiten de (interne-) client-netwerkrange zijn, wil de VPN kunnen werken.

Blijft echt een vreemd verhaal hoor. Het blijft ook lastig beoordelen zonder fysiek zicht te hebben op de totale configuratie.
Reputatie 4
Badge +5
ah zo,
interne range is 192.168.* en de VPN laat ik uitdelen in 10.*
maar zover komt t niet eens, ik geraak niet "binnen"
@dijkmane
Als uw toestel hotspot via usb ondersteund dan kunt u kijken of het werkt als u deze met de Draytek via usb verbindt.

Niet alle routers of toestellen ondersteunen dit maar is het proberen waard.
Reputatie 4
Badge +5
zou wel eens kunnen lukken inderdaad..
na de vakantie, eerst even de Ziggo stress wegdrinken en laten afstromen 😀
Reputatie 7
Badge +1
.. eerst even de Ziggo stress wegdrinken ..

Proost 😉 🍷
@dijkmane
🍷 , Geniet van je vakantie
Beste, wij ondervinden hetzelfde probleem. PPTP gaat wel. maar ipsec of l2tp of openvpn gaat niet over het ziggo netwerk. Hebben hier modem/router (cisco epc3925) in bridge mode en eigen router erachter. Hebben een w16 server met vpn service lopen. pptp lukt, maar andere protocollen kan je vergeten. We hebben zelfs een pfsense opgezet op beide locaties en deze ook als router gezet. Je kan geen ipsec tunnel opbouwen tussen de twee pfsense machines. Ik ben ook tot de conclusie gekomen dat ziggo bewust specifieke poorten blokkeert. Probeer maar eens een eigen mailserver over smtp 25 te laten lopen op een ziggo lijn, kan je vergeten. Je moet al 2525 (2de smtp) instellen of met je relay hoster een specifieke andere poort afspreken. Ziggo blokt 25 af.
Ziggo zal ook niet toegeven dat 500/4500 udp (ipsec) wordt geblokkeerd. Via de particuliere helpdesk kan je het al helemaal vergeten, die weten net hoe ze hun pc aan moeten zetten. Als je al wat zegt zoals tcp/ip protocol komt er stoom uit hun oren. Helaas lopen wij nu dus ook tegen het feit aan dat de mensen die via een iphone een vpn willen opbouwen dat niet meer kunnen omdat apple het pptp protocol eruit gesloopt heeft. android gaat nog net wel.
Beste jack_kerkrade,

Raar, Log van pfsense was dus ook geen forward of failed attempts te vinden?

Zit u in voormalig Ziggo of UPC gebiedt?

MVG
Beste, vandaag heeft medewerker van Ziggo toegegeven dat ze actief port 500 en 4500 udp blocken.
Hierdoor is een ipsec vpn niet mogelijk. Blijft toch raar.

en zit in ziggo gebied, maar ja kan men zien dat men nog steeds de zaken niet recht getrokken heeft tussen ziggo en upc. Ook lekker verwarrend voor die mensen aan een servicedesk.
Beste jack_kerkrade,

Okey, zou raar zijn als dit daadwerkelijk zo zou zijn, VPN wordt juist steeds belangrijker.

Zie ook Jesse-Ziggo's eerdere post:
https://community.ziggo.nl/thuisnetwerk-101/opzetten-vpn-verbinding-en-bijbehorende-poorten-18974/index1.html#post191069

In voormalig Ziggo gebiedt werkt een door mij opgezet l2tp echter nog wel... (wassenaar)

Als de instellingen wel op een andere lijn werken, denk ik eerder dat het ergens op routing fout gaat, er zijn de laatste tijd soms wat vage routing problemen, weinig aan Ziggo toe te schuiven overigens.

Daarnaast als ze alleen port 500 & 4500 blokkeren wat was de redenatie dat OpenVPN dan niet werkte? (kan ook lokaal zijn)

@Jesse Ziggo & @Serkan Ziggo
Zouden jullie dit eens kunnen na gaan.

MVG
En nu maar hopen, dat jouw router dat wel goed afhandelt 😉
Reputatie 7
@dijkmane Als ik het hele verhaal zo lees dan is in eerste instantie de enige wijziging het vernieuwen van de clients geweest (windows 10), ik neem aan dat het hier gaat om de built-in van Windows
Wat eventueel zou kunnen werken is het volgende:

Kies de vpn connectie binnen settings

kies bij related settings voor change adapter options

rechtsklik op de vpn connectie en kies properties

kies de security tab en vink bij Allow these protocols, Microsoft CHAP Version 2 (MS-CHAP v2) AAN

succes!
Reputatie 7
Badge +1
Beste, vandaag heeft medewerker van Ziggo toegegeven dat ze actief port 500 en 4500 udp blocken.
Hierdoor is een ipsec vpn niet mogelijk. Blijft toch raar.

en zit in ziggo gebied, maar ja kan men zien dat men nog steeds de zaken niet recht getrokken heeft tussen ziggo en upc. Ook lekker verwarrend voor die mensen aan een servicedesk.


Ik (en mijn klanten) zijn dagelijks afhankelijk van ipSEC verbindingen, in zowel Ziggo als UPC gebied. Het statement van de medewerker is dus aantoonbaar onjuist. Het zal een wilde gok geweest zijn denk ik.
Reputatie 4
Badge +5
@dijkmane Als ik het hele verhaal zo lees dan is in eerste instantie de enige wijziging het vernieuwen van de clients geweest (windows 10), ik neem aan dat het hier gaat om de built-in van Windows
Wat eventueel zou kunnen werken is het volgende:

Kies de vpn connectie binnen settings

kies bij related settings voor change adapter options

rechtsklik op de vpn connectie en kies properties

kies de security tab en vink bij Allow these protocols, Microsoft CHAP Version 2 (MS-CHAP v2) AAN

succes!


zo ongeveer elke combinatie van settings al gehad en ook een W7 client of zelfs een XP client werken ook niet.

ik blijf bij mijn conclusie dat men de poorten 500 en 4500 UDP blocken, iets anders kan ik er nu niet van maken.

ga van de week proberen of t de andere kant op wel werkt ( dus thuis VPN server maken en vanaf probleemlocatie toegang proberen ).
met @jack_kerkrade eens dat niveau van eerste lijn wat dit betreft bedroevend laag is, alles is er daar op gericht de beller zsm weer "terug in zn hok" te duwen met onzin antwoorden.

maar ja, wat moet je doen om eens iemand aan de lijn te krijgen die t wel begrijpt ?
Beste Dijkmane & jack_kerkrade,

Binnen het document Netwerkneutraliteit. staat het volgende:

Om te voorkomen dat een bepaald adres gebruikt wordt voor het versturen van spam moeten particuliere klanten voor het rechtstreeks versturen van mail via SMTP (op TCP poort 25) gebruik maken van de mailservers van Ziggo. Deze beperking geldt niet voor zakelijke klanten. Gebruik van publieke webmail services is gewoon toegestaan;


Toegang naar gedeelde mappen en printers wordt vaak misbruikt om privébestanden te stelen of te beschadigen, of om computers te besmetten met schadelijke software. Om consumenten te beschermen wordt deze toegang op het Ziggo netwerk geblokkeerd. Binnen het thuisnetwerk is het delen van bestanden wel mogelijk maar niet met het internet. Het betreft de poorten (UDP en TCP 135 t/m 139 en TCP 445)


Dus alleen porten 445 en 25 zijn beperkt geblokkeerd en porten 135/139 geheel.

Test het inderdaad op een andere internet verbinding of neem de configuratie nog een keer door, houd rekening met NAT-T en Certificaten.

Ik moet er alsnog bij zeggen dat het een rare situatie betreft, zeker in dijkmane's geval omdat hij dit op WS,NAS en Router werkend heeft geprobeerd te krijgen.

Probeer anders eens iPerf over deze UDP porten werkzaam te krijgen.

MVG
Reputatie 7
Badge +5
Goedemorgen,

Laat ik beginnen met het rectificeren van een aantal onjuistheden die in dit topic worden genoemd. Natuurlijk heeft Jonathan dit ook al gedaan, maar dit bevestig ik graag. Op netwerkniveau gelden namelijk enkel de volgende restricties:

25: Geblokkeerd voor verkeer met een andere destination dan de Ziggo SMTP server (geldt alleen voor oud-Ziggo gebied)
135: Geblokkeerd voor TCP en UDP verkeer
136: Geblokkeerd voor TCP en UDP verkeer
137: Geblokkeerd voor TCP en UDP verkeer
138: Geblokkeerd voor TCP en UDP verkeer
139: Geblokkeerd voor TCP en UDP verkeer
445: Geblokkeerd voor TCP verkeer
520: Geblokkeerd voor UDP verkeer

Daarnaast is het firewall niveau in je modem ook van invloed. Standaard staat deze op low en ook dan zijn poorten 500 en 4500 niet geblokkeerd. Per setting wordt in de interface aangegeven welke restricties er gelden, het kan geen kwaad om dit te controleren.

@dijkmane, via een privéconversatie hebben we hier natuurlijk ook al het nodige contact over gehad. Heb je inmiddels het nieuwe modem ontvangen? Deze is ruim een maand geleden verzonden maar ik zie hem nog niet geactiveerd.
@Jesse Ziggo
Zou je kunnen doorgeven dat 520 niet in dat document vermeld staat.

Thx

MVG
Reputatie 4
Badge +5
Goedemorgen,

Laat ik beginnen met het rectificeren van een aantal onjuistheden die in dit topic worden genoemd. Natuurlijk heeft Jonathan dit ook al gedaan, maar dit bevestig ik graag. Op netwerkniveau gelden namelijk enkel de volgende restricties:

25: Geblokkeerd voor verkeer met een andere destination dan de Ziggo SMTP server (geldt alleen voor oud-Ziggo gebied)
135: Geblokkeerd voor TCP en UDP verkeer
136: Geblokkeerd voor TCP en UDP verkeer
137: Geblokkeerd voor TCP en UDP verkeer
138: Geblokkeerd voor TCP en UDP verkeer
139: Geblokkeerd voor TCP en UDP verkeer
445: Geblokkeerd voor TCP verkeer
520: Geblokkeerd voor UDP verkeer

Daarnaast is het firewall niveau in je modem ook van invloed. Standaard staat deze op low en ook dan zijn poorten 500 en 4500 niet geblokkeerd. Per setting wordt in de interface aangegeven welke restricties er gelden, het kan geen kwaad om dit te controleren.

@dijkmane, via een privéconversatie hebben we hier natuurlijk ook al het nodige contact over gehad. Heb je inmiddels het nieuwe modem ontvangen? Deze is ruim een maand geleden verzonden maar ik zie hem nog niet geactiveerd.


nwe modem heb ik direct dezelfde dag geactiveerd en getest.
dat werkte dus niet ( de VPN dan )
modem toen in bridge laten zetten en de draytek erachter gezet, dat is hierboven te lezen.
oude modem moet je al terugontvangen hebben.

projectje heeft even stil gelegen, volgende week ga ik vanaf de andere kant naar huis VPN proberen..
Beste Dijkmane en andere gebruikers en moderators en ziggo mensen,

Ik herken de deze situatie. Wij kampen met hetzelfde probleem. PPTP werkt, L2TP of IKEv2 werkt niet.

Ik bedoel dus.

Server (ziggo) - client (ziggo) PPTP wel
Server (ziggo) - client (andere isp) PPTP wel
Server (ziggo) - client (ziggo) l2tp niet
Server (ziggo) - client (andere isp) l2tp niet
Server (ziggo) - client (ziggo) ikev2 niet
Server (ziggo) - client (andere isp) ikev2 niet

Er wordt nu door ziggo aangegeven dat ze poort 500 en 4500 wat noodzakelijk zijn niet blocken. eerst wel nu in een keer niet.
een andere medewerker zegt : pak een mkb abo dan werkt het.
Het rare hiervan is dat ik zo een mkb kan pakken zelfs met behoud van huidig modem. Dus loopt over dezelfde infrastructuur, want ziggo komt echt geen nieuwe kabel trekken.
Dus ergens in de routeringen van ziggo wordt het mkb omgeleid naar waarschijnlijk een andere core waar IPsec wel wordt toegestaan. En als het niet bij ziggo ligt, waar dan? Liberty global?

Het is mij echt een raadsel en dat met ongeveer een 30 jaar ervaring (langer dan de leeftijd van de gemiddelde servicedeskmedewerker van Ziggo 🙂 ) in de it en ja ook met het leggen van VPN verbindingen naar diverse locaties in diverse landen.

En ja ik probeer via elke weg een oplossing te krijgen (kreeg dat net als min of meer een verwijt van ziggo). Ik wil graag een oplossing en een werkende VPN server die meer kan dan alleen PPTP.

Dank U.
met mijn Ubee kan ik het subnet niet uitlezen, maar ik zie even niet waarom dat dit probleem zou veroorzaken

Bij het opzetten van de verbinding door de client, krijgt deze een IP toegewezen door NAS.
Dit toegewezen IP moet buiten de (interne-) client-netwerkrange zijn, wil de VPN kunnen werken.

Blijft echt een vreemd verhaal hoor. Het blijft ook lastig beoordelen zonder fysiek zicht te hebben op de totale configuratie.


Wat je daar stelt klopt niet helemaal. De range wat de NAS verstrekt moet buiten de range van de aanwezige DHCP range liggen. bijv. Dhcp x.x.x.100-200 en Nas van x.x.x.201-220 Dan werkt vpn gewoon.
Er mag geen conflict optreden tussen de verstrekte IP's op hetzelfde netwerk. Ik kan best wel stellen dat deze locatie niet buiten een /24 subnet vallen. Is geen bedrijf met meer dan 255 netwerkdevices.