Vraag

UDP poort 500 open zetten tbv VPN


Hoe zet ik udp poort 500 open? Via port forwarding lukt mij dit niet. De poort staat wel open maar laat geen verbinding door.

45 Reacties

Hoe dat moet kun je bekijken in:
https://community.ziggo.nl/thuisnetwerk-software-101/alles-over-port-forwarding-bij-ziggo-16111

Hoe test je die port van buitenaf? Werkt het binnen je LAN wel goed?
Waar is die port voor? Naar welke interne port van wat krijgt ie een Forward?

Kortom: details, graag.
Gr Han
Ik wil verbinding maken via VPN met het netwerk van mijn werkgever. De netwerkbeheerder geeft aan dat UDP 500 wordt geblokkeerd door de Connect box van Ziggo. Bij wijze van test de laptop verbonden via een 4G hotspot en dan lukt de verbinding wel.
Om met een VPN Client een connectie te kunnen maken met een externe VPN server heb je geen Port Forwarding nodig. De sessie wordt vanuit je LAN gestart en dan staat de benodigde port open voor Response.

Wat die beheerder zegt lijkt me vooralsnog flauwekul.
Er is iets anders aan de hand.

Kun je bij de log file komen van je VPN Client? Wat staat daarin?
Of zie je een foutmelding bij het maken van de connectie?
Laat maar zien.

Wat voor type VPN Connectie is het? Er zijn veel smaken.
Welke Client gebruik je?
Hoe zit je netwerk in elkaar? Hoe is de computer waarop je VPN doet aangesloten.- rechtstreeks op je ConnectBox of anders? Gebruik je een eigen Router & staat de ConnectBox in Bridge? Etc etc.

Kortom: zonder details komen we niet verder.


Gr Han
Het gaat om het inloggen op een Always Open VPN verbinding van Microsoft op een 15 inch HP Probook laptop uit 2018. Windows 10 met de laatste updates is geïnstalleerd.
Zodra de laptop is gestart en ik ben ingelogd zou ik direct op het netwerk van mijn werkgever moeten kunnen. Zoals geschreven werkt dat via 4G vlekkeloos. Ik maak verbinding via Wifi en de router (Connectie Box van Ziggo) staat niet in Bridge.

Aan een logfile kan ik niet komen. De laptop is behoorlijk afgeschermd om achter dat soort bestanden te komen.
Coen,

Ok, bedankt.
Om verder te kunnen komen wil ik graag weten wat voor Firmware je op de ConnectBox hebt.
Kijk bij Beheer>Informatie of Info. Wat zie je?
Er zijn drie mogelijkheden. Als bijlagen 3 voorbeeldplaatjes.
Plaatje 1: DS-Lite Firmware; CB heeft alleen een IPv6 address
Plaatje 2: Dual Stack Firmware; CB heeft IPv4 en IPv6 address
Plaatje 3: IPv4 Firmware; CB heeft alleen IPv4 address
Wat is het bij jou?

Als je DS-Lite hebt, dan raad ik je meteen aan vervanging door IPv4 Firmware te vragen:
www.ziggo.nl/chat
24/7 bereikbaar
Dat kan de oplossing voor je zijn.
Uit het verleden weet ik dat er bij DS-Lite problemen kunnen zijn met het doorlaten
van bepaalde typen VPN.

Ik hoor van je,
Han

Detail.
Omdat er sprake is van poort 500 maak je hoogstwaarschinlijk een IPsec VPN verbinding.
Always Open VPN verbinding van Microsoft, zegt me te weinig.
De naam suggereert dat het over openVPN gaat, maar daarbij speelt poort 500 geen rol.
De Connect Box heeft IPv4 firmware, zie foto.

Oei, dat is even vervelend. Wat je al hebt wilde ik je juist aanraden als oplossing.

Zet de Firewall op de PC waarop je VPN test eens tijdelijk uit.
Gaat het dan wel goed?
Zo nee, zet de Firewall op de ConnectBox ook uit.
Wat gebeurt er dan?

Ik hoop dat we er zo achter kunnen komen welke van de twee Firewalls
de boosdoener zou kunnen zijn.

Na de tests de Firewalls weer aan zetten.

Wat is de uitkomst?

Han
Reputatie 7
Hi Coen, welkom op onze Community! Even de basics checken hoor.

Heeft je laptop thuis een vast ip adres (ingesteld in de Connectbox)?
Kun je een screenshotje maken van de poort forwarding regels zoals je ze nu ingesteld hebt?
Hoe heb je getest of poort 500 (UDP) open is?
Badge +10
Het heet trouwens Always ON VPN van microsoft. Het forwarden van poorten bevreemdt me een beetje als je de VPN van binnen uit je eigen netwerk opzet naar je werk. Dat zou gewoon moeten werken.

Ik ben ook wel benieuwd naar de exacte foutmelding.
@efok e.a.
Een Forward is m.i inderdaad niet nodig.
Wat wel nodig kan zijn is dat bv protocol 50 wordt doorgelaten voor het Ip bij een IPsec VPN.
Dat gaat over VPN Passthrough in de Firewall.
Vandaar dat ik voorstelde een beetje met de Firewalls te spelen om te bekijken
of het probleem daarin ligt.
TS heeft hierop nog niet gereageerd.

We gaan het zien, Han

By the way: met openVPN heb je geen last van dit soort dingen.
Badge +10
By the way: met openVPN heb je geen last van dit soort dingen.

@hanh Neuh, maar OpenVPN is ook niet altijd even simpel om in te richten. Once you got it going, dan is het wel helemaal OK.

Veel bedrijven gebruiken echter L2TP/IPsec oplossingen.
Maar even reageren op alle reacties. UDP port 500 heb ik open gezet via port forwarding en daarbij de laptop een vast IP gegeven. Connect Box vervolgens opnieuw opgestart. Via port forwarding blijkt het echter niet te lukken.

Ik krijg geen exacte foutmelding, verbinding met het netwerk van mijn werkgever wordt simpelweg niet gemaakt.
Zoals al eerder gezegd is er wel verbinding mogelijk zodra ik overschakel naar een 4G verbinding. Ik kan dan werken op het netwerk van mijn bedrijf. Terugschakelen naar mijn eigen wifi zorgt ervoor dat de verbinding in stand blijft.

De firewall mag ik zelf niet aanpassen, dit is werk voor de systeembeheerders. Spelen hiermee is dan ook geen optie.

Open VPN is inderdaad makkelijk op te zetten maar binnen mijn bedrijf wordt nadrukkelijk gekozen voor IKEv2.
Als het tijdelijk uitzetten van de Firewall op de ConnectBox niet heeft geholpen, dan moeten de systeembeheerders maar eens kijken naar de Firewall op je systeem.
Natuurlijk weet ik dit niet 100%, maar dat kan naar mijn smaak een oplossing zijn.
Meer kan ik niet voor je doen.
Gr Han
op verzoek van Mark Ziggo nog een screenshot van de poortforwarding regels

Wie stelde dat vaste IP 101 in en hoe?
Ik maar me hier zorgen over.
Als dit door systeembeheer werd gedaan op de Laptop, dan is dit fout, want gevaarlijk.
De DHCP range van de ConnectBox loopt standaard, zover ik weet vanaf 10 voor 100
apparaten. Dwz dat 101 binnen die Range valt. Reken maar uit.
Check this out & verander die Range naar 80 apparaten als systembeheer 101 op je laptop instelde. Dan weet je zeker dat er nooit iets mis kan gaan met 101.

Gr Han
Reputatie 7
Het is mij nog niet duidelijk hoe je hebt getest of poort 500 UDP open is of niet. Ik zou dit tooltje adviseren: http://www.pcwintech.com/simple-port-tester
Er moet namelijk wel een service luisteren naar die poort om hem als 'open' te kunnen detecteren.

(En natuurlijk driedubbel checken of de laptop wel het juiste IP-adres heeft x.x.x.101)
Ik kan/mag geen software installeren op de werk laptop en gebruik privé een MacBook.
Is er voor de Mac een dergelijk stukje software?
Dat tooltje heeft alleen zin op een systeem met een vast Ip waar Forwards voor zijn ingesteld. Dat zou dus de Laptop moeten zijn.
Gr Han
Er bestaat vast een online tool?
Reputatie 7
Er bestaat vast een online tool?
Zeker wel, maar dan moet je op de Mac/laptop/PC/e.d. wel een server hebben draaien die naar de desbetreffende poort aan het luisteren is en ik weet niet hoe handig je daarmee bent.
Als er niets aan het luisteren is zal de poort 'dicht' zijn. Daarom dat tooltje, die luistert actief naar de poort die jij getest wilt hebben.

Voor Mac is er ook een versie zie ik (yay Google): http://www.pcwintech.com/simple-port-tester-mac-edition
@coen6222
By the way. Bij teruglezen zag ik geen expliciete melding van je wat de uitkomst was na het tijdelijk uitzetten van de Firewall op de ConnectBox.
Dat hielp niets?

Gr Han
Mark Ziggo: Ik ben redelijk handig met pc's, het draaien van een server is niet zo'n heel groot probleem verwacht ik.
Ik zal de Mac variant downloaden zodra ik daar de tijd voor heb.

Hanh: de firewall op de connect box heb ik nog niet uitgezet, zal dat vandaag eens doen.
UDP 500 getest, ik krijg bericht dat de poort gesloten is, terwijl ik deze wel geforward heb.
IP van laptop klopt.
Firewall op de Connect Box uitgezet en nog steeds geen toegang. Wordt de poort vanuit Ziggo geblokkeerd??
de firewall op de connect box heb ik nog niet uitgezet, zal dat vandaag eens doen.
Ik vroeg dat eerder te testen omdat ik het vermoeden heb dat de so-called IPsec Passthrough niet ok kan zijn in de Firewall van de ConnectBox. Dat gaat over protocol forwarding en niet over port forwarding voor UDP of TCP. Is nogal technisch allemaal.
Bijgaand de instelling daarvan in mijn Router.
In de ConnectBox kun je dit niet instellen, maar dat zou altijd aan moeten staan.

Ik hoop dat ik goed zit, maar dat levert dan nog geen oplossing op met de ConnectBox want die Firewall moet weer aan. Uit laten is te link.
(Er is dan nog wel truuk met DMZ-host waar we naar kunnen kijken, maar dat is ook wat tricky).
Er zit dan verder eigenlijk niets anders op dan de ConnectBox in Bridge te zetten en een eigen Router erachter te plaatsen die dit probleem niet heeft.

We zullen zien. Laat asap weten wat je bevindingen zijn.

Gr Han

Reageer