Telemach in VPN, ki ga ne uspem spravit skupaj

igi

Guru
13. okt 2007
5.305
953
113
Celje
Obišči stran
Sem naročnik Telemacha preko kabelskega omrežja. Imam njihov ruter Cisco epc3925. In včeraj sem cel dan zabil s tem, da bi uspel postaviti en klinčev VPN. Uporabljal bi ga za občasni dostop do datotek na lokalnem omrežju.

Ideja je bila L2TP/IPsec. Sam ruter tega ne omogoča, zato sem to najprej želel narediti kar na Synology NASu. Iphone in Ipad se povežeta brez težav. WIN računalnik pa nikakor. Tudi nastavitev registra ni pomagala.

No potem pa sem iz omare izbrskal še enega Mikrotika. PPTP deluje brez težav, L2TP pa nikakor. Kot da omrežje/ruter nebi skozi spustilo IPseca.

Telemach suport pravi, da nič ne blokirajo.

A je kakšna znana težava v tej smeri? Če ne bo druge ideje bom poskusil dobiti od ponudnika samo modem in bom pač gor obesil en svoj ruter.

Hvala
 

XSIDE

01101010
22. jul 2007
4.397
482
83
::1/128
Citat:
Uporabnik igi pravi:
Sem naročnik Telemacha preko kabelskega omrežja. Imam njihov ruter Cisco epc3925. In včeraj sem cel dan zabil s tem, da bi uspel postaviti en klinčev VPN. Uporabljal bi ga za občasni dostop do datotek na lokalnem omrežju.

Ideja je bila L2TP/IPsec. Sam ruter tega ne omogoča, zato sem to najprej želel narediti kar na Synology NASu. Iphone in Ipad se povežeta brez težav. WIN računalnik pa nikakor. Tudi nastavitev registra ni pomagala.

No potem pa sem iz omare izbrskal še enega Mikrotika. PPTP deluje brez težav, L2TP pa nikakor. Kot da omrežje/ruter nebi skozi spustilo IPseca.

Telemach suport pravi, da nič ne blokirajo.

A je kakšna znana težava v tej smeri? Če ne bo druge ideje bom poskusil dobiti od ponudnika samo modem in bom pač gor obesil en svoj ruter.

Hvala

PPTP bi se jaz izogibal iz varnostnih razlogov.

IPSec zna bit problematičen pri uporabi čez NAT, saj v osnovi ESP vrjetno ne bo šel čez NAPT pri odjemlcu, pa tudi pri port fowardingu na svoji strani moraš bit pazljiv, ker ga je treba nastavit tudi za ESP poleg UDP 500, ki se uporablja za ISAKMP. Če hočeš IPSec uporabljat čez NAT (vrjetno boš imel odjemalca pri oddaljenem dostopu večinoma za NAPT in ne na javnem IPju), moraš imet pravilno skonfiuriran NAT-Traversal in forwardiran tudi UDP 4500, ali pa uporabljat IPSec over UDP, kjer se ESP vedno enkapsulira v UDP datagram.

Zdaj, če ti je v prvem primeru iz iPhone in iPada zadeva delovala tudi od zunaj, dvomim, da je problem v tem, da bi operater kaj blokiral. Bo prej treba preverit konfiguracijo klienta.

Sicer pa je za oddaljen dostop najbolj primeren kak SSL VPN, ker imaš največ šans, da bo zadeva delovala iz katerega koli omrežja. Sam uporabljam kar OpenVPN prek TCP porta 443. Server laufam na pfSense routerju, od Telemacha pa imam samo modem (EPC3212).

Če Mikrotik ni prestar, bi ga jaz v vsakem primeru raje uporabil za router in od Telemacha vzameš samo mdoem, pa še VPN boš potem lažje skonfiguriral na Mikrotiku.
 

igi

Guru
13. okt 2007
5.305
953
113
Celje
Obišči stran
Na Telemachovem ruterju sem forwardiral 1701, 500 in 4500. Sem sicer ga za test dal še v DMZ pa ni bilo razlike. Na ruterju je opcija IPSec Passthrough in imam na enable. Druga pa tam ne morem nič nastavljati.

Mikrotik (RB751) je za glavni ruter prestar. Sem ga sicer poflešal na zadnjo verzijo, vendar to ni to.

To da dela Iphone, WIN računalnik pa ne mi sicer ni jasno, vendar sem dejansko poskusil vse kar mi je padlo na pamet.

Najbolj elegantno bi mi trenutno bilo, da na NASu (Synology DS216) dvignem VPN. PPTP ne želim. Ostane mi L2TP (ki ne deluje) in pa OpenVPN. Tega še lahko poskusim, vendar sem se ga izogibal ker moram imeti dodatne aplikacije. Kaj pa uporabljaš?

Načeloma pa ja, najbolje bi bilo en svoj ruter dodati. Ampak ta dostop uporabljam zelo redko in še to bo bolj kot ne za tale NAS. Konec koncev bi podatke lahko tudi v kak oblak selil, samo...
 

XSIDE

01101010
22. jul 2007
4.397
482
83
::1/128
Citat:
Uporabnik igi pravi:
Na Telemachovem ruterju sem forwardiral 1701, 500 in 4500. Sem sicer ga za test dal še v DMZ pa ni bilo razlike. Na ruterju je opcija IPSec Passthrough in imam na enable. Druga pa tam ne morem nič nastavljati.

Mikrotik (RB751) je za glavni ruter prestar. Sem ga sicer poflešal na zadnjo verzijo, vendar to ni to.

To da dela Iphone, WIN računalnik pa ne mi sicer ni jasno, vendar sem dejansko poskusil vse kar mi je padlo na pamet.

Najbolj elegantno bi mi trenutno bilo, da na NASu (Synology DS216) dvignem VPN. PPTP ne želim. Ostane mi L2TP (ki ne deluje) in pa OpenVPN. Tega še lahko poskusim, vendar sem se ga izogibal ker moram imeti dodatne aplikacije. Kaj pa uporabljaš?

Načeloma pa ja, najbolje bi bilo en svoj ruter dodati. Ampak ta dostop uporabljam zelo redko in še to bo bolj kot ne za tale NAS. Konec koncev bi podatke lahko tudi v kak oblak selil, samo...

Na Windowsih je treba po mojem NAT-Traversal (ki deluje preko UDP 4500) omogočit v registru, razen če so že kaj spremenili default nastavitve.

Za OpenVPN uporabljam OpenVPN server na pfSense, ki ga laufam na virtualki. Za kliente pa uradni OpenVPN klient na Windows in iOS, na Macu pa TunnelBlick, ki deluje super. Dostopam pa uglavnem do NASa prek SMB, Plexa, kamer, RDP na Windows virtualko, pa če je treba še kaj drugega na daljavo uredit. Uporabljam pa tudi za gledanje TV in podobno iz tujine, kjer se rabi slo IP, ali pa za brskanje po spletu na kakem fishy odprtem WiFiju, da ne more ravno vsak v bližini prometa sniffat.
 

philips

Guru
Osebje foruma
Administrator
17. avg 2007
9.767
626
113
Jaz uporabljam IPsec Xauth PSK. To je varianta brez L2TP saj sem z L2TP imel velike težave in mi nikakor ni uspelo vzpostaviti povezave.

Server teče direktno na routerju (TP-Link 1043NDv3 z nameščenim OpenWRT). Kot server uporabljam strongSwan, client pa je zaenkrat samo Android telefon (pri čemer deluje tudi Always-on VPN).

V grobem moraš na firewallu odpreti 500 in 4500 UDP porta ter hkrati spustiti skozi "esp" in "ah" protokol.
 

dune

Fizikalc
26. maj 2014
1.432
39
48
Jaz imam tudi openvpn, predvsem zato, ker ga najlažje spraviš preko firewallov. Samo en port forwardiraš. Server dela pa na raspbery pi.

Client na winowsih uporabljam uradni openvpn gui, na macOS tunnelblick. Na iOS napravah je openvpn app, ki deluje kot vpn provider. To pomeni, da ko instaliraš app in dodaš config, potem ne rabiš več startati aplikacije. Tunnel lahko startaš kot vse druge iz settings.
 

tratnjak

Fizikalc
10. maj 2009
1.020
32
48
Citat:
Uporabnik igi pravi:
Sem naročnik Telemacha preko kabelskega omrežja. Imam njihov ruter Cisco epc3925. In včeraj sem cel dan zabil s tem, da bi uspel postaviti en klinčev VPN. Uporabljal bi ga za občasni dostop do datotek na lokalnem omrežju.

Ideja je bila L2TP/IPsec. Sam ruter tega ne omogoča, zato sem to najprej želel narediti kar na Synology NASu. Iphone in Ipad se povežeta brez težav. WIN računalnik pa nikakor. Tudi nastavitev registra ni pomagala.

No potem pa sem iz omare izbrskal še enega Mikrotika. PPTP deluje brez težav, L2TP pa nikakor. Kot da omrežje/ruter nebi skozi spustilo IPseca.

Telemach suport pravi, da nič ne blokirajo.

A je kakšna znana težava v tej smeri? Če ne bo druge ideje bom poskusil dobiti od ponudnika samo modem in bom pač gor obesil en svoj ruter.

Hvala

jaz mam na win10 + synology in deluje brez problema - L2TP

po mojem imas tezave v security katere opcije imas obkljukane, se mi zdi, da je tudi mene to zezalo :D
 

igi

Guru
13. okt 2007
5.305
953
113
Celje
Obišči stran
Citat:
Uporabnik tratnjak pravi:
Citat:
Uporabnik igi pravi:
Sem naročnik Telemacha preko kabelskega omrežja. Imam njihov ruter Cisco epc3925. In včeraj sem cel dan zabil s tem, da bi uspel postaviti en klinčev VPN. Uporabljal bi ga za občasni dostop do datotek na lokalnem omrežju.

Ideja je bila L2TP/IPsec. Sam ruter tega ne omogoča, zato sem to najprej želel narediti kar na Synology NASu. Iphone in Ipad se povežeta brez težav. WIN računalnik pa nikakor. Tudi nastavitev registra ni pomagala.

No potem pa sem iz omare izbrskal še enega Mikrotika. PPTP deluje brez težav, L2TP pa nikakor. Kot da omrežje/ruter nebi skozi spustilo IPseca.

Telemach suport pravi, da nič ne blokirajo.

A je kakšna znana težava v tej smeri? Če ne bo druge ideje bom poskusil dobiti od ponudnika samo modem in bom pač gor obesil en svoj ruter.

Hvala

jaz mam na win10 + synology in deluje brez problema - L2TP

po mojem imas tezave v security katere opcije imas obkljukane, se mi zdi, da je tudi mene to zezalo :D

Security česa?
 

tratnjak

Fizikalc
10. maj 2009
1.020
32
48
Citat:
Uporabnik igi pravi:
Security česa?

control panel/network and sharing center/change adapter settings

desni gumb in properties na svoji vpn povezavi in mas zavihek security. Jaz mam:
data encryption: optional encryption

pa pri allow this protocols mam obkljukane prve tri - zadnje nimam kljukice
 

igi

Guru
13. okt 2007
5.305
953
113
Celje
Obišči stran
Sem sedaj dvignil OpenVPN in zadeva deluje iz vseh naprav.
Imam pa še nekaj vprašanj...


- Na server strani lahko nastavljam v bistvu samo enkripcijo in protokol. Po defoltu je BF-CBC in SHA1. Spremenim ali je ok?

- na iphonu mi aplikacija doda "profil" tudi v vgrajene nastavitve "settings/VPN". Vendar če tam poženem se ne poveže in samo "connecting". Če grem v aplikacijo je povezano v sekundi.

- IP s katerim se po povezavi predstavljam navzven ostane lokalni (recimo od mobilnega operaterja) in ne tisti, ki bi ga želel (domači). Tu moram verjetno konfiguracijski fajl kaj popraviti?
Hvala
 

tratnjak

Fizikalc
10. maj 2009
1.020
32
48
meni pri L2TP dela vse to po default - se pravi, da je gateway domaci IP in poveze se tudi zelo hitro.

Aja mogoce se to - prvo sem imel druge open in pptp, ampak mi veckrat na kakem w-lanu teh dveh ni spustilo skozi. Z L2TP pa do zdaj nisem imel nikjer tezav
 

dune

Fizikalc
26. maj 2014
1.432
39
48
Za IP, moraš popraviti routing. Lahko daš v client config:

redirect-gateway def1

Ali v server config:

push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"
 

XSIDE

01101010
22. jul 2007
4.397
482
83
::1/128
Citat:
Uporabnik igi pravi:
Sem sedaj dvignil OpenVPN in zadeva deluje iz vseh naprav.
Imam pa še nekaj vprašanj...


- Na server strani lahko nastavljam v bistvu samo enkripcijo in protokol. Po defoltu je BF-CBC in SHA1. Spremenim ali je ok?

- na iphonu mi aplikacija doda "profil" tudi v vgrajene nastavitve "settings/VPN". Vendar če tam poženem se ne poveže in samo "connecting". Če grem v aplikacijo je povezano v sekundi.

- IP s katerim se po povezavi predstavljam navzven ostane lokalni (recimo od mobilnega operaterja) in ne tisti, ki bi ga želel (domači). Tu moram verjetno konfiguracijski fajl kaj popraviti?
Hvala

Glede enkripcije je AES-256-CBC boljša opcija, za auth digest pa uporabi SHA512 (tudi SHA256 bo ok).

Da bo šel internet promet čez VPN, pa je potrebno v config OpenVPN strežnika dodat opcijo, da potisne privzet prehod odjemalcu. Pri native konfiguraciji za OpenVPN je to relativno simpl z opcijo redirect-gateway. Ne vem pa, kako je z nastavitvami na Synologyu.

Glede na to, da Synology ni tvoj "primarni" router, ki bi delal tudi NAT in routal promet naprej, bi moral v tem primeru še routerju povedat, da naj dela NAT tudi za naslove IP, ki jih dobijo VPN klienti, in mu povedat, da se ti naslovi dosegljivi preko Synology (statična ruta za range, ki ga uporablja Synoology za VPN), da bo znal prvilno usmerit povratni promet. Drugo opcija je, da bi Synologyju nastavil, da dela NAT za VPN kliente, če se to da nastavit.
 

igi

Guru
13. okt 2007
5.305
953
113
Celje
Obišči stran
Citat:
Uporabnik tratnjak pravi:
Citat:
Uporabnik igi pravi:
Security česa?

control panel/network and sharing center/change adapter settings

desni gumb in properties na svoji vpn povezavi in mas zavihek security. Jaz mam:
data encryption: optional encryption

pa pri allow this protocols mam obkljukane prve tri - zadnje nimam kljukice

Vse kombinacije poskusil in ne gre.
 

XSIDE

01101010
22. jul 2007
4.397
482
83
::1/128
Citat:
Uporabnik igi pravi:
Citat:
Uporabnik tratnjak pravi:
Citat:
Uporabnik igi pravi:
Security česa?

control panel/network and sharing center/change adapter settings

desni gumb in properties na svoji vpn povezavi in mas zavihek security. Jaz mam:
data encryption: optional encryption

pa pri allow this protocols mam obkljukane prve tri - zadnje nimam kljukice

Vse kombinacije poskusil in ne gre.

Kot sem prej napisal, je vrjetno problem, da na klientu ni omgočen NAT-Traversal... Security pa mora bit nastavljen tako, kot je na strežniku.
 

tratnjak

Fizikalc
10. maj 2009
1.020
32
48
Citat:
Uporabnik igi pravi:
Vse kombinacije poskusil in ne gre.

lahko odpres testnega uporabnika pa se probam jaz povezat, da vidimo al je v win10 tezava, ce tudi meni ne dela je pa verjetno tezava pri tebih v nastavitvah
 

igi

Guru
13. okt 2007
5.305
953
113
Celje
Obišči stran
Na Telemachovem ruterju sem našel:

IP Address Pass-through
This page allows you to add/delete passthrough CPEs (bypass NAT).


In seveda zadeva sedaj deluje tudi preko L2TP. To pa pomeni, da za NAS niso več odprti samo trije porti ampak malce več...
 

igi

Guru
13. okt 2007
5.305
953
113
Celje
Obišči stran
Citat:
Uporabnik dune pravi:
Za IP, moraš popraviti routing. Lahko daš v client config:

redirect-gateway def1

Ali v server config:

push "redirect-gateway def1"
push "dhcp-option DNS 8.8.8.8"

Dodal v configuracijo: redirect-gateway def1 in deluje kot sem želel

za DNS imam pa po defoltu "pull". A bi bili bolje, če bi jih določil?
 

dune

Fizikalc
26. maj 2014
1.432
39
48
Če ti dela ni treba. To je bolj opcija, da lahko bypasaš kake dns blokade.