"Thompson Speedtouch 546 met Draytek Vigor 2910"

woensdag 21 februari 2007 12:27

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Gegroet Netwerkgoeroes,

Ik heb een probleem waarvan het antwoord net niet te vinden is op het forum (of ik ben toe aan nieuwe lenzen). Ze gaan bijna allemaal over stap 1, maar daar ben ik al voorbij.

Netwerk Infrastructuur:
Internet -> Speedtouch -> Draytek -> Switch -> Clients

De situatie:
Ik heb dus een Thompson Speedtouch 546 met (eindelijk!) DHCP Spoofing. Daarachter staat de Draytek, die is ingesteld op DHCP (aan de WANkant) en die krijgt nu ook netjes het Public Address. Joepie, spoofing werkt dus en de clients hebben ook internet.
System Status:http://www.baleog.com/pics/systemstatus.jpg

Het probleem:
Van buitenaf is het Public Adress (WAN-kant van de Draytek dus) niet te pingen. Nu weet ik niet of dit het probleem is aangezien de ping ook uit kan staan (weet iemand trouwens waar je dat aan kan zetten, want verder dan http://www.baleog.com/pics/internetaccess.jpg kom ik niet), maar ik kan met geen mogelijkheid een VPN verbinding maken vanuit thuis naar de zaak.

Oftewel hoe nu verder? Moet ik toch nog iets aanpassen op de ST of iets instellen op de Draytek?
Ter verduidelijking heb ik ff wat pics geplaatst om mijn verhaal wat te verduidelijken.

http://www.baleog.com/pics/editopenports.jpg
Het plaatje is van de testfase, ik heb hem nu staan op...
Local Computer: 192.168.x.x (ik neem aan dat ik hier het LAN-IP moet invullen van de computer waar ik op binnen wil komen?)
Protocol: TCP
Start Port en End Port: 1723
Nu heb ik gelzen dat je ook nog het GRE protocol (47) moet meegeven voor VPN, maar waar stel ik dat in?

http://www.baleog.com/pics/portredirection.jpg
Hier heb ik helemaal maar wat lopen fratsen, weet nog geeneens of Port Redirection wat te maken heeft met mijn probleem.

http://www.baleog.com/pics/firewall.jpg
Moet ik hier nog wat veranderen mss?

Kan iemand mij uit de brand helpen?

~Baleog

woensdag 21 februari 2007 14:12

Acties:

0 Henk 'm!

matthijsln

Ik heb hier exact dezelfde opstelling, maar heb niet het scherm "Open Ports" maar "Port Redirection" gebruikt om poort 1723 TCP te forwarden naar de VPN server. De Vigor forward naast port 1723 dan ook automatisch het GRE protocol. Misschien dat ie dat bij het "Open Ports" scherm niet doet?

Ik heb deze opstelling trouwens omdat VPN clients niet bij alle clients op het LAN mogen. Omdat de Vigor geen VLAN-tagging voor packets vanaf VPN-clients ondersteunt, heb ik een daarom een aparte VPN server die niet verder routeert (VPN clients kunnen alleen bij VPN server zelf).

Anders kan je ook de Vigor zelf VPN server laten zijn, dat werkt ook prima al kunnen VPN clients dan bij alle computers achter de Vigor in alle VLANs.

woensdag 21 februari 2007 16:48

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Bedankt voor de reactie MatthijsIn, maar ik kan het helaas niet testen.
Die rare Draytek weigert te reageren op een pingrequest van buitenaf, terwijl hij toch echt netjes een Public Address gekregen heeft van de provider en de "ping" ook aanstaat in de Draytek
Ik snap er werkelijkwaar geen deuk meer van. Als de Draytek netjes een Public Address krijgt, dan betekent dat toch dat ik op de Speedtouch niets meer hoef uit te voeren? En maakt het nog uit of je de ethernetkabel van de ST in een LAN of de WAN-poort duwt? Wat zie ik over het hoofd?

Wie kan voorkomen dat ik dalijk geen nagels meer heb?

~Baleog

woensdag 21 februari 2007 20:27

Acties:

0 Henk 'm!

Verwijderd

Ping staat standaard uit bij Draytek.

1e) System maintenace --> Management --> Disable PING from the Internet

VPN

1e) VPN and Remote Access --> vink uit zetten van waar mee je VPN naar kantoor
2e) Afhankelijk wat je in je firewall hebt aangepast, (bij standaard instellingen) zou VPN het nu moeten doen

Open Ports en Port Redirection heb je alleen nodig als VPN op een interne server draait

Ps zou ping wel weer uitzetten als alles werkt

donderdag 22 februari 2007 16:34

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Mmm, bleek dat de Firewall op de Speedtouch nog aanstond. /slap
Nu kan ik vanaf buiten wel mijn Draytek op, maar nadat ik alle VPN instellingen (via PPTP) heb ingesteld, kan ik nog steeds niet via de VPN client van XP een VPN verbinding opzetten. Windows komt fijn terug met de 721 Foutmelding. Ik wil gewoon dat de Draytek zich als VPNserver gaat gedragen (dus heb ik geen poorten meer ingesteld zoals JJI zei) en dat ik van thuis uit het netwerk op kan. Hoe moeilijk kan dat zijn?! Zit dan toch nog steeds die Speedtouch te hannesen? Dat het voor de timebeing even geen veilige oplossing is (PPTP en de VPN clients kunnen heel het netwerk op), neem ik dan maar voor lief.

Heeft iemand nog de gouden tip voor mij?

vrijdag 23 februari 2007 14:06

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ok, laatste firmware van de ST heeft het PPTP in zich

. Ik heb dus de ST maar uit Spoofing gehaald en PPTP gekoppeld aan het WAN IP van de Draytek en na een reboot van de ST had ik een VPNtunnel.

Maar nu, een dag verder en ik heb weer hetzelfde gezeur. Ik blijf weer hangen op de authenticatie en krijg vervolgens weer die irritante 721 foutmelding.
Ik wordt hier zo moe van.

btw. Mijn Draytek heeft nu dus een 10.0.0.x WAN-adres, maar hoe kan ik nu zijn webadmin bereiken? Het zal vast moeten dmv een poort te koppelen aan de webadmin (zeg 50000), deze open te zetten op de ST (naar de WANadres van de Draytek) en dan via http://<public address>:50000 uiteindelijk op de webadmin te geraken....maaaaar....Hoe koppel je die nieuwe poort in de Draytek?

vrijdag 23 februari 2007 14:15

Acties:

0 Henk 'm!

Verwijderd

Ik zou despeedtouch altijd op spoofing houden, ze staan er namelijk niet om bekend al te best met VPN pass trough om te gaan als je ze niet op spoofing zet.

Misschien een stomme vraag, maar op http://www.baleog.com/pics/portredirection.jpg heb je de open ports niet op active staan, dit staat in neem ik aan wel gewoon aangevinkt?

vrijdag 23 februari 2007 14:30

Acties:

0 Henk 'm!

Terrestrial

Verwijderd schreef op vrijdag 23 februari 2007 @ 14:06:
Ok, laatste firmware van de ST heeft het PPTP in zich . Ik heb dus de ST maar uit Spoofing gehaald en PPTP gekoppeld aan het WAN IP van de Draytek en na een reboot van de ST had ik een VPNtunnel.
Maar nu, een dag verder en ik heb weer hetzelfde gezeur. Ik blijf weer hangen op de authenticatie en krijg vervolgens weer die irritante 721 foutmelding.
Ik wordt hier zo moe van.

btw. Mijn Draytek heeft nu dus een 10.0.0.x WAN-adres, maar hoe kan ik nu zijn webadmin bereiken? Het zal vast moeten dmv een poort te koppelen aan de webadmin (zeg 50000), deze open te zetten op de ST (naar de WANadres van de Draytek) en dan via http://<public address>:50000 uiteindelijk op de webadmin te geraken....maaaaar....Hoe koppel je die nieuwe poort in de Draytek?

Het is niet helemaal duidelijk wat je nu probeert te doen.. Wil je met een client achter de draytek een vpn verbinding maken naar je werk? Of maak je vanaf het internet juist een verbinding naar binnen toe. En wil je dan de vpn terminaten op de draytek of op een interne vpn server?

Hoe dan ook je moet spoofing gebruiken op de speedtouch!!! zodat je draytek het publieke ip adres ontvangt. Nu heb je 2x nat... dat lijkt me niet gezond.

vrijdag 23 februari 2007 14:53

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Misschien een stomme vraag, maar op http://www.baleog.com/pics/portredirection.jpg heb je de open ports niet op active staan, dit staat in neem ik aan wel gewoon aangevinkt?

Ja, maar dit is een van de vele plaatjes uit de probeerfase.

Ik moet namelijk niks meer te doen aan poorten op de Draytek omdat hij zichzelf als VPNserver moet gedragen. Beetje dom van mij.

Het is niet helemaal duidelijk wat je nu probeert te doen.. Wil je met een client achter de draytek een vpn verbinding maken naar je werk? Of maak je vanaf het internet juist een verbinding naar binnen toe. En wil je dan de vpn terminaten op de draytek of op een interne vpn server?

Kan me voorstellen dat je door de bomen het bos niet meer ziet. Dat heb ik namelijk ook

Ik wil dus volgens het allerbovenste plaatje in deze topic een verbinding van thuis maken naar het werk:
Thuis > Internet > Speedtouch > Draytek > Computertjes op werk
En ik wil dus dat de Draytek zich gaat gedragen als VPNserver. Ik heb namelijk geen interne VPN server en de VPN gebruikers mogen overal (met enige rechten dan ofc) komen.

Hoe dan ook je moet spoofing gebruiken op de speedtouch!!! zodat je draytek het publieke ip adres ontvangt. Nu heb je 2x nat... dat lijkt me niet gezond.

In mijn huidige opzet heb ik nu geen NAT (toch?

).

Probleem was dat toen ik de ST in Spoofing had gezet ik ook niet verder kwam dan authentication. Ik heb echt het gevoel dat dat GRE protocol me loopt te jennen, in welke "mode"ik de ST ook zet

iig bedankt voor de reactie mensen.

vrijdag 23 februari 2007 15:13

Acties:

0 Henk 'm!

Terrestrial

Verwijderd schreef op vrijdag 23 februari 2007 @ 14:53:
[...]

Kan me voorstellen dat je door de bomen het bos niet meer ziet. Dat heb ik namelijk ook
Ik wil dus volgens het allerbovenste plaatje in deze topic een verbinding van thuis maken naar het werk:
Thuis > Internet > Speedtouch > Draytek > Computertjes op werk
En ik wil dus dat de Draytek zich gaat gedragen als VPNserver. Ik heb namelijk geen interne VPN server en de VPN gebruikers mogen overal (met enige rechten dan ofc) komen.

[...]

In mijn huidige opzet heb ik nu geen NAT (toch? ).

Probleem was dat toen ik de ST in Spoofing had gezet ik ook niet verder kwam dan authentication. Ik heb echt het gevoel dat dat GRE protocol me loopt te jennen, in welke "mode"ik de ST ook zet

iig bedankt voor de reactie mensen.

Ok, dit veranderd de zaak. De draytek moet dus zelf vpn server spelen.

1. zet de speedtouch weer snel op spoofing (en evt firewalls uit!!)
2. haal de portmappings weg uit je draytek. Die heb je hiervoor niet nodig
3. verzeker je dat de draytek goed werkt. Je hebt dan 1x nat routing wat de draytek uitvoert. Daar hebben VPN inbellers overigens geen last van. Die komen direct op jouw netwerk terecht.

ok.. volgende heeft betrekking op mijn draytek 2300.. kan bij jouw net iets anders zijn.

4. zet de firewall op de draytek tijdelijk uit!!!
5. ga naar vpn and remote access > remote access contol setop.. daar enable je het VPN protocol.. bijv PPTP of L2TP.
6. bij remote user profile setup. kun je gebruikers aanmaken.. pw kiezen etc etc etc
7 vergeet achteraf niet te saven en te rebooten...

vrijdag 23 februari 2007 15:53

Acties:

0 Henk 'm!

matthijsln

Je kan natuurlijk vanaf het LAN de VPN verbinding even testen, dan weet je of de Vigor goed is geconfigureerd. Werkt dat dan is je probleem denk ik dat vanaf Internet packets met protocol GRE niet door de Speedtouch naar de Vigor gaan.

Indien dat het probleem is zou misschien het volgende kunnen werken: Log in op de Speedtouch via Telnet en tik het volgende:

nat unbind application=GRE (firmware 5.x)
connection unbind application=GRE (firmware 6.x)

Ik weet niet meer zeker of dit voor mijn situatie nou nodig was of niet. Als ik de Speedtouch configuratie bekijk met "connection bindlist" staat GRE er niet bij dus het lijkt er wel op. Ik heb trouwens firmware 6.1.0.5 op de Speedtouch.

[ Voor 3% gewijzigd door matthijsln op 23-02-2007 16:03 ]

vrijdag 23 februari 2007 16:27

Acties:

0 Henk 'm!

Verwijderd

Het testen van je VPN, vanaf wat voor soort situatie laat je dat uitvoeren? Ik weet dat je bijvoorbeeld vanaf een UMTS verbinding vaak niet voorbij de VPN authenticatie komt wanneer je het "Fast Internet" profiel gebruikt terwijl hij er met het normale profiel zo doorheen schiet.

Onderwerpen