Verbinding met VPN lukt niet vanaf extern ip

Beste Tweakers,

Ik ben al een aantal dagen bezig met het instellen van een VPN verbinding.
Mijn netwerkconfiguratie ziet er als volgt uit:

Internet ---> Ziggo Ubee EVW320B50335450 router modem (hardware versie 3.9.2, firmware 9.9.6004)
---> Synology DS214se NAS met VPN server package.

Op de Synology heb ik een L2TP/IPsec VPN server draaiende met een Pre Shared Key.
De Synology heeft een static ip in de router gekregen.
Via UPnP heeft de Synology de benodigde poorten voor de VPN server geforward (1701, 500, 4500 UDP).

Vervolgens heb ik op een Windows 7 pc de door Microsoft aanbevolen registersleutel gemaakt (AssumeUDPEncapsulationPolicyAgent op waarde 2 o.i.d.). Daarna de VPN verbinding ingesteld.
In eerste instantie kon ik geen verbinding maken met als serveradres mijn externe ip adres. Verbinding maken met de server lukte wel meteen wanneer ik het lokale ip adres van de Synology invoerde.
Hieruit maak ik op dat de VPN server op de Synology goed staat ingesteld.

Nu komt het vreemde: ik heb het lokale ip adres weer veranderd in het externe ip adres. Verbinding maken lukte, en dit blijft reproduceerbaar.
Vervolgens heb ik de Windows 7 pc verbonden met de Wifi hotspot van mijn mobiele telefoon met mobiel internet, en ook toen met een extern ip van Vodafone was het mogelijk om verbinding te maken met de VPN server.
Hieruit maak ik op dat de port forwards toch goed zijn gelukt.

Ik kan echter geen enkel ander apparaat met instellingen overgenomen van de Windows 7 computer verbinding laten maken met de VPN server, tenminste niet via het externe ip adres.
De VPN server staat gelijktijdig 5 gebruikers toe met maximaal 10 verbindingen per gebruiker. Ik heb met verschillende gebruikers geprobeerd verbinding te maken, dit lukt alleen op die ene Windows computer.
Andere apparaten geven VPN error 789 of op android simpelweg 'mislukt'.

Hopelijk kan iemand mij helpen.

Groeten,
Rob

Ik heb toevallig de WiFi functie van de ziggo modem uitgeschakeld en via een LAN kabel een Asus EA N66 wifi acces point in het netwerk zitten. Voor zover ik weet krijgt deze zijn ip-adres via DHCP uitgedeeld. Met het via UPnP forwarden door de Synology gaf deze wel aan dat de gevonden router een Ambit EVW3200 was, dit is de Ubee van Ziggo.
Kan de aanwezigheid van het AP voor problemen zorgen?

Als ik een DMZ naar de Synology open kan ik vanaf mijn Android telefoon ook verbinden met de VPN. Na het uitschakelen van DMZ werkte het niet meer.
Handmatig forwarden van de poorten 4500, 500, 1701 naar het ip van de synology helpt ook niet.

Rob

Die regkey heb ik dus aangemaakt met waarde 2. Op slechts één pc kan ik verbinding maken, op een andere windows pc, waarop de dezelfde sleutel is aangemaakt, lukt dit niet. Zoals genoemd wel als DMZ naar de synology gaat maar niet met handmatig ingestelde port forwards.
De nas heeft inderdaad via DHCP een static lease. In de router staat 'ipsec passthrough' op enabled.

jeroen3 schreef op zondag 18 januari 2015 @ 00:08:
Heb je problemen met twee gelijktijdige sessies, of zit het probleem in één enkele machine?

Het probleem zit in alle machines behalve één windows computer die het opeens deed. Als deze wel of niet verbinding heeft met de server kan ik op geen enkel ander apparaat verbinding krijgen, tenzij de DMZ aan staat. Meerdere gelijktijdige sessies met verschillende gebruikers of dezelfde gebruiker op meerdere apparaten is geen probleem, dit werkt als ik het lokaal ip adres gebruik.

Als DMZ wel werkt dan ben je waarschijnlijk een poort vergeten.

Open deze 2 ook is:
VPN Server (OpenVPN) 1194 UDP
VPN Server (PPTP) 1723 TCP

Test of je poorten echt openstaan!
http://www.yougetsignal.com/tools/open-ports/


To be compatible with most L2TP/IPSec clients running Windows, Mac OS, Mac iOS, and Android operating systems, the default MTU is set to 1400. For more complicated network environments, a smaller MTU might be required. Try to reduce the MTU size if you keep receiving timeout errors or experience unstable connection.

Deze poorten heb ik ook open gezet in de router, maar dit maakt geen verschil. Een lagere MTU instellen op de server heeft ook geen effect.
Ik heb geprobeerd met behulp van deze website de poorten te checken: http://www.base64online.com/port-check.php
Deze geeft aan dat de poorten dicht zijn. Ik weet echter niet of dit een betrouwbare website is.

Rob

jeroen3 schreef op zondag 18 januari 2015 @ 15:08:
Dus je kunt maar één sessie van buiten openen?
Ik vermoed dat je dan moet zoeken in de firewall of ddos bescherming van je router(s).

Die ene sessie van buiten krijg ik alleen voor elkaar op die ene windows computer. Op elk ander apparaat waar ik de instellingen al tien keer heb gecontroleerd lukt het niet. Ook niet als dat het enige apparaat is waarmee ik verbinding probeer te maken.

De synology NAS heeft zelf ook een Firewall, is het een optie om DMZ dan te gebruiken als de Firewall van de NAS alleen de poorten voor L2TP open heeft staan?

kmichael schreef op zondag 18 januari 2015 @ 21:14:
heb je al geprobeerd om een andere soort VPN op te zetten:

Deze
VPN Server (OpenVPN) 1194 UDP
of deze:
VPN Server (PPTP) 1723 TCP

Ja, dit heb ik allebei geprobeerd, werkt echter ook niet, tenzij ik lokaal verbinding maak. Ik weet dan ook bijna zeker dat het probleem in de router zit, maar waar?

kmichael schreef op zondag 18 januari 2015 @ 21:41:
Als jij je ftp aanzet kun je die dan benaderen vanaf buiten ?

Nee dit lukt niet. Ik heb de FTP ingeschakeld, benodigde permissies ingesteld en alle poorten (21, en de passive range 55536-55539) handmatig geforward.
Verbinding maken naar lokaal ip adres is ook hier geen probleem en ik krijg de mappen van die user in beeld, maar via het externe IP lukt het niet.
De server wordt wel gevonden, er wordt gevraagd om een gebruikersnaam en wachtwoord. Dan krijg ik deze foutmelding:

Damic schreef op zondag 18 januari 2015 @ 21:52:
Heb je toevallig op je Ubee ergens opties om bepaalde poorten altijd vrij te geven (Firewall settings meestal).
Heb zelf ook eens aan het stoeien geweest met vpn en heb bleek toen in mijn 2de router te steken (eerste was een *.* forward naar de 2de, die dan firewall/dhcp/... enzo doet)

Dit zijn helaas de enige instellingen van de firewall in de router. Ik heb ook geprobeerd of het helpt de firewall uit te zetten maar dat werkt ook niet.

Damic schreef op dinsdag 20 januari 2015 @ 12:49:
Knopje vpn, wat staat daar onder

Dat is iets om een tunnel op te zetten naar een VPN server, volgens mij om al het verkeer van je modem via bijvoorbeeld een bedrijfsnetwerk te laten gaan. Het zou natuurlijk wel kunnen dat door deze mogelijkheid standaard bepaalde poorten worden geblokkeerd?

Dit zijn de screenshots (klik voor groot plaatje):






Rob

Damic schreef op dinsdag 20 januari 2015 @ 13:32:
Ja dat is om een directe verbinding naar je VPN server temaken van buiten af.

Dus een directe verbinding van apparaten buiten mijn netwerk naar mijn eigen VPN server?
En wat zou ik dan bij remote endpoint moeten invullen? want ik wil natuurlijk met meerdere verschillende apparaten tegelijk verbinding kunnen maken met de server.

Damic schreef op dinsdag 20 januari 2015 @ 13:55:
Dat weet ik niet, kan ik van hier uit niet zeggen, gewoon wat rondneuzen tot je het hebt gevonden.

Ik heb even gegoogled en op ziggo gebruikers fora gelezen dat:
Die pagina in de router blijkt eigenlijk al een soort VPN server te zijn, maar is niet meer dan een directe tunnel die je kunt opzetten. Hiervoor moet je van te voren wel precies weten wat het ip adres is van het apparaat buiten jouw netwerk, zelfs het remote local ip heb je nodig. Zo'n tunnel is dus alleen leuk als je een pc van familie oid toegang wilt geven tot jouw netwerk.

Tot nu toe blijkt dus alleen DMZ te werken. Zou dat geen goede optie zijn als de firewall van de nas toch alleen de poorten voor VPN toe staat, bescherming heeft tegen ddos aanvallen etc.?

Inmiddels heb ik een losse router aangeschaft voor een beter draadloos bereik. Het gaat om de Netgear Nighthawk R7000. Op deze router heb ik handmatig de UDP poorten 500, 1701, 4500 voor L2TP geforward naar mijn synology en ik kan nu eindelijk van buiten het netwerk verbinding maken.
Dit heb ik getest op twee android telefoons met mobiel internet.

Nu wil ik het ook instellen op twee laptops. Eén laptop is een 'gewone' laptop met Windows 7 Home Premium en de andere is een laptop verkregen via school met Windows 7 Enterprise.
Tijdens mijn pogingen met de router van Ziggo is het gelukt om met de laptop met Home Premium verbinding te krijgen, de Enterprise laptop lukte toen ook niet. Ik vermoed dat de domeininstellingen op die laptop problemen geven.

Op de laptop met Home Premium krijg ik nu:

---

Fout 809: Kan de netwerkverbinding tussen uw computer en de VPN-server niet tot stand brengen omdat de externe server niet reageert. Mogelijk is een van de netwerkapparaten tussen uw computer en de externe server, zoals een firewall, NAT of router, zo geconfigureerd dat VPN-verbindingen niet zijn toegestaan. Neem contact op met uw beheerder of serviceprovider om te bepalen welk apparaat het probleem veroorzaakt.

---

Omdat de twee android telefoons wel verbinding kunnen maken vanaf het mobiele netwerk van Vodafone en KPN lijkt het probleem dus niet in de router of NAS te zitten. De poorten zijn geforward en de firewall van de synology laat het VPN verkeer door.
Conclusie is dan dat er iets niet goed gaat aan de kant van de laptop.
In de Windows Firewall heb ik een regel voor inkomend en uitgaand verkeer gemaakt voor de UDP poorten 500, 1701 en 4500. Dit maakt geen verschil en ik krijg dezelfde fout.

Alvast bedankt voor de hulp!

Thetering werkt ook niet. Ik heb nu de shrewsoft VPN client geïnstalleerd maar tot nu toe is het nog niet gelukt om verbinding te maken. Nu zijn er ook wel heel veel instellingen opeens die Windows niet heeft en ik weet niet of alles nu goed staat. Ik heb de instellingen die ik heb aangepast in de screenshots gemarkeerd.


De foutmelding die dit programma geeft is: 'negotiation timeout occured'.

Hoewel dit volgens mij nu niet meer relevant is (?), heb ik een vermoeden dat 't iets te maken heeft met het feit dat connection tracking voor exotische IP payload types (IPsec) niet altijd even lekker werkt.

Met de apparaten is de stand nu als volgt:
Inmiddels 3 android apparaten die verbinding kunnen maken, zowel vanaf Vodafone en KPN maar ook gewoon vanuit het lokale netwerk.
Op zowel de windows 7 home premium als de windows 7 enterprise krijg ik het niet werkend.

Voordat ik de nieuwe router heb aangesloten kon ik alleen vanaf de home premium pc verbinding maken en verder vanaf geen enkel ander apparaat tenzij de DMZ host aan stond van de Ziggo router. De enterpise pc is nooit gelukt maar dat ligt waarschijnlijk aan group policy / domein instellingen.

Ik weet niet hoe 'connection tracking voor exotische IP payload types (IPsec)' werkt, weet je hoe dit probleem is op te lossen?