VPN-verbinding naar het werk via Ubuntu 14.04 LTS

maandag 17 augustus 2015 10:08

Acties:

0 Henk 'm!

Topicstarter

Inleiding

Laat ik beginnen met te stellen dat ik op het gebied van netwerken een beginneling ben. Ook op het gebied van Ubuntu ben ik een beginneling.

Situatie

OS : Ubuntu 14.04 LTS via Virtual Box
Package : vpnc

Wat werkt er

Ik kan via dezelfde computer via Windows 7 Home Premium een VPN-verbinding maken met de Cisco-client en vervolgens de PC op mijn werk pingen via het lokale IP-adres op mijn werk en ik kan tevens een RDP-sessie starten via het lokale IP-adres op mijn werk.

Ik kan via Ubuntu in Virtual Box een VPN-verbinding maken met mijn werk (na het installeren van de benodigde packages). Dit lukt me vanaf de prompt via 'vpnc <naam profiel>' en via de Network Manager via de menu optie VPN. Ik kan een ping doen naar het IP-adres dat wordt getoond na het commando 'ifconfig tun0'. Voor zover ik heb begrepen is 'tun0' de naam van de 'tunnel-interface'. Ik weet niet zeker waar het IP-adres naar verwijst.

Wat werk er niet

Na het maken van een verbinding vanuit Ubuntu kan ik mijn PC op het werk via het lokale IP-adres op mijn werk niet benaderen via een ping : ping xxx.xxx.xxx.xxx

Wat heb ik gedaan

Ik heb de routetabel bestudeerd en vergeleken met informatie die ik op internet kan vinden maar kan niets vinden wat fout zou kunnen zijn. De default-route 0.0.0.0/0 is gekoppeld aan de interface 'tun0'.

Mijn vraag

Waarom kan ik de PC op mijn werk niet pingen via Ubuntu maar wel via Windows.

maandag 17 augustus 2015 10:16

Acties:

0 Henk 'm!

Yariva

Moderator Internet & Netwerken

Power to the people!

Is je IP reeks op werk het zelfde als thuis? Als je bijv thuis 192.168.1.x/24 gebruikt en op werk ook zal je pc de server proberen te vinden op het werk netwerk.

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply

maandag 17 augustus 2015 10:26

Acties:

0 Henk 'm!

Nnoitra

Doet 'vpnc' in Ubuntu hetzelfde als de Cisco client in Windows?

Krijg je in Ubuntu een (vpn) IP in dezelfde reeks als dat je 'm in Windows krijgt?
Als je een VPN verbinding start, krijg je er een 2e IP adres (eentje van de server waarmee je connect) bij.
Ook wordt je routing table aangepast zodat verkeer in die reeks door je tunnel ge-route word.

Sarcasm is my superpower! What's yours?

maandag 17 augustus 2015 10:31

Acties:

0 Henk 'm!

One_Gandalf

Topicstarter

compjunkie schreef op maandag 17 augustus 2015 @ 10:16:
Is je IP reeks op werk het zelfde als thuis? Als je bijv thuis 192.168.1.x/24 gebruikt en op werk ook zal je pc de server proberen te vinden op het werk netwerk.

Via Ubuntu krijg ik een lokaal IP-adres dat begint met 10 (ook de gateway begint met 10) en de PC op mijn werk heeft een IP-adres dat begint met 192. Wat bedoel je met 'de server'? Bedoel je daarmee de VPN-server op mijn werk?

Het subnet van mijn host OS op mijn PC thuis begint wel met 192.168 maar heeft een ander getal op de derde posities dan 1.

Nnoitra schreef op maandag 17 augustus 2015 @ 10:26:
Doet 'vpnc' in Ubuntu hetzelfde als de Cisco client in Windows?

Krijg je in Ubuntu een (vpn) IP in dezelfde reeks als dat je 'm in Windows krijgt?
Als je een VPN verbinding start, krijg je er een 2e IP adres (eentje van de server waarmee je connect) bij.
Ook wordt je routing table aangepast zodat verkeer in die reeks door je tunnel ge-route word.

Definieer hetzelfde. Beiden maken een VPN-verbinding. Ik heb de routetabellen vergeleken maar kom daar zoals gezegd niet goed uit. Ik zie wel verschillen en heb ook geprobeerd de routetabel in Ubuntu aan te passen 'richting' de routetabel in Windows maar ben er niet in geslaagd op die manier mijn werk-PC te kunnen pingen via Ubuntu.

Via Windows en via Ubuntu zie ik hetzelfde IP-adres voor de 'VPN-server' op mijn werk. Dit IP-adres kan ik ook via beide omgevingen 'pingen'.

Ik zie ook dat het '2e IP adres' voorkomt in beide routetabellen.

Ik begrijp alleen niet waarom hiervoor een aparte entry aanwezig is omdat de default route ook al wijst naar de tunnel. Dit ziet er (uit mijn hoofd) grofweg als volgt uit:

0.0.0.0/0 tun0
<IP-subnet VPN-server> 255.255.255.128 tun0

Ik begrijp ook die 128 in het netmask niet zo goed.

[ Voor 61% gewijzigd door One_Gandalf op 17-08-2015 10:42 ]

maandag 17 augustus 2015 11:44

Acties:

0 Henk 'm!

Nnoitra

One_Gandalf schreef op maandag 17 augustus 2015 @ 10:31:

Definieer hetzelfde. Beiden maken een VPN-verbinding.

Mijn werkgever gebruik dat Cisco ding ook, en die software timmert de boel aardig dicht zodat de gebruiker (lees: ik) weinig meer aan kan passen qua routeringen enzo.
Doet ie waarschijnlijk op basis van een profiel (gok ik). Als de Ubuntu software dat stukje overslaat kan dat een oorzaak zijn.

Ik heb de routetabellen vergeleken maar kom daar zoals gezegd niet goed uit. Ik zie wel verschillen en heb ook geprobeerd de routetabel in Ubuntu aan te passen 'richting' de routetabel in Windows maar ben er niet in geslaagd op die manier mijn werk-PC te kunnen pingen via Ubuntu.

Via Windows en via Ubuntu zie ik hetzelfde IP-adres voor de 'VPN-server' op mijn werk. Dit IP-adres kan ik ook via beide omgevingen 'pingen'.
Ik zie ook dat het '2e IP adres' voorkomt in beide routetabellen.

Als je een " ipconfig /all " in een dosbox uitvoert zie je dat je 2 interfaces en dus 2 IPs hebt.
In Ubuntu is het commando volgens mij " ifconfig -a ", ook hier zou je 2 IPs moeten hebben.
IP 1 = je intern IP & IP 2 = het IP dat de VPN je geeft.

Ik begrijp alleen niet waarom hiervoor een aparte entry aanwezig is omdat de default route ook al wijst naar de tunnel. Dit ziet er (uit mijn hoofd) grofweg als volgt uit:

0.0.0.0/0 tun0
<IP-subnet VPN-server> 255.255.255.128 tun0

Ik begrijp ook die 128 in het netmask niet zo goed.

Dat de default route er voor zorgt dat alles naar de VPN gaat vond ik dermate irritant dat ik een andere oplossing bedacht heb; mijn normale internet verkeer vanaf thuis wilde ik niet via de VPN sturen

Anyhoe; als je connectie goed is en je Ubuntu bak krijgt een IP in dezelfde reeks als je Windows bak en die Cisco software haalt verder geen trucjes uit; dan zou het gewoon moeten werken.

Sarcasm is my superpower! What's yours?

vrijdag 21 augustus 2015 10:38

Acties:

0 Henk 'm!

One_Gandalf

Topicstarter

Nieuwe informatie

Ik ben wat meer de diepte ingedoken en daarbij aangelopen tegen het begrip 'NAT traversal'. Ik heb via Windows en Ubuntu extra debug- en log-informatie opgevraagd waarbij mij een verschil opviel met betrekking tot 'NAT traversal'.

Versie programma vpnc: 0.5.3r512.

NAT traversal via Windows

Een melding die er op lijkt te duiden dat 'NAT traversal' is geaccepteerd:

...
12     17:52:40.882  08/20/15  Sev=Info/5	IKE/0x63000001
Peer supports NAT-T
...
48     17:52:46.934  08/20/15  Sev=Info/5	IKE/0x6300000D
MODE_CFG_REPLY: Attribute = Received and using NAT-T port number , value = 0x00001194
...

NAT traversal via Linux

Commando:

sudo vpnc --debug 2

Deel van de debug-informatie die over het scherm scrollt:

...
S4.4 AM_packet2
 [2015-08-20 07:55:37]
   (Cisco Unity)
   (Xauth)
   (DPD)
   (unknown)
   (unknown)
   got ike lifetime attributes: 2147483 seconds
   IKE SA selected psk+xauth-3des-sha1
   peer is XAUTH capable (draft-ietf-ipsec-isakmp-xauth-06)
   ignoring that peer is DPD capable (RFC3706)
   NAT status: no NAT-T VID seen
...

Ik heb een aantal voor mij onbekende afkortingen opgezocht:
* IKE = Internet Key Exhange;
* SA = Security Association;
* psk = Preshared Key;
* DPD = Dead Peer Detection;
* VID = Vendor ID.

Het gaat mij om de laatste tekstregel:

NAT status: no NAT-T VID seen

Het lijkt er op alsof er iets mis gaat in de communicatie met betrekking tot het afstemmen van 'NAT traversal'.

Iemand een idee wat deze melding precies betekent en hoe ik dit eventueel kan oplossen?

[ Voor 9% gewijzigd door One_Gandalf op 22-08-2015 09:37 ]

vrijdag 21 augustus 2015 10:46

Acties:

0 Henk 'm!

Nnoitra

One_Gandalf schreef op vrijdag 21 augustus 2015 @ 10:38:
Iemand een idee wat deze melding precies betekent en hoe ik dit eventueel kan oplossen?

Heb je dit al geprobeerd?
Uit het eerste google 'NAT status: no NAT-T VID seen' result

In Linux, using vpnc you can use the switch --natt-mode followed by options:
- natt --> for NAT-T,
- none,
- force-natt --> forces NAT-T even if it's not really needed,
- cisco-udp --> employs Cisco's own UDP method. It uses NAT-T as default.

[ Voor 54% gewijzigd door Nnoitra op 21-08-2015 10:47 ]

Sarcasm is my superpower! What's yours?

vrijdag 21 augustus 2015 10:50

Acties:

0 Henk 'm!

One_Gandalf

Topicstarter

Nnoitra schreef op vrijdag 21 augustus 2015 @ 10:46:
[...]
Heb je dit al geprobeerd?
Uit het eerste google 'NAT status: no NAT-T VID seen' result
In Linux, using vpnc you can use the switch --natt-mode followed by options:
- natt --> for NAT-T,
- none,
- force-natt --> forces NAT-T even if it's not really needed,
- cisco-udp --> employs Cisco's own UDP method. It uses NAT-T as default.

Ja. In het configuratie-bestand heeft deze parameter de waarde 'cisco-udp'. Als ik hier een andere waarde kies dan wordt er geen VPN-verbinding tot stand gebracht. Ik heb het configuratie-bestand (default.conf) nu niet bij de hand om de instellingen te kunnen laten zien. Ik weet op basis van de instellingen van de VPN-client onder Windows dat het protocol UDP gebruikt wordt aan de kant van mijn werkgever.

Configuratiebestand /etc/vpnc/default.cong

IPSec gateway ***
IPSec ID ***
IPSec secret ***
Xauth username ***
XAuth password ***
NAT Traversal Mode cisco-udp
DPD idle timeout (our side) 0
IKE DH Group dh2
IKE Authmode psk
Vendor cisco

Nnoitra schreef op vrijdag 21 augustus 2015 @ 11:05:
Laatste poging en dan weet ik het niet meer

Connect je met de network manager?
Run dan eens nm-connection-editor, in de VPN tab kun je je connection aanpassen.
Bij de IPv4 settings ga je naar 'Routes' en daar moet je het vinkje weghalen bij 'Use this connection only for resources on its network'.
Daarna reconnecten.

Ik maak gebruik van commando's via de prompt. Ik heb deze tip ook al voorbij zien komen en zal het vanavond eens proberen.

Dit heeft niet geholpen. Een verschil is dat in het bestand /etc/resolv.conf de IP-adressen van de DNS-servers op mijn werk niet worden opgenomen.

Mijn idee was dat dit te maken heeft met een mogelijkheid om je eigen lokale netwerk thuis te kunnen blijven benaderen tijdens de VPN-verbinding (split tunneling).

[ Voor 47% gewijzigd door One_Gandalf op 22-08-2015 09:29 ]

vrijdag 21 augustus 2015 11:05

Acties:

0 Henk 'm!

Nnoitra

Laatste poging en dan weet ik het niet meer

Connect je met de network manager?
Run dan eens nm-connection-editor, in de VPN tab kun je je connection aanpassen.
Bij de IPv4 settings ga je naar 'Routes' en daar moet je het vinkje weghalen bij 'Use this connection only for resources on its network'.
Daarna reconnecten.

Het lijkt mij ook tegenstrijdig; maar ja.. niet geschoten is altijd mis

[ Voor 10% gewijzigd door Nnoitra op 21-08-2015 12:12 ]

Sarcasm is my superpower! What's yours?

Onderwerpen