PPTP VPN met Ziggo internet

zondag 27 september 2015 16:04

Acties:

0 Henk 'm!

Topicstarter

Ik ben onlangs overgestapt op kabel internet van Ziggo. Een van de problemen waar ik nu nog tegenaan loop is het opzetten van een VPN verbinding.

Ik heb altijd al in mijn netwerk een Windows Server 2008R2 machine gehad die dienst doet o.a. als VPN server. Ik gebruik hiervoor het PPTP protocol.

Ik heb in mijn modem (Technicolor modem) een portforwarding rule aangemaakt naar het IP van mijn server voor poort 1723 (TCP).

In het modem stonden al vinkjes aan voor PPTP passthrough en dat PPTP door NAT heen moest kunnen.

Als ik echter nu wil verbinden met mijn VPN krijg ik een error 806. De suggestie is dan dat GRE 47 niet aanstaat. Echter als ik de documentatie van het modem lees dan zie ik dat die vinkjes bij beide PPTP opties juist hiervoor zorgen. De firewall van de Windows Server is correct ingesteld, dit heb ik al gecontroleerd.

Heeft iemand anders hier ervaring mee?

zondag 27 september 2015 16:21

Acties:

0 Henk 'm!

DukeBox

loves wheat smoothies

GRE werkt alleen in DMZ of in een bridge setup. Ik zou hoe dan ook geen PPTP gebruiken aangezien dat niet veilig genoeg is. L2TP of SSL vpn oplossingen zijn tegenwoordig de standaard.

Duct tape can't fix stupid, but it can muffle the sound.

zondag 27 september 2015 18:04

Acties:

0 Henk 'm!

CMD-Snake

Topicstarter

DukeBox schreef op zondag 27 september 2015 @ 16:21:
GRE werkt alleen in DMZ of in een bridge setup. Ik zou hoe dan ook geen PPTP gebruiken aangezien dat niet veilig genoeg is. L2TP of SSL vpn oplossingen zijn tegenwoordig de standaard.

Even los van het veiligheid aspect, waarom heeft het modem/router die PPTP opties als die dan niets doen?

zondag 27 september 2015 18:18

Acties:

0 Henk 'm!

The Eagle

I wear my sunglasses at night

Omdat die dingen ook aan andere ISP's uitgeleverd worden die mogelijk zelf iets met PPTP doen om hun verbinding op te zetten. Deed Casema vroeger ook

Having said that: zelf een router kopen en je modem in bridge mode laten zetten en de wifi en hotspot er van uit laten zetten. Niet over nadenken, gewoon doen. Je wilt zelf de controle hebben, die wil je niet bij ziggo laten liggen.

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

zondag 27 september 2015 18:24

Acties:

0 Henk 'm!

mrc4nl

Procrastinatie expert

The Eagle schreef op zondag 27 september 2015 @ 18:18:
Omdat die dingen ook aan andere ISP's uitgeleverd worden die mogelijk zelf iets met PPTP doen om hun verbinding op te zetten. Deed Casema vroeger ook

Having said that: zelf een router kopen en je modem in bridge mode laten zetten en de wifi en hotspot er van uit laten zetten. Niet over nadenken, gewoon doen. Je wilt zelf de controle hebben, die wil je niet bij ziggo laten liggen.

èèn belangrijk nadeel, bij ziggo kan je dan geen gebruik meer maken van andere wifispots

ora et labora

zondag 27 september 2015 18:47

Acties:

0 Henk 'm!

CMD-Snake

Topicstarter

The Eagle schreef op zondag 27 september 2015 @ 18:18:
Omdat die dingen ook aan andere ISP's uitgeleverd worden die mogelijk zelf iets met PPTP doen om hun verbinding op te zetten. Deed Casema vroeger ook

Vreemd, kennelijk is het dan een feel good vinkje dat het er is. De handleiding zei dit erover:

"Enables PPTP type packets to pass between WAN and LAN. PPTP (Point to Point Tunneling Protocol) is
another mechanism sometimes used in VPNs."

Having said that: zelf een router kopen en je modem in bridge mode laten zetten en de wifi en hotspot er van uit laten zetten. Niet over nadenken, gewoon doen. Je wilt zelf de controle hebben, die wil je niet bij ziggo laten liggen.

Dan moet ik even gaan kijken welk router ik erachter ga hangen.

mrc4nl schreef op zondag 27 september 2015 @ 18:24:
èèn belangrijk nadeel, bij ziggo kan je dan geen gebruik meer maken van andere wifispots

Daar zal ik niet zo wakker van liggen. Het ging mij meer om die VPN verbinding die ik graag heb. Vorige internetproviders maakten het volstrekt onmogelijk met dichtgetimmerde modems en firewall poorten keihard blokkeren.

zondag 27 september 2015 19:11

Acties:

0 Henk 'm!

DukeBox

loves wheat smoothies

mrc4nl schreef op zondag 27 september 2015 @ 18:24:
èèn belangrijk nadeel, bij ziggo kan je dan geen gebruik meer maken van andere wifispots

Dat is niet zo. Alleen wanneer je hotspot expliciet uitzet. Dat hotspot niet werkt i.v.m. bridge wordt je niet aangerekend.

Duct tape can't fix stupid, but it can muffle the sound.

zondag 27 september 2015 19:25

Acties:

0 Henk 'm!

Trommelrem

CMD-Snake schreef op zondag 27 september 2015 @ 16:04:
Ik heb altijd al in mijn netwerk een Windows Server 2008R2 machine gehad die dienst doet o.a. als VPN server. Ik gebruik hiervoor het PPTP protocol.

Advies: Gebruik SSTP. Dat werkt gewoon door NAT heen en heeft alleen protocol 6 nodig.

zondag 27 september 2015 19:29

Acties:

0 Henk 'm!

TommieW

Numa numa.

Waarvoor gebruik je je VPN? Je kan ook nog overwegen om OpenVPN op te zetten. OpenVPN werkt prima met de client op Android, Windows en nog redelijk wat andere platformen. Verder is OpenVPN behoorlijk veilig, mits goed geconfigureerd.

1700X@3,9GHZ - Asus Crosshair VI Hero - 32GB Corsair LPX - GTX 1070Ti
iPhone 13 Pro Max - Macbook Pro 16" M1 Pro

zondag 27 september 2015 19:34

Acties:

0 Henk 'm!

mrc4nl

Procrastinatie expert

Trommelrem schreef op zondag 27 september 2015 @ 19:25:
[...]

Advies: Gebruik SSTP. Dat werkt gewoon door NAT heen en heeft alleen protocol 6 nodig.

werkt zelfs bij de meeste firewalls en filters, je hoeft inderdaad alleen toegang te hebben tot poort 443.
Ik heb een tijdje sstp gedraaid op een microtik, en kon ik vanuit school (achter een sterk filter) ook gewoon verbinding maken met thuis.

ora et labora

zondag 27 september 2015 19:48

Acties:

0 Henk 'm!

CMD-Snake

Topicstarter

TommieW schreef op zondag 27 september 2015 @ 19:29:
Waarvoor gebruik je je VPN?

Ik heb op die server nog wat fileshares staan. Daar wil ik soms toegang toe hebben als ik niet thuis ben. Ik maak dan met mijn laptop een VPN verbinding naar huis toe.

Je kan ook nog overwegen om OpenVPN op te zetten. OpenVPN werkt prima met de client op Android, Windows en nog redelijk wat andere platformen. Verder is OpenVPN behoorlijk veilig, mits goed geconfigureerd.

Trommelrem schreef op zondag 27 september 2015 @ 19:25:
Advies: Gebruik SSTP. Dat werkt gewoon door NAT heen en heeft alleen protocol 6 nodig.

Ik heb gekeken naar OpenVPN en SSTP. SSTP vereist certificaten en OpenVPN begint er ook vrijwel meteen mee. Om nou een hele PKI infra op te zetten om bij mijn fileshares te komen is wat overkill imho.

zondag 27 september 2015 20:35

Acties:

0 Henk 'm!

Trommelrem

CMD-Snake schreef op zondag 27 september 2015 @ 19:48:
Ik heb gekeken naar OpenVPN en SSTP. SSTP vereist certificaten en OpenVPN begint er ook vrijwel meteen mee. Om nou een hele PKI infra op te zetten om bij mijn fileshares te komen is wat overkill imho.

Volgens mij kan het gewoon met self-signed certificaten.
Ik heb gewoon een certificaatje gekocht voor 3 jaar bij een random partij. Kostte 25 euro. Werkt prima met SSTP.

mrc4nl schreef op zondag 27 september 2015 @ 19:34:
[...]

werkt zelfs bij de meeste firewalls en filters, je hoeft inderdaad alleen toegang te hebben tot poort 443.
Ik heb een tijdje sstp gedraaid op een microtik, en kon ik vanuit school (achter een sterk filter) ook gewoon verbinding maken met thuis.

En dat is prettig aan SSTP. Poort 443 wordt bijna nooit geblokkeerd.

Is PPTP trouwens niet deprecated in Windows 10?

zondag 27 september 2015 20:45

Acties:

0 Henk 'm!

CMD-Snake

Topicstarter

Trommelrem schreef op zondag 27 september 2015 @ 20:35:
Volgens mij kan het gewoon met self-signed certificaten.
Ik heb gewoon een certificaatje gekocht voor 3 jaar bij een random partij. Kostte 25 euro. Werkt prima met SSTP.

Was er ook nu niet zo'n club die gratis SSL certificaten uitgaf? Overigens heb ik geen mooi domein voor mijn VPN. Ik VPN altijd naar het IP van mijn modem toe en dan een forwarding rule naar mijn VPN server.

En dat is prettig aan SSTP. Poort 443 wordt bijna nooit geblokkeerd.

Is PPTP trouwens niet deprecated in Windows 10?

Ja dat is prettig als het overal werkt. PPTP was voor mij een eenvoudige oplossing voor een eenvoudig probleem.

zondag 27 september 2015 21:35

Acties:

0 Henk 'm!

jeroen3

Dat is StartSSL uit Israel.
Maar je kunt OpenVPN ook gebruiken met een eigen self-signing certificaat. Zo doen de Synology's dat ook.
OpenVPN doet daar niet moeilijk over. Wil je echter via de browser naar je eigen server met certificaat... dan zullen de browsers een waarschuwing geven. Elke keer.

[ Voor 38% gewijzigd door jeroen3 op 27-09-2015 21:37 ]

zondag 27 september 2015 21:38

Acties:

0 Henk 'm!

johnkeates

Je kan voor het gemak ook een pfSense VM opzetten en de ingebouwde IPSec server gebruiken. Is wat overkill, maar als je toch je modem gaat bridgen heb je toch wel een goede router nodig. Ding heeft ook L2TP en OpenVPN en certificaten manager met standaard ingebouwde PKI.

In elk geval kan je PPTP beter vergeten en naar andere technologieën kijken.

zondag 27 september 2015 21:42

Acties:

0 Henk 'm!

CMD-Snake

Topicstarter

Op die server draait ook IIS. Ik kan daarmee eventueel een certificaat genereren wat vervolgens weer aan de SSTP gebonden kan worden.

Als ik het goed begrepen heb is het op de client dan voldoende om in de register bij HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SstpSvc\Parameters een waarde toe te voegen dat er geen check op het certificaat plaatsvindt.

Als dat werkt moet het voldoende zijn.

Onderwerpen