Edgerouter lite VPN opzetten

Hey tweakers,

Ik probeer nu al een tijdje een VPN op te zetten op een router op een andere locatie zodat ik gemakkelijk in het lokale netwerk kan registreren wanneer dit nodig is. Echter krijg ik het niet voor mekaar om een verbinding te maken. Ik heb zelf al allemaal verschillende IP's, firewall rules, NAT rules en andere configuraties geprobeerd maar weet niet hoe dit kan komen nu.

De router staat in een pand waar hij het IP van de provider in het pand krijgt. Er staat dus een modem voor deze router waar ik zelf geen toegang tot heb. De instellingen van het IP zijn als volgt:


Hier de configuratie van de VPN: link
En de configuratie van de firewall WAN_LOCAL: link

Wanneer ik nu probeer te verbinden krijg ik een 800 ERROR. Iemand een idee wat ik moet aanpassen?

[ Voor 1% gewijzigd door MrChillax op 24-01-2017 16:25 . Reden: image ]

Axewi schreef op dinsdag 24 januari 2017 @ 16:43:
Als ik mijn config bekijk, moet je sowieso een aantal verbindingen toestaan in de firewall
Als je met zones werk is dat: WAN > Local
Het gaat dan om:
UDP poorten: 500, 1701 en 4500
en het ESP protocol (is een los protocol die je kan kiezen)

Het nadeel is dat je deze poorten + het ESP protocol ook moet toestaan in het modem en dan moet forwarden naar de firewall. De standaard modems kunnen dit vaak niet.

Is het niet makkelijker om met openvpn of een andere sslvpn te werken ipv ipsec/l2tp ? dan hoef je alleen die poorten maar te forwarden in het modem.

Bedankt! Ja als je kijkt naar mijn firewall heb ik al deze poorten ook open staan in de WAN_LOCAL.
Volgens mij is de modem die in het pand staat gewoon volledig open en ligt het aan een configuratiefout van mij (denk ik)

Thnx voor de tip! OpenVPN zou wel kunnen maar dan moet ik weer een openVPN client gebruiken, dat heb ik liever niet.

Axewi schreef op dinsdag 24 januari 2017 @ 16:50:
[...]
Of het modem openstaat (lijkt me niet) kan je natuurlijk gewoon testen.
Daarbij lijkt het me dat je stuk loop op het ESP protocol. Wat voor een modem hebben wij het over?

Geen idee wat voor modem er staat. Het is een pand waar meerdere bedrijven zitten en het netwerk vanuit het pand zelf doorgestuurd wordt naar de routers van elk bedrijf. Weet 100% zeker dat hier verder geen restricties op staan omdat poort 80,443 voor de webinterface wel gewoon werken (zo configureer ik de router nu).

Wat zou er verkeerd kunnen gaan met het ESP protocol? Heb je bij IPSEC/L2TP verbinding ook nog certificaten nodig op de router net zoals bij OpenVPN?
Ik zal nog enkele dingen uitproberen en anders zal ik toch maar OpenVPN gaan proberen.

Kaalus schreef op dinsdag 24 januari 2017 @ 21:29:
Weet niet wat je voor je Edgerouter hebt hangen, maar Windows heeft het niet zo met L2TP achter NAT. Heb het zelf ook geprobeerd op deze manier, maar heeft onder Windows nooit gewerkt ondanks het volgen van aanwijzingen van Microsoft zelf. Lees o.a. dit artikel eens: https://support.microsoft...nd-in-windows-server-2008

Voor veel mensen online blijkt dit te helpen, bij mij werkte het niet. De VPN deed het wel onder Android, dus was een Windows iets.

L2TP kan met certificaten maar ook met een preshared key.

wizai schreef op dinsdag 24 januari 2017 @ 21:38:
Op het eerste gezicht lijken beide configuraties goed.

Kun je het eens via een android device proberen?
Wat kun je uit l2tp en ipsec logs halen?

Lag inderdaad aan Windows zelf...... Ik heb het op een Android en iOs uitgeprobeerd en daar werkte de VPN wel op.
Heb de registery "fix" op Windows nog niet uitgeprobeerd maar zal dit morgen proberen. Nu heb ik echter nog wel een klein probleem met forwarden van een poort.....

Ik heb een RDP achter de router staan waar ik graag van buitenaf op wil komen. Heb de D-NAT en WAN_IN ingesteld maar werkt niet zoals ik wil. Staat dit goed zo?

Axewi schreef op woensdag 25 januari 2017 @ 08:53:
Als windows niet werkt probeer eens de settings van je vpn aan te passen, dat probleem had ik namelijk ook.

Het gaat om de vinkjes bij "allow these protocols" op het security tabje.
Zorg dat "CHAP" en "MS-CHAP v2" als enige aan staan.

(let niet op de rode vierkantjes het is een plaatje van google gejat)
[afbeelding]

Ook dat geprobeerd... werkt ook niet helaas.Ook nog meerdere andere opties geprobeerd maar lijkt erop dat Windows er geen trek in heeft ...

devillwithin schreef op woensdag 25 januari 2017 @ 09:31:
Heel toevallig gister ook nog met VPN lopen knoeien hier op werk...

bij mij werkte het beter als je bij de VPN settings van Axewi de
"Use Extensible Authentication Protocol (EAP)" gebruikt en in de dropdown de
"Microsoft: Beveiligd wachtwoord (EAP-MSCHAP v2)(versleuteling ingeschakeld)"

Beide instellingen zijn het zeker waard om te proberen.

ook even dubbel checken of je "Type VPN:" op "L2TP/IPsec" staat en bij de "Geavanceerde Instellingen"
je de juiste sleutel heb ingevoerd bij "Vooraf gedeelde sleutel voor authenticatie gebruiken"

Heb nergens kunnen vinden of de Edgerouter ook EAP ondersteunt. Wel al meerdere documentaties doorgelopen maar niet veel gevonden. Enig idee hoe de configuratie hiervoor is?

Jeroen_ae92 schreef op vrijdag 27 januari 2017 @ 21:13:
Je config voor VPN is te uitgebreid en er zitten enkele depreceated opties in.
Gebruik onderstaand voor de eenvoud en je zit met toekomstige updates ook goed.

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34

vpn { ipsec { auto-firewall-nat-exclude enable disable-uniqreqids } l2tp { remote-access { authentication { local-users { username ubnt { password anotherpass } } mode local } client-ip-pool { start 192.168.4.150 stop 192.168.4.160 } dns-servers { server-1 192.168.4.1 } ipsec-settings { authentication { mode pre-shared-secret pre-shared-secret vpn123 } ike-lifetime 3600 } mtu 1492 outside-address 0.0.0.0 } } }

Maar omdat ik je de interne DNS geef, moet je ook zorgen dat deze hier op luistert. Dit is bij default niet zo.
Hierbij de one-liner

code:

1	set service dns forwarding options listen-address=192.168.4.1

Ik heb zelf geen Windows maar kun je puntje 6 van dit stukje even opnieuw uitvoeren?

Met de configuratie van jou werkt de VPN nu goed! Bij stap 6 van je link is het niet nodig om je lokale standaardgateway te gebruiken.

Kaalus schreef op dinsdag 24 januari 2017 @ 21:29:
Weet niet wat je voor je Edgerouter hebt hangen, maar Windows heeft het niet zo met L2TP achter NAT. Heb het zelf ook geprobeerd op deze manier, maar heeft onder Windows nooit gewerkt ondanks het volgen van aanwijzingen van Microsoft zelf. Lees o.a. dit artikel eens: https://support.microsoft...nd-in-windows-server-2008

Voor veel mensen online blijkt dit te helpen, bij mij werkte het niet. De VPN deed het wel onder Android, dus was een Windows iets.

L2TP kan met certificaten maar ook met een preshared key.

Ook bedankt voor deze informatie! Dit heeft ook geholpen met de oplossen van dit probleem. Heb de AssumeUDPEncapsulationContextOnSendRule nu op 2 staan en dit werkt.

Bedankt!