Toon posts:

Tunnelen via een VLAN igv T-Mobile icm Edgerouter X SFP

Pagina: 1
Acties:

Vraag

dinsdag 19 juni 2018 14:30

Acties:
  • 0 Henk 'm!
  • AstrAir
  • Registratie: Februari 2001
  • Laatst online: 02-10-2024

AstrAir

Topicstarter
i-net: T-Mobile fiber 750/750
De Draytek "verruild" voor een Edgerouter X SFP
T-Mobile internet wordt via VLAN 300 aangeboden.
Op eth5 VLAN 300 aangemaakt => eth5.300
Nu wil ik een tunnel opbouwen naar de Edgerouter Lite op mijn werk (Netrebel).
Eerst ipsec geprobeerd. Geen contact.
ipsec via vti's. Geen contact.
OpenVPN geprobeerd (vtun0). Geen contact.
Dmv een tcpdump zag ik dat al het 1194 verkeer via eth5.300 verstuurd wordt. Komt dus nooit aan op vtun0.
Lijkt me dat vtun0 NAAST eth5.300 ligt.

Nu de vraag ... hoe kan ik een tunnel maken ACHTER eth5.300 ?
Of werkt dat zo niet? en moet ik een static route maken?
Moet ik T-Mobile op een managed-switch binnen laten komen, en dan de X erachter?

[ Voor 5% gewijzigd door AstrAir op 19-06-2018 15:26 ]

jazekerja !! ... linux geinstalleerd, en nu .... ??

Alle reacties

dinsdag 19 juni 2018 15:44

Acties:
  • 0 Henk 'm!
  • RobinF
  • Registratie: Augustus 2014
  • Laatst online: 10-08 10:33

RobinF

vtun0 gaat natuurlijk OVER eth5.300 (tenzij je meerdere ISP hebt), en je zal het verkeer dan ook op eth5.300 zien (al dan niet geencrypt).

Misschien VPN config even checken? Output van bijvoorbeeld show vpn ipsec sa, sudo swanctl --log of sudo ipsec statusall?

[ Voor 30% gewijzigd door RobinF op 19-06-2018 15:46 ]

dinsdag 19 juni 2018 16:25

Acties:
  • 0 Henk 'm!
  • AstrAir
  • Registratie: Februari 2001
  • Laatst online: 02-10-2024

AstrAir

Topicstarter
ipsec heb ik niet meer gedefinieerd.

Dit is wat ik op de Lite heb gedefinieerd.

show openvpn status site-to-site
OpenVPN client status on vtun0 []

Remote CN Remote IP Tunnel IP TX byte RX byte Connected Since
--------------- --------------- --------------- ------- ------- ---------------------
---
None (PSK) <REMOTE WAN_IP> 10.255.12.1 180 0 N/A

show interfaces openvpn
openvpn vtun0 {
local-address 10.255.12.2 {
subnet-mask 255.255.255.252
}
local-host <WAN_IP>
local-port 1194
mode site-to-site
openvpn-option --float
openvpn-option "--ping 10"
openvpn-option "--ping-restart 20"
openvpn-option --ping-timer-rem
openvpn-option --persist-tun
openvpn-option --persist-key
openvpn-option "--user nobody"
openvpn-option "--group nogroup"
remote-address 10.255.12.1
remote-host <REMOTE WAN_IP>
remote-port 1194
shared-secret-key-file /config/auth/secret
}

show protocols static interface-route
interface-route 192.168.2.0/24 {
next-hop-interface vtun0 {
}
}

show firewall name WAN_LOCAL rule 30
action accept
description openvpn
destination {
port 1194
}
protocol udp

packet capture:
14:21:29.342340 IP <WAN_IP>.1194 > 1.2.3.4.1194: UDP, length 53 (andere OpenVPN vanaf een computer)
14:21:36.697438 IP <WAN_IP>.1194 > <REMOTE WAN_IP>.1194: UDP, length 60
14:21:38.081502 IP 1.2.3.4.1194 > <WAN_IP>.1194: UDP, length 53 (andere OpenVPN vanaf een computer)
14:21:46.140007 IP <WAN_IP>.1194 > <REMOTE WAN_IP>.1194: UDP, length 60

Zal vanavond de info van de X posten.

jazekerja !! ... linux geinstalleerd, en nu .... ??

dinsdag 19 juni 2018 17:37

Acties:
  • 0 Henk 'm!
  • terror538
  • Registratie: Juni 2002
  • Laatst online: 14-08 11:18

terror538

vtun0 is je virtuele interface vpn interface; verkeer van buiten connect naar de server op het wan IP en komt er dan 'uit' via de vtun0.

dus dat je het 1194 verkeer over de vlan ziet lopen klopt.

Misschien een firewalling issue?

too weird to live too rare to die

dinsdag 19 juni 2018 19:26

Acties:
  • 0 Henk 'm!
  • AstrAir
  • Registratie: Februari 2001
  • Laatst online: 02-10-2024

AstrAir

Topicstarter
Ik heb deze instructies gevolgd:
https://help.ubnt.com/hc/...uter-OpenVPN-Site-to-Site

jazekerja !! ... linux geinstalleerd, en nu .... ??

dinsdag 19 juni 2018 19:39

Acties:
  • 0 Henk 'm!
  • AstrAir
  • Registratie: Februari 2001
  • Laatst online: 02-10-2024

AstrAir

Topicstarter
Op deze EdgeRouter X:

show openvpn status site-to-site
OpenVPN client status on vtun0 []

Remote CN Remote IP Tunnel IP TX byte RX byte Connected Since
--------------- --------------- --------------- ------- ------- ----------------
--------
None (PSK) <REMOTE WAN_IP> 10.255.12.2 60 0 N/A

show interfaces openvpn
openvpn vtun0 {
local-address 10.255.12.1 {
subnet-mask 255.255.255.252
}
local-host <WAN_IP>
local-port 1194
mode site-to-site
openvpn-option --float
openvpn-option "--ping 10"
openvpn-option "--ping-restart 20"
openvpn-option --ping-timer-rem
openvpn-option --persist-tun
openvpn-option --persist-key
openvpn-option "--user nobody"
openvpn-option "--group nogroup"
remote-address 10.255.12.2
remote-host <REMOTE WAN_IP>
remote-port 1194
shared-secret-key-file /config/auth/secret
}

show protocols static interface-route
interface-route 192.168.0.0/24 {
next-hop-interface vtun0 {
}
}

show firewall name WAN_LOCAL rule 30
action accept
description openvpn
destination {
port 1194
}
protocol udp

packet capture:
17:35:08.120598 IP <WAN_IP>.1194 > <REMOTE WAN_IP>.1194: UDP, length 60
17:35:08.120792 IP <WAN_IP>.1194 > <REMOTE WAN_IP>.1194: UDP, length 60


tail -f /var/log/messages | grep 1194
Jun 19 17:44:30 ubnt openvpn[10487]: UDPv4 link local (bound): [AF_INET]5.132.120.247:1194
Jun 19 17:44:30 ubnt openvpn[10487]: UDPv4 link remote: [AF_INET]100.65.47.254:1194

[ Voor 6% gewijzigd door AstrAir op 19-06-2018 19:45 ]

jazekerja !! ... linux geinstalleerd, en nu .... ??

dinsdag 19 juni 2018 21:06

Acties:
  • 0 Henk 'm!
  • AstrAir
  • Registratie: Februari 2001
  • Laatst online: 02-10-2024

AstrAir

Topicstarter
OpenVPN verwijderd.
IPsec nog eens ingesteld:
THUIS: show vpn ipsec sa
peer-WERK_WAN-tunnel-1: #1, CONNECTING, IKEv1, 9477f5771c65ec4e:0000000000000000
local '%any' @ THUIS_WAN
remote '%any' @ WERK_WAN
queued: QUICK_MODE
active: ISAKMP_VENDOR ISAKMP_CERT_PRE MAIN_MODE ISAKMP_CERT_POST ISAKMP_NATD

WERK: show vpn ipsec sa
<niets>

instructies:
https://help.ubnt.com/hc/en-us/articles/115012831287

Als er meer te doen is, waarom is deze instructie dan zo gebrekkig ...

jazekerja !! ... linux geinstalleerd, en nu .... ??

dinsdag 19 juni 2018 21:44

Acties:
  • 0 Henk 'm!
  • AstrAir
  • Registratie: Februari 2001
  • Laatst online: 02-10-2024

AstrAir

Topicstarter
WERK type : initiate
THUIS type: respond

THUIS command tty1: "sudo tcpdump -i eth5.300 -n udp dst port 500 or port 4500"
WERK command tty1: "sudo tcpdump -i eth0 -n udp dst port 500 or port 4500"

WERK command tty2: "ping 192.168.2.6"

THUIS response tty1: "19:36:11.620082 IP 185.x.x.x.56617 > THUIS_IP.500: isakmp: phase 1 I ident"
WERK response tty1: "19:36:11.628171 IP THUIS_IP.500 > WERK_IP.500: isakmp: phase 2/others R inf"
THUIS response tty1: ""
WERK response tty1: ""
stil ... maar waar komt dat 185- adres vandaan?

Network lookup:
inetnum: 185.92.69.0 - 185.92.69.255
netname: NETREBEL
descr: Netrebel internet

[ Voor 9% gewijzigd door AstrAir op 19-06-2018 21:47 ]

jazekerja !! ... linux geinstalleerd, en nu .... ??

dinsdag 19 juni 2018 22:35

Acties:
  • 0 Henk 'm!
  • AstrAir
  • Registratie: Februari 2001
  • Laatst online: 02-10-2024

AstrAir

Topicstarter
Heb een one-way oplossing gevonden:
https://community.ubnt.co...68/highlight/true#M178764

Dwz vanaf mijn werk naar huis is nu mogelijk. Belangrijker is THUIS -> WERK

jazekerja !! ... linux geinstalleerd, en nu .... ??

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 • Hosting door TrueFullstaq