[Ubiquiti USG] Geen VPN passthrough

Hi Tweakers,

Voor mijn werk maak ik naar één van onze klanten gebruik van een IPSEC VPN verbinding, met een VPN client. Ik heb een tijdje geleden mijn netwerkapparatuur thuis vervangen door Ubiqiti UniFi (USG + UniFi accesspoints) en kan sindsdien vanaf thuis geen VPN verbinding meer opzetten naar die klant. Op kantoor en via mijn mobiele hotspot gaat het op hetzelfde moment en/of vanaf dezelfde computer goed. De oorzaak zit dus ergens in mijn thuisnetwerk. Voordat ik UniFi had kon ik dit wel vanaf thuis.

Ik heb één topic gevonden op het UBNT forum en daar was de oplossing: het resetten van de VPN server in de USG. Ik heb echter geen VPN server, dus dat werkte uiteraard bij mij niet.

De VPN verbinding lijkt succesvol op te bouwen, ik krijg een IP adres aan de andere kant uitgedeeld, maar na even valt 'ie weer weg, is het IP weg en gaat de client weer opnieuw proberen op te bouwen, enzovoort. Ik krijg op geen enkel manier verkeer over de lijn.

Om uit te sluiten dat het aan mijn IP range thuis ligt (had overigens voorheen ook dezelfde range) heb ik die even omgezet naar een 10.x range. Helaas geen verschil. Verder heb ik DPI aanstaan, die heb ik voor de zekerheid uitgezet. Wederom geen verschil.

Ik ben even kwijt waar ik nu verder kan gaan proberen te zoeken. De VPN config kan ik overigens niets aan veranderen aan de serverkant (klant, plus werkt ergens anders goed) en de VPN client software heb ik weinig relevante instellingen kunnen ontdekken (maar daar kan ik het mis hebben; het is ShrewSoft VPN client op Windows 10). Ik heb hier geen logging in kunnen ontdekken die iets méér vertelt dan: ik ben wel/niet verbonden.

Wie geeft mij een duwtje in de goede richting?

Steefph schreef op vrijdag 21 september 2018 @ 18:15:
Puur om alle testen te hebben gehad, je hebt ook al eens direct voor de USG je laptop verbonden? (Als dat al kan).

Goeie, niet aan gedacht. Daar werkt de VPN perfect. Nog meer reden om de USG te verdenken dus.

Al een keer zonder de firewall in de USG geprobeerd?

Nee, ook nog niet. Ik kan ook alleen 'destructive' uitschakelen vinden, waarbij ik niet weet hoe ik de eerdere staat weer terug krijg. Ik heb wel geprobeerd met bij WAN IN en WAN OUT een regel toegevoegd, alles 'allow' aangevinkt. Helaas geen succes.

RobertMe schreef op vrijdag 21 september 2018 @ 18:22:
Dus de VPN server draait extern (bij een klant) en de VPN client heb je op een PC (in je thuisnetwerk) draaien. Lijkt me eerlijk gezegd sterk dat de USG daar dan invloed op heeft.

Correct. En bovenstaande test lijkt er juist nog meer op dat het dat wel is. De uitgaande VPN connectie werkt dus goed als ik 'naast' de USG aansluit (Experiabox).

Enige wat ik mij kan bedenken is dat je door het veranderen van router nu een ander (extern) IP adres hebt en dit door de server geblokkeerd wordt. Maar dan is het gek dat je initieel wel verbinding lijkt te krijgen.

Heb je ook al eens getest als je je vorige router terug zet of het dan wel weer werkt? Ook om uit te sluiten dat toevallig rond dezelfde tijd iets anders veranderd is waardoor het niet meer werkt.

Zie bovenstaand, als ik vóór de USG test krijg ik wel gewoon verbinding. Ik heb verder niks veranderd, helaas is de oude router er niet meer.

Nieuwste, 5.8.30
Het is overigens al even aan de gang, zeker een maand of 2 (nog wel een keer voor de duidelijkheid: het heeft nooit op mijn setup gewerkt); heb telkens maar mijn hotspot gebruikt met het idee ‘ik moet er nog eens induiken’. Blijkt toch lastiger dan gedacht.
Ik kan waarschijnlijk niet zo’n eind downgraden?...

Oohh sorry, ik heb idd niet goed gelezen. Het is 4.4.28.

Bedankt voor je suggestie, ik ga ‘m morgen eens naar 4.4.21 downgraden!

Die heb ik inmiddels op de USG gezet, helaas geen verschil. Getest met en zonder DPI, met en zonder UPnP en met en zonder firewall 'allow all' regels...

Thralas schreef op zaterdag 22 september 2018 @ 11:23:
Als je verbinding wegvalt dan neem ik aan dat je VPN-client je wel het één en ander aan logoutput geeft?

Zou het zoeken in de hoek van timeouts. Je kunt op die Ubiquiti vast wel de connection tracking table inzien, hou die eens in de gaten voor de relevante IPsec-protocollen (IPsec AH/ESP en UDP 500/4500)?

De VPN client heeft bijzonder magere logging... er verschijnt niks in. Ik zie geen mogelijkheden om die bij te stellen, heb alle opties langsgelopen.

Ik heb gevonden hoe ik de connection tracking table kan inzien (sudo conntrack -L), maar ik kan dat niet goed interpreteren:
mark@UnifiSecurityGateway:~$ sudo conntrack -L -d 217.63.x.x
udp 17 179 src=192.168.1.29 dst=217.63.x.x sport=60322 dport=4500 src=217.63.x.x dst=192.168.0.1 sport=4500 dport=60322 [ASSURED] mark=0 use=1
udp 17 4 src=192.168.1.29 dst=217.63.x.x sport=60321 dport=500 src=217.63.x.x dst=192.168.0.1 sport=500 dport=60321 mark=0 use=1
conntrack v0.9.14 (conntrack-tools): 2 flow entries have been shown.

1.29 is mijn computer, 0.1 is het WAN IP van de USG en .x.x het VPN endpoint.

HKLM_ schreef op zaterdag 22 september 2018 @ 11:33:
Heb je geen IPS meldingen toevallig?

Sorry, dat begrijp ik niet helemaal. Waar zou ik die moeten zien?

Ah ik zie wat je bedoelt. IPS staat geheel uit (disabled).

Dit is wat ik van onze klant krijg, een configfile en een link naar de VPN client. Ik zie zoveel configparameters dat ik geen idee heb of en hoe ik dat op de ingebouwde Windows VPN client kan gebruiken 😱