Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Vraag


  • Korakal
  • Registratie: oktober 2001
  • Laatst online: 11-06 15:23
Hi Tweakers,

Voor mijn werk maak ik naar één van onze klanten gebruik van een IPSEC VPN verbinding, met een VPN client. Ik heb een tijdje geleden mijn netwerkapparatuur thuis vervangen door Ubiqiti UniFi (USG + UniFi accesspoints) en kan sindsdien vanaf thuis geen VPN verbinding meer opzetten naar die klant. Op kantoor en via mijn mobiele hotspot gaat het op hetzelfde moment en/of vanaf dezelfde computer goed. De oorzaak zit dus ergens in mijn thuisnetwerk. Voordat ik UniFi had kon ik dit wel vanaf thuis.

Ik heb één topic gevonden op het UBNT forum en daar was de oplossing: het resetten van de VPN server in de USG. Ik heb echter geen VPN server, dus dat werkte uiteraard bij mij niet.

De VPN verbinding lijkt succesvol op te bouwen, ik krijg een IP adres aan de andere kant uitgedeeld, maar na even valt 'ie weer weg, is het IP weg en gaat de client weer opnieuw proberen op te bouwen, enzovoort. Ik krijg op geen enkel manier verkeer over de lijn.

Om uit te sluiten dat het aan mijn IP range thuis ligt (had overigens voorheen ook dezelfde range) heb ik die even omgezet naar een 10.x range. Helaas geen verschil. Verder heb ik DPI aanstaan, die heb ik voor de zekerheid uitgezet. Wederom geen verschil.

Ik ben even kwijt waar ik nu verder kan gaan proberen te zoeken. De VPN config kan ik overigens niets aan veranderen aan de serverkant (klant, plus werkt ergens anders goed) en de VPN client software heb ik weinig relevante instellingen kunnen ontdekken (maar daar kan ik het mis hebben; het is ShrewSoft VPN client op Windows 10). Ik heb hier geen logging in kunnen ontdekken die iets méér vertelt dan: ik ben wel/niet verbonden.

Wie geeft mij een duwtje in de goede richting?

Alle reacties


  • Steefph
  • Registratie: juli 2002
  • Laatst online: 19:23
Puur om alle testen te hebben gehad, je hebt ook al eens direct voor de USG je laptop verbonden? (Als dat al kan).

Al een keer zonder de firewall in de USG geprobeerd?

Alles is terug te redeneren naar 4


  • RobertMe
  • Registratie: maart 2009
  • Laatst online: 19:16
Dus de VPN server draait extern (bij een klant) en de VPN client heb je op een PC (in je thuisnetwerk) draaien. Lijkt me eerlijk gezegd sterk dat de USG daar dan invloed op heeft.

Enige wat ik mij kan bedenken is dat je door het veranderen van router nu een ander (extern) IP adres hebt en dit door de server geblokkeerd wordt. Maar dan is het gek dat je initieel wel verbinding lijkt te krijgen.

Heb je ook al eens getest als je je vorige router terug zet of het dan wel weer werkt? Ook om uit te sluiten dat toevallig rond dezelfde tijd iets anders veranderd is waardoor het niet meer werkt.

  • Korakal
  • Registratie: oktober 2001
  • Laatst online: 11-06 15:23
Steefph schreef op vrijdag 21 september 2018 @ 18:15:
Puur om alle testen te hebben gehad, je hebt ook al eens direct voor de USG je laptop verbonden? (Als dat al kan).
Goeie, niet aan gedacht. Daar werkt de VPN perfect. Nog meer reden om de USG te verdenken dus.
Al een keer zonder de firewall in de USG geprobeerd?
Nee, ook nog niet. Ik kan ook alleen 'destructive' uitschakelen vinden, waarbij ik niet weet hoe ik de eerdere staat weer terug krijg. Ik heb wel geprobeerd met bij WAN IN en WAN OUT een regel toegevoegd, alles 'allow' aangevinkt. Helaas geen succes.
RobertMe schreef op vrijdag 21 september 2018 @ 18:22:
Dus de VPN server draait extern (bij een klant) en de VPN client heb je op een PC (in je thuisnetwerk) draaien. Lijkt me eerlijk gezegd sterk dat de USG daar dan invloed op heeft.
Correct. En bovenstaande test lijkt er juist nog meer op dat het dat wel is. De uitgaande VPN connectie werkt dus goed als ik 'naast' de USG aansluit (Experiabox).
Enige wat ik mij kan bedenken is dat je door het veranderen van router nu een ander (extern) IP adres hebt en dit door de server geblokkeerd wordt. Maar dan is het gek dat je initieel wel verbinding lijkt te krijgen.

Heb je ook al eens getest als je je vorige router terug zet of het dan wel weer werkt? Ook om uit te sluiten dat toevallig rond dezelfde tijd iets anders veranderd is waardoor het niet meer werkt.
Zie bovenstaand, als ik vóór de USG test krijg ik wel gewoon verbinding. Ik heb verder niks veranderd, helaas is de oude router er niet meer.

  • laurens0619
  • Registratie: mei 2002
  • Laatst online: 02:44
Dat je hem er “naast” aansluit zou bijna impliceren dat je nat over nat doet, is dit het geval?

CISSP! Drop your encryption keys!


  • RobertMe
  • Registratie: maart 2009
  • Laatst online: 19:16
Die experiabox, draait die dan in bridge? Of heb je nu met de USG een NAT achter NAT verhaal? Wellicht dat dat nog roet in het eten gooit, maar waarschijnlijk had je dat op de oude router dan ook al?

Daarnaast zou het kunnen dat het iets met port forwards is. Dat via UPnP poorten in de router worden geforward maar bij de USG niet gebeurd. Dit omdat je bij de USG UPnP kunt in en uitschakelen (zelf heb ik dit uit staan, maar weet niet meer wat de standaard is). Dit staat onder Settings => Services => UPnP. En uiteraard ook opletten dat "Enable NAT Port Mapping Protocol" aan staat en UPnP ook aan staat voor het netwerk/VLAN waarop je PC is aangesloten. Eventueel kun je een lijst van active port forwards ook opvragen onder Insights, en dan bovenin in de dropdown "Port Forward Stats"

  • Korakal
  • Registratie: oktober 2001
  • Laatst online: 11-06 15:23
Het is inderdaad NAT over NAT, al heb ik de USG wel in de DMZ van de Experiabox staan om zo de firewall van de Experiabox te skippen. Overigens geheel gelijk als met mijn vorige router. Als ik mijn laptop op de Experiabox aansluit gaat 'ie dus nieteens in de DMZ.

Ik zal UPnP en NAT portmapping op de USG eens inspecteren en mee uitproberen.

  • Korakal
  • Registratie: oktober 2001
  • Laatst online: 11-06 15:23
OK, ik heb UpnP voor het (default) LAN netwerk aangezet, dat is degene waar ik op zit. Enable NAT Port Mapping protocol staat aan, en ik heb geprobeerd met en zonder 'enable secure mode'. Helaas, geen resultaat. Bij de insights (tabje UPnP) vind ik geen enkele actieve port forwards...

  • RobertMe
  • Registratie: maart 2009
  • Laatst online: 19:16
Welke firmware draai je?

Ik meen afgelopen dagen/weken op het community forum een thread gezien te hebben met VPN die niet up bleef waarbij de aan de andere kant draaide en het (nog gekker) iets te maken had met dat de server vervolgens in VMware/ESXI draaide. Op het forum kan ik zo snel niks terug vinden, maar ik meen dat het met een oudere firmware weer wel werkte (denk iets van 4.4.21)

  • Korakal
  • Registratie: oktober 2001
  • Laatst online: 11-06 15:23
Nieuwste, 5.8.30
Het is overigens al even aan de gang, zeker een maand of 2 (nog wel een keer voor de duidelijkheid: het heeft nooit op mijn setup gewerkt); heb telkens maar mijn hotspot gebruikt met het idee ‘ik moet er nog eens induiken’. Blijkt toch lastiger dan gedacht.
Ik kan waarschijnlijk niet zo’n eind downgraden?...

  • RobertMe
  • Registratie: maart 2009
  • Laatst online: 19:16
Korakal schreef op vrijdag 21 september 2018 @ 22:16:
Nieuwste, 5.8.30
Het is overigens al even aan de gang, zeker een maand of 2 (nog wel een keer voor de duidelijkheid: het heeft nooit op mijn setup gewerkt); heb telkens maar mijn hotspot gebruikt met het idee ‘ik moet er nog eens induiken’. Blijkt toch lastiger dan gedacht.
Ik kan waarschijnlijk niet zo’n eind downgraden?...
5.8.30 ziet er meer uit als een controller versie :p
De firmware versie zie je in het devices overzicht (vandaag is 4.4.29 uit gekomen, 2 weken terug 4.4.28, grote kans dus dat je een van die twee draait). 4.4.21 vindt je hier. De download link voor jouw model kun je kopiëren, en dan in de controller naar Devices => USG => Config => Manage Device. Bij Custom upgrade deze URL plakken en op de upgrade knop klikken.

  • Korakal
  • Registratie: oktober 2001
  • Laatst online: 11-06 15:23
Oohh sorry, ik heb idd niet goed gelezen. Het is 4.4.28.

Bedankt voor je suggestie, ik ga ‘m morgen eens naar 4.4.21 downgraden!

  • Korakal
  • Registratie: oktober 2001
  • Laatst online: 11-06 15:23
Die heb ik inmiddels op de USG gezet, helaas geen verschil. Getest met en zonder DPI, met en zonder UPnP en met en zonder firewall 'allow all' regels...
;(

  • Thralas
  • Registratie: december 2002
  • Laatst online: 00:51
Als je verbinding wegvalt dan neem ik aan dat je VPN-client je wel het één en ander aan logoutput geeft?

Zou het zoeken in de hoek van timeouts. Je kunt op die Ubiquiti vast wel de connection tracking table inzien, hou die eens in de gaten voor de relevante IPsec-protocollen (IPsec AH/ESP en UDP 500/4500)?

  • HKLM_
  • Registratie: februari 2009
  • Laatst online: 22:11
Heb je geen IPS meldingen toevallig?

⛔Trackers of betalen...⛔


  • Korakal
  • Registratie: oktober 2001
  • Laatst online: 11-06 15:23
Thralas schreef op zaterdag 22 september 2018 @ 11:23:
Als je verbinding wegvalt dan neem ik aan dat je VPN-client je wel het één en ander aan logoutput geeft?

Zou het zoeken in de hoek van timeouts. Je kunt op die Ubiquiti vast wel de connection tracking table inzien, hou die eens in de gaten voor de relevante IPsec-protocollen (IPsec AH/ESP en UDP 500/4500)?
De VPN client heeft bijzonder magere logging... er verschijnt niks in. Ik zie geen mogelijkheden om die bij te stellen, heb alle opties langsgelopen.

Ik heb gevonden hoe ik de connection tracking table kan inzien (sudo conntrack -L), maar ik kan dat niet goed interpreteren:
mark@UnifiSecurityGateway:~$ sudo conntrack -L -d 217.63.x.x
udp 17 179 src=192.168.1.29 dst=217.63.x.x sport=60322 dport=4500 src=217.63.x.x dst=192.168.0.1 sport=4500 dport=60322 [ASSURED] mark=0 use=1
udp 17 4 src=192.168.1.29 dst=217.63.x.x sport=60321 dport=500 src=217.63.x.x dst=192.168.0.1 sport=500 dport=60321 mark=0 use=1
conntrack v0.9.14 (conntrack-tools): 2 flow entries have been shown.

1.29 is mijn computer, 0.1 is het WAN IP van de USG en .x.x het VPN endpoint.
HKLM_ schreef op zaterdag 22 september 2018 @ 11:33:
Heb je geen IPS meldingen toevallig?
Sorry, dat begrijp ik niet helemaal. Waar zou ik die moeten zien?

  • HKLM_
  • Registratie: februari 2009
  • Laatst online: 22:11
Korakal schreef op zaterdag 22 september 2018 @ 11:40:
[...]

De VPN client heeft bijzonder magere logging... er verschijnt niks in. Ik zie geen mogelijkheden om die bij te stellen, heb alle opties langsgelopen.

Ik heb gevonden hoe ik de connection tracking table kan inzien (sudo conntrack -L), maar ik kan dat niet goed interpreteren:
mark@UnifiSecurityGateway:~$ sudo conntrack -L -d 217.63.x.x
udp 17 179 src=192.168.1.29 dst=217.63.x.x sport=60322 dport=4500 src=217.63.x.x dst=192.168.0.1 sport=4500 dport=60322 ~~~[ASSURED] mark=0 use=1
udp 17 4 src=192.168.1.29 dst=217.63.x.x sport=60321 dport=500 src=217.63.x.x dst=192.168.0.1 sport=500 dport=60321 mark=0 use=1
conntrack v0.9.14 (conntrack-tools): 2 flow entries have been shown.

1.29 is mijn computer, 0.1 is het WAN IP van de USG en .x.x het VPN endpoint.


[...]

Sorry, dat begrijp ik niet helemaal. Waar zou ik die moeten zien?
In je settingen menu heb je een optie IPS heb je die aanstaan? Als je meldingen heb zou je in je notificatie center meldingen moeten zien als die het blokkeerd.

⛔Trackers of betalen...⛔


  • Korakal
  • Registratie: oktober 2001
  • Laatst online: 11-06 15:23
Ah ik zie wat je bedoelt. IPS staat geheel uit (disabled).

  • Brahiewahiewa
  • Registratie: oktober 2001
  • Laatst online: 00:37

Brahiewahiewa

boelkloedig

Korakal schreef op vrijdag 21 september 2018 @ 17:59:
... het is ShrewSoft VPN client op Windows 10...
Waarom gebruik je een vpn-client die al 5 jaar niet ge-update is?
Wat kannie allemaal wat de native windows vpn-client niet kan?

QnJhaGlld2FoaWV3YQ==


  • Korakal
  • Registratie: oktober 2001
  • Laatst online: 11-06 15:23
Dit is wat ik van onze klant krijg, een configfile en een link naar de VPN client. Ik zie zoveel configparameters dat ik geen idee heb of en hoe ik dat op de ingebouwde Windows VPN client kan gebruiken 😱
Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True