IPsec geblokkeerd in router

]Goedemorgen allen,

Ik zit met het volgende probleem waar ik maar niet uitkom.
Ik wil graag een vpn verbinding opzetten naar mijn eigen netwerk om zo een externe plc te kunnen benaderen.
Ik heb daarvoor een L2TP met IPsec opgetuigd, maar ik kan die alleen intern gebruiken. Van buitenaf is de verbinding niet te gebruiken.
De beoogde situatie is als volgt:

Ik heb een Connectbox van Ziggo, die in bridgemodus staat. Die geeft netjes 1 openbaar ipv4 adres af.
Daarachter hangt een TP-Link Archer c7 V2 router die het normale netwerk hier beheerd.
Op 1 poort daarvan is een Mikrotik HAP Lite aangesloten waarop de vpn server draait. De Mikrotik heeft in de TP-Link een statisch ip adres gekregen (192.168.178.30 en de poorten 500/1701/4500 zijn geforward naar dit adres.
Omdat het toen niet werkte, heb ik dit ip adres ook toegevoegd in DMZ, echter zonder resultaat.
Bijgaand wat shots van wellicht relevante pagina's met instellingen.

De bedoeling van het hele verhaal is om een plc 6 km verderop met behulp van een 3G Phoenix Contact modem met vpn functie te kunnen benaderen met een laptop/telefoon vanaf een willekeurige locatie. Als beide dan in hetzelfde netwerk zitten, kan ik de plc eenvoudig via het interne adres benaderen, zo is de gedachte. Nu is het zo dat het intern allemaal wel werkt. Ik heb geprobeerd om een verbinding op te bouwen via het interne adres, dus op het voor de Mikrotik gereserveerde ip adres van de TP-link. Dit adres is 192.168.178.30 wat dus op MAC is gereserveerd voor de Mikrotik die zelf 192.168.88.1 als gateway heeft. De verbinding is dus prima op te bouwen op 192.168.178.30. In de TP-Link is Passthrough enabled, dus daaraan ligt het ook niet. Toch wil het van buitenaf niet verbinden. Zie ik iets over het hoofd?

https://www.mupload.nl/img/q0gme8avv7a.jpg
https://www.mupload.nl/img/d4ha4iin3xi.jpg
https://www.mupload.nl/img/hwbcksgy.jpg

lier schreef op donderdag 26 december 2019 @ 14:18:
[...]

Dan is het toch echt een router met een minderwaardigheidscomplex...tenzij je NAT niet als iets van een router functie ziet!? En het klopt, de Lite is niet een snelheidsmonster wat er dus ook voor gaat zorgen dat je VPN verbinding niet echt snel gaat zijn. Maar met RouterOS tover je elke doos tot een echte router.

Doe ermee wat je wil, met je huidige apparatuur ga je niet het maximale eruit halen. En volgens mij is het antwoord al gegeven...


[Edit]Hopelijk realiseer je je dat je met de gekozen route alleen het netwerk achter de MikroTik kan benaderen? Misschien is dat je bedoeling...

Dat de vpn niet te snel wordt, is niet erg. Er worden maar zeer kleine pakketjes data verstuurd om de ingangen van de plc aan te sturen. Als ik dan alleen met de plc in het subnet zit, is eigenlijk alleen maar meegenomen, aangezien de rest van het netwerk er ook niks mee van doen heeft.

Tja, de TP-link staat er ook al even, dus zal geen hedendaagse topsnelheid halen, maar hij voldoet eigenlijk nog best.

Het gegeven antwoord, zoals je aangeeft is me dan even ontgaan denk ik. Ik ga dadelijk Telnet even proberen. Kijken wat ie dan doet.

[update] Telnet geprobeerd. Als test op poort 80 geen probleem. Poorten 500/4500/1701 geen verbinding mogelijk. Dan lijkt het toch een forward probleem te zijn. Intern werkt het tenslotte ook waarbij instellingen in de vpn server dus goed zijn.

[ Voor 9% gewijzigd door Kopieerapparaat op 26-12-2019 19:20 . Reden: aanvulling ]

Ik heb in dezelfde configuratie een verbinding met pptp ingesteld. En dat blijkt zonder problemen te werken. Het begint erop te lijken dat de TP-LINK gewoon niet om kan gaan met protocollen die gebruikt worden voor Ipsec en bijbehorende portforwarding in tegenstelling tot wat de firmware aan opties biedt. Raar geval, maar blijkbaar kan ie het simpelweg niet.

Brahiewahiewa schreef op zaterdag 28 december 2019 @ 10:54:
[...]

in de specsheet staat desondanks: VPN-pass through: PPTP, L2TP, IPSec

Dat klopt, in de firmware kun je ook alles enabled zetten, maar de portforwarding ervoor functioneert gewoon niet. Tenminste niet voor Ipsec. Ook niet voor openvpn trouwens. Alleen pptp poort werkt. Misschien een bug in de firmware, alleen zouden er dan meer last van hebben. Update naar de laatste firmware veranderd er ook niets aan. Ik zou niet weten wat ik er verder nog aan kan doen, dan alleen de router vervangen.

synoniem schreef op zaterdag 28 december 2019 @ 13:51:
Wat ik zo zie zou je nog een rule als eerste moeten toevoegen namelijk Action: Passthrough > Chain:Forward.

Die regel heb ik ook nog toegevoegd, maar het heeft geen resultaat vor benadering van buitenaf. Poorten zijn ook met Telnet niet bereikbaar. Intern nog steeds geen probleem, zelfs niet op het ip dat de Mikrotik van de TP-Link krijgt. Dat werkt ook prima.

https://www.mupload.nl/img/femudi7ahyk5n.jpg

[Update]
Ik heb intussen een Linksys router voorzien van DD-WRT. Hiermee heb ik dezelfde configuratie opgebouwd. De Linksys net zo ingesteld als de TP-Link met de Mikrotik erachter. Ook zaken als IP range ed. zijn identiek aan de TP-link. Resultaat: Hetzelfde als met de TP-Link. Wel intern, extern gaat niet. Ander apparaat, andere firmware, dus de TP-Link kan als oorzaak uitgesloten worden.

Ik vraag me af of de problemen niet veroorzaakt worden doordat deze configuratie momenteel eigenlijk dubbel NAT heeft. Heeft iemand daar ervaring mee hoe een dergelijke verbinding daarmee omgaat? Het lijkt me sterk dat de blokkade al bij de ISP zit, Ziggo in mijn geval. Ik weet dat ze enkele poorten blokkeren, maar niet 500, 1701 en 4500 naar mijn weten. Ik kan er ook niet veel over vinden. Misschien dat iemand daar meer over weet?

[ Voor 54% gewijzigd door Kopieerapparaat op 29-12-2019 00:02 ]