Thuis VPN server connectie problemen

zaterdag 18 januari 2020 19:31

Acties:

0 Henk 'm!

Topicstarter

Ik loop tegen een irritant probleem aan met het verbinden met een vpn server die ik thuis opgezet heb.

In het kort is het probleem dat ik binnen mn eigen netwerk zonder problemen verbinding kan maken met de vpn, maar daarbuiten niet. Dus het probleem lijkt me in de forwarding te zitten. Echter snap ik niet waarom.

Ik heb een W10 machine ingericht als thuisserver. Niets speciaals. Download, file, Emby en (hopelijk) vpn servertje.
Ik gebruik hiervoor Softether VPN server. Dit is een soort van OpenVPN server, alleen dan een stuk gebruiksvriendelijker.
Dit krijg ik prima aan de praat, en ik kan er vanuit mijn interne netwerk gebruik van maken.
Ik heb dit al twee maal eerder geïnstalleerd, en na het enige geklooi ook extern aan de praat gekregen. Echter heb ik het hier over een hobby bakje, dus is die al meerdere malen geleegd. En nu een paar maanden later probeer ik het weer eens aan de praat te krijgen. Het lukt me alleen op geen enkele manier om er van buitenaf mee te connecten.
Ik probeer dit in eerste instantie via m'n android telefoon (via 4g), maar het enige antwoord dat ik krijg is dat de verbinding mislukt is.
Het lijkt er (misschien) wel op dat ie door de firewall heen komt. Als ik een verkeerd ipadres invul krijg ik een foutmelding binnen 2 seconden. Maar met het juiste adres is die een halve minuut bezig voor die melding komt.
Ik heb het ook geprobeerd met een laptop die binnen m'm netwerk gewoon verbinding met m'n server krijgt, maar via de tethering van de telefoon een foutmelding geeft.
Hij lijkt verbinding te maken, maar met het checken van de credentials (die intern wel gewoon werken) blijft die hangen.

Op de modem/router heb ik de juiste poorten doorgestuurd (500, 4500, 1701 UDP). Deze hebben op de eerdere installaties prima gewerkt.

Aangezien ik hier niet uitkwam heb ik het maar op de simpele Windows manier geprobeerd. Dus gewoon de VPN server van W10 zelf.
Die werkt net als Sothether prima van binnenuit, maar van buitenaf loop ik tegen dezelfde problemen aan.
Bij de W10 VPN server heb ik de 1723 TCP poort doorgestuurd naar m;n server. Ook een aparte rule gemaakt in de firewall voor een inkomende tcp verbinding op die poort.

Ik ben nu dus eigenlijk door al m'n opties heen, dus hopelijk heeft iemand een idee wat ik fout doe, of een alternatief heeft

De gebruikte modem is trouwens een Zyxel VMG8324-B10A van Tweak (glasvezel).

zaterdag 18 januari 2020 19:39

Acties:

+1 Henk 'm!

JdM

Humbled

Kleine open deur om mee te beginnen: Je hebt hem al eens op nieuw opgestart? Netwerkkaarten opnieuw geïnstalleerd?
Zo ja, wil je dan nog alle stappen die je doorlopen hebt benoemen?

[ Voor 42% gewijzigd door JdM op 18-01-2020 19:40 ]

zaterdag 18 januari 2020 19:58

Acties:

+1 Henk 'm!

fm77

Topicstarter

Bedankt voor je antwoord, maar uiteraard heb ik de "did you restart it" optie al geprobeerd

De netwerkkaart heb ik niet opnieuw geïnstalleerd. Lijkt mij ook niet van toepassing aangezien het van binnen mijn netwerk wel gewoon werkt (op diezelfde netwerkkaart). Mocht dit wellicht toch een issue kunnen zijn sta ik daar zeker wel voor open.
Ik weet niet of het nuttige informatie is, maar ik heb ook nog een paar hyper-V servers draaien, waardoor er extra virtuele netwerkkaarten aangemaakt zijn. Geen idee of die wellicht problemen kunnen veroorzaken?

Om nog even een overzicht van mijn netwerk te maken: Die is vrij simpel:
Alles hangt rechtstreeks achter de geleverde modem/router. Er hangt verder niets tussen. Server en desktop zijn bedraad aangesloten.

Ik zou graag alle stappen willen benoemen, maar die heb ik zover ik kan zien in mijn eerste post gedaan (zonder die nog langer te moeten maken). Zijn er stappen die je mist die extra informatie kunnen geven?

zondag 19 januari 2020 00:11

Acties:

0 Henk 'm!

ehvc

Heb je toevallig op devices static ip's hard ingesteld of heb je gebruik gemaakt van toevoegen van het MAC adres in de modem

zondag 19 januari 2020 01:10

Acties:

0 Henk 'm!

fm77

Topicstarter

ehvc schreef op zondag 19 januari 2020 @ 00:11:
Heb je toevallig op devices static ip's hard ingesteld of heb je gebruik gemaakt van toevoegen van het MAC adres in de modem

M'n vaste pc en de server zijn voorzien van een vast ip. De vpn clients heb ik ingesteld in de .200+ range via dhcp. Ik heb verder geen macadressen toegevoegd.

Het vreemde is dat ik wel degelijk een verschil merk met een verkeerd ip adres. In dat geval kapt ie er meteen mee. Echter als ik het juiste ip invul dan doet hij er een stuk langer over voor ik de foutmelding krijg.
Hij gaat dan naar "Connecting", en daarna naar "verifying credentials". Dus je zou denken dat ie wel door de firewall heen komt. Maar diezelfde credentials werken wel binnen mijn netwerk....
Helaas is windows (en android al helemaal) vrij sumier in de beschrijving van de foutmelding...
Ik weet dus nog steeds niet waar ik het moet zoeken

zondag 19 januari 2020 01:53

Acties:

0 Henk 'm!

boyette

fm77 schreef op zaterdag 18 januari 2020 @ 19:31:
Ik loop tegen een irritant probleem aan met het verbinden met een vpn server die ik thuis opgezet heb.

Op de modem/router heb ik de juiste poorten doorgestuurd (500, 4500, 1701 UDP). Deze hebben op de eerdere installaties prima gewerkt.

en je gebruikt ook echt alleen deze poorten ?

forward deze eens allemaal en kijk eens wat er dan gebeurt

UDP poorten 1194, 1197, 1198, 8080, 9201 en 53.
TCP poorten 502, 501, 443, 110, en 80

[ Voor 16% gewijzigd door boyette op 19-01-2020 01:53 ]

zondag 19 januari 2020 01:55

Acties:

+1 Henk 'm!

johnkeates

Wat zie je in je packet captures op de ingress devices (gateway, switch, server enz). Het zal ergens binnen komen en door je netwerk stromen en dan opeens stoppen, dan weet je dat daar je probleem zit. Zie je helemaal niks, dan heb je waarschijnlijk niet het juiste adres.

zondag 19 januari 2020 02:39

Acties:

0 Henk 'm!

fm77

Topicstarter

boyette schreef op zondag 19 januari 2020 @ 01:53:
[...]
forward deze eens allemaal en kijk eens wat er dan gebeurt

UDP poorten 1194, 1197, 1198, 8080, 9201 en 53.
TCP poorten 502, 501, 443, 110, en 80

Ik heb Softether ondertussen al verwijderd om te kunnen testen met de Windows vpn server. TCP 1723 zou daar toch voldoende voor moeten zijn?
Andere poorten die ik forward werken gewoon prima (torrents bijvoorbeeld).
Ik ga ze morgen wel even testen, maar ik begin te vermoeden dat het probleem ergens anders ligt

johnkeates schreef op zondag 19 januari 2020 @ 01:55:
Wat zie je in je packet captures op de ingress devices (gateway, switch, server enz). Het zal ergens binnen komen en door je netwerk stromen en dan opeens stoppen, dan weet je dat daar je probleem zit. Zie je helemaal niks, dan heb je waarschijnlijk niet het juiste adres.

Ik heb me nog niet met packet captures bezig gehouden. Het zou geen kwaad kunnen om te kijken of er überhaupt iets binnen komt.
Ik ben daar helaas niet zo bedreven in. De enige die ik ken is wireshark... Zou ik daarmee kunnen zien of er verbindingen binnen komen?

Het is jammer dat dit zo moeizaam gaat. Helemaal gezien ik het al een paar keer werkend gehad heb. Helaas wel steeds met de nodige kopzorgen... Helaas ben ik kwijt hoe ik het destijds opgelost had

Maar voor mijn gemoedsrust... Als ik intern gebruik kan maken van de vpn (in dit geval de makkelijkste optie, die van W10 zelf), dan zou de 1723 poort forwarden toch voldoende moeten zijn?

zondag 19 januari 2020 02:45

Acties:

0 Henk 'm!

boyette

fm77 schreef op zondag 19 januari 2020 @ 02:39:
[...]

Ik heb Softether ondertussen al verwijderd om te kunnen testen met de Windows vpn server. TCP 1723 zou daar toch voldoende voor moeten zijn?
Andere poorten die ik forward werken gewoon prima (torrents bijvoorbeeld).
Ik ga ze morgen wel even testen, maar ik begin te vermoeden dat het probleem ergens anders ligt

vandaar dat ik het ook vraag

want als het dan wel werkt weet je waar het probleem zit
als het dan niet werkt dan weet je waar het probleem niet zit

Maar voor mijn gemoedsrust... Als ik intern gebruik kan maken van de vpn (in dit geval de makkelijkste optie, die van W10 zelf), dan zou de 1723 poort forwarden toch voldoende moeten zijn?

nou dat vraag ik me dus af
intern speelt dat niet want dan heb je over alle poorten toegang tot de server

[ Voor 21% gewijzigd door boyette op 19-01-2020 02:46 ]

zondag 19 januari 2020 03:02

Acties:

+1 Henk 'm!

johnkeates

1723 is pptp, da's geen VPN zo brak. Je hebt IPSec en OpenVPN, de rest is of te duur, of te onbetrouwbaar.

Dat is een beetje het probleem met VPNs, als je het verkeerd doet is het bijna problematischer dan gewoon poorten forwarden.

Als je het moeilijk vind iets op te zetten, probeer dan een wat meer geintegreerde oplossing. Bijvoorbeeld OpenVPN AS, dat is tot 2 gelijktijdige gebruikers gratis. Download de OVA, pleur hem in een gratis hypervisor, of zelfs een desktop versie als VirtualBox) en je bent klaar. Zit een grafische web UI bij zodat je op knopjes kan klikken e.d. Dat ding is gewoon een virtual appliance, met officiele patches, clients, support enz.

Stel dat je meer dan 2 gebruikers tegelijkertijd wil gebruiken, dan gaat dat niet werken. Je zou users bij kunnen kopen, of de volgende stap nemen: OpnSense gebruiken, da's gratis, en zit ook VPN en firewalling in. Kan ook virtueel en kan ook op een desktop hypervisor. Wel wat meer werk, want het is bedoeld voor een compleet netwerk, niet slechts een beetje VPN.

[ Voor 63% gewijzigd door johnkeates op 19-01-2020 03:05 ]

zondag 19 januari 2020 03:08

Acties:

0 Henk 'm!

boyette

johnkeates schreef op zondag 19 januari 2020 @ 03:02:
1723 is pptp, da's geen VPN zo brak. Je hebt IPSec en OpenVPN, de rest is of te duur, of te onbetrouwbaar.

Dat is een beetje het probleem met VPNs, als je het verkeerd doet is het bijna problematischer dan gewoon poorten forwarden.

Als je het moeilijk vind iets op te zetten, probeer dan een wat meer geintegreerde oplossing. Bijvoorbeeld OpenVPN AS, dat is tot 2 gelijktijdige gebruikers gratis. Download de OVA, pleur hem in een gratis hypervisor, of zelfs een desktop versie als VirtualBox) en je bent klaar. Zit een grafische web UI bij zodat je op knopjes kan klikken e.d. Dat ding is gewoon een virtual appliance, met officiele patches, clients, support enz.

Stel dat je meer dan 2 gebruikers tegelijkertijd wil gebruiken, dan gaat dat niet werken. Je zou users bij kunnen kopen, of de volgende stap nemen: OpnSense gebruiken, da's gratis, en zit ook VPN en firewalling in. Kan ook virtueel en kan ook op een desktop hypervisor. Wel wat meer werk, want het is bedoeld voor een compleet netwerk, niet slechts een beetje VPN.

dat is wel een protocol voor vpn maar de beveiliging is laag

je kan ook een vpn maken zonder encryptie
dat wil niet zeggen dat het geen vpn is

maar hier ben ik ook even de mist in gegaan want ik was in de veronderstelling dat TS OpenVPN protocol gebruikte

maar TS gebruikt zo te zien PPTP ?

zondag 19 januari 2020 03:14

Acties:

+1 Henk 'm!

johnkeates

PPTP = point to point tunneling protocol. Het is dus eigenlijk een tunnel, met slappe crypto. Natuurlijk kunnen we alles wat een virtueel prive netwerk is onder dezelfde paraplu zetten, maar dan betekent de term niet zo veel meer. Bluetooth serial ports zijn dan ook opeens een VPN om dat dat draadloze encrypted tunnels zijn waar het verkeer zich in bevindt. En Steam is dan ook een VPN om dat steamplay sommige soorten verkeer via een reflector van client naar client laat open en het op het internet encrypt.

Nu is het zo dat vroeger (15+ jaar geleden) PPTP als een VPN protocol dat in algemeen gebruik was werd gezien, daarna is het nog een tijdje standaard in Windows als client en zelfs server aanwezig geweest, en daarna was het dood. Net als EAP zonder TLS. Dat maakt PPTP een VPN noemen technisch correct, maar praktisch niet aan te bevelen

zondag 19 januari 2020 03:19

Acties:

0 Henk 'm!

boyette

johnkeates schreef op zondag 19 januari 2020 @ 03:14:
PPTP = point to point tunneling protocol. Het is dus eigenlijk een tunnel, met slappe crypto. Natuurlijk kunnen we alles wat een virtueel prive netwerk is onder dezelfde paraplu zetten, maar dan betekent de term niet zo veel meer. Bluetooth serial ports zijn dan ook opeens een VPN om dat dat draadloze encrypted tunnels zijn waar het verkeer zich in bevindt. En Steam is dan ook een VPN om dat steamplay sommige soorten verkeer via een reflector van client naar client laat open en het op het internet encrypt.

Nu is het zo dat vroeger (15+ jaar geleden) PPTP als een VPN protocol dat in algemeen gebruik was werd gezien, daarna is het nog een tijdje standaard in Windows als client en zelfs server aanwezig geweest, en daarna was het dood. Net als EAP zonder TLS. Dat maakt PPTP een VPN noemen technisch correct, maar praktisch niet aan te bevelen

helemaal mee eens

niet aan te bevelen als het om veiligheid gaat
maar als het puur is om verkeer om te leiden kan het toch usefull zijn

zondag 19 januari 2020 03:39

Acties:

0 Henk 'm!

fm77

Topicstarter

Ik had het al in mijn openingspost gezet, maar mijn eerste voorkeur was Softhether (maakt gebruik van OpenVPN). Intern werkt het wel, dus de server is goed ingericht (neem ik aan).
De PPTP optie heb ik alleen gekozen om te testen. Maar aangezien die ook niet extern werkt probeer ik dus te zoeken waar het aan kan liggen

[ Voor 10% gewijzigd door fm77 op 19-01-2020 03:40 ]

zondag 19 januari 2020 03:40

Acties:

0 Henk 'm!

johnkeates

boyette schreef op zondag 19 januari 2020 @ 03:19:
[...]

helemaal mee eens

niet aan te bevelen als het om veiligheid gaat
maar als het puur is om verkeer om te leiden kan het toch usefull zijn

Nou, ik denk het niet. Als je alleen maar verkeer wil 'omleiden' kan je beter gewoon plain IP-in-IP gebruiken.

Er zijn twee redenen voor een VPN:

1. Je hebt een tunnel nodig
2. Je hebt encryptie nodig

Punt 1 kan zonder encryptie, en dan kan je het jezelf heel makkelijk maken door gewoon IPIP of GRE te gebruiken. Encapsulatie is een klassieke methode die nog steeds werkt.

Punt 2 kan zonder tunnel, bijv. SSH, HTTPS enz.

In dit geval wil fm77 waarschijnlijk een of meerdere apparaten op z'n thuisnetwerk op afstand bereiken, maar weet niet zeker of die apparaten wel veilig aan het internet kunnen hangen. Dan gebruik je een VPN die in principe wel veilig op internet benaderbaar mag zijn, en daar stop je dan al je verkeer in naar de 'niet-veilige' apparaten. Zolang je VPN veilig is kan je dan lekker met je thuis-spullen aan de gang (zo is de gedachte, in de praktijk zou je eigenlijk defense in depth aan moeten halen).

Als je PPTP gebruikt doe je eigenlijk wat anders dan wat je wil:

1. Je bent opeens een gewild doelwit, want als je iemand's VPN verbinding kan kapen heb je makkelijk toegang tot allerlei interne doelwitten die in de praktijk slecht beveiligd zijn 'want dat zou de VPN wel oplossen', en je bent ook goed vindbaar, Shodan sluit thuis-internet niet uit in z'n zoekmachine

2. Je hebt nu wel een soort van tunnel, maar door dat PPTP niet zomaar alle routing, NATting enz. voor je doet moet je extra werk doen als je het bijv. te filteren wil maken zodat een VPN verbinding niet zomaar alles mag.

Die twee punten zijn dus waar ik op doelde toen ik schreef, met PPTP is eigenlijk 'slechter' dan helemaal kaal.

fm77 schreef op zondag 19 januari 2020 @ 03:39:
Ik had het al in mijn openingspost gezet, maar mijn eerste voorkeur was Softhether (maakt gebruik van OpenVPN). Intern werkt het wel, dus de server is goed ingericht (neem ik aan).
De PPTP optie heb ik alleen gekozen om te testen. Maar aangezien die ook niet extern werkt probeer ik dus te zoeken waar het aan kan liggen

Je kan als je ergens een linux, unix of bsd bak hebt staan ook met netcat een listener opzetten en die forwarden, kan je heel snel poortjes testen.

Je kan ook even controleren of je bijv. niet stiekem achter CGN gezet bent, of een of andere 6to4 tunnel hebt. Check dus je verbinding goed om uit te sluiten dat het daar aan ligt.

[ Voor 20% gewijzigd door johnkeates op 19-01-2020 03:43 ]

zondag 19 januari 2020 03:43

Acties:

0 Henk 'm!

boyette

fm77 schreef op zondag 19 januari 2020 @ 03:39:
Ik had het al in mijn openingspost gezet, maar mijn eerste voorkeur was Softhether (maakt gebruik van OpenVPN). Intern werkt het wel, dus de server is goed ingericht (neem ik aan).
De PPTP optie heb ik alleen gekozen om te testen. Maar aangezien die ook niet extern werkt probeer ik dus te zoeken waar het aan kan liggen

aah ok

dan toch even die porten forwarden die ik had opgegeven
dat is alles wat gerelateerd kan zijn aan openvpn

als het dan wel werkt zit het hem toch daarin

zondag 19 januari 2020 09:59

Acties:

0 Henk 'm!

sjonnie100

Ik ben niet zo'n ster in vpn, maar wat zeggen de logfiles van je router en vpn server direct nadat er een mislukte poging Is gedaan?

Daar kan je soms ook een (mogelijke) oorzaak vinden om verder te zoeken.

zondag 19 januari 2020 10:02

Acties:

0 Henk 'm!

ehvc

Reden van mijn vraag omtrent static is ip was voor de plek waar je ze toewijst.
Ik weet dat een aantal modems het niet accepteert als devices zelf een static ip claimen.
Dan werkt de portforwarding niet.
Als je ze dus wel gebruikt dien je in de dhcp server van je router het ip aan het Mac adres van de cliënt te koppelen en de cliënt lekker op dhcp laten staan.

zondag 19 januari 2020 16:18

Acties:

0 Henk 'm!

Renegade666

@fm77
De handleiding ook gelezen van het pakket?

https://www.softether.org/3-spec

Je hebt zo te zien meerdere varianten die je kan instellen, en dus verschillende opties qua poorten.
die van openvpn gebruikt bv:
Default Ports:
TCP 443, 992 and 5555
UDP: 1194

zondag 19 januari 2020 16:34

Acties:

0 Henk 'm!

evilnapster

De firewall van windows 10 laat niet zomaar incomende connecties van buiten het netwerk toe. daar is een optie voor die heet edge traversal. heb je die al op toestaan gezet?

(deze moet per toegelaten programma of poort afgeregeld worden)

[ Voor 16% gewijzigd door evilnapster op 19-01-2020 16:34 ]

maandag 20 januari 2020 11:14

Acties:

0 Henk 'm!

Kobus Post

Als je client Windows 10 is, dan kan het zijn dat je last hebt van de volgende error: https://github.com/hwdsl2...ents.md#windows-error-809

Even die registery change uitvoeren, herstarten en dan zou het moeten werken. Na updates heb je kans dat je weer die fix moet uitvoeren.

No trees were harmed in the creation of this message, but several thousand electrons were mildly inconvenienced.

maandag 20 januari 2020 11:44

Acties:

0 Henk 'm!

JdM

Humbled

Kobus Post schreef op maandag 20 januari 2020 @ 11:14:
Als je client Windows 10 is, dan kan het zijn dat je last hebt van de volgende error: https://github.com/hwdsl2...ents.md#windows-error-809

Even die registery change uitvoeren, herstarten en dan zou het moeten werken. Na updates heb je kans dat je weer die fix moet uitvoeren.

Dat geldt voor IPsec en L2TP verbindingen, niet voor OpenVPN

woensdag 22 januari 2020 16:40

Acties:

0 Henk 'm!

fm77

Topicstarter

Bedankt voor alle reacties tot nu toe. Aankomend weekend ga ik weer een poging wagen om het aan de praat te krijgen met de adviezen die ik hier gezien heb. Ik moet wel eerst SoftEtherVPN opnieuw installeren, dus dat kost wat tijd om dat netjes te configureren

Wel nog een paar opmerkingen. Ik ga zeker de extra poorten forwarden proberen, maar de poorten die ik nu gebruik hebben eerder wel gewerkt.
Ik gaf ook aan dat het een soort OpenVPN is, maar dat is het volgens mij niet (letterlijk).

Daarnaast zit ik nog steeds met het punt waarom de standaard PPTP variant van W10 niet wil werken.
Niet dat ik die wil gebruiken, maar het is wel een wat makkelijkere manier om te kijken waarom er geen verbinding gemaakt wordt met de server. Daar zou de 1723 poort voldoende moeten zijn.
Dus als iemand nog een idee heeft waarom die simpele handeling niet wil werken, graag

Ik heb deze handleiding stap voor stap gevolgd, en die werkt intern gewoon, maar extern blijft die hangen op "checking credentials".

De andere stappen ga ik me aankomend weekend in verdiepen, dus daar kom ik dan op terug.

[ Voor 9% gewijzigd door fm77 op 22-01-2020 16:43 ]

Vraag

Alle reacties