[Unifi Dream Machine] L2TP VPN niet werkend te krijgen

zaterdag 22 februari 2020 11:24

Acties:

0 Henk 'm!

BigFalcon2020

Topicstarter

Hallo allemaal,

Via deze wil ik graag jullie hulp vragen voor een probleem waar ik nu zelf al een paar dagen mee zit te stoeien.
Afgelopen dinsdag heb ik mijn oude Netgear Nighthawk R7000 router vervangen voor een nieuwe Ubiquiti Dream Machine.
De installatie en configuratie van de Dream Machine sprak erg voor zich en had dus al snel (in de basis) de configuratie zoals ik deze graag wil hebben.

Alleen op het stukje (L2TP) VPN loop ik nu vast en hoop dat iemand op dit forum mij een zetje in de goede richting kan geven.
Voor de configuratie van de L2TP heb ik gebruik gemaakt van de handleiding die op de Ubiquiti website te vinden is ( https://help.ubnt.com/hc/...ng-L2TP-Remote-Access-VPN )
Ook zijn er genoeg filmpjes op het internet te vinden waarin stap voor stap wordt uitgelegd hoe je de VPN aan de praat zou moeten krijgen.

De configuratie van de VPN heb ik dan ook volgens al deze informatiebronnen uitgevoerd, echter zonder resultaat.
Wanneer ik een verbinding vanaf mijn smartphone en/of laptop wil maken naar mijn Dream Machine krijg ik alleen maar foutmeldingen.

Mijn situatie is als volgt:

1. Experiabox van mijn internet provider
2. Dream Machine
3. De rest van mijn netwerk.

Op de experiabox laat ik de volgende poorten forwarden naar de Dream Machine (WAN)

TCP/UDP 1812, 1813, 500, 1701 and 4500

Hiermee zou alles goed moeten staan voor een goede connectie richting mijn Dream Machine.

Wanneer ik een VPN verbinding wil opzetten vanaf mijn smartphone krijg ik de melding dat de verbinding is mislukt, vanaf mijn Windows pc krijg ik de melding "The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer" .

Op mijn Dream Machine zelf zie ik bij de Alerts/Meldingen helemaal geen foutmeldingen terug komen.
...

Wat ik al gevonden of geprobeerd heb:

Op de Dream Machine heb ik bovenstaande poorten verder geforwarded naar mijn Nas. Op deze NAS heb ik ook een VPN server geïnstalleerd en geconfigureerd als L2TP-server.
Wanneer ik nu verbinding maak vanaf mijn smartphone en/of laptop is de connectie wel succesvol, dit zou dus wel moeten betekenen dat de port forwarding op de experiabox goed staat.
...

Nu zou ik mijn NAS ook standaard als VPN server kunnen gebruiken, dit is ook door mijn gedachte geschoten. Echter neemt dit niet weg dat de VPN van de Dream Machine ook gewoon zou moeten werken. Een alternatieve server is voor mij nu dan ook nog even niet de juiste oplossing.

Ik weet momenteel even niet meer wat ik nog zou kunnen proberen, mocht er iemand nog een idee hebben dan hoor ik die graag $_/-\o_$

Alvast bedankt!

zaterdag 22 februari 2020 12:30

Acties:

0 Henk 'm!

lier

MikroTik nerd

Kan de experiabox niet in bridge geplaatst worden? Moeten er ook firewall regels aangepast worden in de UDM? Werkt het intern wel?

[ Voor 9% gewijzigd door lier op 22-02-2020 12:30 ]

Eerst het probleem, dan de oplossing

zaterdag 22 februari 2020 12:38

Acties:

0 Henk 'm!

BigFalcon2020

Topicstarter

Voor zover ik weet kan de experiabox niet in bridge geplaatst worden.
De firewall regels worden automatisch in de UDM aangemaakt bij de configuratie van de VPN (in de handleiding staat het volgende: Setting up L2TP will auto add firewall rules to WAN Local in Settings > Routing & Firewall, no manual rules are required on the user end.), deze zie ik ook terug komen in mijn UDM.

Zojuist me telefoon op de wifi van mijn experiabox aangesloten, wanneer ik vanaf dit netwerk een VPN verbinding wil aanmaken naar mijn Dream Machine krijg ik ook dezelfde foutmelding "Mislukt".
Ook hiervan kan ik geen meldingen terug vinden in mijn Dream Machine

Dream Machine WAN IP 192.168.2.3
Telefoon (via wifi) 192.168.2.1

Voor de volledigheid, mijn Dream Machine gebruikt software versie: 1.5.0.1974

Lokaal lukt het ook niet om een verbinding op te zetten met mijn L2TP server.. Zelfde foutmeldingen

[ Voor 6% gewijzigd door BigFalcon2020 op 22-02-2020 13:05 . Reden: Extra testen gedaan ]

donderdag 12 maart 2020 14:06

Acties:

0 Henk 'm!

killer2

Hi is mij al wel gelukt. zowel met experia als zyxel T 50.
wan ip van udm als wel in dmz ?
Probleem nog actueel ?

[ Voor 39% gewijzigd door killer2 op 12-03-2020 14:08 ]

maandag 16 maart 2020 15:11

Acties:

0 Henk 'm!

BigFalcon2020

Topicstarter

killer2 schreef op donderdag 12 maart 2020 @ 14:06:
Hi is mij al wel gelukt. zowel met experia als zyxel T 50.
wan ip van udm als wel in dmz ?
Probleem nog actueel ?

Probleem is zeker nog actueel, ben inmiddels ook met de support van Ubiquity bezig om het probleem te vinden.
Tot nu toe via die weg ook zonder resultaten...
Support vanuit Ubiquity is super, ze proberen met goed te helpen maar het wil nog niet echt lukken. De vraag vanuit Ubiquity is nu of ik een beta firmware (in de test fase) kan installeren op mijn Dream Machine, maar hier wil ik liever nog even niet aan....

Wanneer ik via de terminal inlog zie ik met het commando swanctl --log dat mijn externe devices verbinding proberen te maken met mijn Dream Machine, echter met het resultaat dat dit niet lukt.

Kan jij me vertellen hoe jij je experiabox hebt ingesteld? Ik wil namelijk even extra controleren dat deze instellingen goed staan.

dinsdag 17 maart 2020 11:44

Acties:

0 Henk 'm!

killer2

heb nu een zyxel t-50, maar met de experia had ik wan in dmz staan en forwarding van de vpn poorten,
probeer eerst zonder eperia box, dan weet je of de udm vpn settings goed zijn.
Probeer deze week mijn settings hier neer te zetten

dinsdag 17 maart 2020 20:12

Acties:

0 Henk 'm!

Step

step@tweakers.net#

Gebruik vooral niet de Try New Settings optie in de controller. Support heeft al aangegeven dat dit problemen levert met L2TP VPN.

Enige oplossing is een nieuwe site aanmaken en te migreren en op de oude manier te doen.

~Step @ Mac Mini i5 2018 en 13" MacBook Pro i7 2020 - eGPU build

donderdag 19 maart 2020 13:12

Acties:

0 Henk 'm!

killer2

WAN ip van de UDM(P) als statisch ip instellen op de UDM(P) en op je modem in DMZ hangen: + Reserveren als static ip in je modem

Vergeet niet bij wan je router ip in te vullen 192.168.1.1 bij mij dan.

Maak een default radius profile aan :

Maak een VPN user aan voor radius server:
L2TP
IPv4

Maak een nieuw Netwerk aan voor je VPN en selecteer je Radius profile
WAN
GW/Subnet 192.168.100/24
Auto
Radius : Default

Maak op iphone of mac een verbinding aan L2TP vul Server in (je WAN ip van je modem)
Account die je gemaakt hebt op je UDMP, je wachtwoord en Geheim key (stuur alle verkeer door)

donderdag 19 maart 2020 20:28

Acties:

0 Henk 'm!

BigFalcon2020

Topicstarter

Step schreef op dinsdag 17 maart 2020 @ 20:12:
Gebruik vooral niet de Try New Settings optie in de controller. Support heeft al aangegeven dat dit problemen levert met L2TP VPN.

Enige oplossing is een nieuwe site aanmaken en te migreren en op de oude manier te doen.

Inmiddels heeft mijn Dream Machine weer een factory reset gehad, eerder had ik wel de "Try New Settings" geprobeerd maar (ook op advies van unifi support) dit keer niet meer gebruikt.
Helaas blijven mijn problemen het zelfde.

Wat mij opvalt wanneer ik een tcpdump uitvoer op de Dream Machine is dat ik alleen verkeer zie op poort 500 en 4500 maar helemaal niks op de poorten 1701, 1812 en 1813.

killer2 schreef op donderdag 19 maart 2020 @ 13:12:
WAN ip van de UDM(P) als statisch ip instellen op de UDM(P) en op je modem in DMZ hangen: + Reserveren als static ip in je modem

Vergeet niet bij wan je router ip in te vullen 192.168.1.1 bij mij dan.

Maak een default radius profile aan :

Maak een VPN user aan voor radius server:
L2TP
IPv4

Maak een nieuw Netwerk aan voor je VPN en selecteer je Radius profile
WAN
GW/Subnet 192.168.100/24
Auto
Radius : Default

Maak op iphone of mac een verbinding aan L2TP vul Server in (je WAN ip van je modem)
Account die je gemaakt hebt op je UDMP, je wachtwoord en Geheim key (stuur alle verkeer door)

Bovenstaande heb ik ook, echter bij mij staat het WAN ip op DHCP en niet op statisch.
Net geprobeerd deze naar statisch te zetten maar dan werkt mijn internet helemaal niet meer.
Wanneer ik vervolgens via de device tab naar mijn gateway kijk zie ik dat deze wel een link heeft maar er staat geen ip-adres achter IP-Address... (zie toegevoegde afbeelding) Afbeeldingslocatie: https://tweakers.net/i/jcV9RF_KY0XlPpJ5kNSnjy8XISc=/f/image/foA8TVX507AJ9BrWUuOMwmlH.jpg

Afbeeldingslocatie: https://tweakers.net/i/jcV9RF_KY0XlPpJ5kNSnjy8XISc=/f/image/foA8TVX507AJ9BrWUuOMwmlH.jpg

vrijdag 20 maart 2020 08:05

Acties:

0 Henk 'm!

killer2

mmm hoe ziet je wan config eruit dan?

vrijdag 20 maart 2020 19:38

Acties:

0 Henk 'm!

BigFalcon2020

Topicstarter

killer2 schreef op vrijdag 20 maart 2020 @ 08:05:
mmm hoe ziet je wan config eruit dan?

Ja niet heel bijzonder eigenlijk.

IPV4 verbindingstype DHCP
IPV6 verbindingstype uitgeschakeld

Smart queues = ingeschakeld.

Op mijn experiabox heb ik een DHCP-binding ingesteld voor mijn Dream Machine, deze krijgt altijd het zelfde ip-adres.

vrijdag 20 maart 2020 21:24

Acties:

0 Henk 'm!

killer2

en in de dmz

maandag 23 maart 2020 22:48

Acties:

0 Henk 'm!

BigFalcon2020

Topicstarter

In de DMZ staat het ip-adres van mijn Dream Machine, verder niks.
Vanaf buiten is de Dream Machine bereikbaar, dit is wel te zien aan de verbindingen die ik zie met de tcpdump.

donderdag 26 maart 2020 20:40

Acties:

0 Henk 'm!

tweakpat1

Hallo,

Ik gebruik een UDM achter een Ziggo modem die in bridge Staat.
Verder geen enkele setting hoeven invullen als DMZ static ip of wat dan ook.
Alleen gebruiker aanmaken onder gateway - radius.
Lijkt mij meer dat je probleem in de experia box zit of de software versie van de UDM.
Ik gebruik 1.5.6RC4 firmware, mogelijk dat hier de oplossing in zit.

woensdag 1 april 2020 09:44

Acties:

0 Henk 'm!

BigFalcon2020

Topicstarter

tweakpat1 schreef op donderdag 26 maart 2020 @ 20:40:
Hallo,

Ik gebruik een UDM achter een Ziggo modem die in bridge Staat.
Verder geen enkele setting hoeven invullen als DMZ static ip of wat dan ook.
Alleen gebruiker aanmaken onder gateway - radius.
Lijkt mij meer dat je probleem in de experia box zit of de software versie van de UDM.
Ik gebruik 1.5.6RC4 firmware, mogelijk dat hier de oplossing in zit.

Helaas kan de Experiabox niet in bridge mode gezet worden... bij mij blijven dus alleen maar de opties over voor een DMZ-host of port forwarding..
Momenteel gebruik ik de firmware 1.5.6, hoe kom jij aan die RC4 versie? Kan deze namelijk nergens op de website van Ubiquity vinden.

Wil vanavond even proberen om een Raspberry Pi als L2TP server te configureren, ben benieuwd of het me dan wel zal lukken om een verbinding op te zetten.

noelis schreef op zaterdag 28 maart 2020 @ 00:48:
Ok... na uren te knoeien op mijn MacBook ga ik maar in bed.
Daar neem ik de ipad en probeer even de app.
Site configuration aanpassing OK
l2tp setup OK (mij psk stond in hoofdletters en dat had ik niet zo ingevuld)
Fixed ip in mijn ap’s. OK

Rest me alleen nog de “vlan only” setup inorde te krijgen voor de telenet digicorders zonder NAT.

Goeienacht

Fijn dat het bij jou nu wel werkt!
Maar hoe kwam jij erachter dat je psk in hoofdletters stond? Heb je hiervoor op het "oogje" geklikt bij de psk of ben je daar op een andere manier achter gekomen?
Wanneer ik op het "oogje" klik is bij mij alles in kleine letters.

zaterdag 4 april 2020 15:36

Acties:

0 Henk 'm!

tweakpat1

De RC4 versie is de beta van de 1.5.6 versie die jij nu gebruikt. Ook in de 1.5.6 versie werkt het.
Suc6 met testen.

vrijdag 3 juli 2020 18:35

Acties:

0 Henk 'm!

Firestormer

Bij mij werkt het alleen als ik verbinding maak van buitenaf Bijvoorbeeld via 4G van mijn telefoon.
De rede waarom het intern niet zou werken zou met NAT hairpinning te maken kunnen hebben.

zaterdag 4 juli 2020 10:09

Acties:

0 Henk 'm!

BigFalcon2020

Topicstarter

Firestormer schreef op vrijdag 3 juli 2020 @ 18:35:
Bij mij werkt het alleen als ik verbinding maak van buitenaf Bijvoorbeeld via 4G van mijn telefoon.
De rede waarom het intern niet zou werken zou met NAT hairpinning te maken kunnen hebben.

Dit werkt bij mij ook niet..
Inmiddels heb ik mijn Dream Machine geupgrade naar versie 1.7.2, volgens de release notes zijn er een aantal verbeteringen omtrent de VPN toegevoegd en/of gefixed.
Echter ervaar ik nog steeds de zelfde problemen al bij versie 1.5.6

zaterdag 4 juli 2020 18:12

Acties:

0 Henk 'm!

Firestormer

BigFalcon2020 schreef op zaterdag 4 juli 2020 @ 10:09:
[...]

Dit werkt bij mij ook niet..
Inmiddels heb ik mijn Dream Machine geupgrade naar versie 1.7.2, volgens de release notes zijn er een aantal verbeteringen omtrent de VPN toegevoegd en/of gefixed.
Echter ervaar ik nog steeds de zelfde problemen al bij versie 1.5.6

Oja ik zie het (ik had het niet helemaal goed gelezen dat je het ook met telefoon geprobeerd had)

Ik was zelf ook aan het troubleshooten want ik heb ook flink moeten knoeien voordat het werkte.
En kreeg in windows dezelfde foutmelding als jij : The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer.
En ik kreeg mijn telefoon niet verbonden via 4g...

Telefoon (4g) lukt nu wel...(ik had de verkeerde PSK gebruikt) Maar via het netwerk niet... in mijn geval heeft dat te maken met de nat loopback die niet goed functioneert door de dubbele router opstelling. ik heb alles geforward,UDM als DMZ niks werkt. Dus ik ga mijn modem vervangen met een mediaconverter van tp-link. omdat t-mobile eigen router toestaat.

zaterdag 4 juli 2020 18:15

Acties:

0 Henk 'm!

Charlie_Root

BigFalcon2020 schreef op maandag 16 maart 2020 @ 15:11:
[...]

Probleem is zeker nog actueel, ben inmiddels ook met de support van Ubiquity bezig om het probleem te vinden.
Tot nu toe via die weg ook zonder resultaten...
Support vanuit Ubiquity is super, ze proberen met goed te helpen maar het wil nog niet echt lukken. De vraag vanuit Ubiquity is nu of ik een beta firmware (in de test fase) kan installeren op mijn Dream Machine, maar hier wil ik liever nog even niet aan....

Wanneer ik via de terminal inlog zie ik met het commando swanctl --log dat mijn externe devices verbinding proberen te maken met mijn Dream Machine, echter met het resultaat dat dit niet lukt.

Kan jij me vertellen hoe jij je experiabox hebt ingesteld? Ik wil namelijk even extra controleren dat deze instellingen goed staan.

Heeft het met je vorige router wel gewerkt? Ik heb meerdere ziggo klanten waarbij we tegen dit probleem aanlopen, met verschillende routers. Ziggo lijkt zaken te blokkeren.

The cause of the problem is: network down, IP packets delivered via UPS | AbuseDB

zondag 5 juli 2020 16:21

Acties:

0 Henk 'm!

BigFalcon2020

Topicstarter

Charlie_Root schreef op zaterdag 4 juli 2020 @ 18:15:
[...]

Heeft het met je vorige router wel gewerkt? Ik heb meerdere ziggo klanten waarbij we tegen dit probleem aanlopen, met verschillende routers. Ziggo lijkt zaken te blokkeren.

Hiervoor had ik een Netgear Nighthawk R7000 router, de OpenVPN server die hier op draaide werkte foutloos.
Probleem zit hem echt in de Dream Machine, een VPN verbinding opzetten (L2TP en OpenVPN) met mijn NAS en/of Raspberry Pi gaat wel foutloos.
Hoewel ik liever de VPN verbinding via me Dream Machine heb lopen, is de VPN verbinding met mijn Raspberry een redelijk alternatief.

maandag 20 juli 2020 13:11

Acties:

0 Henk 'm!

ad-user

Ik ben ook al een tijdje bezig geweest om VPN werkend te krijgen.

Mijn tweak fiber lijn hangt direct aan Wan 2.
Telkens kreeg ik dezelfde melding dat er geen verbinding gemaakt kan worden.

Nergens kun je aangeven welke inkomende lijn gebruikt moet worden.

Nu was ik even via de Unifi network app op de iphone aan het kijken, en daar staat wel de optie om wan1 of wan2 te kiezen.

Na het inschakelen van wan 2 direct een werkende VPN

Ik denk dus dat vele problemen komen doordat via de webinterface geen wan interface gekoppeld word aan de VPN.

maar de zomer komt eraan

dinsdag 22 december 2020 10:33

Acties:

0 Henk 'm!

vali

Ik ben ook ook bezig om vpn te configureren op mijn dream machine pro. De verbinding kan ik opzetten (Android geeft een succesvolle verbinding aan). Zie alleen dat hij geen IP heeft uitgegeven bij de dashboard en als ik mijn publieke adres controleer zie ik die van mijn 4G simkaart.. Ben erg benieuwd wat ik precies fout doe of nog moet configureren.

[ Voor 28% gewijzigd door vali op 22-12-2020 11:35 ]

dinsdag 22 december 2020 12:12

Acties:

0 Henk 'm!

Rodejoost

Hi allemaal,

Ik heb toevallig recent een UDM pro geconfigureerd ook met l2tp vpn. Bij mij werkt dit. Vanaf een iphone en een (collega telefoon) android. Ook heb ik een S2S vpn tussen de udm pro en een pfsense werkend gekregen.
Ik zal even mijn setup uit tekenen.
ik heb een binnen komende kpn vdsl lijnt aangesloten op een draytek. (staat nog niet in bridge, ga dit later nog wel even doen).
Daarna de udm pro, en daarna alle unifi switches (usw-pro-gen2) en access points.

op de draytek heb ik de udm pro in een dmz mode gezet. (eerst had ik ook poort 500 en 4500 geforward, maar dit werkte toen niet, maar zit zou wel moeten werken. heb later nog andere zaken gewijzigd. dus dat kan je ook doen).

Daarna heb ik op de udm pro de l2tp configuratie gemaakt. Zie screenshot.

Afbeeldingslocatie: https://tweakers.net/i/riPEkTV2tdWvBX4o-gQzplgpU20=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/ErEGH4LHlip21dedjRXEmAl3.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/riPEkTV2tdWvBX4o-gQzplgpU20=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/ErEGH4LHlip21dedjRXEmAl3.png?f=user_large

De PSK moet correct zijn, en je moet het RADIUS profiel maken. Ik heb hier de local radius gebruikt. Met daarin de gebruikers met een wachtwoord.

Op de iphone moest ik wel de optie send all traffic aanzetten.

Afbeeldingslocatie: https://tweakers.net/i/KxS-H0l52MUIG66dnZ6OXN3POBw=/x800/filters:strip_icc():strip_exif()/f/image/klJNxuTH79U12M9RnzeRrEhg.jpg?f=fotoalbum_large

Overigens werkt het vanaf een Ziggo verbinding

Als iemand nog vragen heeft hoor ik het wel!

[ Voor 1% gewijzigd door Rodejoost op 22-12-2020 12:14 . Reden: Ziggo toevoeging ]

dinsdag 22 december 2020 12:47

Acties:

0 Henk 'm!

BigFalcon2020

Topicstarter

Ik heb het inmiddels ook allemaal draaien, al snap ik niet helemaal wat precies de reden is dat hij het nu wel doet.

Ook ik heb mijn configuratie zoals bovenstaande screenshot van Rodejoost, met enkel deze instellingen kan ik geen verbinding opzetten met mijn DreamMachine.

Uiteindelijk ben ik er achter gekomen dat ik bij mijn RADIUS users een Vlan moest toewijzen aan elke user.
Ik heb bij mijn users een willekeurig Vlan nummer ingevoerd en daarna kon ik zonder problemen mijn verbindingen maken.

Afbeeldingslocatie: https://tweakers.net/i/j6dxVLnwv67DKfd1BYyAz3pPdDY=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/u7hPWqsdD3fyCP79WEzaqq8p.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/j6dxVLnwv67DKfd1BYyAz3pPdDY=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/u7hPWqsdD3fyCP79WEzaqq8p.png?f=user_large

Op mijn DreamMachine maak ik verder geen gebruik van Vlans en snap daarom ook niet waarom mijn VPN verbinding pas gaat werken nadat ik een willekeurig nummer invul bij het Vlan.

Ook in de tutorials en filmpjes die ik online gevonden heb zie ik nergens dat dit een verplicht veld is.
Hebben jullie ook aan je RADIUS users een Vlan toegewezen?

dinsdag 22 december 2020 13:23

Acties:

0 Henk 'm!

Rodejoost

Hierbij screenshot van mijn radius:

Afbeeldingslocatie: https://tweakers.net/i/jDr0wzVvsfvM4kWHaa8NYjl_mCM=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/GL0RXv2KS3FVvhPLXKexIYyX.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/jDr0wzVvsfvM4kWHaa8NYjl_mCM=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/GL0RXv2KS3FVvhPLXKexIYyX.png?f=user_large

Ik heb geen VLAN toegewezen. ook heb ik wel meerdere networks aangemaakt met vlans.

dinsdag 22 december 2020 13:27

Acties:

0 Henk 'm!

BigFalcon2020

Topicstarter

Rodejoost schreef op dinsdag 22 december 2020 @ 13:23:
Hierbij screenshot van mijn radius:

[Afbeelding]

Ik heb geen VLAN toegewezen. ook heb ik wel meerdere networks aangemaakt met vlans.

Apart, zonder Vlan krijg ik de verbinding niet werkend.

Bij mij werkt hij nu helemaal super, afblijven dus!

woensdag 23 december 2020 10:28

Acties:

0 Henk 'm!

vali

Ik ben benieuwd of jullie met devices in het LAN netwerk kunnen communiceren met een Android device.

De enige manier hoe ik dezelfde publieke IP-adres krijg is door bij Android "0.0.0.0/0" als default route mee te geven. Vermoed ook dat er iets niet lekker gaat met DNS-want het is aanzienlijk trager en ik kan mijn synology in mijn LAN omgeving niet bereiken. Naar mijn weten zou de configuratie "0.0.0.0/0" helemaal niet nodig moeten zijn...

Qua configuratie wijk ik niet af wat Lars0014 hier heeft geconfigureerd (enige verschil is het subnet van de VPN). Heb zelf KPN als provider en de DMP zit in het DMZ van mijn Experiabox (ter info openvpn heeft altijd prima gewerkt)

Zien jullie ook verandering qua gegevens als jullie een succesvolle tunnel hebben opgezet?

Afbeeldingslocatie: https://tweakers.net/i/ue4MWdvzeEErwaYIXqRV1awAOSA=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/7qR2z9474KhK1Lhz7LW6lMYX.jpg?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/ue4MWdvzeEErwaYIXqRV1awAOSA=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/7qR2z9474KhK1Lhz7LW6lMYX.jpg?f=user_large

Zal straks ook even testen met een Windows laptop, misschien kan het zijn dat het niet lekker werkt met android.

[ Voor 37% gewijzigd door vali op 23-12-2020 10:40 ]

woensdag 23 december 2020 10:46

Acties:

0 Henk 'm!

SniperGuy

BigFalcon2020 schreef op dinsdag 22 december 2020 @ 12:47:
Ik heb het inmiddels ook allemaal draaien, al snap ik niet helemaal wat precies de reden is dat hij het nu wel doet.

Ook ik heb mijn configuratie zoals bovenstaande screenshot van Rodejoost, met enkel deze instellingen kan ik geen verbinding opzetten met mijn DreamMachine.

Uiteindelijk ben ik er achter gekomen dat ik bij mijn RADIUS users een Vlan moest toewijzen aan elke user.
Ik heb bij mijn users een willekeurig Vlan nummer ingevoerd en daarna kon ik zonder problemen mijn verbindingen maken.

[Afbeelding]

Op mijn DreamMachine maak ik verder geen gebruik van Vlans en snap daarom ook niet waarom mijn VPN verbinding pas gaat werken nadat ik een willekeurig nummer invul bij het Vlan.

Ook in de tutorials en filmpjes die ik online gevonden heb zie ik nergens dat dit een verplicht veld is.
Hebben jullie ook aan je RADIUS users een Vlan toegewezen?

Vreemd, (ik heb dan wel een USG) maar users hebben allemaal GEEN VLANid.
Dat lijkt (vwb de users) ook het enige wat anders is.

Mijn stappenplan is:

Radius server aanzetten (default settings, tunneled reply ON)
Users definiëren (zonder vlan)
Netwerk definiëren (separate/dedicate IP range die buiten de reeds gebruikte ranges valt!) en pecifiek als REMOTE USER VPN met Require MS-CHAP v2 AAN

Verder niets (maar ik heb wel het geluk achter een bridged moden te zitten

)
Werkt goed op zowel W10 als Iphone als Android clients

woensdag 23 december 2020 11:21

Acties:

0 Henk 'm!

BigFalcon2020

Topicstarter

SniperGuy schreef op woensdag 23 december 2020 @ 10:46:
[...]

Vreemd, (ik heb dan wel een USG) maar users hebben allemaal GEEN VLANid.
Dat lijkt (vwb de users) ook het enige wat anders is.

Mijn stappenplan is:
Radius server aanzetten (default settings, tunneled reply ON)
Users definiëren (zonder vlan)
Netwerk definiëren (separate/dedicate IP range die buiten de reeds gebruikte ranges valt!) en pecifiek als REMOTE USER VPN met Require MS-CHAP v2 AAN
Verder niets (maar ik heb wel het geluk achter een bridged moden te zitten )
Werkt goed op zowel W10 als Iphone als Android clients

Bovenstaande heb ik eerder ook allemaal al geprobeerd, heb zelfs met de support afdeling van Ubiquity over dit probleem gesproken. Ook vanuit hun nooit de tip gekregen om een VlanID toe te voegen aan mijn users.
Ook de config zoals ik hem nu heb draaien is ook in samenspraak met de Ubiquity support tot stand gekomen.

Er zal vast een verklaring zijn voor de benodigde VlanID's, maar aangezien alles stabiel is en alles werkt zoals ik wil dat het werk ben ik tevreden.

woensdag 23 december 2020 11:43

Acties:

0 Henk 'm!

SniperGuy

Tip: als je ooit gaat upgraden (en dat ga je doen) meteen even testen of het nog werkt.
Ik heb gemerkt na een controller en/of firmware upgrade dat dingen wel geconfigureerd staan maar niet blijken te werken.

dinsdag 29 december 2020 09:40

Acties:

0 Henk 'm!

vali

Ik ben erachter gekomen dat mijn vpn prima werkt als ik tussen mijn experiabox en DMP ga zitten maar vanaf het WAN-netwerk lukt het mij niet om succesvol een verbinding op te zetten. Lees dat het voornamelijk komt hoe de l2tp verbinding wordt opgezet en de experiabox de controle ping bij de opbouw van de tunnel blokkeert. Ben benieuwd, voor de mensen die hier ook dubbele nat hebben, wat voor modem/router ze gebruiken.

Heb de DMP in DMZ gezet en eigenlijk had ik hier in het verleden met verschillende port-forwarding nooit echt issues mee...

@SniperGuy Ik heb op mijn DMP geen vlan bij de users aangezet en het werkte toen prima (toen ik het testte zoals hierboven stond beschreven).

[ Voor 39% gewijzigd door vali op 29-12-2020 19:32 ]

dinsdag 5 januari 2021 10:44

Acties:

0 Henk 'm!

bartpe

vali schreef op dinsdag 29 december 2020 @ 09:40:
Ik ben erachter gekomen dat mijn vpn prima werkt als ik tussen mijn experiabox en DMP ga zitten maar vanaf het WAN-netwerk lukt het mij niet om succesvol een verbinding op te zetten. Lees dat het voornamelijk komt hoe de l2tp verbinding wordt opgezet en de experiabox de controle ping bij de opbouw van de tunnel blokkeert. Ben benieuwd, voor de mensen die hier ook dubbele nat hebben, wat voor modem/router ze gebruiken.

Heb de DMP in DMZ gezet en eigenlijk had ik hier in het verleden met verschillende port-forwarding nooit echt issues mee...

@SniperGuy Ik heb op mijn DMP geen vlan bij de users aangezet en het werkte toen prima (toen ik het testte zoals hierboven stond beschreven).

Probeer je dat vanop een Windows client? Er is (buiten portfwarding of DMZ config op de WAN router) een regkey die je moet aanpassen wanneer je UDM achter een modem/router zit en je dus via een dubbel NAT scenario werkt:

Can I use an L2TP VPN if my USG/UDM is behind NAT?
Yes, but it is necessary to forward UDP port 500 and UDP port 4500 on the upstream router/modem to the WAN address of the USG/UDM.

Using an L2TP VPN server behind NAT will cause an issue with Windows computers. These devices will no longer be able to connect as VPN connections to L2TP servers behind NAT is not allowed by default. To get around this, you will need to manually change the AssumeUDPEncapsulationContextOnSendRule registry value from 0 to 2. See the Microsoft support page here for more information.

vrijdag 8 januari 2021 09:28

Acties:

+1 Henk 'm!

vali

bartpe schreef op dinsdag 5 januari 2021 @ 10:44:
[...]

Probeer je dat vanop een Windows client? Er is (buiten portfwarding of DMZ config op de WAN router) een regkey die je moet aanpassen wanneer je UDM achter een modem/router zit en je dus via een dubbel NAT scenario werkt:

Can I use an L2TP VPN if my USG/UDM is behind NAT?
Yes, but it is necessary to forward UDP port 500 and UDP port 4500 on the upstream router/modem to the WAN address of the USG/UDM.

Using an L2TP VPN server behind NAT will cause an issue with Windows computers. These devices will no longer be able to connect as VPN connections to L2TP servers behind NAT is not allowed by default. To get around this, you will need to manually change the AssumeUDPEncapsulationContextOnSendRule registry value from 0 to 2. See the Microsoft support page here for more information.

Ik doe het vanaf een Android device. Ga het vanavond eens proberen vanaf een Windows device. ben benieuwd of dat wel werkt met deze register aanpassing. Thanks!

Edit:
@bartpe
Na installatie van 1.8.5 werkt mijn vpn op android!.Zal vast ook gaan werken op W10 als ik register aanpassing maak. Heb verder niks veranderd aan mijn VPN instellingen op mijn DMP.

Vreemd genoeg zie ik bij network niet staan dat er een IP-release heeft plaatsgevonden naar mijn smartphone en in de oude interface geen traffic... Hebben meer mensen dit?

[ Voor 14% gewijzigd door vali op 18-01-2021 11:31 ]

maandag 22 maart 2021 17:56

Acties:

+1 Henk 'm!

TheToolGuy

Check eerst eens de OpenVPN versie ...

Is zeer waarschijnlijk lager dan 2.4 ...

OpenVPN versies lager dan 2.4 hebben alleen maar TLS 1.0 support ... TLS 1.0 is nagenoeg overal afgeschaft en vervangen door TLS 1.2 of hoger ...

TLS 1.0 is obsolete ...

Mijn USG-3 heeft bijvoorbeeld in de meest recente firmware update versie 2.3.2 van 5 december 2014

Er was 3 jaar geleden al aan Ubiquity gevraagd OpenVPN te updaten in de firmware, maar tot nu toe dus compleet NIET gedaan door Ubiquity ...

Hoe het wel moet/kan ? Daarvoor ben ik te weinig een Linux guru ... helaas, ik worstel hier dus zelf ook mee ...

Er ligt alweer een nieuw verzoek: https://community.ui.com/...d8-4808-b2cf-9b8835d6e2e0

Groeten,
TheToolGuy

[ Voor 11% gewijzigd door TheToolGuy op 22-03-2021 18:00 . Reden: Update request OpenVPN @ ubiquity ... ]

woensdag 11 augustus 2021 09:10

Acties:

0 Henk 'm!

Tonne

Ik heb een soortgelijk probleem. Ik heb twee sites met een USG-3 draaien. Nu wilde ik beide sites met een L2TP-vpn verbinding toegankelijk maken. Echter bij site1 lukt dit niet en bij site2 wel.
Bij site 1 krijg ik in windows als melding:
The remote connection was denied because the user name and password combination you provided is not recognized, or the selected authentication protocol is not permitted on the remote access server.

Ik draai controller versie 6.2.26

Wat ik heb gedaan is eerst in de nieuwe interface op site1 de instellingen gemaakt. Dit werkte niet.
Vervolgens heb ik op mijn iphone in de unifi-app de vpn-instellingen voor site2 gemaakt. Dit werkte wel. Ik heb de vpn-instellingen van site1 verwijderd en op mijn iphone in de unifi-app dezelfde instellingen gemaakt voor site1. Dit werkte niet.

Mijn setup is in beide gevallen de volgende:
Experia box v10a met als intern ip-adres 172.28.19.1

Ik ben inmiddels terug op de oude interface. Daar heb ik alle vpn instellingen voor site1 verwijderd en opnieuw gemaakt.

Afbeeldingslocatie: https://tweakers.net/i/f2IOgfRt-oZuXGDuitebhQP7l-s=/800x/filters:strip_exif()/f/image/dS8Z5dPphCyRP15QqtVoUIYt.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/FoLHoeA_CGJBh_turVErL29L7W0=/800x/filters:strip_exif()/f/image/VlQRpCHGShcZDAcwS4JQvzej.png?f=fotoalbum_large

Afbeeldingslocatie: https://tweakers.net/i/HW8F86oia27qPoFcA5ut0yEAvbw=/800x/filters:strip_exif()/f/image/frOB5bhQtG19mGMeRiRlhgUT.png?f=fotoalbum_large

Ik heb de hier gegeven tip opgevolgd en VLAN aangezet bij de RADIUS user. Dit maakte geen verschil. Daarna heb ik hem weer uitgezet.

Ik heb van alles geprobeerd, in de nieuwe interface de instellingen gemaakt, op de iphone app de instellingen gemaakt, in de oude interface de instellingen gemaakt. Maar ik krijg het niet voor elkaar. Het gekke is dat site2 het direct deed, zonder enig probleem. En voor zover ik het begrijp zijn er geen instellingen verschillend. Is er iemand met ideeen hoe ik dit kan aanpakken?

[ Voor 6% gewijzigd door Tonne op 11-08-2021 09:13 ]

woensdag 11 augustus 2021 09:49

Acties:

0 Henk 'm!

Rodejoost

Heey, dus je hebt eerst een experia box staan, en daarna op LAN de unifi usg?
Als dat zo is moet je of; 1. de xperia box in bridge modus plaatsen. zodat alles transparant naar de usg gaat.
of 2; de vpn poorten port forwarden naar de usg.
Protocol: UDP, port 500 (for IKE, to manage encryption keys)
Protocol: UDP, port 4500 (for IPSEC NAT-Traversal mode)

woensdag 11 augustus 2021 15:26

Acties:

0 Henk 'm!

Tonne

Ja dat klopt, ik heb de usg in de DMZ staan, dus alle poorten worden geforward.
Maar inmiddels ben ik op de locaties langs geweest en heb de configuratie via ssh bekeken. Er was een verschil en dat zat hem in:
Configure clients section for whole network.
Te vinden bij: Services-> Radius-> Server

Daar stond in het ene geval geen vinkje en in het andere geval wel. Waar het niet werkte stond geen vinkje. Maar het vinkje was niet te plaatsen, want greyed out. Dat blijkt te komen als je in de nieuwe interface de Radius server aanzet.
https://community.ui.com/...65-4356-ba52-d419f29722f8
Daar staat hoe je het vinkje aan kunt zetten.

To get this to work in Controller 5.12.35, bring up the RADIUS server settings in the "classic" GUI (the new beta UI doesn't contain that option). Then right click on the word "Configure" in the disabled text beside the checkbox and select "Inspect" from the Chrome pop-up menu. That will bring up the Chrome DevTools window. The item highlighted in the HTML should be a <label> element containing the text "Configure clients section for whole network" amongst other things. Just above that should be an <input> element of type "checkbox". Click on that to select it. You should see == $0 at the end of it:

Now click on the [Console] tab at the top of the DevTools window. At the > prompt type $0.disabled = false and hit Enter. That should enable the checkbox control, allowing you to turn on the setting. Don't forget to hit [Apply Changes]

Onderwerpen

Vraag

Alle reacties