• Ora et Labora
  • Registratie: September 2003
  • Laatst online: 08:18
Ik heb een EdgeRouter Lite v2.0.8.
Nu wil ik hier met m'n telefoon vanaf extern verbinding op kunnen maken maar ik krijg dit niet voor elkaar.
Situatie:
TMobile DSL. LAN1 van TMobile zit in de eth0 van de Edge. De Edge staat ingesteld als DMZ op de TMobile-router. Dit werkt goed want portforwarding hoef ik alleen in de Edge in te stellen en werkt, bijvoorbeeld Synology poortforwarding komt keurig aan om m'n Synology.

Nu heb ik veel gelezen en gekeken over VPN op de Edge, bijvoorbeeld YouTube: EdgeRouter L2TP IPSec Server Setup en YouTube: How To Connect To EdgeRouter L2TP VPN Server From Windows 10 en alles wordt volgens mij duidelijk uitgelegd.
Echter krijg ik het niet werkend voor elkaar.
M'n telefoon staat op 4G, ik probeer VPN te maken maar de popup voor gebruikersnaam en wachtwoord komt niet eens naar boven, ik krijg de melding "niet geslaagd".
De configuratie al diverse malen verwijderd uit de Edge en opnieuw toegevoegd.
Deze ziet er nu als volgt uit:

Firewall-Rules:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action accept
            description IKE
            destination {
                port 500
            }
            log disable
            protocol udp
            state {
                established enable
                invalid disable
                new enable
                related enable
            }
        }
        rule 30 {
            action accept
            description L2TP
            destination {
                port 1701
            }
            log disable
            protocol udp
            state {
                established enable
                invalid disable
                new enable
                related enable
            }
        }
        rule 40 {
            action accept
            description ESP
            log disable
            protocol esp
            state {
                established enable
                invalid disable
                new enable
                related enable
            }
        }
        rule 50 {
            action accept
            description NAT-T
            destination {
                port 4500
            }
            log disable
            protocol udp
            state {
                established enable
                invalid disable
                new enable
                related enable
            }
        }
        rule 60 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }


VPN-config:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
}
vpn {
    ipsec {
        allow-access-to-local-interface disable
        auto-firewall-nat-exclude enable
        ipsec-interfaces {
            interface eth0
        }
        nat-traversal enable
    }
    l2tp {
        remote-access {
            authentication {
                local-users {
                    username *** {
                        password ****************
                    }
                }
                mode local
            }
            client-ip-pool {
                start 10.0.0.5
                stop 10.0.0.9
            }
            dhcp-interface eth0
            dns-servers {
                server-1 8.8.8.8
                server-2 4.2.2.2
            }
            idle 1800
            ipsec-settings {
                authentication {
                    mode pre-shared-secret
                    pre-shared-secret ****************
                }
                ike-lifetime 3600
                lifetime 3600
            }
        }
    }
}


Android:


Diverse malen de instructies opnieuw gevolgd maar ik zie niet wat ik fout doe.
Als ik de Edge vervang door een Draytek en deze Draytek als DMZ van TMobile activeer, werkt het wel om VPN naar de Draytek te maken maar met de Edge niet, er moet dus iets met m'n config in de Edge zijn....

Dank alvast.

Edit, met hulp van een eerder topic, Edgerouter lite VPN opzetten, van een bericht van @Jeroen_ae92 heb ik de config gewijzigd naar:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
}
vpn {
    ipsec {
        auto-firewall-nat-exclude enable
        disable-uniqreqids
    }
    l2tp {
        remote-access {
            authentication {
                local-users {
                    username *** {
                        password ****************
                    }
                }
                mode local
            }
            client-ip-pool {
                start 10.0.0.5
                stop 10.0.0.8
            }
            dns-servers {
                server-1 8.8.8.8
            }
            ipsec-settings {
                authentication {
                    mode pre-shared-secret
                    pre-shared-secret ****************
                }
                ike-lifetime 3600
            }
            mtu 1492
            outside-address 0.0.0.0
        }
    }
}


Maar ook dit geeft geen goed resultaat vanuit Android, melding niet geslaagd blijft naar voren komen.

Edit, een printscreen van de firewall-settings:

[Voor 13% gewijzigd door Ora et Labora op 17-01-2022 11:30]

Who's general failure, and why is he reading my disk?


  • Jeroen_ae92
  • Registratie: April 2012
  • Laatst online: 25-01 16:29
Zonder de rest van de config wordt het lastig. O.a. je wan interface, routes, port forward en nat regels zijn handig om erbij te vermelden.

U+


  • _JGC_
  • Registratie: Juli 2000
  • Laatst online: 12:13
L2TP is iets heel anders dan IKEv2.

  • donny007
  • Registratie: Januari 2009
  • Laatst online: 13:03

donny007

Try the Nether!

Met de Edgerouter in de DMZ van de T-Mobile router heb je te maken met een double-NAT scenario, kan de T-Mobile router niet volledig in bridge mode worden gezet?

Anyway, in Android moet je het "L2TP/IPSec PSK" profiel selecteren (niet IKEv2). Bij "IPSec pre-shared key" vul je het pre-shared-secret uit de ER in, bij username/password vul je de gegevens van de local-user in.

Als het niet werkt kun je in de logs van de Edgerouter duiken (check eerst de firewall logs), met tcpdump kun je controleren of er überhaupt iets van verkeer arriveert op de VPN poorten.

[Voor 6% gewijzigd door donny007 op 17-01-2022 22:30]

/dev/null


  • Ora et Labora
  • Registratie: September 2003
  • Laatst online: 08:18
donny007 schreef op maandag 17 januari 2022 @ 22:27:
Met de Edgerouter in de DMZ van de T-Mobile router heb je te maken met een double-NAT scenario, kan de T-Mobile router niet volledig in bridge mode worden gezet?
De enige mogelijkheid is om de Edge als DMZ op te geven, dan wordt wel al het verkeer doorgestuurd naar de Edge maar inderdaad dubbel NAT.
Anyway, in Android moet je het "L2TP/IPSec PSK" profiel selecteren (niet IKEv2). Bij "IPSec pre-shared key" vul je het pre-shared-secret uit de ER in, bij username/password vul je de gegevens van de local-user in.
Wat dom...Dit is inderdaad de oplossing, niet IKEv2 maar L2TP/IPSec PSK.
Hartelijk dank en ik moet beter inlezen in plaats van te focussen op de Edge...

Who's general failure, and why is he reading my disk?



Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee