2 DrayTeks, PPTP-VPN lukt wel, IPSec niet - Netwerken

woensdag 21 juli 2004 14:28

Acties:

Krentenboltosti

Topicstarter

Goed, een PPTP-tunnel heb ik inmiddels aan de praat gekregen tussen twee DrayTek Vigor-routers, maar IPSec wil maar niet lukken.

- De ISP's blokkeren niets (jep, nagevraagd bij ISP en gecontroleerd)
- Firewalls staan wagenwijd open en laten ook gefragmenteerde packets door
- Zoals gezegd werkt PPTP wel
- Zowel dial-in aan de ene kant en dial-out aan de andere geprobeerd als beide op "both" gezet
- De logs laten bij de beller zien dat de Vigor een verbinding probeert te maken maar geeft verder geen foutmelding; de ontvanger heeft geen log-entries.
- De pre-shared keys zijn identiek.

Hieronder screenshots van de configuraties. Bij punt 4, TCP/IP Network Settings valt misschien op dat bij My WAN IP een IP-adres is ingevuld in plaats van 0.0.0.0. Dit is nodig omdat hier de ISP geen IP-adres uitdeelt maar we het statisch moeten invullen. De gateway van deze router is een router die aan ons zes verschillende IP's doorgeeft, dus we moeten dit zelf instellen. Hetzelfde geldt voor Remote Gateway IP. Bij de PPTP-tunnel werkt dit als een zonnetje en de route is hetzelfde, dus hier zoek ik het probleem niet.

Thuis:
Afbeeldingslocatie: http://www.xs4all.nl/~mhuijgen/martin/got/thuis.gif

Afbeeldingslocatie: http://www.xs4all.nl/~mhuijgen/martin/got/thuis.gif

Werk:

Wat doe ik verkeerd?

Owja: ik heb me wezenloos gegoogled, ik hoop dat ik gewoon over de oplossing heen gelezen heb. Ook de howto's e.d. van DrayTek gelezen en zelfs gebeld naar DrayTek. Die vinden dat het gewoon zo moet werken

.
Dit topic 2xDraytek Vigor 2900 LAN-to-LAN - krijg 't niet werkend had ik eerder geopend, maar das toch net een ander probleem en inmiddels opgelost, vandaar dit nieuwe topic, hoop dat 't niet gezien wordt als cross-posting (in hetzelfde forum..

).

[ Voor 20% gewijzigd door CmdrKeen op 21-07-2004 14:32 ]

Bloed, zweet & koffie

woensdag 21 juli 2004 16:05

Acties:

slaay

Natuurbeleven.com

Gaat dit over een KPN ADSL netwerk? Zoja, dan zal IPSEC niet mogelijk zijn!

Dich bis echt unne foëzen haas

vrijdag 23 juli 2004 08:26

Acties:

CmdrKeen

Krentenboltosti

Topicstarter

Contact opgenomen met Draytek, en het werkt

Het zat 'm _toch_ in de routing! Ik moest bij Remote Gateway IP het *interne* adres van de router aan de andere kant invullen en niet het externe. Bovendien moest ik bij Remote Network IP het eerste IP-adres uit de reeks invullen, dus eindigend op .0 en niet bv. op .5.

Enne... slaay - dit is een VPN tussen aan de ene kant een glasvezelaansluiting van Versatel en aan de andere kant een ADSL-aansluiting van de KPN, en het werkt als een zonnetje

Bloed, zweet & koffie

vrijdag 23 juli 2004 10:07

Acties:

slaay

Natuurbeleven.com

Er is mij altijd verteld dat een VPN tussen bbned en KPN ADSL niet met IPSEC gaat lukken.

Dit heb ik zelf ook geprobeerd en blijkt niet te werken

Dich bis echt unne foëzen haas

vrijdag 23 juli 2004 12:49

Acties:

Thijs B

slaay schreef op 23 juli 2004 @ 10:07:
Er is mij altijd verteld dat een VPN tussen bbned en KPN ADSL niet met IPSEC gaat lukken.

Dit heb ik zelf ook geprobeerd en blijkt niet te werken

Dat is echt grote onzin vpn werkt via elke provider.

vrijdag 23 juli 2004 12:53

Acties:

Verwijderd

slaay schreef op 23 juli 2004 @ 10:07:
Er is mij altijd verteld dat een VPN tussen bbned en KPN ADSL niet met IPSEC gaat lukken.

Dit heb ik zelf ook geprobeerd en blijkt niet te werken

Dit werkte volgens mij vroeger niet via KPN, tegenwoordig dus wel

maandag 26 juli 2004 22:14

Acties:

CmdrKeen

Krentenboltosti

Topicstarter

Hmm, nou... ik heb de router op kantoor vervangen door een identieke router met identieke instellingen..... en nou werkt het niet meer!

Iemand enig idee hoe te troubleshooten als de FAQ's e.d. op de sites van Draytek geen uitkomst meer bieden?

Ik krijg deze logs uitgespuugd, maar ik heb werkelijk geen idee wat ik eraan zou moeten kunnen zien:

(Oh ja, dit gaat over een zelfde situatie: VPN via PPTP tussen Antwerpen en Rotterdam werkt wel, IPSec niet. Instellingen zijn identiek aan vorige situatie. ISP Antwerpen = Belgacom/Skynet).

code:

Antwerpen

> log -w -t
0:06:18.960 ++++>IKE Len=176
I Cookie=0x00 80 c0 e0 f0 78 3c 1e , R Cookie=0x00 00 00 00 00 00 00 00
Next Payload = ISAKMP_NEXT_SA
Exchange Type = 0x2
Message ID = 0x0

 Payload Type = SA
 Next Payload = ISAKMP_NEXT_NONE
 Payload Length = 0x94
 DOI = 0x1

 Proposal #0x0, Protocol Id = 0x1, SPI Size = 0x0, Number of Transforms = 0x4
 Transform #0x0, Transform ID = 0x1, Length = 0x18
  80 0b 00 01
  80 0c 70 80
  80 01 00 01
  80 02 00 01
  80 03 00 01
  80 04 00 01
 Transform #0x1, Transform ID = 0x1, Length = 0x18
  80 0b 00 01
  80 0c 70 80
  80 01 00 01
  80 02 00 02
  80 03 00 01
  80 04 00 01
 Transform #0x2, Transform ID = 0x1, Length = 0x18
  80 0b 00 01
  80 0c 70 80
  80 01 00 05
  80 02 00 01
  80 03 00 01
  80 04 00 01
 Transform #0x3, Transform ID = 0x1, Length = 0x18
  80 0b 00 01
  80 0c 70 80
  80 01 00 05
  80 02 00 01
  80 03 00 01
  80 04 00 02

0:06:18.990 <++++IKE Len=80
I Cookie=0x00 80 c0 e0 f0 78 3c 1e , R Cookie=0xeb 4d 8c 14 a7 c4 3a ed
Next Payload = ISAKMP_NEXT_SA
Exchange Type = 0x2
Message ID = 0x0

 Payload Type = SA
 Next Payload = ISAKMP_NEXT_NONE
 Payload Length = 0x34
 DOI = 0x1

 Proposal #0x0, Protocol Id = 0x1, SPI Size = 0x0, Number of Transforms = 0x1
 Transform #0x0, Transform ID = 0x1, Length = 0x18
  80 0b 00 01
  80 0c 70 80
  80 01 00 01
  80 02 00 01
  80 03 00 01
  80 04 00 01

0:06:19.970 ++++>IKE Len=148
I Cookie=0x00 80 c0 e0 f0 78 3c 1e , R Cookie=0xeb 4d 8c 14 a7 c4 3a ed
Next Payload = ISAKMP_NEXT_KE
Exchange Type = 0x2
Message ID = 0x0

 Payload Type = KEY EX
 Next Payload = ISAKMP_NEXT_NONCE
 Payload Length = 0x64
 Key =0x5b 2d 85 05 57 49 24 eb 11 eb 7e d3 b8 75 bb 3e
        16 39 30 5c 86 76 a8 9a 86 e0 52 69 1a 9a 3c 22
        85 76 08 46 75 6f 55 d8 6f 86 30 1a 50 e3 3b 47
        b8 ca 0a ac 02 d5 15 e6 38 7f 2c 35 ad 02 66 0a
        f5 47 fd aa b3 53 29 00 b1 a4 ce 12 64 cd 74 1b
        52 1e 8d 5d 29 64 87 57 52 ca ff 1b 4a 42 44 0b

 Payload Type= NONCE
 Next Payload = ISAKMP_NEXT_NONE
 Nonce Length = 0x14
 Nonce = 0x0e 87 c3 e1 f0 f8 fc fe ff 7f 3f 1f 0f 87 c3 61

0:06:22.430 <++++IKE Len=148
I Cookie=0x00 80 c0 e0 f0 78 3c 1e , R Cookie=0xeb 4d 8c 14 a7 c4 3a ed
Next Payload = ISAKMP_NEXT_KE
Exchange Type = 0x2
Message ID = 0x0

 Payload Type = KEY EX
 Next Payload = ISAKMP_NEXT_NONCE
 Payload Length = 0x64
 Key =0x99 ad 0e 35 a8 42 f3 b4 2a 17 92 d3 55 2f 82 47
        77 47 a3 aa 65 8b 6a 30 03 8f 2d ca 46 cf 2e 55
        c3 85 40 4d ce 2f 00 2d 2d 87 6b 34 2c 06 70 7b
        59 dc fa d7 a4 99 1e 9e 05 0e 68 b7 7f 40 11 9a
        ad 80 01 fa 89 08 00 d0 09 ee ad 8a 15 6c 67 c9
        8c 59 44 e7 7f 68 a6 62 16 aa 63 01 6c 84 dc 0c

 Payload Type= NONCE
 Next Payload = ISAKMP_NEXT_NONE
 Nonce Length = 0x14
 Nonce = 0x75 3a 9d ce e7 f3 f9 7c 3e 1f 0f 07 03 81 c0 60

0:06:23.820 ++++>IKE Len=60
I Cookie=0x00 80 c0 e0 f0 78 3c 1e , R Cookie=0xeb 4d 8c 14 a7 c4 3a ed
Next Payload = ISAKMP_NEXT_ID
Exchange Type = 0x2
Message ID = 0x0

 Payload Type = ID
 Next Payload = ISAKMP_NEXT_HASH
 Payload Length = 0xc
 ID Type = 0x01
 Protocol ID = 0x0
 Port = 0x0
 ID = 0xac ad ae 02

 Payload Type = Hash
 Next Payload = ISAKMP_NEXT_NONE
 Payload Length = 0x14
 Hash = 0x47 34 96 65 26 b4 78 51 ac 2f 15 92 25 d2 ab f7


--------------------------------------------------------------------------
Rotterdam

> log -w -t
0:54:39.850 <<<<PPTP(VPN-0) Len=6
    Protocol:LCP(c021)
        TermReq Identifier:0x02 ##

0:54:39.850 >>>>PPTP(VPN-0) Len=8
    Protocol:LCP(c021)
        TermAck Identifier:0x02 ##

0:54:57.310 <++++IKE Len=176
I Cookie=0x00 80 c0 e0 f0 78 3c 1e , R Cookie=0x00 00 00 00 00 00 00 00
Next Payload = ISAKMP_NEXT_SA
Exchange Type = 0x2
Message ID = 0x0

 Payload Type = SA
 Next Payload = ISAKMP_NEXT_NONE
 Payload Length = 0x94
 DOI = 0x1

 Proposal #0x0, Protocol Id = 0x1, SPI Size = 0x0, Number of Transforms = 0x4
 Transform #0x0, Transform ID = 0x1, Length = 0x18
  80 0b 00 01
  80 0c 70 80
  80 01 00 01
  80 02 00 01
  80 03 00 01
  80 04 00 01
 Transform #0x1, Transform ID = 0x1, Length = 0x18
  80 0b 00 01
  80 0c 70 80
  80 01 00 01
  80 02 00 02
  80 03 00 01
  80 04 00 01
 Transform #0x2, Transform ID = 0x1, Length = 0x18
  80 0b 00 01
  80 0c 70 80
  80 01 00 05
  80 02 00 01
  80 03 00 01
  80 04 00 01
 Transform #0x3, Transform ID = 0x1, Length = 0x18
  80 0b 00 01
  80 0c 70 80
  80 01 00 05
  80 02 00 01
  80 03 00 01
  80 04 00 02

0:54:57.310 ++++>IKE Len=80
I Cookie=0x00 80 c0 e0 f0 78 3c 1e , R Cookie=0xeb 4d 8c 14 a7 c4 3a ed
Next Payload = ISAKMP_NEXT_SA
Exchange Type = 0x2
Message ID = 0x0

 Payload Type = SA
 Next Payload = ISAKMP_NEXT_NONE
 Payload Length = 0x34
 DOI = 0x1

 Proposal #0x0, Protocol Id = 0x1, SPI Size = 0x0, Number of Transforms = 0x1
 Transform #0x0, Transform ID = 0x1, Length = 0x18
  80 0b 00 01
  80 0c 70 80
  80 01 00 01
  80 02 00 01
  80 03 00 01
  80 04 00 01

0:54:58.320 <++++IKE Len=148
I Cookie=0x00 80 c0 e0 f0 78 3c 1e , R Cookie=0xeb 4d 8c 14 a7 c4 3a ed
Next Payload = ISAKMP_NEXT_KE
Exchange Type = 0x2
Message ID = 0x0

 Payload Type = KEY EX
 Next Payload = ISAKMP_NEXT_NONCE
 Payload Length = 0x64
 Key =0x5b 2d 85 05 57 49 24 eb 11 eb 7e d3 b8 75 bb 3e
        16 39 30 5c 86 76 a8 9a 86 e0 52 69 1a 9a 3c 22
        85 76 08 46 75 6f 55 d8 6f 86 30 1a 50 e3 3b 47
        b8 ca 0a ac 02 d5 15 e6 38 7f 2c 35 ad 02 66 0a
        f5 47 fd aa b3 53 29 00 b1 a4 ce 12 64 cd 74 1b
        52 1e 8d 5d 29 64 87 57 52 ca ff 1b 4a 42 44 0b

 Payload Type= NONCE
 Next Payload = ISAKMP_NEXT_NONE
 Nonce Length = 0x14
 Nonce = 0x0e 87 c3 e1 f0 f8 fc fe ff 7f 3f 1f 0f 87 c3 61

0:55:00.750 ++++>IKE Len=148
I Cookie=0x00 80 c0 e0 f0 78 3c 1e , R Cookie=0xeb 4d 8c 14 a7 c4 3a ed
Next Payload = ISAKMP_NEXT_KE
Exchange Type = 0x2
Message ID = 0x0

 Payload Type = KEY EX
 Next Payload = ISAKMP_NEXT_NONCE
 Payload Length = 0x64
 Key =0x99 ad 0e 35 a8 42 f3 b4 2a 17 92 d3 55 2f 82 47
        77 47 a3 aa 65 8b 6a 30 03 8f 2d ca 46 cf 2e 55
        c3 85 40 4d ce 2f 00 2d 2d 87 6b 34 2c 06 70 7b
        59 dc fa d7 a4 99 1e 9e 05 0e 68 b7 7f 40 11 9a
        ad 80 01 fa 89 08 00 d0 09 ee ad 8a 15 6c 67 c9
        8c 59 44 e7 7f 68 a6 62 16 aa 63 01 6c 84 dc 0c

 Payload Type= NONCE
 Next Payload = ISAKMP_NEXT_NONE
 Nonce Length = 0x14
 Nonce = 0x75 3a 9d ce e7 f3 f9 7c 3e 1f 0f 07 03 81 c0 60

>

Bloed, zweet & koffie

dinsdag 27 juli 2004 13:52

Acties:

Verwijderd

vroeger werkte vpn niet omdat destijds mxstream ook al een vpn ding was (uit me hoofd, bij planet o.a.).

woensdag 28 juli 2004 11:56

Acties:

CmdrKeen

Krentenboltosti

Topicstarter

Klopt, maar...

1. dat is nu niet meer het geval;
2. het *is* me dus al een keer gelukt.

Vreemde situatie: PPTP via Draytek valt erg vaak (paar keer per minuut) uit en wordt automatisch opnieuw gemaakt terwijl dezelfde tunnel tussen FreeBSD-routers stabiel is; die valt hooguit eens per week uit en dat wordt dan veroorzaakt door de provider.. (De tunnel wordt dan overigens automatisch opnieuw gemaakt.)

Bloed, zweet & koffie

woensdag 28 juli 2004 12:04

Acties:

slaay

Natuurbeleven.com

Is dat niet zoiets als met adsl modems? Dat wanneer er teveel packetloss optreed, het modem opnieuw probeert te verbinden?

Mogelijk dat de Draytek erg gevoelig ingesteld staan en dus sneld e verbinding "loskoppelen" en weer opnieuw oppakken.

In tegenstelling tot je servers die het niet boeit hoeveel packetloss er is, en gewoon de verbinding up houden.

Dich bis echt unne foëzen haas

woensdag 28 juli 2004 13:12

Acties:

Thijs B

Ik heb een 6 tal ipsec vpn links met deze draytekjes gemaakt en in beheer zowel via kpn als bbned. Het kost soms wat moeite maar je kan de vpn links gewoon goed en stabiel krijgen.

Het wegvallen van de vpn link kan komen door verschillende firmwares of heel onstabiele adsl lijn, zorg ervoor dat beide routers dezelfde recente firmware gebruiken.

In het vpn menu Enable Ping to Keep Alive inschakelen en dus pingen naar een ip adres van je lan aan de andere kant van de link hierdoor blijft je link open.

En goed opletten dat je ipsec keys en eventueel l2tp codes overal juist zijn het klinkt logisch maar door de vele instelling kan je hiermee snel fouten maken.

Mijn ervaring is dat de vigors 2600 op een groot netwerk met veel vpn/nat verkeer niet 100% stabiel zijn. De beste resultaten heb ik met de vigors 2300 op een alcatel adsl modem deze zijn echt 100% stabiel en bij mij nog nooit uitgevallen of vast gelopen. De 2200 heb ik alleen in gebruik op 1 kleine locatie en werkt verder prima..

woensdag 28 juli 2004 13:51

Acties:

CmdrKeen

Krentenboltosti

Topicstarter

slaay schreef op 28 juli 2004 @ 12:04:
Is dat niet zoiets als met adsl modems? Dat wanneer er teveel packetloss optreed, het modem opnieuw probeert te verbinden?

Mogelijk dat de Draytek erg gevoelig ingesteld staan en dus sneld e verbinding "loskoppelen" en weer opnieuw oppakken.

In tegenstelling tot je servers die het niet boeit hoeveel packetloss er is, en gewoon de verbinding up houden.

Bij het PPTP-VPN tussen de twee FreeBSD-servers treedt *geen* packet loss op. Naar buiten pingen vanuit de twee lokaties naar externe sites en naar elkaars publieke IP levert ook geen packet loss op. Dit heb ik gedurende vier (!) uur getest door middel van een constante ping.

Thijs B schreef op 28 juli 2004 @ 13:12:
Ik heb een 6 tal ipsec vpn links met deze draytekjes gemaakt en in beheer zowel via kpn als bbned. Het kost soms wat moeite maar je kan de vpn links gewoon goed en stabiel krijgen.

Ik geloof je zo, maar kan je "wat moeite" misschien specificeren? Ik ben al een week bezig om VPN-verbindingen te realiseren maar ik bak er niets van met deze apparaatjes

Het zijn gewoon instellingen e.d., je hebt er geen kracht voor nodig, dan had je "wat moeite" kunnen zeggen. Draytek levert me ook geen support meer ondanks dat ik uitgebreide logs en screenshots en ISP-details heb gestuurd. (Sorry, ik ben een beetje gefrustreerd geraakt

, vat het niet persoonlijk op.)

Het wegvallen van de vpn link kan komen door verschillende firmwares of heel onstabiele adsl lijn, zorg ervoor dat beide routers dezelfde recente firmware gebruiken.

Het zijn identieke machines met identieke firmware en stabiele DSL-verbindingen. Ik kan bv. gedurende vier uur van lokatie A naar lokatie B pingen zonder packet loss.

In het vpn menu Enable Ping to Keep Alive inschakelen en dus pingen naar een ip adres van je lan aan de andere kant van de link hierdoor blijft je link open.

Had ik al geprobeerd maar lost het probleem helaas niet op..

En goed opletten dat je ipsec keys en eventueel l2tp codes overal juist zijn het klinkt logisch maar door de vele instelling kan je hiermee snel fouten maken.

De Pre-Shared Keys heb ik gekopieerd en geplakt vanuit m'n Notepad en echt honderd keer opnieuw gecheckt

Mijn ervaring is dat de vigors 2600 op een groot netwerk met veel vpn/nat verkeer niet 100% stabiel zijn. De beste resultaten heb ik met de vigors 2300 op een alcatel adsl modem deze zijn echt 100% stabiel en bij mij nog nooit uitgevallen of vast gelopen. De 2200 heb ik alleen in gebruik op 1 kleine locatie en werkt verder prima..

Ik gebruik Vigors 2900 en die kunnen 32 VPN-verbindingen tegelijkertijd aan. Ik gebruik ze hier voor een VPN tussen twee vestigingen; in vestiging A werken 15 mensen en draait een mailserver en in vestiging B werken 3 mensen, ze gebruiken het VPN voor mail en sporadisch browsen op een fileserver. Niet echt veel dataverkeer ook.

Sorry als ik misschien wat negatief klink maar ik ben er echt al een lange tijd mee bezig, heb me rotgezocht op het net en uit Draytek zelf krijg ik geen ondersteuning, ik begin een beetje moedeloos te worden..

Wel heel erg bedankt voor jullie reacties! Keep 'em coming

Bloed, zweet & koffie

woensdag 28 juli 2004 16:17

Acties:

Thijs B

Het is gewoon heel moeilijk om op deze manier verder tips te geven..

Ik wil ze ook best voor je vanaf remote configen ik heb het al zovaak gedaan met die drayteks moet lukken.. En zo niet dan weet ik gelijk dat ik geen 2900 vigors moet gaan gebruiken

woensdag 28 juli 2004 17:21

Acties:

CmdrKeen

Krentenboltosti

Topicstarter

Daar zeg ik geen nee tegen! Kom ff hallo zeggen op ICQ 6495710.. ik kan jou niet on-line vinden..

Ik heb nog wel wat concrete vragen:

1. Moet ik iets configureren bij Advanced Setup > VPN IKE > IPSec General Setup? Nu doe ik het telkens eerst wel en dan niet, omdat ik het niet zeker weet.

2. Op kantoor hebben we een gateway 10.0.0.5 met een statische route: 192.168.4.0 -> 10.0.0.11, oftewel verkeer naar mij thuis wordt naar de Draytek gestuurd. Moet ik in mijn Draytek thuis als Remote Gateway IP nou 10.0.0.5 opgeven (de default gateway van het LAN op kantoor) of 10.0.0.11 (de Draytek-router die het VPN verzorgt)? (Ik denk 10.0.0.5 maar probeer het altijd beide.)

3. Ik doe niet Dial-in en Dial-out maar Both. Moet ik bij zowel Dial-in als Dial-out dezelfde IKE Pre-Shared Key invullen? (Ik denk het niet maar ik doe het wel.)

4. Moet de IKE Pre-Shared Key 64 karakters lang zijn, zoals op verschillende plekken op de sites van Draytek staat, of mag ik ook mijn voornaam als IKE Pre-Shared Key gebruiken (nee, mijn voornaam is *niet* 64 karakters lang)? (Probeer het telkens beide.)

5. Er zijn drie lokaties: A, B, en C. IPSec-VPN werkt tussen A en B en tussen A en C. Mag ik daaruit concluderen dat IPSec-VPN tussen B en C ook werkt? (Ik denk het wel omdat ze ten minste één identieke manier ondersteunen..)

[ Voor 9% gewijzigd door CmdrKeen op 28-07-2004 17:23 ]

Bloed, zweet & koffie

woensdag 28 juli 2004 17:41

Acties:

Thijs B

hoop vragen ik ben ook maar een simpele systeembeheerder hoor maar met dat vpn krijg ik meestal wel voor elkaar.

als a verbinding heeft met locatie b en c en alle drie is een draytek dan kunnen alle drie de locaties elkaar bereiken.. Er van uitgaande dat alle drie de locaties in een ander subnet zit..

maarre ik ben vanavond online.

woensdag 28 juli 2004 17:45

Acties:

CmdrKeen

Krentenboltosti

Topicstarter

Alledrie de lokaties zijn Draytek-routers en ze zitten alledrie in een ander subnet. Is het emailadres in je profiel nog actueel?

Bloed, zweet & koffie

woensdag 28 juli 2004 19:15

Acties:

Thijs B

mijn profiel is nu uptodate