Telenet en L2TP/IPSec

[silencer]

Waar haal je de info dat ipsec door Telenet wordt geblokkeerd?

Van een post van 10 jaar geleden (toen blokkeerde Telenet inderdaad alles inkomend <1024)?
Dat is al vele jaren afgeschaft

En wat wil je precies met Fritzbox/Pfsense?

Ik wil een ipsec site to site verbinding opzetten, maar krijg geen connectie (ip wan van pfsense is een lan ip, in dmz op mijn telenet).

Is een eventuele swap door een modem gratis (zelf doen) ?

[philippe_d]

Misschien toch een klein beetje meer uitleg over wat je precies wilt.
Ipsec site-to-site:
- tussen welke toestellen wil je die VPN?
- hoe staan deze toestellen op het internet (aan beide kanten van de tunnel)?

[CCatalyst]

Met zo'n Telenet AIO ga je NAT traversal (NAT-T) nodig hebben. Je zal daarvoor destination NAT (DNAT, aka port forwarding) moeten configureren van de AIO naar de host vanwaar je IPSec opereert. De benodigde poorten zijn standaard 500 voor IKE, 1701 voor L2TP en 4500 voor NAT-T.

Met een modem-only configuratie waarbij de internet-facing router de IPSec draait is er uiteraard geen port forwarding nodig, enkel de betrokken poorten openzetten. Voor DMZ is dat in principe hetzelfde. Nakijken of de data niet geblokkeerd wordt door de firewall, zonee in de logs kijken en wireshark toepassen om het probleem te vinden.

[splinterbyte]

Modem only nemen voor IPSEC, anders krijg je problemen; het lijkt wel te werken tot je echt veel data (bv samba) gaat over sturen, iets met MTU mismatch in de HGW...

[selder]

Rock solid performance van de hele schakel hier:

Telenet Modem Only > switch > Apple Airport Extreme > switch > Synology DS1517+ met 8 GB RAM. Momenteel heb ik alleen de IPsec tunnel als toegangspunt, maar daardoor gooi ik alles: filetransfers via Samba en HTTPS, streamen van security cams, SSH, ... , en dan nog liefst alles tegelijk, haal altijd de 20mbps van m’n upload...

[silencer]

Met zo'n Telenet AIO ga je NAT traversal (NAT-T) nodig hebben. Je zal daarvoor destination NAT (DNAT, aka port forwarding) moeten configureren van de AIO naar de host vanwaar je IPSec opereert. De benodigde poorten zijn standaard 500 voor IKE, 1701 voor L2TP en 4500 voor NAT-T.

Met een modem-only configuratie waarbij de internet-facing router de IPSec draait is er uiteraard geen port forwarding nodig, enkel de betrokken poorten openzetten. Voor DMZ is dat in principe hetzelfde. Nakijken of de data niet geblokkeerd wordt door de firewall, zonee in de logs kijken en wireshark toepassen om het probleem te vinden.

Dus naast de dmz moet ik ook nog de portforwarding instellen voor de wanzijde van mijn pfsense router (is gevirtualiseerd onder esxi 6.5) op 192.168.0.254 ?
Heeft iemand al een ipsec tunnel kunnen opzetten met de hgw ?

Het ene toestel is een fritzbox met een (echt) wan ip van scarlet (heb de settings voor pfsense 2.4.4 site-to-site naar fritzbox online gevonden), het andere is de pfsense router (vm)

[ITnetadmin]

Het idee van een "DMZ" (de consumer variant) is dat alle unsollicited packets (dus ongevraagde binnenkomende pakketjes, maw die geen outgoing packet als tegenhanger hebben) ipv weg te gooien, naar het IP in DMZ gestuurd worden.
Het is echter aan te raden de ports nodig voor je VPN (bv 500 en 4500 bij IPSEC, 1197 bij OpenVPN) nog ns expliciet te forwarden.

[wisentje]

Vergeet ip protocol 50 (esp) niet voor ipsec.
In de telenet portal kan je alleen UDP/TCP forwarden.
Ik weet niet DMZ iets anders doorlaat...

[silencer]

Vergeet ip protocol 50 (esp) niet voor ipsec.
In de telenet portal kan je alleen UDP/TCP forwarden.
Ik weet niet DMZ iets anders doorlaat...

Daar had ik ook aan gedacht: ik denk niet dat het met ipsec zou lukken met de hgw

[CCatalyst]

Een NAT-toestel breekt ESP, want zo'n protocol packet heeft geen poorten en de payload is versleuteld. Een NAT-toestel kan dus nergens unieke poorten toewijzen waarmee het later kan weten vanwaar de pakketstroom komt in het netwerk.

Proto 50 is daarom niet nodig als je NAT-T gebruikt. De ESP wordt dan immers in een UDP packet geëncapsuleerd dat langs poort 4500 gaat ipv proto 50. NAT toestel kan dan de headers van de UDP pakketten wijzigen om poorten toe te wijzen.

Heeft iemand al een ipsec tunnel kunnen opzetten met de hgw ?

Moet volgens mij toch mogelijk zijn met NAT-T aan beide zijden als extensie te configureren en de betrokken poorten (allemaal UDP) te forwarden op de HGW en eventueel ook aan de andere kant als er daar ook NAT is.

Probeer eens en check de logs om te zien wat er gebeurt.

Als het niet lukt, is de kans groter dat het aan L2TP ligt. Probeer dan IKEv2/IPSec als dat mogelijk is. Dat is een moderner (en imo gemakkelijker) alternatief dan L2TP/IPSec waarmee je client kan roamen van IP, en het ondersteunt NAT-T zonder nood aan extensies. Enkel poorten 500 en 4500 nodig hiervoor.

[wisentje]

Dat klopt inderdaad, met NAT traversal kan je achter eender welke router een ipsec tunnel opzetten, dan moet je inbound zelfs geen poorten openen.

[ITnetadmin]

Config dan ineens een OpenVPN setup, dat is by default UDP.

[philippe_d]

Als het niet lukt, is de kans groter dat het aan L2TP ligt. Probeer dan IKEv2/IPSec als dat mogelijk is. Dat is een moderner (en imo gemakkelijker) alternatief dan L2TP/IPSec waarmee je client kan roamen van IP, en het ondersteunt NAT-T zonder nood aan extensies. Enkel poorten 500 en 4500 nodig hiervoor.

De TS probeert een LAN-LAN VPN op te zetten tussen enerzijds een Fritz!Box en anderzijds een pfsense router achter een Telenet HGW.
De Fritz!Box kan alleen IKEv2/IPSec

Heeft iemand al een ipsec tunnel kunnen opzetten met de hgw

Ja, maar dan wel tussen 2 Fritz!Boxen (enerzijds een Fritz!Box als VDSL modem, anderzijds een Fritz!Box achter een Telenet HGW).

Het probleem is niet de Telenet HGW, maar gewoon het feit dat je achter een router zit (NAT).
Zo'n LAN-LAN VPN gebruikt in de phase 1 authentication - naast het shared secret - ook de local en de remote identifier, zijnde de dyndns adressen van beide partijen. Je moet dus, zowel in de Fritz!Box, als in je pfsense router, het dyndns adres ingeven van de andere kant.

Het probleem is echter de de Fritz!Box het dyndns van de pfsense gebruikt gedurende de authentication (wat wellicht lukt), maar ook om de pfsense te bereiken (wat niet lukt, gezien dit een intern IP adres achter de HGW).

Wat er dan gebeurt is een zeer onstabiele verbinding:

• de pfsense tracht een VPN op te zetten met de FritzBox (en dit lukt, gezien deze een publiek IP heeft)
• de Fritz!Box tracht een VPN op te zetten met de pfsense (en dit lukt niet gezien hij deze niet kan bereiken)
• gevolg: de Fritz!Box verbreekt de bestaande verbinding

Volgens mij is de enige manier om een stabiele VPN verbinding te krijgen tussen een Fritz!Box met een publiek IPv4 adres, en een device achter een firewall, is het initiatief van de site-to-site VPN uitsluitend over te laten aan het device met een intern IP adres.
Met andere woorden: jouw pfsense router moet de verbinding opbouwen, en niet omgekeerd!
Hiervoor moet je zelfs geen poorten forwarden op de HGW.

Dit kan alleen door enkele regels in de Fritz!Box configuratie manueel te wijzigen:

Code: Selecteer alles

vpn.cfg
remotehostname = "";
keepalive_ip = 0.0.0.0;

Hiermee vermijd je dat de Fritz!Box een poging doet om zelf de VPN op te bouwen.

Een andere methode op bovengenoemde problemen te vermijden, en die geen manuele ingreep in het configuratie bestand vereist is 2 aparte VPN verbindingen opzetten:

1. In de Fritz!Box een nieuwe user aanmaken, en deze user VPN rechten geven.
2. De pfsense router als VPN Client een verbinding laten maken met de Fritz!Box. De pfsense krijgt een intern IP van de Fritz!Box, en alle toestellen achter de pfsense router kunnen de lolake IP's achter de Fritz!Box bereiken.
3. Doe nu hetzelfde in de omgekeerde richting: stel de pfsense in als VPN server. Open poorten 500/4500 op de HGW naar de pfsense router
4. Maak in de Fritz!Box een VPN naar de pfsense (optie: Deze FRITZ!Box met een firma-VPN verbinden). Gebruik hiervoor het dyndns adres van fe HGW. De Fritz!Box krijgt een intern IP van de pfsense router, en alle toestellen achter jouw Fritz!Box kunnen de lolake IP's achter de pfsense bereiken.

Het effect is juist hetzelfde als een site-to-site VPN.

Het ene toestel is een fritzbox met een (echt) wan ip van scarlet (heb de settings voor pfsense 2.4.4 site-to-site naar fritzbox online gevonden), het andere is de pfsense router (vm).

Post hier eens al jouw VPN instellingen (zowel de Fritz!Box als de pfsense) ... dan kunnen we je misschien beter helpen.

En als je een probleem hebt, gelieve in het vervolg al van bij de eerste post alle details te geven, in plaats van in 5 posts iedere keer één klein stukje info te geven .

[CCatalyst]

Config dan ineens een OpenVPN setup, dat is by default UDP.

Voor mij niet meer. Constante reconnects als je bv op de trein werkt via personal hotspot. En geef me server-side voor het zware werk maar een kernel driver ipv een single-threaded userland daemon van een derde partij, de efficientie en snelheidswinst is immers niet min.

Tot voor kort zag ik OpenVPN ook als de gouden standaard, zeker als er een NAT overbrugd moet worden, maar vandaag raakt OpenVPN meer en meer achterhaald. Nu raad ik IKEv2/IPSec aan, client-support zit standaard in iOS en macOS en server-side gebruik ik OpenIKED dat standaard in OpenBSD zit, dus niets meer downloaden en roamen zonder reconnects + veel efficienter dan OpenVPN.

De Fritz!Box kan alleen IKEv2/IPSec

Des te beter dan, dan zou config ook niet zo moeilijk moeten zijn (dat toestel heeft op dit forum om een voor mij onbekende reden nogal loyale aanhang, heb het zelf wel nooit gebruikt). Maar geen idee waarom OP dan L2TP/IPSec probeert.

[sky]

Ik ben geen specialist, maar zeggen dat openvpn achterhaald is, is toch de waarheid schrik aandoen, of hoe was het spreek woord. Niet?

Overal lees ik dat de eerste keuze kwa veiligheid openvpn moet zijn, nadien kan je afzakken naar l2tp. PPTP is zelfs onveilig.

L2tp is niet onveilig maar staat toch lager op de lijst dan openvpn als ik correct gelezen heb.
Of ben ik mis?

[CCatalyst]

Achterhaald inzake performance en mobiliteit, niet inzake veiligheid.

[ITnetadmin]

Pptp is hopeloos verouderd.

L2TP is een specialleke, omdat die layer 2 (dus datalink, maw mac, broadcasts, etc) tunnelt, terwijl de rest L3 doet.

IPSEC is de moderne standaard (standaard, want ipsec is een blokkendoos die je zelf mag invullen; je kan bv ipsec doen zonder encryptie en met enkel authentication).

OpenVPN is een andere standaard, die op andere manieren werkt.
Ipsec bv gebruikt ESP packets, openvpn gewoon udp (of tcp indien je wenst).
Openvpn wordt ook niet makkelijk ondersteund by default; mijn android gsm bv kan native ipsec doen, maar voor openvpn heb ik een app nodig.

[silencer]

Ik ga de modem-only gaan halen.
Volgens telenet helpdesk hebben de centers deze niet, center in oostakker zei dat er een technieker moet langskomen @85€, maar heb al enkele centers gevonden die de modem (zonder router) wel hebben liggen

[philippe_d]

Jouw beslissing, gezien je al van in het begin met het "idée-fixe" zit dat de HGW het probleem is.
Ik verneem graag of de modem-only jouw probleem zal oplossen, volgens mij niet .
Succes ...

[silencer]

Het is gelukt, fase1&2: constante verbinding, wel even uitzoeken geweest welke opties ik moest gebruiken tussen pfsense en de fritzbox (dh >2 werkt bvb niet met de fritzbox 7360v2), gebruik sha1: md5 ging ook, alles boven sha1 niet

Fritz!Box kan alleen IKEv2/IPSec: is niet zo, ik krijg enkel IKEv1 aan de praat, stond zo ook in een manual op internet.

https://en.avm.de/service/fritzbox/frit ... any-s-VPN/
Dit gaat wel over de company vpn, bij de site to site vpn mogelijks anders.

[philippe_d]

Het is gelukt, fase1&2: constante verbinding, wel even uitzoeken geweest welke opties ik moest gebruiken tussen pfsense en de fritzbox

Als je "a" zegt, moet je ook "b" zeggen .
Ik denk dat de gebruikers het zouden appreciëren, als je hier eens alle instellingen zou posten, waarmee het dus wel gelukt is (screenshots?), zowel aan de Fritz kant, als aan de pfsense/HGW kant (natuurlijk privacy zaken maskeren) ...

Fritz!Box kan alleen IKEv2/IPSec: is niet zo, ik krijg enkel IKEv1 aan de praat

Sorry, je hebt gelijk. Ik bedoelde dat de Fritz!Box allen IKE/IPsec ondersteunt (en niet L2TP/IPSec zoals in de topic titel)

[silencer]

Het is gelukt, fase1&2: constante verbinding, wel even uitzoeken geweest welke opties ik moest gebruiken tussen pfsense en de fritzbox

Als je "a" zegt, moet je ook "b" zeggen .
Ik denk dat de gebruikers het zouden appreciëren, als je hier eens alle instellingen zou posten, waarmee het dus wel gelukt is (screenshots?), zowel aan de Fritz kant, als aan de pfsense/HGW kant (natuurlijk privacy zaken maskeren) ...

Fritz!Box kan alleen IKEv2/IPSec: is niet zo, ik krijg enkel IKEv1 aan de praat

Sorry, je hebt gelijk. Ik bedoelde dat de Fritz!Box allen IKE/IPsec ondersteunt (en niet L2TP/IPSec zoals in de topic titel)

De basic settings komen van deze site:
https://mlohr.com/fritzbox-lan-2-lan-vpn-with-pfsense/
Maar elke Fritzbox/Fritz-os heeft andere settings.

Ik heb wel zelf 2 IPSEC firewall rules aangemaakt in pfsense tussen beide sites (ipv allow any any op de ipsec verbinding).

Ik ben eigenlijk niet zo tevreden met de settings, beveiliging is mij te laag.

Note: Blowfish, 3DES, CAST128, MD5, SHA1, and DH groups 1, 2, 22, 23, and 24 provide weak security and should be avoided.

[DarkV]

Rock solid performance van de hele schakel hier:

Telenet Modem Only > switch > Apple Airport Extreme > switch > Synology DS1517+ met 8 GB RAM.

Werkt dit nog steeds ?

Ik tracht dit nu te configureren bij iemand met een Synology DS918 achter een TN modem only voorzien van een WRT54GS (port forwarding van UDP poorten 500, 1701 en 4500) … en test via m'n laptop die thethering gebruikt via een Proximus verbinding maar ik krijg steeds "The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer."

Edit: Van TN naar TN lukt ook niet... misschien een WRT54GS issue ?
Edit2: Never mind... foutje van mijn kant (gateway adres stond foutief)

[silencer]

aggressive AES (256 bits) SHA512 2 (1024 bit) VPN:

Zijn er betere settings mogelijk tussen een fritzbox en pfsense toestel ? Deze optie geselecteerd op de fritzbox: Connect your home network with another FRITZ!Box network (LAN-LAN linkup) IPsec Site 2 site.

Hoe je dit kunt opzetten voor "Connect this FRITZ!Box with a company's VPN" is mij niet duidelijk, maar zou meer ondersteunen:

https://en.avm.de/service/vpn/tips-tric ... panys-vpn/


Requirements / Restrictions
The FRITZ!Box supports VPN connections according to the IPSec standard with ESP, IKEv1, and pre-shared keys. Authentication Header (AH) and Perfect Forward Security (PFS) are not supported.
Supported IPSec algorithms for IKE phase 1:
Encryption method: AES with 256, 192, 128 bit, Triple DES with 168 bit or DES with 56 bit
Hash algorithms: SHA2-512, SHA1 or MD5-96
The FRITZ!Box uses 1024 bit Diffie-Hellman initial key exchange (DH group 2). It then also accepts 768, 1536, 2048 and 3072 bit (DH groups 1, 5, 14, and 15).
Supported IPSec algorithms for IKE phase 2:
Encryption method: AES with 256, 192, 128 bit, Triple DES with 168 bit or DES with 56 bit
Hash algorithms: SHA2-512, SHA1 or MD5-96
The Diffie-Hellman group is determined by IKE phase 1
Compression: none, LZJH, or deflate