Userbase

Hallo,

heb thuis een L2TP/IPSec VPN service opgezet om van extern aan mijn thuisnetwerk te geraken.
De VPN werkt zeker en vast omdat ik al kunnen testen heb door te connecteren op de wireless van mijn telenet router en van daar dan te connecteren naar mijn eigen DD-WRT die de connectie dan forwardt naar mijn VPN server.

Ik probeer nu echter vanop een Telenet hotspot te connecten en dit lukt blijkbaar niet. Blokkeert Telenet misschien deze traffiek ?

OpenVPN en PPTP heb ik wel al werkend gekregen, maar probleem is dat geen van beide werken met mijn Android telefoon (OpenVPN kan alleen als je hem root, en in PPTP zit een bug waardoor hij disconnect na een paar minuten).

Telenet blokt alle poorten onder de 1024 en helaas zit daar IPSec bij:

PPTP: 1723/TCP, IP Protocol 47 (GRE)
L2TP: 1701/UDP
IPSec: 500/UDP, Pass IP protocol 50 & 51
OpenVPN: 1194/UDP

Die stelling gaat enkel op voor de consumenten aansluitingen uiteraard. Op m'n business fibernet werkt ipsec perfect. (Trouwens die poorten van PPTP, L2TP en OpenVPN liggen volgens mij niet onder de 1024 Dit is dus enkel om de klanten te kl*t*n)

Volgens mij wordt het GRE protocol niet toegelaten van op een hotspot (zij het telenet, zij het belgacom en nog eene overlaatst, mobistar als ik me niet vergis)

meon schreef:Telenet blokt alle poorten onder de 1024 en helaas zit daar IPSec bij:

PPTP: 1723/TCP, IP Protocol 47 (GRE)
L2TP: 1701/UDP
IPSec: 500/UDP, Pass IP protocol 50 & 51
OpenVPN: 1194/UDP

Je kan IPSEC met NAT-Traversal tunnelen over 4500/udp. Dat biedt een oplossing bij connecties die oa over Telenet gaan waarbij alles geblocked wordt < poort 1024. Dit heb ik meerdere malen succesvol opgezet. Anders dien je een office abonnement te nemen. Hier staat poort 500/udp open.

Ok, meer slecht nieuws dus. Zoals ik zei probeer ik met mijn Android phone op mijn thuis netwerk te geraken...
* OpenVPN: kan alleen als je je telefoon root, maar dat wil ik (voorlopig nog) niet doen.
* PPTP: werkt nauwelijks, want na paar minuten gaat er geen trafiek meer door de tunnel. Gekend probleem blijkbaar (al meer dan een jaar ).
* L2TP: werkt perfect, maar dus niet over Telenet.

Denk niet dat er nog andere VPN oplossingen zijn voor Android... out of luck, i guess.

Kunt ge de poort waarop openvpn werkt niet veranderen?

Trojan schreef:Kunt ge de poort waarop openvpn werkt niet veranderen?

OpenVPN is helemaal geen probleem qua poorten. Heb het vroeger altijd probleemloos gebruikt. Het probleem is dat ik nu ook mijn smartphone op mijn netwerk wil krijgen en voor OpenVPN moet je je telefoon rooten, terwijl PPTP en L2TP gewoon out-of-the-box gesupporteerd zijn.

Android, was dat niet het "open" platform waar ze graag reclame mee maken en het tegenover de geslotenheid van iOS gezet wordt? ha

Ge kunt er toch mee doen wat ge wilt?

Tis niet dat ze uw telefoon gaan blokkeren als ge die root he.

@TS, welk gekend probleem met PPTP ? Ik gebruik dat namelijk al een hele tijd zonder problemen op mijn HTC Desire (Android 2.2).
Probleem is dat als je wat non-standard dingen wil (zoals OpenVPN) of SSH tunnels je zal moeten rooten. Dat de PPTP niet werkt lijkt me niet echt een Android issue te zijn, of kan jouw telefoon nog niet geupgrade worden naar 2.2 ?

Grtz,
Sasuke

Fijn te lezen dat toch iemand PPTP werkend heeft, want ik lees tegenstrijdige verhalen. Btw, ik neem aan met Encryption enabled anders heeft een VPN niet veel zin.

Anyway, hier is de bug report : http://code.google.com/p/android/issues/detail?id=4706 .

Welke VPN server gebruik je ?
Ik heb trouwens zelf ook een HTC Desire met 2.2. Gebruikte server is een Windows XP Pro met de built-in VPN support ('incoming connections'). Zal eens testen met DD-WRT's ingebouwde PPTP implementatie.

@selder: blijkbaar gebruikt PPTP ook GRE, en PPTP werkt toch echt wel vanop mijn netbook op een Telenet hotspot...

Ik gebruik de RAS services van Windows 2008 R2 zonder problemen. En ook naar een Draytek 29xx reeks werkt het perfect. En uiteraard met MPPE encryptie + AD Logon.

Grtz,
Sasuke

PS: Zelfs met de originele Android 2.1 heb ik dit nooit gehad.

Tnx, zal dan zeker nog eens verder uitzoeken..

Nog een vraagje: is dat over wifi of over 3G ? Of werken beide zonder probleem ? Hier enkel getest met wifi (nog geen data-abo).

Werkt zowel over Edge/HSDPA als Wifi zonder issues.

Grtz,
Sasuke

Nog eens van scratch geprobeerd en nog altijd hetzelfde probleem. Test vanop de Telenet router ging wil beter. Wou een grote file copiëren naar mijn telefoon en duurde 20 minuten eer hij bleef hangen. Vanop een Telenet hotspot duurt het hooguit 3 minuten eer mijn connectie dood is.
Hoe meer ik google, hoe meer reports ik vind over dit probleem. Nu en dan kom ik nog een witte raaf tegen bij wie het wel werkt.
@Sasuke: is je Desire toevallig geroot ? Bij de meesten (maar niet allemaal) bij wie het werkt, ging het om een geroote Android.

ik gebruik al jaren de Zywall routers van Zyxell waarmee ik site-to-site IPSEC tunnels heb lopen van mijn thuisnetwerk naar 3 andere locaties,
2 daarvan zijn Telenet (waaronder mijn netwerk), eentje is UPC dus eigenlijk ook Telenet en de laatste is Evonet.

Werkt prima, en de tunnels kunnen zowel vanuit mijn router gestart worden, als vanuit gelijk welke van de andere. Het werkt dus wel, zowel outgoing als incoming.

Zelfs mijn software Cisco VPN client (ook al IPSEC en poort 500) werkt prima naar het bedrijfsnetwerk, terwijl die Zyxel tunnels ondertussen gewoon in de lucht blijven.

Tomby schreef: * PPTP: werkt nauwelijks, want na paar minuten gaat er geen trafiek meer door de tunnel. Gekend probleem blijkbaar (al meer dan een jaar ).

Welke modem heb je?

Tomby schreef:@Sasuke: is je Desire toevallig geroot ? Bij de meesten (maar niet allemaal) bij wie het werkt, ging het om een geroote Android.

Mijn Desire is inderdaad geroot en ik draai de Leedroid 2.2 Custom ROM. Maar toen ik mijn Desire net had met Android 2.1 zonder root werkte dat ook hoor.

Grtz,
Sasuke

Nog wat verder getest deze week.

1. Het PPTP probleem lijkt inderdaad niets te maken te hebben met een bug in Android, maar moet veeleer gezocht worden in MTU perikelen (er was hierover 1 post in die bugreport die ik hierboven postte). Ik heb de MTU van mijn VPN verbinding op de server verlaagd van 1400 naar 1280. Dan kan ik wél al een stabiele VPN verbinding opzetten vanop mijn Telenet router naar mijn eigen server (achter mijn eigen DD-WRT). Voorheen liep het hier al mis. Echter, vanop een externe locatie loopt het nog altijd heel snel mis. Ik ben echter geen MTU specialist, maar vermoedelijk moet de MTU eigenlijk aan client/Android kant aangepast worden (wat niet kan zonder rooten).

2. Ik heb vandaag gemerkt dat L2TP/IPSec gewoon werkte op mijn Netbook, gewoon van bij familie die ook bij Telenet zit. Wil dit zeggen dat de <1024 port filtering van Telenet gebeurt tussen hen en de buitenwereld en er tussen Telenet klanten onderling niets gefilterd wordt ??

3. Desondanks bleek eenzelfde L2TP/IPSec verbinding vanop mijn Android van daar dan weer niet te werken. Maar heb nog niet verder gezocht waar dat dan weer aan kan liggen. Sowieso is dit eigenlijk geen optie omdat L2TP toch niet werkt van op mijn werk (hotspot).

Ben je er zeker van dat de MTU nergens op autotuning staat?
De ingegeven MTU is mischien de maximum mtu

honda4life schreef:Ben je er zeker van dat de MTU nergens op autotuning staat?
De ingegeven MTU is mischien de maximum mtu

Bedoel je aan client kant ? Bij mijn weten kun je die in Android nergens opgeven. Heb het in elk geval nog niet gevonden.

Serverzijde hé

Heb gewoon dit artikel gevolgd : http://support.microsoft.com/kb/826159

Uit: Aan:

Denk dat je suggestie enkel werkt vanaf Vista. Mijn server draait XP Pro en ik krijg errors als ik dat probeer...

juist ja... helaas weet ik niet meer hoe je te helpen

Bon, der is toch al eindelijk een ding dat wel lijkt te werken...
PPTP zonder encryptie vanop een Telenet hotspot werkt goed. Ben al meer dan een uur online op mijn VPN en al enkele CDs gedownload van mijn media-server. De problemen moeten dus toch ergens aan de encryptie liggen.

Even stoutmoedig deze oertopic terug oppikken.

Ikzelf probeer nu dus ook mijn L2TP/IPSec VPN server te draaien achter mijn Telenet Fibernet. Maar, het forwarden van UDP 500 wil mijntelenet natuurlijk niet toestaan...
Is hier dan een omweg voor?

Jij durft nogal
Moet het per sé L2TP/IPSec zijn? Waarom deze keuze?

Wel, het is een gemaksoplossing. Ik draai de VPN-server op mijn Synology NAS en die ondersteunt PPTP, L2TP/IPSec en OpenVPN.
Mijn voorkeur gaat uit naar OpenVPN, maar dit is op enkele locaties waar ik het wens te gebruiken niet mogelijk. Nu draai ik PPTP, maar gezien de 'beperkte' veiligheid zou ik dan toch naar de 'tussenoplossing' L2TP/IPSec willen gaan.

NuKeM schreef:Is hier dan een omweg voor?

Ja, VPN protocollen gebruiken welke puur over HTTPS gaan... ben je meteen van al die ellende verlost.

Aangezien je nu toch een Routerbord hebt... kijk eens naar SSTP... werkt prima en de client zit standaard in Windows 7 en hoger in (zelfs op m'n Windows RT).

Alleen is SSTP niet mogelijk op Android

NuKeM schreef:maar dit is op enkele locaties waar ik het wens te gebruiken niet mogelijk

Qua firewall, of de client op de lokale computer te draaien?

Qua firewall. Ik maak graag op het werk tijdens de pauzes een VPN verbinding naar huis om op mijn servers enkele dingen te kunnen doen en ook om zonder pottenkijkers te kunnen internetten (niet dat ik denk dat ze dat doen op mijn werk, maar mijn werkgever moet niet weten dat ik tijdens mijn pauzes eens iets opzoek over dit of dat).

Wordt ipsec nog steeds geblokeerd voor particuliere aansluitingen achter een wifi router ? => suggesties voor ipsec/andere oplossingen tussen een Fritzbox en Pfsense ?

Waar haal je de info dat ipsec door Telenet wordt geblokkeerd?

Van een post van 10 jaar geleden (toen blokkeerde Telenet inderdaad alles inkomend <1024)?
Dat is al vele jaren afgeschaft

En wat wil je precies met Fritzbox/Pfsense?

Ik draai hier al eeuwen L2TP achter een Tenelet modem-only, Airport Extreme en Synology DS1517+

selder schreef:Ik draai hier al eeuwen L2TP achter een Tenelet modem-only, Airport Extreme en Synology DS1517+

Kan het ook achter de wifi-router van Telenet?

Ik weet het niet want ik heb nooit een AIO gehad...