vraag

Port forwarding L2TP

  • 21 mei 2020
  • 8 reacties
  • 141 keer bekeken

Ik heb een VPN (L2TP IPSEC) aangemaakt die achter een router (192.168.2.1) in een Telfort-netwerk (Experia V8) hangt. In de router (WAN-IP 192,168.2.1, LAN-IP 192.168.1.1) de poorten UDP 500, 1701 en 4500 geforward naar de VPN-server. Als ik de VPN start via 192.168.2.1 dan werkt deze feilloos. Op de V8 heb ik port forwarding ingesteld voor UDP-poorten 500, 1701 en 4500 naar 192.168.2.1, en in in de verbindingsparameters van VPN 192.168.2.1 gewijzigd naar mijn WAN-IP. Vervolgens VPN-verbinding opnieuw gestart: verbinding mislukt. Teruggezet naar 192.168.2.1: verbinding geslaagd.

Alles herstart, V8 hard gereset en opnieuw ingesteld, interne router herstart, DMZ naar 192.168.2.1 aangezet en en bij gebrek aan resultaat weer uit, en nog veel meer geëxperimenteerd - maar verbinding blijft mislukken. Ik kan nog steeds alleen VPN’en als VPN-IP op 192.168.2.1 staat. Kan de V8 niet goed overweg met port forwarding van L2TP IPSEC-poorten? Als ik alleen binnen mijn eigen woning VPN kan gebruiken heb ik er niet zo veel aan...


8 reacties

Reputatie 8

DMZ doorzetten naar het apparaat waarop die VPN server draait is geen goed idee.
De Experia Box V8 kan niet goed overweg met DMZ.

Port forwarding van 500 - 1701 - 4500  (UDP protocol) is de juiste optie om in te zetten. (Heb je toevallig een Synology NAS in gebruik waarop je een VPN-server hebt ingesteld L2TP/IPSec ?).

Test je VPN-verbinding uitsluitend met een werkelijk “externe” verbinding.
(Bijv. via een WiFi hotspot met een smartphone en dan het mobiele  netwerk).  Je VPN verbinding testen vanuit, of binnen je eigen LAN netwerk, dat werkt niet voor het L2TP/IPSec protocol.

De V8 kan met allerlei mogelijke VPN protocollen overweg “om door te sturen” naar achterliggende VPN-servers. (PPTP, L2TP/IPSec, IPSec Xauth, OpenVPN, SSL VPN….).

Ik heb de voorgestelde oplossing (nog) niet kunnen testen, maar wel iets anders. Ik heb de VPN-server (inderdaad een Synology-NAS) rechtstreeks met de V8 verbonden en de port forwarding verlegd naar 192.168.2.4 (het nieuwe IP-adres van de NAS). Dat getest met met WAN-IP en, grote verrassing, dat werkte wel! Dus de V8 geeft het VPN-signaal goed door, de eigen router ook, maar in keten werkt het ineens niet meer. Kan 2x port forwarding het probleem zijn? Dat zou ik vreemd vinden want de V8 kan niet weten dat de interne router het signaal niet zelf afhandelt maar alleen maar doorgeeft, en de eigen router kan niet weten dat het binnenkomende verkeer niet rechtstreeks uit het WAN komt, lijkt me.

Iets heel onlogisch geprobeerd, en tegen de verwachting in bleek dit de oplossing. Op de V8 heb ik de UDP-poorten 500, 4500 en 1701 vertaald naar 61101, 61102 en 61103, en die poorten op de router terugvertaald naar het origineel. Getest en voilà - het werkte! Geen idee waarom...

Reputatie 8

Waarom je omzettingen hebt gedaan naar andere poorten is me niet duidelijk?

Zelf gebruik ik twee routers NAT achter NAT, en ondervind geen problemen met VPN of met port forwarding (zonder omwisselingen) voor services naar achterliggende apparaten en/of NAS.

Het was niet mijn meest rationele ingeving om de poorten te hernoemen; voor mijn gevoel zou het hetzelfde effect moeten hebben als de UDP-kabel los te halen en omgekeerd te plaatsen, of om de router rose te verven. Ik was dan ook niet weinig verrast toen ik ineens wel met VPN kon verbinden! Naderhand heb ik nog wat geprobeerd met lagere waarde voor MTU. VPN bleef werken via poorten omwisselen, maar verbinden mislukte weer bij doorgifte via oorspronkelijke poortnummers.

Reputatie 8

maar verbinden mislukte weer bij doorgifte via oorspronkelijke poortnummers.

Bij verandering van router instellingen, erna de router(s) en aanvullende rand apparaten waar het betrekking op heeft, gewoon een keer herstarten. Wat levert dat op?

Allemaal gedaan, maar opnieuw foutmelding dat verbinding mislukt was. Teruggezet naar aangepaste poortnummers en het werkte weer. Aan de ene kant onbevredigend want het is niet verklaarbaar, aan de andere kant bevredigend want ik heb bereikt wat ik wilde. 

Reputatie 8

Vreemd.

Afgezien van regelrechte bugs “in het verleden” in de firmware van bijv. een Experia Box V10 en V10A die ik heb aangekaart m.b.t. VPN, heb ik bij een Experia Box V8 daarmee nog nooit problemen ondervonden. Ook niet met twee routers achter elkaar (in een NAT achter NAT set-up).

Het is wel zo dat de V8 laatstelijk nog wel weer een nieuwe firmware update heeft gekregen.
Die V8 heb ik er nu niet aanhangen. Wil het nu ook niet omwisselen.

Op dit moment zit ik namelijk net in een “support connectie cyclus” met Synology, om te kijken of we hun router modellen geschikt kunnen maken voor “routed mode” IPTV voor KPN / XS4ALL en Telfort met aangepaste IPTV profielen. Dan logt men van buiten in op mijn router en vult zaken aan.
Dat wil ik niet onderbreken.

Maar goed, je hebt een werkende situatie, dus zou zeggen, laat het maar zo.
“If it ain't broken, don't fix it.”

Reageer