beantwoord

VPN L2TP/IPSEC via port 500 - 4500 werkt niet

  • 2 april 2019
  • 15 reacties
  • 1210 keer bekeken

Reputatie 1
Ik probeer een L2TP/IPSEC VPN verbinding op te zetten via poorten 500, 1701 en 4500, maar dat lukt niet.
Als ik PPTP VPN probeer via poort 1723, dan lukt dat wel. In het modem heb ik de portforwarding aangezet voor IPSEC/IKE

Ik heb een controle gedaan op de openstaande poorten, dan zie ik dat 500, 1701 en 4500 ontbreken.
En poort 1723 staat er wel tussen.

Dus het lijkt niet in het modem te zitten, maar het wordt al eerder geblokkeerd.
Hoe kan ik poorten 500, 1701 en 4500 open zetten?

Nmap scan report for static.kpn.net (145.xxx.xxx.xxx)
Host is up (0.037s latency).
Not shown: 4988 closed ports
PORT STATE SERVICE
53/tcp open domain
80/tcp open http
111/tcp open rpcbind
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
892/tcp open unknown
1723/tcp open pptp
2049/tcp open nfs
3261/tcp open winshadow
3263/tcp open ecolor-imager
3264/tcp open ccmail

Admin: gegevens verwijderd i.v.m. privacy

icon

Beste antwoord door Babylonia 3 april 2019, 11:39

De extra poorten wil ik gebruiken voor L2TP/IKE VPN. Het vreemde is dat in het modem wel standaard portforwarding groepen zijn voor die poorten, maar dat de poorten niet open staan.
Die vóór ingeprogrammeerde poorten, is enkel als service bedoeld om makkelijker de daadwerkelijke poorten te kunnen kiezen m.b.t. port forwarding. Maar daarmee is het op zichzelf zeker nog geen portforwarding, want dat is met die lijsten nog helemaal niet ingesteld.

Dat moet je alsnog kiezen voor het betreffende "vaste" LAN IP-adres van je NAS.

Als eerste een vast IP-adres instellen doe je met "DHCP-binding":




Dan kies je, of maak je die zelf aan, de groepen m.b.t, services die je wilt gaan port forwarden.
In mijn geval vind ik dat overzichtelijker door die zelf op naam samen te stellen in de bewuste hoofdgroep. (Controleer tevens even de firmware versie van je V10. Niet dat ik denk dat je achterop zou lopen. Maar pakweg een jaar terug was juist VPN L2TP/IPsec geblokkeerd).



Daarna stel je boven in het menu de daadwerkelijke Port Forwarding in:



Afgezien van die UPnP die je nu hebt uitgeschakeld. Hoe komt het dat er zoveel poorten open staan naar je interne netwerk? Met name poort 139, 445. (Ik had 26 open poorten gescant).
Stuur nooit meer poorten door dan strikt noodzakelijk.

Feitelijk zouden alleen de poorten voor VPN voldoende kunnen zijn, om je complete thuisnetwerk van buiten uit te kunnen benaderen. Hoop dat je in de NAS ook de juiste Firewall regels hebt aangemaakt om toegang zo krap mogelijk in te stellen. Voor Synology kun je bijv. op regioniveau toegang verschaffen.

Kies je toestaan voor VPN voor Nederland (of net die landen waar je op vakantie bent).
De rest van de wereld wat er buiten valt, merkt niet eens een (open) poort op die is doorgestuurd.
Bekijk reactie

15 reacties

Reputatie 8
Badge +7
Hallo @revenant123 ,
Als je upnp aan zet binnen het modem lukt het dan wel?
Reputatie 1
JanD.
Upnp staat al aan in het modem. Ik heb al wat tips doorgelezen en uitgevoerd.
Ik heb het vermoeden dat die poorten door Telfort opengezet moeten worden.
Reputatie 8
Om welke modem/router hebben we het dan?
  • ZyXEL P-2812HNU-F1
  • Experia Box V8
  • Experia Box V10
  • Experia Box V10A "is het niet" want die heeft momenteel problemen met VPN PPTP
De andere Telfort modem/router modellen hebben geen probleem met L2TP/IPSec.

UPnP zou je beter niet inschakelen. Dat is een bron van beveiligingsproblemen.
(Heeft trouwens niets met VPN van doen).

Overigens als ik dat lijstje zie van open poorten, is de kans groot dat je wordt gehackt, met open poorten die normaal alleen intern binnen je eigen LAN worden gebruikt (poort 139 en 445).

Het plaatsen van je eigen WAN IP-adres is ook niet handig in een openbaar forum. Daar zou morgen webcare maar beter een verandering in het originele bericht kunnen doorvoeren.
(Heb een melding gemaakt om dat te doen).

Waarom wil je eigenlijk een VPN inzetten, als de rest zo lek is als een mandje?

(Heb in het plaatje jou WAN IP-adres afgeschermd, zodat het niet alsnog openbaar is als webcare je bericht aanpast).

Reputatie 1
Babylonia,
Ik heb een Experia V10, dus zonder toevoeging. De uPNP zal ik uitzetten.
De extra poorten wil ik gebruiken voor L2TP/IKE VPN. Het vreemde is dat in het modem wel standaard portforwarding groepen zijn voor die poorten, maar dat de poorten niet open staan.
Als ik portforwarding instel op andere poorten, dan zie ik geen verschil met hetgeen wat uit de test komt.
Reputatie 8
De extra poorten wil ik gebruiken voor L2TP/IKE VPN. Het vreemde is dat in het modem wel standaard portforwarding groepen zijn voor die poorten, maar dat de poorten niet open staan.
Die vóór ingeprogrammeerde poorten, is enkel als service bedoeld om makkelijker de daadwerkelijke poorten te kunnen kiezen m.b.t. port forwarding. Maar daarmee is het op zichzelf zeker nog geen portforwarding, want dat is met die lijsten nog helemaal niet ingesteld.

Dat moet je alsnog kiezen voor het betreffende "vaste" LAN IP-adres van je NAS.

Als eerste een vast IP-adres instellen doe je met "DHCP-binding":




Dan kies je, of maak je die zelf aan, de groepen m.b.t, services die je wilt gaan port forwarden.
In mijn geval vind ik dat overzichtelijker door die zelf op naam samen te stellen in de bewuste hoofdgroep. (Controleer tevens even de firmware versie van je V10. Niet dat ik denk dat je achterop zou lopen. Maar pakweg een jaar terug was juist VPN L2TP/IPsec geblokkeerd).



Daarna stel je boven in het menu de daadwerkelijke Port Forwarding in:



Afgezien van die UPnP die je nu hebt uitgeschakeld. Hoe komt het dat er zoveel poorten open staan naar je interne netwerk? Met name poort 139, 445. (Ik had 26 open poorten gescant).
Stuur nooit meer poorten door dan strikt noodzakelijk.

Feitelijk zouden alleen de poorten voor VPN voldoende kunnen zijn, om je complete thuisnetwerk van buiten uit te kunnen benaderen. Hoop dat je in de NAS ook de juiste Firewall regels hebt aangemaakt om toegang zo krap mogelijk in te stellen. Voor Synology kun je bijv. op regioniveau toegang verschaffen.

Kies je toestaan voor VPN voor Nederland (of net die landen waar je op vakantie bent).
De rest van de wereld wat er buiten valt, merkt niet eens een (open) poort op die is doorgestuurd.
Reputatie 1
Babylonia,
Ik kan nergens de mogelijkheid vinden om poorten open of dicht te zetten in het modem. Alleen portforwarding kan ik inregelen. Heb je en URL waar ik dat kan zien?

Ik kan inderdaad ook thuis de VPN gebruiken via PPTP (poort 1723), maar L2TP/IKE (poorten 500, 1701, 4500) is veiliger en ik wil dat gaan gebruiken. Maar dat lukt dus niet.
Kan je regelen dat die poorten opgezet worden?
Reputatie 8
Ik kan nergens de mogelijkheid vinden om poorten open of dicht te zetten in het modem. Alleen portforwarding kan ik inregelen. Heb je en URL waar ik dat kan zien?
Je kunt alleen port forwarding instellen.
Maar mogelijk had je eerder "DMZ" ingesteld voor je NAS, dat er zoveel poorten open zijn?
Reputatie 7
Badge +9
Dag @revenant123. Van harte welkom hier op het Forum! Ik zie dat @Babylonia je al op weg helpt. Hij kan je hierover een stuk meer vertellen dan ik. 🙂 Kom je er zo uit?
Reputatie 1
Ik heb inderdaad de DMZ aangezet. Ik weet niet zeker wat de huidige status. Betekend dat als ik de DMZ weer uitzet, dat dan ook de poorten niet meer zichtbaar moeten zijn?
Reputatie 8
Geen wonder dat je verbinding qua veiligheid zo lek is als een mandje.

Met DMZ stuur je feitelijk alle beschikbare poorten (65535 stuks) door naar je NAS.
Elke poort die de NAS zelf gebruikt voor een bepaalde service --met name bedoeld voor je interne LAN gebruik-- zet je dan wagenwijd open voor gebruik van buitenaf.
Hoe makkelijk wil je het hackers maken?

Uiteraard DMZ meteen uitschakelen. DMZ wordt hooguit gebruikt als je een tweede router gebruikt.
Dan is het "makkelijk" om in de eerste router, alles al gelijk door te sturen naar de tweede router.

Omdat je de functionaliteit vergelijkbaar met opnieuw daar op een tweede router en als ingang naar een "WAN-poort", m.b.t. Firewall instellingen standaard geen services naar achterliggende apparaten doorstuurt als je geen port forwarders hebt ingesteld (in die tweede router).

Een NAS is echter geen router.

Overigens ook bij twee routers "NAT achter NAT" zou ik DMZ niet doorsturen van de 1e naar de 2e router. Je hebt veel beter overzicht en controle als je dat individueel per gebruikte dienst regelt.
Reputatie 1
Ik heb nu alles aangepast en alleen de poorten staan nu open die ik open wil hebben. De portscan laat nu ook de juiste gegeven zien. Volgens mij heb ik nu hetzelfde ingesteld staan als voorheen, maar nu werkt het wel. Bedankt voor de hulp.
Reputatie 8
Volgens mij heb ik nu hetzelfde ingesteld staan als voorheen, maar nu werkt het wel.....
Het feit dat je eerst wel zoveel poorten open had staan (door DMZ), spreekt dat tegen.

Maar fijn dat het nu in ieder geval is opgelost.

Ter indicatie het lijstje wat ik gisteren aan open poorten kon scannen op jou WAN IP-adres.
(Poort 80 en 443 is niet gescand).
Het onderdeel met NAS gegevens en WAN-IP adres wordt niet getoond.

Reputatie 1
Ik moest nog 1 aanpassing doen om L2TP werkend te krijgen.

By default, Windows OS does not support Internet Protocol Security (IPsec) Network Address Translation Traversal (NAT-T) security associations to servers that are located behind a NAT device.

On the Windows machine, open the registry and add/edit the following property:
  1. Login to the Windows machine as Admin.
  2. Go to 'Start > Run' and type regedit.
  3. Locate the entry "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent".
  4. Right-click and Create a new DWORD (32-bit) value.
  5. Add "AssumeUDPEncapsulationContextOnSendRule" and save.
  6. Modify the new entry and change Value Data from "0" to "2".
  7. Reboot the computer and test the connection.
Reputatie 8
Goed dat je daar nog eens aan refereert aangaande Windows, in samenhang met een Synology NAS. Het wordt specifiek beschreven in hun "Knowledgebase", bij het onderdeel "VPN-server".

Specifieke instellingen, die je eenmalig instelt op een PC vergeet je wel eens aan te halen. (Zelf maak ik van 4 verschillende VPN-protocollen gebruik op verschillend niveau en uiteenlopend OS).
Reputatie 7
Badge +9
Ik heb nu alles aangepast en alleen de poorten staan nu open die ik open wil hebben. De portscan laat nu ook de juiste gegeven zien. Volgens mij heb ik nu hetzelfde ingesteld staan als voorheen, maar nu werkt het wel. Bedankt voor de hulp.
Mooi om te lezen dat het met de hulp van @Babylonia alsnog is gelukt, @revenant123. 😄 Als je toch nog ergens hulp bij nodig hebt, weet je ons te vinden.

Reageer