PPTP of LT2P VPN

  • 16 september 2017
  • 4 reacties
  • 290 keer bekeken

Ten einde raad, maar eens dit forum proberen. Ook hier kom ik tal van vragen tegen over problemen met VPN verbindingen, maar eigenlijk nergens een oplossing.

Ik wil graag een VPN verbinding opzetten met mijn Unifi Security Gateway. Vanaf het LAN kan ik zowel PPTP als LT2P connecties maken. Echter dat lukt vanuit extern niet. Ik krijg dan vanaf een windows client meldingen over GRE Tunneling.

Uiteraard staan de porten open. DMZ naar het ip adress van de NAS, helaas geen soelaas.

Vanuit Unifi zijn ze meer dan behulpzaam, maar weten het ook niet meer. Als we b.v. http://canyouseeme.org/ proberen geeft deze aan dat poort 1723 open staat.

Wellicht dat jullie een idee hebben?
Alvast bedankt

4 reacties

Reputatie 8
VPN hoeft geen probleem te zijn, als het maar duidelijk is hoe je het een en ander wilt opzetten.
En aan die informatie ontbreekt nogal wat.

Heb je een VDSL verbinding of glasvezel?

Welke modem/router gebruik je van Telfort?
Heb je de Unifi Security Gateway daar dan weer achter, of heb je die rechtstreeks aangesloten achter bijv. een glasvezel aansluiting (als je over een glasvezel aansluiting beschikt)?
Dus in dat geval bedoeld met uitsluiting van de Telfort modem/router?

De VPN-server, op welk apparaat stel je die in, op de Unifi Security Gateway, of op de NAS?

Kortom geef eens meer basis-informatie van je netwerk set-up.

Verder DMZ naar het ip adress van de NAS sturen lijkt me geen goed idee.
Ondanks het gebruik van een Unifi "Securiy Firewall" als basis van je set-up, kunnen er altijd onvoorziene nog niet bekende veiligheidslekken zijn van zo'n apparaat. Door dan verder "ALLES" door te sturen naar de NAS, is daarmee je NAS eveneens gevoelig voor die veiligheidslekken.

Uit veiligheidsoverwegingen is PPTP feitelijk ook al geen optie om in te zetten.
Minimaal LT2P, (en als het mogelijk zou zijn bijv. Open VPN).
Ik vraag me of of je wel begrijpt waar je mee bezig bent?
Enerzijds wil je een zo veilig mogelijke connectie, en anderzijds ben je uitermate slordig ten aanzien van te gebruiken protocollen en methodes (DMZ) ten aanzien van veiligheid.
Hoi Babylonia, alvast dank voor je reactie.

Ik heb een glasvezel verbinding met een Experia V8. Vanuit de V8 (192.168.2.254) heb ik de TV aangesloten en aan één van de andere poorten de Unifi SG (vanuit de V8 met 192.168.2.20 maar geeft zelf 192.168.1.x uit en is daarbij zelf 192.168.1.1). Achter de SG staat een switch en op de switch weer AP's.

De VPN-server staat op de Unifi SG. Ik heb daar een keuze uit PPTP of LT2P. Ik ben me bewust van de beperkingen/gevaren van PPTP. Maar beide krijg ik niet aan de praat 😞. Op de Unifi heb ik een Radius en client aangemaakt en een netwerk dat en 10.10.0.x range moet uitgeven. Als ik met mijn pc op het netwerk zit, kan ik via pptp een connectie opzetten en krijg dan ook een 10.10.0.x ip adress. Dus ik weet in ieder geval dat de config werkt (tenminste dat denk ik).

Op de V8 heb ik de benodigde poorten doorgezet naar 192.168.2.20 (de SG) Tevens heb ik 192.168.2.20 in de DMZ aangezet (tijdens het testen), dit laatste omdat ik het niet werkend krijg en hoop dat de DMZ wellicht zou helpen. En nee, ik weet niet echt waar ik mee bezig ben, ik probeer te leren!

Mijn opmerking dat ik de DMZ open heb staan naar mijn NAS is een foutje, maar kon het niet meer aanpassen, moet dus zijn SG.

Vanaf mijn window's pc, die ik via mijn Iphone hotspot verbind, zie ik dat er wel iets van een authenticatie wordt opgestart. Als de poorten dicht staan, zegt de client dat er geen verbinding met de VPN server opgezet kan worden.

Hopenlijk kan je me weer wat verder helpen.
Reputatie 8
OK, is een stuk duidelijker nu.
Feitelijk 2 routers achter elkaar in een NAT achter NAT set-up.
(Heb ik doorgaans hier ook. TV en telefoon loopt via de Experia Box, de rest via een 2e router).

Mijn opmerking dat ik de DMZ open heb staan naar mijn NAS is een foutje, maar kon het niet meer aanpassen, moet dus zijn SG.
Ofwel als ik het goed begrijp DMZ vanuit de Experia Box V8, naar de Unifi SG.
Kun je niet weten, maar door de aangepaste eigenzinnige Telfort firmware van de Experia Box V8 geeft dat veel problemen. Dus DMZ beter niet doorzetten naar een andere router of netwerk apparaat.

De methode is dan om gewoon voor de VPN-services die je inzet (en mogelijk andere services die je van buiten af wilt bereiken), manueel alleen de poorten voor gebruikte services door te sturen vanuit de Experia Box V8 naar de Unifi SG toe.

Verder zou je de sub-nets die standaard gebruikt worden beter in een ander bereik kiezen.
Voor het waarom en meer uitgebreide informatie, zie volgende reactie die eerder is geplaatst + de verwijzingen naar andere reacties en forum elders.
https://forum.telfort.nl/randapparatuur-272/synology-smb-64497/index1.html#post540798

Zie ook de plaatjes hoe een en ander in te stellen aan port forwarders t.b.v. VPN:
https://forum.telfort.nl/internet-267/problemen-met-vpn-sinds-omwisselen-modem-57372#post498046
en vervolgreactie.
Hoi Babylonia,

Ik ga het weer proberen, ik laat weten of het lukt.

Gr, Perry

Reageer