Met het oude modem had ik met een klein half uurtje alles werkend, maar om onduidelijke redenen loop ik vast met de nieuwe 2812. Dat wil zeggen, ik kan de tunnel prima verbinden, beide modems geven de status 'connected' weer (de connectie wordt overigens opgebouwd vanuit de Linksys RV082), ook in het log kan ik zien dat zowel phase 1 als 2 succesvol verloopt en de tunnel verbonden wordt. De tunnel wordt ook niet tussentijds verbroken, ik heb expres keep-alive nog even uitgelaten en de phase 2 heronderhandeling vindt plaats op de ingestelde timeout waarde. Toch blijft het onmogelijk om de computers aan de andere kant te bereiken.
Ik snap dat dit niet echt een verbindingsprobleem is, hoogst waarschijnlijk iets met de routering maar wat het troubleshooten nou zo lastig maakt is dat de Zyxel 2812 echt helemaal niets in z'n log laat zien aangaande een verbinding of geblokkeerde ICMP requests (zelfs niet met alle vinkjes ingeschakeld op de log-settings pagina of via een syslog server). Ik moet dus volledig op het log van de Linksys afgaan, terwijl ik toch met enige zekerheid kan zeggen dat deze goed ingesteld staat. Immers met de Zyxel 2602HW werkte het vlekkeloos, ik heb dezelfde interne IP-range gebruikt op de nieuwe modem als op de oude dus qua routering zou dit moeten werken.
Zelfs met de firewalls uitgeschakeld aan beide zijden geen gewenst resultaat, de tunnel staat maar geen verkeer naar site B. Is het overigens een terechte aanname dat als ik een NAT regel instel, deze automatisch de firewall poort openzet? Er zijn namelijk geen opties om regels in de firewall aan te brengen, ik ben meer gewend dat zowel een poort-forward als een firewall regel nodig is. Iemand een idee hierover?
Wat overigens wel opvalt uit het RV082 log is dat dit herhaaldelijk wordt gelogd: ignoring Delete SA payload: IPSEC SA not found (maybe expired). Op de Zyxel knowledgebase las ik wel dat Zyxel modems de SA resetten als er geen antwoord van de andere kant van de tunnel komt (ik weet de exacte tekst niet meer, maar hier kwam het wel op neer). Er stond alleen nergens voor welk type modems dit opging, of hoe dit vast te stellen was.
In het kort zoek ik dus meer naar een mogelijkheid om meer logs uit de modem te krijgen en misschien kan iemand wat licht laten schijnen op de NAT regels voor deze (2812) modem m.b.t. VPN? De gebruikershandleiding stipt dit eigenlijk niet aan en de Zyxel knowledgebase is wat tegenstrijdig, de ene spreekt van forwarden naar de modem zelf, de ander dat forwarden niet nodig is omdat VPN buiten de firewall omgaat.
- Zoals het nu staat heb ik één statiche route gemaakt voor de IP-range van site B, deze verwijst naar het externe IP van site B, maar ik heb hier ook het interne en de optie VDSL geprobeerd.
- NAT regels voor poorten 500, 50, 51, 4500 naar het interne IP adres van de Zyxel modem, beveilgd op het externe IP adres van site B, geen default server ingesteld (wel geprobeerd maar geen resultaat)
- En daarnaast de werkende tunnel, tenminste beide modems die aangeven dat er een verbinding is.
- Tunnel is ingesteld als volgt: NAT Traversal on, local en remote als 'subnet', IP adres veld eindigt op een 0, subnet mask 255.255.255.0 address information staat op DNS en heeft als waarde de FQDN van de modems. Pre-shared key is ingevuld. Advanced Settings: AES-256, SHA1, DH5, 28800 (phase 2: AES-256, SHA1, 28800, DH5) DPD Active: aan.
Het vreemde is ook dat voor de overgang naar VDSL ik de modem al had neergezet en de tunnel wel gedeeltelijk aan de praat had (twee van de vier pings kwamen terug), maar sinds de overzetting naar VDSL, niets anders dan timeouts.
In het ergste geval kan ik natuurlijk een andere router erachter zetten, maar ik zou dit graag als laatste optie aangrijpen want het modem is verder prima in orde.
Alvast bedankt,
