IPSec VPN, tunnel werkt maar geen verkeer

  • 15 april 2012
  • 10 reacties
  • 6162 keer bekeken

Badge
Misschien dat iemand hier eens mee kan denken, ik zit nu al een aantal dagen te puzzelen hierop en krijg het niet voor elkaar. De situatie is als volgt: Ik ben vorige week overgestapt van ADSL naar VDSL en heb een vervangend modem gekregen, het vorige type modem was een 2602HW-D1a en het huidige type is (waarmee ik dit probleem heb) is de 2812HNU-F1. Aan de andere kant van de VPN tunnel staat een Linksys RV082 met een KPN experia box ervoor (in een transparante mode, de RV082 doet routing en firewall)

Met het oude modem had ik met een klein half uurtje alles werkend, maar om onduidelijke redenen loop ik vast met de nieuwe 2812. Dat wil zeggen, ik kan de tunnel prima verbinden, beide modems geven de status 'connected' weer (de connectie wordt overigens opgebouwd vanuit de Linksys RV082), ook in het log kan ik zien dat zowel phase 1 als 2 succesvol verloopt en de tunnel verbonden wordt. De tunnel wordt ook niet tussentijds verbroken, ik heb expres keep-alive nog even uitgelaten en de phase 2 heronderhandeling vindt plaats op de ingestelde timeout waarde. Toch blijft het onmogelijk om de computers aan de andere kant te bereiken.

Ik snap dat dit niet echt een verbindingsprobleem is, hoogst waarschijnlijk iets met de routering maar wat het troubleshooten nou zo lastig maakt is dat de Zyxel 2812 echt helemaal niets in z'n log laat zien aangaande een verbinding of geblokkeerde ICMP requests (zelfs niet met alle vinkjes ingeschakeld op de log-settings pagina of via een syslog server). Ik moet dus volledig op het log van de Linksys afgaan, terwijl ik toch met enige zekerheid kan zeggen dat deze goed ingesteld staat. Immers met de Zyxel 2602HW werkte het vlekkeloos, ik heb dezelfde interne IP-range gebruikt op de nieuwe modem als op de oude dus qua routering zou dit moeten werken.

Zelfs met de firewalls uitgeschakeld aan beide zijden geen gewenst resultaat, de tunnel staat maar geen verkeer naar site B. Is het overigens een terechte aanname dat als ik een NAT regel instel, deze automatisch de firewall poort openzet? Er zijn namelijk geen opties om regels in de firewall aan te brengen, ik ben meer gewend dat zowel een poort-forward als een firewall regel nodig is. Iemand een idee hierover?

Wat overigens wel opvalt uit het RV082 log is dat dit herhaaldelijk wordt gelogd: ignoring Delete SA payload: IPSEC SA not found (maybe expired). Op de Zyxel knowledgebase las ik wel dat Zyxel modems de SA resetten als er geen antwoord van de andere kant van de tunnel komt (ik weet de exacte tekst niet meer, maar hier kwam het wel op neer). Er stond alleen nergens voor welk type modems dit opging, of hoe dit vast te stellen was.

In het kort zoek ik dus meer naar een mogelijkheid om meer logs uit de modem te krijgen en misschien kan iemand wat licht laten schijnen op de NAT regels voor deze (2812) modem m.b.t. VPN? De gebruikershandleiding stipt dit eigenlijk niet aan en de Zyxel knowledgebase is wat tegenstrijdig, de ene spreekt van forwarden naar de modem zelf, de ander dat forwarden niet nodig is omdat VPN buiten de firewall omgaat.

  • Zoals het nu staat heb ik één statiche route gemaakt voor de IP-range van site B, deze verwijst naar het externe IP van site B, maar ik heb hier ook het interne en de optie VDSL geprobeerd.
  • NAT regels voor poorten 500, 50, 51, 4500 naar het interne IP adres van de Zyxel modem, beveilgd op het externe IP adres van site B, geen default server ingesteld (wel geprobeerd maar geen resultaat)
  • En daarnaast de werkende tunnel, tenminste beide modems die aangeven dat er een verbinding is.
  • Tunnel is ingesteld als volgt: NAT Traversal on, local en remote als 'subnet', IP adres veld eindigt op een 0, subnet mask 255.255.255.0 address information staat op DNS en heeft als waarde de FQDN van de modems. Pre-shared key is ingevuld. Advanced Settings: AES-256, SHA1, DH5, 28800 (phase 2: AES-256, SHA1, 28800, DH5) DPD Active: aan.
Tips en ideeen zijn van harte welkom, ik begrijp dat een stap-voor-stap handleiding geen optie is met dergelijke verbindingen en alle variabelen die erbij komen kijken, maar ik loop op het moment gewoon een beetje vast omdat ik geen flauw idee heb wat de nieuwe modem nou wel en niet doet, de logs laat immers niet zien. Misschien dat iemand van webcare zou kunnen zien of de tunnel ook daadwerkelijk bestaat? geen flauw idee of dat mogelijk is maar elk beetje informatie is welkom op dit moment.

Het vreemde is ook dat voor de overgang naar VDSL ik de modem al had neergezet en de tunnel wel gedeeltelijk aan de praat had (twee van de vier pings kwamen terug), maar sinds de overzetting naar VDSL, niets anders dan timeouts.

In het ergste geval kan ik natuurlijk een andere router erachter zetten, maar ik zou dit graag als laatste optie aangrijpen want het modem is verder prima in orde.

Alvast bedankt,

10 reacties

Badge
Opgelost, het lag aan de fase 2 authorisatie, deze moet op MD5 staan ipv SHA1 bij een connectie tussen de P-2812HNU-F1 en de Linksys RV082 (hw versie 1), de phase 1 kan wel gewoon SHA1 blijven.

Topic kan afgesloten worden. http://forum.telfort.nl/images/smilies/smile.png
Reputatie 1
Badge +1
Opgelost, het lag aan de fase 2 authorisatie, deze moet op MD5 staan ipv SHA1 bij een connectie tussen de P-2812HNU-F1 en de Linksys RV082 (hw versie 1), de phase 1 kan wel gewoon SHA1 blijven.

Topic kan afgesloten worden. http://forum.telfort.nl/images/smilies/smile.png


Hoe krijg jij de VPN server (tunnel) geconfigureerd op het Zyxel P-2812HNU-F1modem?
Ik kan nergens een account en groep naam is geven voor IPsec.

Groet,
Dennis
 
Badge
Die zou je niet nodig moeten hebben als je een site-to-site VPN opzet, de connectie zoals ik die heb gemaakt gaat tussen een Zyxel 2812HNU-F1 modem en een Linksys RV082 router (waar een Thompson modem aanvast zit in transparante modus). Je maakt dan een verbinding op basis van het IP-adres of een toegewezen DNS-naam.

De Zyxel heeft geen optie om inloggegevens in te voeren, voor verificatie kan je kiezen voor een pre-shared key (gebruik ik) of een certificaat. De pre-shared key moet aan beide kanten gelijk zijn en die wordt dan versleuteld verzonden als zijnde de verificatie. Certificaat werkt volgens mij ook zo, maar dan moet je aan beide kanten een geldig certificaat aanmaken waardoor beide routers het 'oke' geven om met elkaar te verbinden.

Van waar naar waar probeer je nu te verbinden? Je zou op beide routers de mogelijkheid moeten hebben een site-to-site connectie op te zetten om dit voor elkaar te krijgen, ik meen dat OpenVPN dit ook ondersteund maar heb het nog niet hiermee geprobeerd.

Even gekeken, maar op de Linksys RV082 heet het gateway-to-gateway vpn, alleen onder het onderdeel VPN client access kan je inderdaad gebruikersnamen en wachtwoorden aanmaken, maar dat heb ik in deze situatie dus niet gedaan maar onder gateway-to-gateway een nieuwe tunnel aangemaakt.
Reputatie 1
Badge +1
Die zou je niet nodig moeten hebben als je een site-to-site VPN opzet


Ik had altijd een PIX van Cisco als router geplaatst achter het gebridge modem en voor telefonie had ik een los PAP2p kastje. Maar omdat ik nu iTV heb, kan dit niet meer.

Ik wilde dus met mijn iPhone een VPN verbinding opzetten naar mijn ADSL modem en een VPN verbinding vanaf een dekstop naar het ADSL modem.

Dennis

Daar komt het als ik een Tunnel wil, aanpassen, verwijderen of wil toevoegen ik de ERROR krijg:
Error
Please wait for 30 seconds to make sure last IPSec configuration finish.
Badge
Dat kan je niet rechtstreeks met dit modem doen volgens mij, tenzij je voor de Roadwarrior optie gaat (http://www.roadwarriorvpn.com/), maar dat is een betaalde service waar je je eerst voor moet aanmelden. Je kan dan beter voor iets als OpenVPN gaan en dat op de desktop of een computer die aan kan blijven staan installeren. OpenVPN heeft ook een app voor de Iphone (http://www.guizmovpn.com/) waarmee je dan een connectie naar de desktop kan opzetten.

Maar volgens mij heeft Apple allerlei cloud diensten waarmee je veel eenvoudiger bestanden kan uitwisselen, ben zelf alleen niet zo heel erg thuis in het MacOS en Iphone gebeuren. Hopelijk kun je hier toch wat mee..

Dat probleem met de tunnel aanpassen had ik ook, beste oplossing is daarvoor om de modem opnieuw te starten als na die 30 seconden nog steeds de melding opkomt. (heeft volgens mij iets met de NAT configuratie van de modem te maken die aangepast wordt als je een VPN configureert.
Reputatie 1
Badge +1
Dat kan je niet rechtstreeks met dit modem doen volgens mij....
Het is toch een VPN server? Of kan het modem alleen als client optreden?


Dat probleem met de tunnel aanpassen had ik ook, beste oplossing is daarvoor om de modem opnieuw te starten als na die 30 seconden nog steeds de melding opkomt. (heeft volgens mij iets met de NAT configuratie van de modem te maken die aangepast wordt als je een VPN configureert.

Ik heb de melding al een paar dagen. Het modem gereboot (via optie reboot), dus niet een cold reset. Maar nog steeds de foutmelding.
Laatste opties ik dan denk ALLES terug naar default settings.
Badge
Het is een VPN server, maar er zijn geen configuratie opties of client software om mee in te bellen meen ik. Als je kijkt naar de USG modellen van Zywall dan zie je ergens halverwege de pagina dat je deze kan instellen als site-to-site of remote access server. (http://www.valadissupport.nl/z222.html) De 2812 heeft alleen de optie site-to-site en via Roadwarrior (wat de remote access server optie is, maar via een externe service provider loopt.)

Het opnieuw starten via software werkt niet altijd, ik heb 'm via de knop uitgeschakeld en weer ingeschakeld, dat loste het probleem op als het opkwam.
Reputatie 1
Badge +1


Het opnieuw starten via software werkt niet altijd, ik heb 'm via de knop uitgeschakeld en weer ingeschakeld, dat loste het probleem op als het opkwam.

Net spanningsloos gemaakt en na 1 minuutje de spanning er weerop. Maar helaas nog steeds de foutmelding "Please wait for 30 seconds to make sure last IPSec configuration finish." Bij verwijderen, aanpassen of uitvinkken van de Tunnel.
Badge
Hmm, da's vervelend. Misschien heb je dan geen keus anders dan terug naar fabrieksinstellingen, maar dat advies zou eigenlijk van Telfort support moeten komen in plaats van mij. Dus misschien verstandig om eerst even te bellen/mailen. Het is wel zo dat de modem zichzelf weer opnieuw insteld wat betreft internet (en ik meen ook bellen) Je kan voor de zekerheid een backup maken van de instellingen en die terugzetten als de modem weer draait, zit ook in dat menu waar je de modem kan herstarten meen ik.
Reputatie 1
Badge +1
Hmm, da's vervelend. Misschien heb je dan geen keus anders dan terug naar fabrieksinstellingen,

Uiteindelijk ook gedaan..... (reset, zonder overleg) en alles werkt(e) weer.

Reageer