Skip to main content

Ik kan geen VPN verbinding maken met Forticlient als ik een hotspot maak op mijn iPhone. Als ik een andere APN instel zoals advancedinternet of portalmmm.nl wil mijn laptop überhaupt niet eens verbinden met de hotspot. Of ja, wel verbinden maar er is dan geen internet.

 

Als ik een zelfde iPhone gebruik met bijvoorbeeld een Odido of Vodafone simkaart werkt het prima.

Hoi @iPhone12Dns .  En als je geen VPN instelt maar een gewone hotspot? Verbind ie dan wel?


Oh nee sorry, ik leg het verkeerd uit denk ik. Als ik ergens geen WiFi heb en ik toch bij de bedrijfsgegevens moet kunnen maak ik met mijn telefoon een hotspot. Mijn laptop verbind ik dan met die hotspot en op diezelfde laptop zet ik een VPN op met Forticlient. En dat werkt niet. Ik heb wel internet op de hotspot, maar kan dus zonder VPN niet bij de bedrijfsgegevens en dat is wel essentieel.


Dat is hoogstwaarschijnlijk een issue van de VPN client, @iPhone12Dns .   Wordt deze VPN verbinding door je bedrijf onderhouden?  Is er een IT persoon waar je dit even mee kan bespreken?


Ik ben de IT persoon van ons bedrijf :)

 

Het is alleen de combinatie KPN en Apple apparatuur (iPhone of iPad) want met een Android toestel maakt hij wel verbinding ongeacht welke provider we gebruiken. En Apple apparatuur met andere providers werkt ook prima. Het is alleen de combinatie Apple + KPN welke niet werkt. Lijkt me dus sterk dat het aan de VPN client ligt. Ook als ik ga Googelen hebben meerdere mensen last van VPN + KPN al kan ik daar niet zo snel vinden welke telefoon / tablet ze gebruiken.

 

Anyway, we gebruiken nu maar een Android telefoon om de VPN verbinding op te zetten. Thanks voor het meedenken in ieder geval!


Ik ben de IT persoon van ons bedrijf :)

 

Het is alleen de combinatie KPN en Apple apparatuur (iPhone of iPad) want met een Android toestel maakt hij wel verbinding ongeacht welke provider we gebruiken. En Apple apparatuur met andere providers werkt ook prima. Het is alleen de combinatie Apple + KPN welke niet werkt. Lijkt me dus sterk dat het aan de VPN client ligt. Ook als ik ga Googelen hebben meerdere mensen last van VPN + KPN al kan ik daar niet zo snel vinden welke telefoon / tablet ze gebruiken.

 

Anyway, we gebruiken nu maar een Android telefoon om de VPN verbinding op te zetten. Thanks voor het meedenken in ieder geval!

Ik sluit uiteraard niks uit en als je méér praktische voorbeelden hebt, graag.   Ik ben toch nog even benieuwd naar de technische aspecten van die VPN.  Hoe wordt die precies opgebouwd?  Wij mogen namelijk geen VPN verkeer blokkeren en doen dat uiteraard ook niet..   Nu ben ik totaal niet thuis in iphones dus ik zou even niet weten wat het fundamentele verschil is met de android telefoon. 

@wjb   Jij hier misschien ideeën over? 


zie dit topic


Erwin van KPN schreef:

@wjb   Jij hier misschien ideeën over? 

Ook ik heb geen ervaring met iPhones.

De Forticlent ondersteunt twee verschillende VPN methoden zijnde SSL en IPSec.

@Erwin van KPN, Klopt het dat KPN Carrier-Grade natting gebruikt?

@iPhone12Dns, Wat is het IPv4 adres van de iPhone op het 4/5G netwerk?

En wat is het IPv4 adres van de Android telefoon op het 4/5G netwerk?

Heeft de iPhone ook een IPv6 adres op het 4/5G netwerk?

Heeft de Android telefoon ook een IPv6 adres op het 4/5G netwerk?

 


@wjb kpn gebruikt CGnat inderdaad icm apn "internet"

Niet icm "advancedinternet". Omzetten maakt dat de vpn zal werken


@wjb ik kan op mijn iPhone helaas geen IPv4 of IPv6 adres zien van de 5G verbinding. Wel van WiFi maar daar hebben we in dit geval niets aan. Of bedoel je het externe IP? Dan heb ik geen IPv4 maar IPv6 is 2a02:a420:244:487e:5c9a:f594

 

@Francoix helaas werkt APN omzetten voor mij niet. Mijn laptop krijgt dan geen internet van de iPhone, geen idee of dit een Apple dingetje is of combinatie of wat dan ook. Maar ik moest z.s.m. een oplossing hebben i.v.m. bedrijfskritische processen dus ben maar opgehouden met testen en gewoon een Android toestel gepakt welke dus direct zonder problemen werkte met een KPN sim.


@wjb ik kan op mijn iPhone helaas geen IPv4 of IPv6 adres zien van de 5G verbinding. Wel van WiFi maar daar hebben we in dit geval niets aan. Of bedoel je het externe IP? Dan heb ik geen IPv4 maar IPv6 is 2a02:a420:244:...:bba6

Interessant, de IPv6 prefix (2a02:a420:244/32) is inderdaad van KPN MOBILE en dat zou kunnen betekenen dat de mobiele aansluiting IPv6-only is.

Zijn de Fortinet VPN server en cliënt ingericht voor VPN verbindingen via IPv6?

Heb je op die Android telefoon ook geen IPv4 adres?

 

@iPhone12Dns, Kan je nog even een deel van dat IPv6 adres wegpoetsen. Je kunt tot een uur na plaatsing berichten aanpassen via de drie puntjes rechtsonder het bericht.


Op de Android telefoon ook een IPv6 adres, 2a02:a420:44a:5ed……..

 

Dus IPv6 zou moeten werken, alleen met een Apple toestel dus niet. En alle workarounds die ik online heb kunnen vinden zoals IPv6 uitzetten op WiFi kaart laptop, andere APN instellen werken helaas voor onze situatie niet.


Op de Android telefoon ook een IPv6 adres, 2a02:a420:44a:5ed……..

Maar mijn vraag was of je op die Android ook geen IPv4 adres ziet.


Android Odido: IPv4, VPN werkt

Android KPN: IPv6, VPN werkt

iPhone KPN: IPv6, VPN werkt niet

 

Op de Androids gecheckt via instellingen, about en whatsmyip.com. Op de iPhone alleen gecheckt via whatsmyip.com want via instellingen → info niets te zien.


En wat is dan het IPv4 adres op jouw Android telefoon via KPN?


Die is er niet, of kan ik niet zien. Alleen Odido Android heeft IPv4 zichtbaar.  KPN Android en KPN Apple beiden alleen IPv6 zichtbaar.


Voorlopig zie ik nog niet direct een correlatie met KPN. Het aanpassen van de APN is vaak een oplossing voor dit soort issues maar waarom dat dan niet werkt is mij onduidelijk.

Mochten jullie toch aanwijzingen vinden dat het ergens in de configuratie van ons mobiele signaal zit, mention me even. 


@Erwin van KPN  er lopen meerdere topics hier van mensen met VPN problemen op KPN hotspots. Ook @Francoix heeft een topic lopen waarin hij duidelijk aangeeft wat er mis is. Ik geef zelf ook duidelijk aan dat een zelfde iPhone met Odido wel werkt en met KPN niet. Als je dan nog geen correlatie ziet dan wil je het niet zien denk ik.

Voor mij is het in ieder geval “opgelost” door dan maar een Android toestel te gebruiken maar jullie laten meerdere klanten in de kou staan die deze work around niet kunnen uitvoeren. Succes ermee, maar voor mij hoeft het niet meer!


Ook @Francoix heeft een topic lopen waarin hij duidelijk aangeeft wat er mis is.

De vraag is of dat ook werkelijk de oorzaak is, ik ben daar in ieder geval nog niet van overtuigd.

 

De oorzaak zou mijns inziens net zo goed in Forticlent op iOS i.c.m. met IPv6-only netwerken kunnen zitten.


Dat zou best kunnen ja! Want die Odido heeft een IPv4 adres. Het is ook de combi Apple + KPN welke niet werkt op IPv6. 


Want die Odido heeft een IPv4 adres.

Odido hanteert Carrier-Grade natting.

Het IPv4 adres op het toestel zelf is een 10.x.x.x adres...

...terwijl het 'publieke' IPv4 adres uit de reeks 89.205.128.0 tot 89.205.159.255 komt.

 


Ook @Francoix heeft een topic lopen waarin hij duidelijk aangeeft wat er mis is.

De vraag is of dat ook werkelijk de oorzaak is, ik ben daar in ieder geval nog niet van overtuigd.

 

De oorzaak zou mijns inziens net zo goed in Forticlent op iOS i.c.m. met IPv6-only netwerken kunnen zitten.

Nee jij bent nergens snel door overtuigd. 

Forticlient is bekend om issues te hebben met KPN en iphone specifiek maar ook de in mijn topic besproken android toestellen. het is dus niet gek om dit aan elkaar te linken.

Normaal is de apn “advancedinternet” gebruiken de oplossing alleen heb je dan niet zo zonder meer IPv6 tot je beschikking.  verbinding maken met een IPv6 VPN kan dus niet zo zonder meer


je kan dan echt alleen de apn “Internet” gebruiken. alleen die IPv6 werkt niet als je over de 1500 MTU gaat.

Ik weet alleen niet welk type VPN je gebruikt in Fortinet. in geval van SSL-VPN kan je aan de server kant de TCP-MSS waarde in de Firewall Policy aanpassen. Ik zou hier de waarde op 1500 zetten.

zie https://community.fortinet.com/t5/FortiGate/Technical-Tip-Setting-TCP-MSS-value/ta-p/194518

pas wel policy aan naar policy6

Dit kan ook hard op de interface van de firewall: https://docs.fortinet.com/document/fortigate/7.2.3/administration-guide/596096/interface-mtu-packet-size dan maakt het type VPN niet uit.

en ja: dit hebben wij bij diverse klanten die een fortigate gebruiken succesvol toegepast afgelopen dagen wel met de aanmerking dat we bij een klant terug moesten naar een MTU van 1350


Forticlient is bekend om issues te hebben met KPN en iphone specifiek maar ook de in mijn topic besproken android toestellen. het is dus niet gek om dit aan elkaar te linken.

De vraag is alleen of het terecht is dat je die twee aan elkaar linkt.

Op Android lijkt voor @iPhone12Dns de VPN verbinding via het IPv6-only netwerk van KPN prima te werken terwijl de VPN verbinding via het IPv6-only netwerk van KPN voor problemen zorgt. Dan lijkt het toch echt een aan de iPhone gerelateerd issue te zijn waar @iPhone12Dns tegen aanloopt.

 

Normaal is de apn “advancedinternet” gebruiken de oplossing alleen heb je dan niet zo zonder meer IPv6 tot je beschikking.  verbinding maken met een IPv6 VPN kan dus niet zo zonder meer

Volgens mij is er ook niemand in dit topic die een verbinding wil maken met een IPv6 VPN.

 

@Francoix, Zou het zo kunnen zijn dat juist aan de Fortinet serverzijde een te grote MTU packetsize ingesteld staat / gebruikt wordt om fragmentatie te voorkomen? Je geeft immers aan dat de VPN wel gaat werken als je die MTU packetsize aan de serverzijde kleiner maakt. Dan lijkt het dus juist de serverzijde die geen “MTU path discovery” doet of deze negeert.


standaard staat deze op 1460 naar mijn weten, kan je snel testen met  je cmd, ping (ip) -l 1460 

antwoord ie dan hoog je hem op net zo lang tot ie niet meer antwoord

maar inderdaad de Fortigate ondersteunt geen MTU Path Discovery standaard

kan aan met

config system global
    set pmtu-discovery enable | disable (Disabled by default)

    set send-pmtu-icmp enable | disable (Enabled by default)
end

lost alleen je issue niet op aangezien er een CGNAT tussen zit em dan is de config van de ppp server leidend


standaard staat deze op 1460 naar mijn weten, kan je snel testen met  je cmd, ping (ip) -l 1460 

Bij ping geef je de payload size op en dat is wat anders dan de MTU packetsize.

Bij IPv4 moet je daar 28 bytes bij optellen om de MTU packetsize te bepalen, 20 bytes voor de IPv4 header en 8 bytes voor de icmp header.

Bij IPv6 moet je daar 48 bytes bytes bij optellen, 40 bytes voor de IPv6 header en 8 bytes voor de icmp header.

Als die 1460 de payload size is die fortinet gebruikt dan zou dat goed kunnen verklaren waarom dat bij IPv4 goed gaat en bij IPv6 fout loopt immers 1460 + 48 is 1508 en dat is meer dan de (standaard) MTU packetsize van 1500.

 

lost alleen je issue niet op aangezien er een CGNAT tussen zit

Maar CGNAT is een IPv4 aangelegenheid en dat staat hier los van. Daarnaast heeft @iPhone12Dns ook geen enkel probleem met een VPN verbinding via Odido en dat is IPv4 via Carrier-Grade natting.


Edit: je brengt me helemaal uit mn zen.

Maar daarom gebruiken we bij ipv6 conform de standaard geen harde MTU maar MTU Path Discovery

Begint het kwartje te vallen?

Als er ergens op een interface 1500 hard staat voor ipv6 binnen kpn voor de "internet" apn heb je dit gelazer en dat is precies datgene wat ik heb geconstateerd


Reageer