Skip to main content

Beste lezer,

 

Hoe stel ik het modem in zodat ik vanuit een extern netwerk een L2TP VPN-verbinding kan opzetten? Het modem stuurt volgens mij niks door naar mijn VPN-server, die rechtstreeks via een ethernetverbinding op het modem is aangesloten. NAT lijkt dus niet te werken en het modem heeft geen logging functionaliteit om dit te controleren.

 

Wel heb ik de poorten opengezet en met telnet getest of ze openstaan. Dit lijkt goed te staan!

Kan je eens screenshots plaatsen van de port-forwardings die je op de V10 ingesteld hebt voor die L2TP VPN verbinding.


Zal ik doen, maar zal pas in de loop van volgende week worden!


Ik heb de settings van de port-forwardings weer verwijderd gezien we geen werkende oplossing op dat moment hadden. Om vervuilding en verwarring te voorkomen laat ik geen niet-werkende configuratie staan.

Wel krijg ik een mail van abuse@kpn.com met de dreiging dat ze ons internet willen afsluiten, vanwege dreigingen van DDoS aanvallen. Dat is bij ons niet ter sprake en is hoogst waarschijnlijk een standaard mail die je ontvangt als bepaalde settings zijn gewijzigd, die KPN niet graag gewijzigd ziet hebben.

Hoe krijg ik een werkende L2TP portforwarding ingesteld?


Heb jij een apparaat als DMZ Host ingesteld?

Ik zou de mail van abuse@kpn.com maar heel serieus nemen want dat is geen standaard mailtje maar een mail aan jou gericht naar aanleiding van het constateren dat er misbruik gemaakt kan worden van jouw aansluiting.


Ik had deze ingesteld, maar inmiddels teruggedraaid.

 

Ik neem deze melding serieus, maar er kan misbruikt van gemaakt worden, maar dat kan met alles wat je insteld.
 

De vraag die ik heb is:
Hoe kunnen wij toegang tot onze interne VPN-Server krijgen en voldoen aan de beveiligingseisen van KPN?


Door een port-forwarding van de poorten t.b.v. L2TP naar die VPN server of die VPN server als DMZ Host in te stellen maar dan wel te zorgen dat de firewall van die VPN server andere poorten blokkeert.


Beste wjb,

Ik weet wat je moet instellen, maar mijn vraag is HOE. Is er ergens een handleiding of heb je screenshots, waarin je kunt aantonen HOE ik dit moet instellen?

Ik ben bekend met NAT en port forwarding, maar kom er niet uit hoe je dit op dit type modem moet instellen. Daarnaast heb ik jouw settings al geprobeerd dat weer leidde tot een e-mail van abuse@kpn.com. Ja, de firewall op de VPN-server was hierop actief.


Wat voor een apparaat is die VPN server? (Merk en type.)


We gebruiken een Synology DS216j met daarop de VPN-server.

Gebruikers willen d.m.v. van een VPN toegang hebben tot gedeelte mappen die ze via de Windows Verkenner willen benaderen.


Kan je vanaf jouw thuisnetwerk wel een L2TP/IPSec VPN verbinding rechtstreeks naar het LAN IP adres van de Synology opzetten?


 

Ik weet wat je moet instellen, maar mijn vraag is HOE. Is er ergens een handleiding of heb je screenshots, waarin je kunt aantonen HOE ik dit moet instellen?

Ik heb hier nog wat oude plaatjes bij elkaar gezocht van de Experia Box V10.

Allereerst in de Experia Box een vast IP-adres instellen voor je NAS op basis van het MAC-adres.
(De instellingen in de NAS op “DHCP”, = automatisch een IP-adres verkrijgen vanuit DHCP).
Onder het menu-kopje "DHCP binding”.

 

 

Daarna bij de reeds voorgeprogrammeerde lijst, voorraad aan applicaties / games etc.
m.b.t. port forwarding die van VPN erbij zetten.  Voor zover nog niet aanwezig.

Voor L2TP/IPSec gelden de poorten 500 - 1701 - 4500    met    UDP

 

Dan die aangemaakte port forwarding regels expliciet instellen in het menu erboven,
die je koppelt aan het IP-adres voor de NAS.

 

Voor benadering vanuit Windows, een VPN client configureren.
En daarnaast ook nog een aanpassing in het register, anders werkt VPN niet.
Zie aanwijzingen in een tutorial van Synology, scroll naar beneden,
of klik op de hyperlink "PPTP- en L2TP/IPSec VPN -verbindingen instellen”.


Ik kan concluderen dat onze VPN-Server qua settings goed staat gezien ik een VPN-verbinding (L2TP) kan opzetten vanaf het lokale netwerk. Hiermee bedoel ik een client die in hetzelfde netwerk zit.

 

Ik krijg de volgende melding als ik extern (dus niet op het LAN zit) verbinding probeer te maken:

 

Ik heb de volgende instellingen op de Xperia V10A box ingesteld:

 

De volgende firmware staat op mijn modem:

 

Dit schijnt een bekend probleem te zijn en wordt beschreven in het onderstaande KPN forum topic. Alleen maak ik gebruik van een nieuwere firmware versie en mag dit geen issue meer zijn?
 

 


LAN IP adressen (192.168.2.x) kan je altijd rustig helemaal tonen, daar kan niemand iets mee.

Je moet niet zowel de DMZ Host als port-forwarding gebruiken.

Persoonlijk zou ik nooit een ander apparaat dan een tweede router als DMZ Host definiëren en dus per definitie port-forwardings gebruiken.


Het is mij gelukt om de VPN-Server vanuit thuis te benaderen.

Hiervoor moest ik echter in het Windows Register iets toevoegen (erg omslachtig alweer).

 

Bedankt Babylonia!!!


Mooi dat het werkt! Ik neem aan dat het de AssumeUDPEncapsulationContextOnSendRule  registersleutel betreft. Dit wordt al bij Vista genoemd, blijkbaar neemt Microsoft aan dat alle L2TP/IPSec servers direct met internet verbonden zijn en neemt niet de moeite een NAT-Traversal/UDP encapsulation vinkje toe te voegen aan de client software.  

De pfSense firewall IPSec VPN server heeft een optie:

Deze optie op “Force” laat een Linux client verbinding maken zonder in de client UDP encapsulation in te schakelen, ik weet niet of dit bij Windows ook werkt. Als zo’n optie ook bij Synology zit EN de Windows client daar rekening mee houdt zou het registry aanpassingen overbodig kunnen maken als meerdere clients geconfigureerd moeten worden. 

Verder: iedereen geeft UDP poorten 500,1701 en 4500 op voor L2TP/IPsec. Volgens mij hoeft L2TP poort 1701 niet open voor L2TP/IPSec, is misschien zelfs een risico. L2TP wordt IPsec versleuteld overgestuurd via poort 500 en 4500, pas in de Synology komt 1701 tevoorschijn. Ik heb helaas geen 2e IP adres beschikbaar, dus ik kan het niet testen. 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


De pfSense firewall IPSec VPN server heeft een optie:

Leuk en aardig, maar het gebruik van een “pfSense firewall” is niet genoemd door de topic starter.
Alleen een Experia Box V10 en een Synology NAS is genoemd als te gebruiken router en VPN-server. Dus concentreer je beter op zaken die wel worden gebruikt,

 

Deze optie op “Force” laat een Linux client verbinding maken zonder in de client UDP encapsulation in te schakelen, ik weet niet of dit bij Windows ook werkt. Als zo’n optie ook bij Synology zit EN de Windows client daar rekening mee houdt zou het registry aanpassingen overbodig kunnen maken als meerdere clients geconfigureerd moeten worden.

Het is al vastgesteld dat de registry aanpassing nodig was voor een werkende VPN-connectie.
(Een en ander  zoals vooraf reeds aangeven  als benodigde instelling → laatste alinea).
Dus waarom andere opties aangeven die niet van toepassing zijn?  “Windows” is geen Linux.
 

Verder: iedereen geeft UDP poorten 500,1701 en 4500 op voor L2TP/IPsec. Volgens mij hoeft L2TP poort 1701 niet open voor L2TP/IPSec, is misschien zelfs een risico.

Poorten 500, 1701 en 4500 zijn de officieel aangegeven poorten voor gebruik van het L2TP/IPSec VPN protocol bij Synology. Gebruik die instellingen dan ook als zodanig. Geen reden poorten weg te laten. Welk risico wordt er dan gelopen?  (Rekening houdend met specifiek die aangegeven poorten ook voor de firewall instellingen in een Synology router als filtering).


Als je op internet zoekt naar L2TP/IPSec poorten zijn de meningen verdeeld. Ik heb geen Synology, alleen Linux en een PfSense VM. Het L2TP deel is hier een apart server programma, dat als je braaf 1701 openzet aan de WAN kant open op internet kan liggen. Dat betekent dat je van buitenaf een L2TP zonder IPsec VPN kunt opzetten met alleen naam/password authenticatie zonder de bescherming van de preshared key. Dat bedoelde ik met mogelijk risico. Ik ga altijd uit van alles dicht tenzij, dus als 1701 niet perse open moet, dan dicht.  PfSense L2TP/IPsec werkt met 500 en 4500 open aan de WAN en 1701 open op de IPsec interface. Maar goed, hier is de combinatie Synology/Windows, als deze combinatie andere eisen stelt heb je dat maar te respecteren. Meten is weten, ik zou zeggen: probeer het uit. Ik ben benieuwd.

 

 

 

 

 


Precies @hmmsjan_2 je verwoordt het uitstekend.

Het verschil tussen L2TP VPN tunnels en L2TP/IPSec VPN tunnels is dat bij L2TP/IPSec de L2TP tunnel opgezet wordt binnen de IPSec tunnel.

Bij L2TP/IPSec hoeft UDP poort 1701 inderdaad niet geforward te worden terwijl dat voor een kale L2TP VPN verbinding dus wel noodzakelijk is.