Skip to main content

Ik heb de KPN Box 12b en wil daar een vpn van buitenaf instellen zodat ik op die manier bij de nas in mijn lan kan. Ik kan twee van de drie voor L2TP/IPsec benodigde poorten forwarden maar de derde niet: het schuifje gaat automatisch telkens weer naar disabled. Kent iemand een mogelijkheid om dat te realiseren, desnoods op een andere manier? Bedankt.

P.S.: aan de nas ligt het niet want vanaf ieder device in mijn lan kan ik een vpn middels L2TP/IPsec activeren naar die nas.

Ik kan twee van de drie voor L2TP/IPsec benodigde poorten forwarden maar de derde niet:

Voor L2TP/IPSec met bijv. een Synology NAS zul je toch echt 3 poorten moeten doorsturen.
500, 1701 en 4500   allen volgens UDP

Weet niet “hoe” je de port forwarding probeert in te stellen?
Maak daarbij in ieder geval géén gebruik van een installatie wizard “in een NAS”, waarbij met ingeschakelde UPnP instelling van een router, je poorten van een router zou kunnen afstemmen.
Dat pakt vaak slecht uit, bovendien niet “veilig”.

In het waarom:  Zie onderwerpen op de website van:
          < security.nl  met zoekwoord UPnP en router >   -    < alleen op UPnP >

UPnP in de router uitschakelen en verder handmatig de poorten in een router instellen.

In de NAS de firewall regels aanvullen voor externe toegang via VPN + het virtuele VPN netwerk.

@HJWS Geef ieder forwarding regel een naam.

LT2P IP/sec is het onveilige LT2P verpakt in IPsec, dus 500+4500/UDP moet voldoende zijn. Die 1701 dus beter maar dicht houden.

 

LT2P IP/sec is het onveilige LT2P verpakt in IPsec, dus 500+4500/UDP moet voldoende zijn. Die 1701 dus beter maar dicht houden.

Helaas gaat dat niet werken.  De VPN server van een (Synology) NAS is afgestemd op het gebruik van die drie poorten van dat specifieke VPN protocol.

Even hier een testje gedaan met een NAS opgesteld bij mijn ex.
Via normale externe toegang als gebruiker met admin rechten ingelogd om de instelling te veranderen, en dan poort 1701 in de firewall uitgeschakeld voor toegang (ofwel blokkeren),
levert erna dan geen VPN verbinding op. (Zowel met Windows als Android uitgeprobeerd).

Weer ingeschakeld, geeft weer een positieve VPN verbinding.

Kan wellicht ook de reden zijn dat het bij de topic starter ook niet functioneert?
(Één poort is niet doorgestuurd. Overigens niet benoemd welke poort).

@TDN: heb ik voor alle drie poorten in de KNP box gedaan maar één kan ik (zoals ik schreef) niet enablen: schuifje gaat na even groen te zijn geworden direkt weer naar de disabled stand.

@Babylonia: de instellingen van de drie poorten 500, 1701 en 4500 in de nas zijn helemaal goed: ik kan vanaf ieder ander device in mijn lan een vpn naar de nas op laten bouwen.
Maar het is die poort 500 die ik in de KPN Box 12b niet ge-enabled krijg. En daarom kan ik niet vanaf het internet die vpn naar de nas voor elkaar krijgen.

Vraag was derhalve waarom dat niet lukt.

@HJWS De trucjes zijn dat je voor ieder port-forwarding een uniek naam moest geven, anders slaat de kpn-box niet op.

 

@Babylonia

Heb je poort 1701 in de Experia box omgeschakeld of in de Nas? Aangezien in de NAS de versleutelde data uitgepakt worden en weer omgezet in L2TP zou daar wel 1701 open moeten staan. Voor het transport via een Experia box waarschijnlijk niet.

 

@TDN: bedankt voor je 'unieke naam' tip maar zoals ik al eerder aan jou schreef had ik dat gedaan en toch kon ik de 500-poort niet enablen. Dus?

@HJWS Waarschijnlijk had je vroeger al andere portforwarding gemaakt, deze zijn nou onzichtbaar. Maak even een netwerkinstelling reset en probeer opnieuw. Misschien help het

Heb je poort 1701 in de Experia box omgeschakeld of in de Nas? Aangezien in de NAS de versleutelde data uitgepakt worden en weer omgezet in L2TP zou daar wel 1701 open moeten staan. Voor het transport via een Experia box waarschijnlijk niet.


De  eerder beschreven test  betrof een VPN-server op de NAS bij mijn ex, met inlog in de NAS.
Waarbij de firewall regels in de NAS zelf zijn aangepast.  (Poort 1701 wel of niet toelaten).

Aanpassingen van de router kan ik extern alleen uitvoeren “met ingeschakelde VPN”, omdat ik dan toegang heb tot het thuisnetwerk. En van daaruit andere apparaten in het netwerk kan benaderen. (Remote access van de router is niet ingeschakeld.  Overigens geen Experia box / geen KPN).

Uitsluiten van poort 1701 in de NAS zelf, of in de router, zou eigenlijk niet uit mogen maken.
Een firewall van de NAS zit  vóór  de VPN-server, en niet achter de VPN-server.
Verificatie / uitpakken van VPN data gebeurt dus “achter” de firewall, als de firewall is gepasseerd.

Nieuwe tests:
Heb meerdere testen uitgevoerd ook hier thuis met de VPN-server van mijn Synology router.
Na uitschakelen aanpassingen van forward / firewall erna ook met de VPN van mijn NAS.
Toen kreeg ik het wel voor elkaar (zowel met router als NAS), maar met wisselend resultaat.
(Dus alleen gebruik van poort 500 en 4500).

Van daaruit verder gaan testen, om te achterhalen waar de bottlenecks kunnen zitten.
(Ook weer opnieuw met de NAS bij mijn ex).

Testen van mijn eigen VPN-servers “thuis”:

  1. Met smartphone - standaard VPN functies + mobiele netwerk (WiFi uitgeschakeld).
  2. Met laptop - standaard Windows VPN functies - via WiFi hotspot van smartphone.
    (Op die wijze een externe VPN verbinding van mijn laptop via mobiele netwerk).

Testen van de NAS bij mijn ex,  idem zoals hierboven 1 en 2.

       3. Plus nog aanvullend gewoon met mijn laptop via de WiFi van mijn thuisnetwerk.


Bij eerdere  “marathon” VPN tests  was me al eens gebleken dat VPN verbindingen erg gevoelig zijn voor storingen. Het welslagen kan afhangen van condities, gebruikte apparaten en omstandigheden.

Belangrijk punt bij het L2TP/IPSec VPN protocol is het gebruik van vreemde karakters en spaties bij inlognamen, wachtwoorden en “sleutels”.  Wat afwisselend voor storingen kan zorgen.
(Afhankelijk vanuit welk apparaat of route je de VPN connectie legt).

Zoals verder in dat onderwerp (en vervolgreacties)  wordt beschreven.

Dat gaf o.a. ook het verschil in uitkomst, wel of geen VPN connectie met blokkeren van poort 1701 in de firewall van de NAS bij mijn ex,  in mijn eerdere reactie.

Beste condities:
Met inachtneming voor vreemd karakter van alleen underscore _  en karakters A-Z    a-z   0-9.
Kon ik ook met alleen het blokkeren van poort 1701 in de firewall van NAS'sen en router,
nog een VPN verbinding leggen. (Dus afstemming in router of NAS maakt daarin dan niet uit).
Hoewel een verbinding bij mijn ex zonder poort 1701 toch vaak moeizamer tot stand komt.

Wat echter NIET functioneerde met inachtneming van die bovenstaande karakter condities,
zonder poort 1701 was een verbinding:

       2. Met laptop - standaard Windows VPN functies - via WiFi hotspot van smartphone
          (Op die wijze een externe VPN verbinding van mijn laptop via mobiele netwerk).

De enig betrouwbare  L2TP/IPSec  VPN verbinding onder die condities,
was toch echt gewoon om alle drie de poorten in te zetten:  500, 1701, 4500

Ofwel gewoon zoals het wordt aanbevolen bij inschakelen van die VPN methode:

 


 

@Babylonia : dank je voor de diverse testen en uitleg. Ik heb in de drie poorten open en kan zoals gezegd in het lan de vpn naar de nas opbouwen. Dus daar zit het probleem niet.

@TDN : ik zal je reset tip uitvoeren maar dat doe ik pas vrijdagavond of later omdat ik nu in het buitenland ben en anderen afhankelijk zijn van het blijven funktioneren van de huidige status.

Fijne Kerstdagen.

Wordt vervolgd.

De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank

...

Community voorwaarden