Is L2TP/IPSec dan niet "mobiel-vriendelijk"?
Wat is het probleem daar dan mee op mobiele apparaten?
Dat voert veel te ver off-topic om dat hier even op een goede manier uit de doeken te doen.
Dan laten we het daarbij, maar ik ervaar zelf eigenlijk geen enkel probleem met het gebruik van L2TP/IPSec op mijn Android en Windows apparaten.
Allen weer hartelijk dank voor reacties. Mede hiermee, logfiles van ciscorouters en zowel forum cisco en KPN heb ik de oplossing gevonden om een werkende site2site verbinding op te zetten met V10 en twee cisco RV215W.
De setup is volgt.
OP de V10 aan beide sites
Portforwarding IPSEC-IKE, PPTP naar IPadres Cisco RV215W
Portforwarding 1000 en 10000 naar IPadres Cisco RV215W (schijnt een cisco isseu te zijn)
Op cisco RV215W
In webinterface VPN > Basic VPN Setup uitvoeren, is vrij simpel en duidelijk wat waar ingevoerd moet worden.
Daarna dient er nog een aanpassing gedaan te worden in de Advanced VPN Setup van de cisco RV215W
Edit “IKE Policy Table” voer in Local Identifier het internet IP adres van de V10
Bij Remote Identifier het internet IP adres van de V10 van de andere site. Doe dat vice versa op beide cisco routers.
En hierna is de site2site verbinding een feit.
Goed te lezen dat het je gelukt is.
Dat betekent dat de site-2-site IPSec functionaliteit op die Cisco's ook de laatste stap in de opbouw van de VPN tunnel overslaan en dat is mooi.
Overigens zou het niet nodig moeten zijn om port-forwardings op de Experia Box aan te maken als de Cisco RV215W op de Experia Box netjes als DMZ Host ingesteld is.
Aanvuling op mijn voorgaande bericht. Na testen en reproduceren is voor site2site de portforwading 1000, 10000 en PPTP niet nodig.
Het volstaat met portforwarding IPSEC-IKE op de experia V10 en aanpassing op de cisco router van “IKE Policy Table” door local en remote indentifier het publieke Internet IPadres van beide sites in te voeren.
De client VPN op de cisco router is (nog) niet werkend te krijgen. De cisco bied geen mogelijkheden de client VPN advanced te configureren zoals de site2site. Kennelijk loopt de client VPN tegen de dubbelNAT problematiek aan. Mijn Client VPN loopt nu via de synology DSM NAS, bedankt voor deze tip.
Ik heb gekozen voor portforwarding ipv DMZ host definitie van de cisco op de experia V10. Omdat mijn inziens dan de cisco gevrijwaard blijft van hack pogingen op alle poorten. Dit mag van mij een probleem blijven op de door de KPN geleverde Experia box waarvoor KPN verantwoordelijk is en blijft.
Aanvuling op mijn voorgaande bericht. Na testen en reproduceren is voor site2site de portforwading 1000, 10000 en PPTP niet nodig.
Het volstaat met portforwarding IPSEC-IKE op de experia V10 en aanpassing op de cisco router van “IKE Policy Table” door local en remote indentifier het publieke Internet IPadres van beide sites in te voeren.
Ook port-forwarding voor IPSec-IKE zou niet nodig hoeven zijn als de Cisco als DMZ Host van de Experia Box gedefiniëerd is.
Ik heb gekozen voor portforwarding ipv DMZ host definitie van de cisco op de experia V10. Omdat mijn inziens dan de cisco gevrijwaard blijft van hack pogingen op alle poorten.
Mijn policy zou juist zijn zijn om de Cisco wel als DMZ Host te definiëren, dat is precies waar de DMZ Host voor gemaakt is. En als je ooit een service achter de Cisco op Internet beschikbaar wilt stellen dan hoef je de port-forwarding alleen op de Cisco in te stellen en niet meer op de Experia Box.
Zelf heb ik jaren op die manier een RV180W achter de Experia Box gehad.
Ik heb gekozen voor portforwarding ipv DMZ host definitie van de cisco op de experia V10.
Heb ik ook voor mijn 2de router. Werkt prima.
Ik heb gekozen voor portforwarding ipv DMZ host definitie van de cisco op de experia V10. Omdat mijn inziens dan de cisco gevrijwaard blijft van hack pogingen op alle poorten. Dit mag van mij een probleem blijven op de door de KPN geleverde Experia box waarvoor KPN verantwoordelijk is en blijft.
Als portforward volstaat, zou ik ook dat doen. DMZ is een extra laag/hook/functionaliteit in de IP stack afhandeling, dat is geen voordeel. Alleen ‘vroeger’ voor b.v. active_FTP of port-triggering had je DMZ nodig. Een natuurlijk voor als je UPnP aan willt hebben, maar dat is echt een touwtje door de brievnbus / sleutel onder de mat m.i.
Voor (moderne) VPN i.c.m. router-achter-router volstaat 1 portforward (gecascadeerd).
Weet dat er naast TCP en UDP ook nog andere protocollen zijn de je wellicht op de Cisco wilt laten uitkomen. Denk hierbij bijvoorbeeld aan ICMP en IP protocollen zoals GRE. Daarvoor is het dan wel vereist dat je de Cisco op de Experia Box als DMZ Host instelt.
Wil je gewoon nooit meer om hoeven te kijken naar de Experia Box en alles op jouw Cisco beheren, gebruik dan die DMZ Host.