Skip to main content

Afgelopen nacht heeft mijn modem een update gehad (Experiabox 10). Dat was allemaal aangekondigd, maar sindsdien werkt mijn VPN-verbinding met mijn werk niet meer. TV, internet, telefoon en wifi doen het allemaal wel.

Gegevens:

Experiabox V10

Firwareversie: V10.C.24.06.04 (na update)

 

Reeds geprobeerd:

  • normale herstart
  • tijdje wachten, daarna modem weer aangezet
  • terug naar fabrieksinstellingen
  • Beveiliging op laag gezet in modeminterface
  • Laptop aan kabel gehangen, zelfde verhaal
  • tijdelijk de firewall op de laptop uitgezet (maar via desktop VPN werkt ook niet).

Helpt dus allemaal niet. Op een andere locatie (buitenshuis) kan ik wel verbinding maken. Aan de VPN-server zal het dus niet liggen. Ook collega's hebben geen problemen.

 

Betreft een PPTP-verbinding, MS-CHAP v2 staat aan, IPv6 staat in de eigenschappen van de verbinding uit.

Melding die ik krijg is:

The VPN connection between your computer and the VPN server could not be completed. The most common cause for this failure is that at least one Internet device (for example, a firewall or a router) between your computer and the VPN server is not configured to allow Generic Routing Encapsulation (GRE) protocol packets. If the problem persists, contact your network administrator or Internet Service Provider.

Zoals gezegd. Gisteren, voor de update, werkte alles nog prima. Iemand enig idee?

Zet de firewall eens op "laag".


Dat staat ie momenteel. Stond na de update op Middel. Maakt geen verschil.


Is het subnet van jouw LAN wellicht veranderd (standaard 192.168.2.x) en gebruikt jouw werk wellicht hetzelfde subnet?


Op het werk wordt 192.168.0.x gebruikt. In het modem (bij mij thuis) zie ik bij verbonden apparaten alles in de 192.168.2.x staan.


Dan is dat dus ook niet de oorzaak.


Hi @ginkie81! Niet handig dat je zo niet thuis kunt werken. 

Heb je ook al eens overlegd met de ICT afdeling van je werk? Misschien dat die op afstand wat zaken met je door kunnen lopen of wat tips hebben voor de instellingen op je modem.
Als het daarmee dan opgelost is dan is het snel klaar!


Die heeft al meegekeken in mijn instellingen, maar kan niks ontdekken. De benodigde poorten staan open. Ook aan de VPN is niets gewijzigd. En op kantoor krijg ik wel verbinding met dezelfde VPN. Een Windows-update is het dus ook niet. 
 

Na het weekend wordt gekeken naar een manier om GRE te omzeilen.


@ginkie81 Een GRE pakket heeft een overhead van 24 bytes meer, dus probeer MTU van jouw LAN netwerkkaart om 24 te verlagen. Misschien helpt het, omdat op KPN WAN mag een pakket niet groter dan 1500. 


@TDN dank voor het meedenken. MTU stond op 1500, teruggezet naar 1476, maar geen resultaat.


Lijkt erop dat de router het GRE protocol type 47 niet als passthrough naar buiten ondersteund. Dan zal die ondersteuning toegevoegd moeten worden. Is er een mogelijkheid om uit te wijken naar een andere vorm van VPN die hier niet op leunt?


@ginkie81 Een ander mogelijkheid naast de blokkering van protocol 47 in firewall is dat je achter CGNAT zit, een CGNAT dropt GRE by default. Ga na jouw modem web-portal en check welke WAN IP adres je heb. Indien het adres in range 100.64.x.1-100.127.x.254 is, ben je met zekerheid achter CGNAT. Anders open een command promt en check met "tracert jouw publiek IP adres". met 1 hop ben je niet achter CGNAT, met 2 hops ben je wel achter een CGNAT van KPN.


Ik lees een soortgelijk topic na de update van de V10, ik plaats het even hier misschien dat er iets uit opgemaakt kan worden ?
Experia Box 10: port forwarding herstellen na update | KPN Community


@SaltyBart De TS had al zijn modem firewall op laag ingesteld, dus het ligt niet in de port forwarding van zijn modem maar zijn GRE tunnel wordt geblokkeerd door Provider Firewall of CGNAT


Kpn draait geen cgnat op die consumenten aansluitingen.


@BruisTablet Dit belofte had ooit Delta ook gemaakt, maar toen IPv4-adressen te kort waren, hadden ze ook CGNAT toegepast op glasvezelaansluiting. Van wie heb je de belofte van KPN dat ze niet op consumenten aansluitingen gaat toepassen?


Anders open een command promt en check met "tracert jouw publiek IP adres". met 1 hop ben je niet achter CGNAT, met 2 hops ben je wel achter een CGNAT van KPN.

Of je hebt zelf twee routers achter elkaar staan.

In het onderstaande geval zet mijn V12 een pppoe verbinding op naar mijn EdgeRouter die op zijn beurt weer een pppoe verbinding met KPN heeft.

 


@BruisTablet Dit belofte had ooit Delta ook gemaakt, maar toen IPv4-adressen te kort waren, hadden ze ook CGNAT toegepast op glasvezelaansluiting. Van wie heb je de belofte van KPN dat ze niet op consumenten aansluitingen gaat toepassen?

KPN gebruikt geen CGNAT op de vaste aansluitingen. KPN heeft meer dan genoeg IPv4 adressen om zelfs alle huishoudens van Nederland te voorzien van een IPv4 adres.


KPN gebruikt geen CGNAT op de vaste aansluitingen. KPN heeft meer dan genoeg IPv4 adressen om zelfs alle huishoudens van Nederland te voorzien van een IPv4 adres.

Dat ze genoeg IPv4 adressen hebben betekent niet dat ze deze moeten zelfs gebruiken. Tegenwoordig zijn vrije IPv6 blokken goud waard, KPN kan deze verkopen en de rest onder klanten delen. De meeste gebruikers merken toch niet van, dat ze geen echte IPv4 adres hebben.


TDN schreef:

Tegenwoordig zijn vrije IPv6 blokken goud waard…

Ik neem aan dat je IPv4 blokken bedoelt.

Je hoeft me niet te geloven maar, nogmaals, KPN hanteert geen, ik herhaal geen, CGNAT op haar vaste aansluitingen.

 

TDN schreef:

De meeste gebruikers merken toch niet van, dat ze geen echte IPv4 adres hebben.

Ik denk dat dat nog wel eens vies tegen zou kunnen vallen immers er zijn vandaag de dag toch best veel mensen die thuis een service hebben draaien die vanaf Internet te benaderen moet kunnen zijn. Denk hierbij bijvoorbeeld aan een NAS.


@BruisTablet de huidige server biedt die mogelijkheid niet. Maandag vindt een test plaats met een Synology.

@TDN Ik zit in de 86.x met 1 hop. Voor het geval dat. WAN is ook niet gewijzigd tov eerder.

 

 

 


Het is absoluut niet de eerste keer dat de Experia/KPN boxen problemen veroorzaken bij VPN verbindingen. Nu is een VPN verbinding o.b.v. PPTP natuurlijk verre van veilig te noemen maar et zou natuurlijk gewoon moeten blijven werken na een update van de firmware.


TDN schreef:

De meeste gebruikers merken toch niet van, dat ze geen echte IPv4 adres hebben.

Ik denk dat dat nog wel eens vies tegen zou kunnen vallen immers er zijn vandaag de dag toch best veel mensen die thuis een service hebben draaien die vanaf Internet te benaderen moet kunnen zijn. Denk hierbij bijvoorbeeld aan een NAS.

Een remote access zou eigenlijk altijd over een VPN lopen. Voor zulke gevallen is tailscale uitstekend, ook achter een CGNAT


Nogmaals @TDN , er is GEEN sprake van CGNAT dus lijkt het me goed om dat woord hier nu niet meer te gebruiken.

Overigens zal ik nooit Tailscale gebruiken omdat daarbij sprake is van een "man-in-the-middle" ofwel "server-in-the-middle" en dat betekent dat ik geen 100% controle heb over die VPN verbinding.

Ik gebruik voor privé VPN verbindingen WireGuard (wat overigens ook door Tailscale gebruikt wordt) en zakelijk heb ik tientallen IKEv2/IPSec site-2-site VPN verbindingen actief richting kantoor en klanten.


Het is absoluut niet de eerste keer dat de Experia/KPN boxen problemen veroorzaken bij VPN verbindingen. 

Ik denk eerder aan een misconfiguratie bij KPN, omdat bij zulken gevallen werkten VPN verbindingen plotseling na paar dagen weer zonder wijziging in modem.

@ginkie81 Je kan testen met jouw telefoon. Bij eerdere firmware kan je telefoon als 4G Backup instellen. Laat jouw telefoon met een 4G/5G netwerk verbinden en activeer USB tethering, en activeer 4G backup in modem. Verwijder de WAN kabel van modem, en sluit jouw telefoon via een USB kabel op de USB poort van Experia Modem. Indien bij deze opstelling je toch kan verbinden met jouw VPN op je werk, dan is Experia modem als foutenbron uitgesloten.

Zoals eerder geschreven, het werkt bij eerdere firmware (bij v12 werkt het USB tethering niet meer sinds de nieuwe firmware), of het ook bij V10 zo is, kan je proberen.


Het is absoluut niet de eerste keer dat de Experia/KPN boxen problemen veroorzaken bij VPN verbindingen. 

Ik denk eerder aan een misconfiguratie bij KPN, omdat bij zulken gevallen werkten VPN verbindingen plotseling na paar dagen weer zonder wijziging in modem.

Misconfiguratie van de Experia/KPN Box immers op andere routers was er geen enkel probleem.