Vastattu

VPN putken luonti ei onnistu

  • 24 huhtikuu 2020
  • 12 kommenttia
  • 540 katselukerrat

Yritän luoda vpn yhteyttä kahden pisteen välille huonolla menestyksellä. Kotona sisäverkossa ipsec putki toimii mainiosti kahden ciscon reitittimen välissä. Kun yrittää ulkoapäin nimellä, niin ei millään, vaikka liittymässä on julkinen ip. Minulla on host dyndns:ssä ja ei toimi siis nimellä. Sitten yritin käyttää molempien päiden julkista ip osoitetta ja ei toimi. Sitten kun yritin tracert:llä reitin selvitystä toisen paikan dna:n liittymästä tuohon minun dyndns host nimeen, niin selvitys katkeaa samaan kohtaan, kun yrittäisi selvitysta suoraan minun Elisan julkiseen ip osoitteeseen. Sitten yritin reitin selvitystä minun Elisan mobiililaajakaista liittymästä Elisan kännykän liittymään ja sekään ei onnistu. Reitin selvitys onnistuu kuitenkin dyndns.org osoitteeseen. Sitten kun yritin tracert omasta liittymästä tuohon minun host nimeen, niin sekään ei tietenkään onnistu. Onko tässä verkossa edes mahdollista luoda vpn yhteyttä vai onko verkko vika? 

icon

Vastauksen tähän kysymykseen jakoi irritus 9 toukokuu 2020, 11:40

Dna:lla portit 500 ja 4500 ovat kyllä auki, eli ei pitäisi olla siitä kiinni.

Kun yksi yhteyksistä on kaapelimodeemiyhteys, vpn-yhteydet kannattaisi rakentaa niin, että kaapelimodeemin perässä on vpn-palvelin ja mobiiliyhteyksien perässä ovat vpn-asiakkaat.

Näin et tarvitse Elisan etkä Telian liittymiin julkinen ip-osoite lisäpalveluita.

Kun ipsec on hankala saada toimimaan eivätkä laitteesi tue openvpn:ää, seuraavaksi kannattaisi varmaan kokeilla pptp- tai l2tp-tunneleita.

Katso alkuperäinen viesti

12 kommenttia

Käyttäjätaso 7
Kunniamerkki +3

Saako ipsec-reititin itselleen julkisen ip-osoitteen, vai onko se toisen reitittimen takana yksityisellä ip-osoitetteella?

Jos välissä on nat-reititin, onhan siitä muistettu ohjata kaikki tarvittavat portit ja protokollat ipsec-reitittimelle? Jos nat-reitittimestä ei löydy protokollan ohjauksia, aseta nat-reitittimen dmz osoittamaan ipsec-reitittimelle.

Ipsec voi olla haastava saada otettua käyttöön natin takaa. Onko sinulla mahdollista kokeilla ipsec sijaan openvpn:ää tai wireguard:ia? Ne toimivat hyvin natin takanakin ihan pelkällä tavanomaisella portinohjauksella.

 

Ping ja traceroute käyttöä on rajoitettu mobiiliverkossa, joten niitä voi käyttää vain mobiililiittymästä ulospäin tapahtuvaan diagnosointiin.

Juu kyllä se ipsec reititin on natin takana. Kyllä tuosta natista löytyi porttiohjauksien lisäksi nuo triggerit noille protokollille. Pitää testata sitäkin. Huonosti tahtoo taipua Ciscon reititin laitteet noille openvpn ja wireguard ratkaisuihin.

Käyttäjätaso 7
Kunniamerkki +3

Entä jos siltaat modeemin, jotta Cisco saa julkisen ip-osoitteen? Jos modeemi on yhdistelmälaite, langaton lähiverkko kannattaa myös kääntää pois päältä turhana.

Tällöin toki kaikki muut laitteet kuin Cisco itse kannattaa siirtää modeemin perästä Ciscon perään. Plus että saatat tarvita erillisen langattoman lähiverkon tukiaseman vielä Ciscon lähiverkon puolelle verkkoa, jos sinulla ei sellaista ollut jo entuudestaan.

Kiinteän verkon modeemeista voi löytyä myös mahdollisuus rajata siltaus yhteen ainoaan Ethernet-liittimeen. Tällöin muita laitteita ei tarvitse siirtää pois modeemista.

Mobiiliverkon puolella modeemit saavat pääsääntöisesti vain yhden ip-osoitteen, jolloin sillatun modeemin perässä voi olla vain yksi laite kerrallaan.

Käyttäjätaso 7
Kunniamerkki +3

Nat-reitittävässä tilassa kannattaa tarkastaa myös modeemin alg, application level gateway, asetukset.

Jos alg:it ovat päällä, kokeile ottaa portin ja protokollanohjaukset ja dmz pois päältä. Jos ipsec ei edelleenkään toimi, käännä alg:it pois päältä ja tee portin- ja protokollanohjaukset tai dmz.

Toisessa päässä on ciscon kaapelimodeemi reititin, jossa on sisäänrakennettu ipsec vpn eli reitin saa suoraan julkisen ip:n. Mobiilireitittimen päässä kokeilin sitä, että laitan sen siltaavaan tilaan jolloin ciscon reititin saa suoraan myös julkisen ip:n ja yhteys ei onnistunut. Sitten kokeilin, että huawein reititin toimii nattavassa tilassa ja tällöin se ciscon reitin on tietenkin natin takana ja ei onnistunut. Tein Huaweista 500 ja 4500 porteille ohjauksen ciscon reitittimeen ja ei onnistunut. Sitten poistin porttiohjaukset ja määritin ciscon reitittimen huawein reitittimeen dmz:ksi ja ei onnistunut. Jos joku keksii mitä voin vielä tehdä, niin olisin tyytyväinen. Osaisko joku neuvoa, että miten tutkia, että meneekö tuo yhteydenotto edes perille vai jääkö jumiin johonkin paikkaan inetin syövereissä?

Entä jos siltaat modeemin, jotta Cisco saa julkisen ip-osoitteen? Jos modeemi on yhdistelmälaite, langaton lähiverkko kannattaa myös kääntää pois päältä turhana.

Tällöin toki kaikki muut laitteet kuin Cisco itse kannattaa siirtää modeemin perästä Ciscon perään. Plus että saatat tarvita erillisen langattoman lähiverkon tukiaseman vielä Ciscon lähiverkon puolelle verkkoa, jos sinulla ei sellaista ollut jo entuudestaan.

Kiinteän verkon modeemeista voi löytyä myös mahdollisuus rajata siltaus yhteen ainoaan Ethernet-liittimeen. Tällöin muita laitteita ei tarvitse siirtää pois modeemista.

Mobiiliverkon puolella modeemit saavat pääsääntöisesti vain yhden ip-osoitteen, jolloin sillatun modeemin perässä voi olla vain yksi laite kerrallaan.

Kun Huawein laittaa sillattuun tilaan, niin ainoastaan 4 portti on käytössä

Käyttäjätaso 7
Kunniamerkki +3

Tein Huaweista 500 ja 4500 porteille ohjauksen ciscon reitittimeen ja ei onnistunut.

Tämä ei ole yllättävää, koska myös ah ja esp protokollat olisi pitänyt ohjata. Useimmissa kuluttajalaitteissa ainoat protokollat, joille voi määritellä ohjauksia, ovat tcp ja udp. Täten asiaa ei yleensä edes pysty ratkaisemaan ohjauksin.

 

Se on kyllä erikoista, että edes sillattuna tai dmz:lla homma ei lähde toimimaan.

Olethan huolehtinut siitä, ettet käytä samaa osoiteavaruutta vpn-tunnelin molemmilla puolilla? (Poikkeus: siltaava vpn.)

Jos molemmat Ciscot ovat 192.168.0.1, ne eivät tietenkään pysty reitittimään toisilleen mitään, koska omaan osoitteeseen lähtetty paketti jää reitittimen sisälle.

Mikäli kyse oli tästä, vaihda toisen Ciscon osoitteeksi vaikka 192.168.2.1.

 

Osaisko joku neuvoa, että miten tutkia, että meneekö tuo yhteydenotto edes perille vai jääkö jumiin johonkin paikkaan inetin syövereissä?

Kaapelimodeemin sisäistä sielunelämää ei oikein pysty tutkimaan millään.

Erillistä Ciscon reititintä voit tutkia kytkemällä Huawein ja Ciscon väliin tietokoneen, jossa on kaksi Ethernet-porttia. Sovittimet sillataan keskenään ja tietokoneeseen asennetaan esimerkiksi Wireshark-ohjelma. Tällöin pääset seuraamaan kaikkea liikennettä, mitä Ciscon ja Huawein välillä kulkee.

 

Kun Huawein laittaa sillattuun tilaan, niin ainoastaan 4 portti on käytössä

Mobiiliverkosta saa vain yhden ip-osoitteen per konteksti. Pääsääntöisesti mobiilireitittimet eivät osaa avata kuin yhden kontekstin kerrallaan, josta johtuen ip-osoitteitakin saa vain yhden kerrallaan.

Näin sillatussa tilassa mobiilireitittimeen ei voi kytkeä kuin yhden ainoan laitteen. Yleensä tämä laite on se, joka on ensimmäisenä kytketty reitittimeen virran kytkennän jälkeen.

Tein Huaweista 500 ja 4500 porteille ohjauksen ciscon reitittimeen ja ei onnistunut.

 

Olethan huolehtinut siitä, ettet käytä samaa osoiteavaruutta vpn-tunnelin molemmilla puolilla? (Poikkeus: siltaava vpn.)

Jos molemmat Ciscot ovat 192.168.0.1, ne eivät tietenkään pysty reitittimään toisilleen mitään, koska omaan osoitteeseen lähtetty paketti jää reitittimen sisälle.

Mikäli kyse oli tästä, vaihda toisen Ciscon osoitteeksi vaikka 192.168.2.1.

Koska kaapelimodeemista ei pysty tekemään sisäverko testia, niin minulla oli vielä kolmaskin ciscon reititin. Kaapelimodeemi käytti verkkoa 192.168.0.0. Cisco 2 reititin käytti verkkoa 192.168.1.0 ja cisco 3 reititin käytti verkkoa 192.168.3.0. Huawein sisäverkolle olin jättänyt 192.168.2.0. Kun Cisco 2 ja cisco 3:sen kytki huawein sisäverkkoon, niin vpn tunneli kytkeytyi hienosti. Heti kun vein cisco 3:sen toisen Huawein reitittimen nokkaan ja siellä tein tarvittavay portti konfaukset sekä kokeilin myös dmz:ksi laittoa, niin ei onnistu ihan kuin en onnistu saamaan tuota kaapelimodeemi reitintäkään. Ja olen yrittänyt dyndns nimellä sekä suorilla julkisilla ip osoitteilla.

 

No nyt sain pingin menemään läpi cisco 3 reitittimestä cisco 2:seen pingaamalla dyndns osoitettani. Eli reitti pitäisi olla kunnossa, mutta onko tietoa tuosta dna:n mobiili liittymästä, että onko siellä joku noista ipsec kriittisistä porteista suljettu? Käsittääkseni Elisalla on vapammin portit auki kuin dna:lla.

Tämä siis on aika haasteellinen vpn putki kokonaisuus, kun menee kolmen operaattorin kautta. Tämä ciscon 2 reititin, joka on solmu mihin nämä molemmat muut tulevan ja se on Elisan verkossa. Ciscon kaapelimodeemi on Telian verkossa ja tuo ciscon 3 reititin on DNA:n vastaavassa mobiiliverkossa kuin on tämä solmukohdan Elisan mobiiliverkossa oleva. Olen ymmärtänyt, että sekä Telialla että Elisalla on vapaammin portit auki kuin DNA:lla ja siksi kyselin jos joku tietää, että onko tuolle minun mutu tuntumalle mitään perää.

Käyttäjätaso 7
Kunniamerkki +3

Dna:lla portit 500 ja 4500 ovat kyllä auki, eli ei pitäisi olla siitä kiinni.

Kun yksi yhteyksistä on kaapelimodeemiyhteys, vpn-yhteydet kannattaisi rakentaa niin, että kaapelimodeemin perässä on vpn-palvelin ja mobiiliyhteyksien perässä ovat vpn-asiakkaat.

Näin et tarvitse Elisan etkä Telian liittymiin julkinen ip-osoite lisäpalveluita.

Kun ipsec on hankala saada toimimaan eivätkä laitteesi tue openvpn:ää, seuraavaksi kannattaisi varmaan kokeilla pptp- tai l2tp-tunneleita.

Pikkuisen suhtaudun nihkeästi tietoturvan puolesta tuohon pptp:hen. Mutta kysytäänpä näin, että onko yleensä kukaan saanut mobiiliverkossa toimimaan point to point ipsec tunnelia? ja jos on, niin millä asetuksilla ja millaisilla laitteilla lähti toimimaan?

Osallistu keskusteluun