Vraagje voor de echte systeembeheerders

[Raphie]

Ik heb dit weekend een nieuwe ASUS WL-566gM 240 MIMO Router geinstalleerd en alles doet het prima, behalve m'n VPN verbinding.
Indien ik op m'n router de Statefull Inspection Firewall uitzet, dan krijg ik wel verbinding en doet m'n intranet, exchange e.d. het allemaal prima.
Indien ik deze aan laat staan dan krijg ik geen verbinding.
Indien ik poort 1723 TCP en 500 UDP openzet krijg ik wel verbinding, maar komt er na het opzetten van de VPN tunnel geen data door (geen van de applicaties werken)

Er moet dus waarschijnlijk een andere poort combinatie worden opengezet, weet iemand wat nog meer eventuele poortadressen kunnen zijn?
De VPN client waarmee wij werken is Dragnet

[Biite]

Okay,

Statefull firewall uit: werkt
Statefull firewall aan: werkt niet.

Kortom, Statefull firewall herkent Dragnet VPN verkeer heen en weer niet. Je zult dus je inkomend/uitgaand verkeer compleet in je firewall zelf moeten definieren.
Of er zou een soort 'VPN-passtrough' optie in je router moeten zitten.

Martien

[Raphie]

Dat was mijn conclusie dus ook 
Maar nu de hamvraag: welke poorten?!?

1723TCP en 500UDP staan al open, hiermaa kan de tunnel worden opgezet, maar is er nog steeds geen verkeer mogelijk.
de router heeft geen VPN pass through optie in de FW, maar ondersteund wel UPnP, maar sinds dit door de meeste corporates als een security risk wordt gezien staat dit op m'n corporate image dus uit

Ik kan dus niks wijzigen aan de client kant en moet dus echt achter de juiste poortnummers zien te komen (of alleen met NAT blijven draaien) maar daar koop je natuurlijk geen dure statefulinspection firewall voor.....

[B.J.]

Kan je niet de firewall utzetten en dan kijken welke poorten worden gebruikt?

met http://ntsecurity.nu/toolbox/inzider/ of http://www.nirsoft.net/utils/cports.html

[hoekie]

tcp/10000  ??

[Raphie]

het gebruikte protocol is dus een variant van L2TP en heeft in ieder geval poort 1723 TCP nodig, nu alleen nog de andere poorten vinden, 10000 ga ik eens proberen, waarom die poort?

[Sk]

Hier wat informatie over TCP 10000 weet niet of je er wat aan hebt.

http://www.auditmypc.com/port/tcp-port-10000.asp

[Biite]

Dat was mijn conclusie dus ook 
Maar nu de hamvraag: welke poorten?!?

1723TCP en 500UDP staan al open, hiermaa kan de tunnel worden opgezet, maar is er nog steeds geen verkeer mogelijk.
de router heeft geen VPN pass through optie in de FW, maar ondersteund wel UPnP, maar sinds dit door de meeste corporates als een security risk wordt gezien staat dit op m'n corporate image dus uit

Ik kan dus niks wijzigen aan de client kant en moet dus echt achter de juiste poortnummers zien te komen (of alleen met NAT blijven draaien) maar daar koop je natuurlijk geen dure statefulinspection firewall voor.....

ff het beter uitzoekwerk:

• De Asus moet in ieder geval NAT-T ondersteunen
• Poort 500/UDP (IKE)moet beide kanten openstaan, maar die had je al
• Poort 4500/UDP (NAT-T) schijnt voor l2tp beide kanten op open te moeten staan

Ik heb ook nog wat gevonden over poort 1701/udp voor l2tp.

Is het geen idee om een packetsniffer/tcpdump o.i.d. te gebruiken om te kijken wat ie doet als je firewall tijdelijk uitstaat??

Martien

[Deleted member]

Hier worden twee dingen door mekaar gehaald. L2TP is puur tunneling zonder encryptie. Wat jij gebruikt klinkt als een PPTP (Microsoft's oplossing) OF een L2TP/IPSec oplossing. Voor PPTP dien je TCP poort 1723 en GRE (=IP protocol 47) open te zetten. (Dit laatste is dus geen UDP/TCP poort maar echt een protocol dat je specifiek openzet. Hoe dit te doen in jouw firewall weet ik niet.)

Indien je IPSec over L2TP gebruikt heb je UDP1701, UDP500, nodig en ESP (=IP protocol id 50)

http://en.wikipedia.org/wiki/L2TP
http://en.wikipedia.org/wiki/PPTP

Succes!!

[Raphie]

Da's mooi, als ik dit goed begrijp vertel je me dus dat zelfs als ik de juiste poorten open heb ik tevens nog 2 IP protocollen moet aanzetten.
Kan ik aannemen dat deze wel ondersteund worden, sinds ik met het NAT gedeelte alleen wel een verbinding kan opzetten?

Of zal ik aan ASUS support moeten vragen om een nieuwe firmware te releasen waarin deze 2 aanstaan?
de FW van de ASUS is gewoon Linux, alleen via de webinterface heb je niet de mogelijkheid om dit in te stellen. Zou telnet een optie kunnen zijn?

EDIT: router staat geen communicatie toe via poort 23, telnet gaat dus niet lukken.

[hifiman]

EDIT: router staat geen communicatie toe via poort 23, telnet gaat dus niet lukken.

Ook geen ssh?

[Raphie]

Troubleticket gelogd bij ASUS

Ben benieuwd.......

[Raphie]

Ook geen ssh?

Nog nooit gebruikt, hoe werkt dit?

[gijsnoorlander]

Nog nooit gebruikt, hoe werkt dit?

SSH is een soort telnet, maar dan is de verbinding versleuteld.
Vanaf Windows kun je met putty (www.putty.nl) een SSH-verbinding maken.
Niet alle routers ondersteunen trouwens inloggen via SSH.
SSH gaat standaard via poortje 22.

[riwi]

Ik moest in mijn linux iptables firewall ook protocol 50 aan zetten om mijn vpn verbinding naar mijn werkgever werkend te krijgen. Ik kon zonder protocol 50 net als jij wel in loggen maar de versleutelde data kwam er niet door.

Ik denk dat dat is wat jij nodig hebt.

[Raphie]

SSH is een soort telnet, maar dan is de verbinding versleuteld.
Vanaf Windows kun je met putty (www.putty.nl) een SSH-verbinding maken.
Niet alle routers ondersteunen trouwens inloggen via SSH.
SSH gaat standaard via poortje 22.

Net geprobeerd, ik krijg dan alleen maar connection refused via poort 22

[Biite]

Net ff de 'handleiding' doorgespit (tis ook werkelijk een Kwalitatief Uitermate Teleurstellende).

Ook niks te vinden over VPN en firewall. Ik ga ook rustig voor je verder zoeken.

[Deleted member]

Had nou maar een Draytek gekocht! 

[gijsnoorlander]

Had nou maar een Draytek gekocht! 

[offtopic]
Het opzetten van een VPN naar een Draytek router is ook een prima manier om de andere kant compleet zonder internet te zetten.
Jaartje geleden had ik dat namelijk bij het opzetten van een VPN naar mensen met een Draytek. Dat ding bleef maar resetten
[/offtopic]

[Raphie]

Had nou maar een Draytek gekocht! 

LOL, moet zeggen benverder SUPER tevreden over deze router, hij is supersnel zowel over CAT5 als Wifi 54G (zelfs tot 240Mbit met een MIMO kaart) heeft een groot bereik en verder flexibel management. Alleen die VPN issue is ff een domper.

Ik draai nu met alleen NAT (zoals iedere huis, tuin en keuken SOHO router) maar wil natuurlijk m'n "Statefull Inspection Firewall" draaien voor extra security en outbound controle, dan kunnen namelijk de personal firewalls op de PC's thuis ook weer uit. En dit is tevens een van de weinige routers met een 100Mbit WAN poort (linksys en Belkin hebben bijv maar 10mbit wan)

[Deleted member]

Het was flauw van me, ik weet het. 

Ook ik heb even de handleiding van je router gedownload om te kijken of ik nog wat kon vinden maar ik ben het helemaal met Biite eens, het is een "k.u.t." handleiding. Althans de info om wat voor VPN dan ook op te zetten staat niet genoemd. Ook de toegang tot de router lijkt beperkt tot alleen via de webbrowser. Hopen dus maar dat Asus met een oplossing of een praktische workaround komt. Succes!

[Biite]

Raphie,

Check anders eens met bijvoorbeeld Ethereal (www.ethereal.com) wat er over je netwerk gaat. Misschien geeft dat wat zinnigs.

Martien

[Deleted member]

Hij lijkt er idd. geen ondersteuning voor te bieden, wel vreemd want de WL-530G ondersteunt het wel lees ik:

WL-530G: http://www.asus.com/products4.aspx?modelmenu=2&model=409&l1=12&l2=43&l3=0 (onder "other security")
WL-566gM: http://www.asus.com/products4.aspx?modelmenu=2&model=1038&l1=12&l2=43&l3=0

[Raphie]

Plaats m'n notebook wel in de DMZ tot ASUS terug komt met een antwoord, op luchthavens e.d. heeft m'n notebook ook alleen maar z'n personal firewall, of is alleen NAT tegenwoordig nog steeds wel veilig genoeg (als je niet helemaal paranoia bent...)

[Deleted member]

Op zich is heb je geen firewall nodig als je geen services draait, een firewall is in de basis niks anders dan een "pakketinspecteur" die bepaalt of een pakket door mag of niet. Helaas is de gemiddelde PC tegenwoordig een kerstboom als het om services gaat waar naartoe geconnect kan worden. Thuis draai ik geen firewall, gebruik alleen NAT in mijn router die geen niet door mij geinitieerde sessies naar binnen toe staat. Probleem daarvan is dat je dondersgoed moet weten wat er op je PC draait, een backdoor die zelf een verbinding naar buiten opzet blokkeer je hier namelijk niet mee.