VPN neprojde přes NAT domácího routeru

6. 2. 2017 08:54:26

mám router wireless broadband SWEEX LW050 a za NATem server VPN od Microsoftu. Uvnitř sítě navážu od klienta k serveru VPN spojení (roadwarior) okamžitě, a to jak přes PPTP tak přes L2TP/IPsec, pokud navazuji spojení venkem přes veřejnou IP, tak se spojení PPTP nedokončí s důvodu neprojití protokolu GRE přes NAT a u varianty L2TP/IPSec to zhavaruje na něčem podobném. Forwardoval jsem všechny možné porty a upradoval firmware routeru. Vyřešil někdo tento problém nebo je nutno zkrátka pořídit jiný typ routeru a když tak jaký? Díky za rady.

6. 2. 2017 08:54:26

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/#reply1257690

Václav Dušek

(77 hodnocení)

6. 2. 2017 09:29:57

Asi by bylo spravnejsi/snazsi provozovat VPN primo na routeru, jinak je nutne VPN server server umistit do DMZ a povolit na nej potrebny provoz

Btw. s tim routerem toho asi moc nedokazete. Co ho prepnout do rezimu bridge, primo do neho pripojit Wokna, vypnout jeho WiFi a resit Firewall primo na Woknech?

A nebo to udelat uuuuplne jinak :D

6. 2. 2017 09:29:57

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/#reply1257689

TomasX

(4 hodnocení)

6. 2. 2017 09:42:08

gre nemůžeš natovat, to je ipless protokol, musíš ho schovat do tunelu, ipsec např.

l2tp/ipsec by mělo svištět, v které fázi spojení se to zastaví? Dokážeš poslat log a konfiguraci? Tenhle router neznám, tak nedokážu říct, jestli nemá nějaká specifika.

Začal bych debug s jednoduchým tcp kanálem, na serveru si udělej nějakou tcp službu (webserver) a na nějse zkus z venku dostat, bývá ro jednodušší než ipsec k debugování.

6. 2. 2017 09:42:08

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/#reply1257688

cargopro

6. 2. 2017 09:51:30

Napsal vdusek;1360991
Asi by bylo spravnejsi/snazsi provozovat VPN primo na routeru, jinak je nutne VPN server server umistit do DMZ a povolit na nej potrebny provoz
Btw. s tim routerem toho asi moc nedokazete. Co ho prepnout do rezimu bridge, primo do neho pripojit Wokna, vypnout jeho WiFi a resit Firewall primo na Woknech?
A nebo to udelat uuuuplne jinak :D

mám více pc v síti, takže bridge ne, DMZ taky ne z důvodu dat na serveru, wifi taky potřebuji...ale našel jsem něco

o hodnotě registru AssumeUDPEncapsulationContextOnSendRule viz. "Hodnota 1 nastaví systém Windows tak, že ji lze vytvořit přidružení zabezpečením se servery, které jsou umístěny za zařízení NAT."

6. 2. 2017 09:51:30

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/#reply1257687

Václav Dušek

(77 hodnocení)

6. 2. 2017 09:51:47

Pokud se divam na spravny manual k routeru, tak by primo router mel umet fungovat jako VPN server - L2TP i PPTP

6. 2. 2017 09:51:47

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/#reply1257686

cargopro

6. 2. 2017 09:53:16

Napsal TomášX;1360995
gre nemůžeš natovat, to je ipless protokol, musíš ho schovat do tunelu, ipsec např.
l2tp/ipsec by mělo svištět, v které fázi spojení se to zastaví? Dokážeš poslat log a konfiguraci? Tenhle router neznám, tak nedokážu říct, jestli nemá nějaká specifika.
Začal bych debug s jednoduchým tcp kanálem, na serveru si udělej nějakou tcp službu (webserver) a na nějse zkus z venku dostat, bývá ro jednodušší než ipsec k debugování.

ok mrknu na to během dneška, pak dám vědět

6. 2. 2017 09:53:16

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/#reply1257685

Vladimír Smitka

(4 hodnocení)

6. 2. 2017 12:52:15

Windows nepočítá s tím, že je L2TP VPN server za NATem a je třeba upravit registr. Není to tím?

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesPolicyAgent - AssumeUDPEncapsulationContextOnSendRule = 2 (reg soubor mám ke stažení v článku https://lynt.cz/blog/l2tp-vpn-v-aws-snadno-a-rychle)

6. 2. 2017 12:52:15

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/#reply1257684

cargopro

6. 2. 2017 13:02:34

Napsal vdusek;1360999
Pokud se divam na spravny manual k routeru, tak by primo router mel umet fungovat jako VPN server - L2TP i PPTP

ikdyž jse upgradoval firmware, tak volba VPN co oni tam uvádějí není. zřejmě screen z jiného, nebo nevím

---------- Příspěvek doplněn 06.02.2017 v 13:03 ----------

Napsal smitka;1361053
Windows nepočítá s tím, že je L2TP VPN server za NATem a je třeba upravit registr. Není to tím?
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesPolicyAgent - AssumeUDPEncapsulationContextOnSendRule = 2 (reg soubor mám ke stažení v článku https://lynt.cz/blog/l2tp-vpn-v-aws-snadno-a-rychle)

vyzkouším , díky

6. 2. 2017 13:02:34

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/#reply1257683

Václav Dušek

(77 hodnocení)

6. 2. 2017 13:09:17

Cesta nejmensiho odporu - prepnout stavajici router do rezimu bridge a vypnout na nem WiFi. Za nej koupit novy router s podporou alternativniho frmwaru typu OpenWRT nebo DD-WRT. DD-WRT je vice uzivatelsky privetivejsi nez OpenWRT (noveji LEDE).

Je stavajici VPN server pristupny z internetu? Jsou na na stavajicim routeru nastavena spravne pravidla?

6. 2. 2017 13:09:17

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/#reply1257682

TomasX

(4 hodnocení)

6. 2. 2017 13:11:14

v tomhle má smitka pravdu, tam je nějaké takovéhle omezení, oni si v MS totiž to implementovali tak, že z IP adresy a portu počítají nějaký kontrolní součet, v přesně tom bude asi zakopaný pes.

6. 2. 2017 13:11:14

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/#reply1257681

cargopro

6. 2. 2017 14:30:47

@smitka -to bylo ono:) viz úprava registrů....hmm Microsoft nepředpokládal VPN srver za NAT :) - díky všem,... jen pro zajímavost jsem se ještě zkusil připojit na Net přes usb tethering (vodafone) a zrealizovat VPN -nejde to, asi mají mobil operátoři nějakou restrikci na odchozí porty, má někdo k tomu nějaké poznatky , jestli existuje řešení VPN roadwarior z PC připojeného k Netu přes mobilního operátora? Díky za info

6. 2. 2017 14:30:47

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/#reply1257680

Vladimír Smitka

(4 hodnocení)

6. 2. 2017 16:51:29

Proti různým omezením je asi nejspolehlivější provozovat OpenVPN na portu TCP 443, jen je trochu náročnější si vše nakonfigurovat. Při použití https://www.softether.org/ je to však jednodušší.

6. 2. 2017 16:51:29

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/#reply1257679

TomasX

(4 hodnocení)

6. 2. 2017 17:06:19

SSTP protokol (umí Windows a Softether) projde bez pošramocení na všech našich operátorech na portu 443, aniž by si toho všimli, jejich packet inspection tohle ještě neumí (viděl jsem ho). Obecně nemám problém navázat jakékoliv tcp/udp spojení v mobilní síti i přes tethering u všech našich 3 operátorů.

Co ale nastává velice často je nižší priorita takových přenosů, v praxi na portu tcp/34000 mám 35 kb/s a na tcp/443 klidně desetinásobek. Zároveň chce počítat s tím, že nějaké ty smtp porty jsou samozřejmě blokované kvůli bezpečnosti.

Nejspolehlivější je provoz https tunel (v linuxu existuje třeba stunnel), ten není možné rozeznat od běžné http komunikace a jediné co má jiné je délka spojení. OpenVPN má svůj magic packet a je jednoduše detekovatelné, a to se i děje.

6. 2. 2017 17:06:19

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/#reply1257678

cargopro

7. 2. 2017 18:42:16

díky ještě jednou všem, L2TP mi tedy funguje ok, ale z důvodu výše zmiňovaného připojení pře mobil. operátora řeším souběžnou variantu připojení pomocí SSTP přímo na win. serveru. Zprovoznil jsem na IIS port ssl (443) a vygeneroval osobní certifikát (podepsaný sám sebou)...a teď trochu tápu, neboť VPN klient se ukončuje s hláškou :

"certifikační řetězec by zpracován, ale byl ukončen v kořenovém certifikátu, který nemá důvěru zprostředkovatele důvěrihodnosti", znamená to, že tam musí být pouze certifikát, který musí být podepsán nějakou autoritou? Na klienta jsem ten certifikát naimportoval do úložišt důvěryhodných autorit a vydavatelů, ale bez výsledku. díky za případné poznatky.

7. 2. 2017 18:42:16

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/#reply1257677

TomasX

(4 hodnocení)

7. 2. 2017 21:09:39

na serveru můžeš mít self-sign (podepsaný sám sebou) certifikát, ale klientovi musíš vygenerovat certifikát, který jsi podepsal tím self-sign a to nejspíš nemáš. Dokážeš se dát smínky, jak vypadají certifikáty na klientu a na serveru?

7. 2. 2017 21:09:39

https://webtrh.cz/diskuse/vpn-neprojde-pres-nat-domaciho-routeru/#reply1257676