MT RB750 - brak możliwości połączenia VPN do MT za routerem z NAT

Mam kolejny problem i w związku z tym prośbę o pomoc...

Mam następującą konfigurację:
[WAN - USB od operatora sieci komórkowej z publicznym IP] - [ROUTER] - [MT RB750] - [LAN]

Na MT chcę uruchomić VPN (L2TP). VPN mam skonfigurowanego i wydaje się, że dobrze, ponieważ uruchamiając połączenie VPN będąc w sieci LAN połączenie jest skuteczne. Niestety wszelkie próby połączenia VPN z internetu za każdym są nieskuteczne.

Na routerze jest NAT i skonfigurowałem forwardowanie portów (1701 - z tego co wiem to standard - oraz 500 - zgodnie z moją konfiguracją IPSec na MT). Konfiguracja tego forwardowania jest bardzo uproszczona, czyli:
[wołany port] | [IP docelowy w LAN]

Innego rodzaju usługi wystawione na świat z LAN działają (np. remote desktop na porcie 5900), więc router potrafi przepuszczać ruch. Nie rozumiem dlaczego nie mogę się połączyć za pomocą VPN.

naito napisał:

Mam kolejny problem i w związku z tym prośbę o pomoc...

Mam następującą konfigurację:
[WAN - USB od operatora sieci komórkowej z publicznym IP] - [ROUTER] - [MT RB750] - [LAN]

Na MT chcę uruchomić VPN (L2TP). VPN mam skonfigurowanego i wydaje się, że dobrze, ponieważ uruchamiając połączenie VPN będąc w sieci LAN połączenie jest skuteczne. Niestety wszelkie próby połączenia VPN z internetu za każdym są nieskuteczne.

Na routerze jest NAT i skonfigurowałem forwardowanie portów (1701 - z tego co wiem to standard - oraz 500 - zgodnie z moją konfiguracją IPSec na MT). Konfiguracja tego forwardowania jest bardzo uproszczona, czyli:
[wołany port] | [IP docelowy w LAN]

Innego rodzaju usługi wystawione na świat z LAN działają (np. remote desktop na porcie 5900), więc router potrafi przepuszczać ruch. Nie rozumiem dlaczego nie mogę się połączyć za pomocą VPN.

1. Jestes pewien, ze porty sa poprawne?
Polacz sie lokalnie i zobacz na jakich portach masz polaczenia - IP-Firewall-Connections.

marcin

Po połączeniu VPN z sieci lokalnej w IP->Firewall->Connections mam następujące wpisy:


Urządzenie z którego się podłączyłem ma IP 192.168.1.5, a port na MT do którego się łączy to 192.168.1.100.

Dodam jeszcze, że próbowałem nawet na routerze ustawić DMZ dla portu MT i to również nic nie dało - nadal z internetu nie mogłem się podłączyć do VPN.

Pamietaj ze po UDP jest transmisja a nie TCP.
Sprawdz czy tutaj zle nie przekierowales

Mam właśnie taką obawę, że mój prymitywny router nie robi forwardingu UDP. W regułach forwardowania nie mam opcji TCP/UDP i może mieć domyślnie tylko TCP.

Jest jakiś sposób żeby to sprawdzić?

Przekieruj jakiś port UDP na komputer z uruchomionym Wiresharkiem i sprawdź przy wysłaniu na port danych czy dochodzą jakieś pakiety.

Dzięki.

A więc zrobiłem tak...

Na jednym komputerze w LAN uruchomiłem Wiresharka. Na routerze zmieniłem przekierowanie wszystkich portów na potrzeby VPN - zamiast wskazania MT wskazałem PC z Wireshark. Z drugiego urządzenia (dokładnie chodzi o smartphone, z którego chcę łączyć się VPN) wystartowałem połączenie VPN. Wireshark wyłapał następujące pakiety (podsumowanie - przykład):
No | Time | Source | Destination | Protocol | Length | Info
629 | 240.793658000| 100.65.233.106 | 192.168.1.4 | ISAKMP | 542 | Identity Protection (Main Mode)
Szczegóły pakietu w załączniku.

Pakiety te pojawiały się 4-5 razy na pojedynczą próbę połączenia z VPN.

Zrobiłem również oddzielny test polegający na tym, że na wspomnianym telefonie działającym w moim LAN, zmieniłem konfigurację VPN - adres VPN zmieniłem z lokalnego adresu MT na lokalny adres PC z Wireshark. Przy próbie zestawienia takiego połączenia Wirshark pokazał dokładnie takie same pakiety (oczywiście adres źródłowy zmienił się na lokalne IP smartphone-a). Jak wcześniej pisałem po LAN mój smartphone bez problemu łączy się z VPN na MT.

Jak rozumiem wyniki tego testu pokazują, że mój router jednak przepuszcza komunikację UDP (takie same pakiety przy próbie połączenia do VPN na PC z Wireshark z netu przez router jak i z LAN)...? Jeżeli tak, to nadal nie rozumiem dlaczego nie mogę się połączyć z VPN na MT z netu.

Glupie pytanie
Jak laczysz sie smartfonem po zewnetrznym IP to laczysz sie na mobilnym internecie czy domowym.
Podpowiem ze chodzi o hairpin NAT. Bedac za mikrotikiem ktory robi NAT nie polaczysz sie wewnatrz sieci na adres zewnetrzny

Testując połączenie z zewnąrz odłączam się od LAN i korzystam transmisji danych 3G.

Witam

Chciałbym odświeżyć ten wątek...

Niedawno zmieniłem router (na Huawei B593s-22) i wróciłem do tematu zestawienia VPN. Oprócz zmiany routera nic więcej w konfiguracji mojej sieci się nie zmieniło, ale niestety próba połączenia z internetu do serwera VPN (L2TP/IPsec) uruchomionym na MT RB750 nadal się nie udaje - jestem w tym samym miejscu, w którym utknąłem mając poprzedni router.

Sytuacja wygląda tak, że z sieci lokalnej mogę się bez problemu podłączyć do VPN, natomiast z internetu ta sztuka już mi się nie udaje.

Podglądając logi na MT widać, że podczas próby podłączenia klienta VPN z internetu do MT dociera ruch na porcie 500, ale szybko się urywa, a po stronie klienta mam komunikat o nieudanym połączeniu.

Czy macie jakiś pomysł o co tu chodzi? Ja j€ż zgłupiałem i nie wiem gdzie szukać przyczyny tego problemu.

naito napisał:

Witam

Chciałbym odświeżyć ten wątek...

Niedawno zmieniłem router (na Huawei B593s-22) i wróciłem do tematu zestawienia VPN. Oprócz zmiany routera nic więcej w konfiguracji mojej sieci się nie zmieniło, ale niestety próba połączenia z internetu do serwera VPN (L2TP/IPsec) uruchomionym na MT RB750 nadal się nie udaje - jestem w tym samym miejscu, w którym utknąłem mając poprzedni router.

Sytuacja wygląda tak, że z sieci lokalnej mogę się bez problemu podłączyć do VPN, natomiast z internetu ta sztuka już mi się nie udaje.

Podglądając logi na MT widać, że podczas próby podłączenia klienta VPN z internetu do MT dociera ruch na porcie 500, ale szybko się urywa, a po stronie klienta mam komunikat o nieudanym połączeniu.

Czy macie jakiś pomysł o co tu chodzi? Ja j€ż zgłupiałem i nie wiem gdzie szukać przyczyny tego problemu.

A czy te porty na mikrotiku masz otwarte?
Jak nie powiesz mikrotikowi, w sekcji firewall, ze ma akceptowac ruch na tych portach to nic z tego chyba nie bedzie.

W konfiguracji firewall na MT nic nie zmieniałem w stosunku do ustawień fabrycznych. Założyłem, że skoro łączę się z LAN to nie muszę nic zmieniać. Czy moje założenie jest błędne? Dodam, że router jest bramą i serwerem DHCP dla LAN. MT jest po prostu jednym z urządzeń w sieci i ma statycznie przypisany IP.

naito napisał:

W konfiguracji firewall na MT nic nie zmieniałem w stosunku do ustawień fabrycznych. Założyłem, że skoro łączę się z LAN to nie muszę nic zmieniać. Czy moje założenie jest błędne? Dodam, że router jest bramą i serwerem DHCP dla LAN. MT jest po prostu jednym z urządzeń w sieci i ma statycznie przypisany IP.

W ustawieniach fabrycznych masz pewnie regulke firewall\a akceptujaca caly ruch z sieci lokalnej.
Ale poprzez przekierownie portow, ruch docierajacy do MT ma adres zrodlowy gdzies z internetu. Wiec wydaje mi sie ze fabryczna regulka to za malo.

Dodaj 2 linie do firewall'a MT
Chain: input
Protocol: TCP lub UDP (nie wiec co tam potrzebujesz)
Destination Port: jak wyzej, ktore tam porty sa potrzebne
Action: accept

marcin

Niestety nie pomogło

Dodałem reguły (aż z nawiązką, żeby wykluczyć jakiś błąd z mojej strony w protokole/porcie), ale nadal efekt dokładnie taki sam - klient VPN dobija się do serwera po porcie 500 (udp) ale nie dzieje się nic więcej, komunikacja się urywa i po stronie klienta mam info o nieudanym połączeniu.

Wklejam screen z listą reguł firewall na MT. Pozycja 0, 1, 2 i 3 były stworzone z default-u i ja w nie nie ingerowałem. Pozostałe to lista reguł dodanych przeze mnie.

Na "normalnych" routerach zazwyczaj jest opcja VPN Pass-through, tyle że ona dotyczy tuneli wychodzących. Spróbuj skonfigurować PPTP, on jest najmniej problemowy (i najmniej bezpieczny). L2TP rzadko kiedy udawało mi się zestawić, to już łatwiej mi szło z czystym IPSec (tylko z nim jest w ogóle problem, bo wysyła pakiety z innym identyfikatorem protokołu transportowego niż TCP czy UDP).

https://technet.microsoft.com/en-us/library/cc784169%28v=ws.10%29.aspx

W niektórych sieciach 3G nie przechodzi nic innego niż TCP i UDP, czasem żeby użyć VPN trzeba podać inny APN (w Orange "vpn", zamiast "internet").

Kolejna odsłona mojej problematycznej historii...

Ze względu na podejrzenie, że mój router nie przepuszcza ruchu wymaganego do zestawienia L2TP/IPsec postanowiłem zrealizować VPN w oparciu o OpenVPN (ponieważ wystarczy zwykłe tcp lub udp na dowolnym porcie).

Skonfigurowałem serwer openvpn na moim MT RB750GL, klienta na PC (Windows 7) i smartphone. Niestety mam identyczną sytuację jak w przypadku moich wcześniejszych prób z podłączeniem do VPN L2TP/IPsec, czyli kiedy klient znajduje się w sieci LAN potrafi połączyć się z serwerem VPN, natomiast połączenie tego samego klienta z internetu przez otwarty na routerze port (forwarding portu) nie udaje się.

Dla przypomnienia konfiguracja mojej sieci i stan urządzeń:

1. Router (nie MT):
- WAN po 3G/LTE
- serwer DHCP
- standardowy firewall
- forwarding wybranego portu na statyczny adres lokalny MT i port skonfigurowanego serwera VPN (tcp)... ustawienie adresu MT jako DMZ nic nie zmienia

2. MT:
- przywrócone ustawienia fabryczne
- podłączony do LAN portem nr 2
- skonfigurowana adresacja dostosowana do mojego LAN (adres statyczny)
- skonfigurowany openvpn server
- skonfigurowana reguła firewall: chain: input, protocol: TCP, destination port: <odpowiedni>, action: accept
- urządzenie to ma pełnić tylko i wyłącznie rolę serwera VPN (przynajmniej na razie)

Dodam, że
- skaner portów z internetu widzi port VPN jako zamknięty mimo, że jest ustawiony dla niego forwarding na routerze
- forwarding portów na routerze działa poprawnie, ponieważ otwieranie portów do innych urządzeń/usług w LAN (niezwiązanych z MT) jest skuteczne i do każdej usługi mogę się bez problemu dostać z internetu.

Czy ma ktoś jakiś pomysł o co tu chodzi? Czy nie przewidziałem jeszcze jakiejś konfiguracji, która nie przepuszcza portów po stronie MT? Jak pisałem wyżej - podłączenie z LAN do serwera VPN na MT jest OK, podłączenie z internetu nie udaje się.