VPN - czy potrzebne publiczne IP

Witam,
Mam problem z podłączaniem się do serwerów VPN.
Moim dostawcą internetu jest JMDI. Zainstalowali w szafce teletechnicznej modem, do którego ja wpiąłem swój router Netis WF2780.
W innym miejscu mam zamontowany router z kartą SIM ze stałym adresem IP i na tamtym routerze postawiony serwer VPN PPTP. Nie mogę się podłączyć do serwera korzystając z internetu od tego dostawcy. Ale udostępniając sobie internet z komórki na laptopa, z serwerem VPN łączę się bez problemu. Próbowałem się łączyć z innymi serwerami VPN (np. serwer postawiony na routerze cisco) i jest taka sama sytuacja.

Dzwoniłem na infolinię dostawcy i twierdzi, że potrzebuję publiczne IP. Czy mają racje?

Do połączenia jako klient VPN nie potrzebujesz publicznego IP. Chyba że dostawca na IP "zbiorowych" coś ogranicza.

Że blokują coś na routerze NAT?

Porty wykorzystywane do VPN mogą być blokowane, niekoniecznie na routerze, dostawca może to blokować wyżej, na serwerze ruchu na przykład i przeważnie jeżeli już się coś blokuje to właśnie w ten sposób.

Jak z tym zawalczyć?

Dodano po 39 [minuty]:

Odpowiedź dostawcy:

Cytat:

Nie nie blokujemy tak jak wspomniałem wyżej my nie blokujemy zadnego połaczenia , to serwery VPN blokuja połaczenie z pana adresacji IP obecnej , jezeli chciałby pan adres publiczny to równierz tak jak wspomniałem jest to za miesieczna opłata 10 zł

.

Rozumiem że ten serwer VPN do którego się łączysz został skonfigurowany przez Ciebie? Jeżeli ręcznie nie wprowadziłeś tam żadnych ograniczeń co do adresów akceptowanych lub odrzucanych to jakim cudem miałby serwer VPN to blokować, zrozumiałbym jakby to był problem z jakimś VPN-em w necie, OK, mogą coś ograniczać, ale usługa którą sobie sam uruchomiłeś na własnym sprzęcie i domyślnie jest otwarta na wszystko? Coś mi tu nie pasuje. Z jakiej puli adresowej wychodzisz teraz na świat?

Teraz nie mam dostępu do tej sieci.
Ale do routera na WAN wchodzi adres z puli 10.x.x.x, czyli jakiś prywatny IP.

Mój router później tworzy moją sieć domową z adresami 192.168.1.x.

Serwery do którego się łącze jest mój. Ale próbowałem też do innych serwerów np. w moim biurze.

Tak, ale na zewnątrz ten adres 10.x.x.x jest pewnie NAT-owany. A jaką masz sieć domową na tym routerze na którym masz ten serwer VPN?
I jeszcze jedno, łączysz się do tego VPN z pod Windowsa czy jakiś inny system?

Vytautas_YT napisał:

Tak, ale na zewnątrz ten adres 10.x.x.x jest pewnie NAT-owany. A jaką masz sieć domową na tym routerze na którym masz ten serwer VPN?
I jeszcze jedno, łączysz się do tego VPN z pod Windowsa czy jakiś inny system?

1) Na pewno przechodzi przez NAT. Wchodziłem na strony speedtest i tam wyświetlał się adres z puli 88.x.x.x, dokładnie nie pamiętam w tej chwili. Ale wyglądało to na adres zewnętrzny.

2) Sieć domowa 192.168.1.x.

3) Przez narzędzie wbudowane do Windowsa.

4) Mam też na komputerze ustanowione połączenie VPN do jednej z sieci poprzez oprogramowanie GLOBAL PROTECT. I do tego VPN-a mogę się podłączyć...

plcsystem napisał:

Wchodziłem na strony speedtest i tam wyświetlał się adres z puli 88.x.x.x, dokładnie nie pamiętam w tej chwili. Ale wyglądało to na adres zewnętrzny.

Tak, tam wyświetla Ci się adres z jakiego wychodzisz do sieci.

plcsystem napisał:

Sieć domowa 192.168.1.x.

Czyli taka sama jak ta na Netis WF2780? Jeżeli tak to błąd. Występuje wtedy konflikt w trasach routingu i nie dostaniesz się do urządzeń z podsieci serwera VPN. Zmień adresacje za Netisem na jakąś inną, np. 192.168.2.0/24, cokolwiek, byle nie 192.168.1.0/24

plcsystem napisał:

3) Przez narzędzie wbudowane do Windowsa.

Wyświetla jakiś błąd przy próbie połączenia? W ogóle nie ustanawia połączenia PPTP czy jakoś inaczej się to objawia?

Źle zrozumiałem. Na serwerze VPN ma pule 192.168.10.x. A na Netisie 192.168.1.x.
Zaczyna się łączyć, wyświetla się: "łączenie", później zaczyna się kręcić kołowrotek i tak w nieskończoność.

Vytautas_YT napisał:

plcsystem napisał:

Wchodziłem na strony speedtest i tam wyświetlał się adres z puli 88.x.x.x, dokładnie nie pamiętam w tej chwili. Ale wyglądało to na adres zewnętrzny.

Tak, tam wyświetla Ci się adres z jakiego wychodzisz do sieci.

plcsystem napisał:

Sieć domowa 192.168.1.x.

Czyli taka sama jak ta na Netis WF2780? Jeżeli tak to błąd. Występuje wtedy konflikt w trasach routingu i nie dostaniesz się do urządzeń z podsieci serwera VPN. Zmień adresacje za Netisem na jakąś inną, np. 192.168.2.0/24, cokolwiek, byle nie 192.168.1.0/24

plcsystem napisał:

3) Przez narzędzie wbudowane do Windowsa.

Wyświetla jakiś błąd przy próbie połączenia? W ogóle nie ustanawia połączenia PPTP czy jakoś inaczej się to objawia?

Jeżeli są inne to OK. A dostawca jest w stanie udostępnić Ci publiczny adres na test czy to faktycznie zadziała?

Za dodatkową opłatą przydziela taki adres.
Ja chciałbym jednak zrozumieć, w którym miejscu zablokowane jest podłączenie do VPN.

Ja codziennie korzystam z VPN, fakt że na L2TP, ale wcześniej również PPTP i nie spotkałem się żeby serwer VPN, tym bardziej konfigurowany przeze mnie odrzucał połączenia z jakichkolwiek adresów, no chyba że sam sobie to ograniczyłem.
A jesteś w stanie zapingować z tej podsieci za Netisem adres IP na którym jest serwer VPN?

Adres publiczny serwera VPN mogę spingować.

Adres publiczny z którego wychodzę z mojego netisa: 185.93.94.x
Nie mogę go spingować...

Adres bramy: 10.110.0.1
Również nie pinguje

Dostawca może blokować ruch wychodzący/przychodzący do/z serwera VPN jeżeli np. działa on na domyślnych portach dla danego protokołu.
Przykładowo PPTP korzysta m.in z portu 1723.

Jeżeli konfigurujesz własną usługe spróbuj zmienić port na którym działa na jakiś inny np 443.

Zależnie od dostawcy VPN z jakiego usług korzystasz również może istnieć taka możliwość.

A jak i gdzie zmienić ten domyślny port?

plcsystem napisał:

Adres publiczny serwera VPN mogę spingować.

Adres publiczny z którego wychodzę z mojego netisa: 185.93.94.x
Nie mogę go spingować...

Adres bramy: 10.110.0.1
Również nie pinguje

To jeszcze podstawowe pytanie. Skąd próbujesz pingować?

plcsystem napisał:

A jak i gdzie zmienić ten domyślny port?

O ile dobrze pamiętam to nie da się zmienić portu dla PPTP. Jeżeli się mylę to niech kolega @Epic mnie poprawi.

Vytautas_YT napisał:

O ile dobrze pamiętam to nie da się zmienić portu dla PPTP. Jeżeli się mylę to niech kolega @Epic mnie poprawi.

Wszystko zależy od konkretnej implementacji serwera. Najprościej port da się zmienić robiąc forward portów na firewallu. Np. w Netfilter za pomocą reguł iptables.

Jeżeli autor korzysta z zewnętrznego dostawcy VPN to taka zmiana najpewniej nie jest możliwa. Szczególnie za pomocą protokołu PPTP. W OpenVPN jest to zdecydowanie łatwiejsze, ale też raczej na własnym serwerze.

Autor wspominał, że dodatkowo dla testów połączył się z własnym serwerem na routerze Cisco.

Bez konkretów nie da się nic więcej napisać.
Co warto spróbować uzyskać za pomocą testów na innych portach to pewność, że dostawca blokuje usługi VPN i perfidnie naciąga na publiczny adres IP. Wtedy można inaczej z takim dostawcą rozmawiać.

Epic napisał:

Vytautas_YT napisał:

O ile dobrze pamiętam to nie da się zmienić portu dla PPTP. Jeżeli się mylę to niech kolega @Epic mnie poprawi.

Wszystko zależy od konkretnej implementacji serwera. Najprościej port da się zmienić robiąc forward portów na firewallu. Np. w Netfilter za pomocą reguł iptables.

Jeżeli autor korzysta z zewnętrznego dostawcy VPN to taka zmiana najpewniej nie jest możliwa. Szczególnie za pomocą protokołu PPTP. W OpenVPN jest to zdecydowanie łatwiejsze, ale też raczej na własnym serwerze.

Autor wspominał, że dodatkowo dla testów połączył się z własnym serwerem na routerze Cisco.

Bez konkretów nie da się nic więcej napisać.
Co warto spróbować uzyskać za pomocą testów na innych portach to pewność, że dostawca blokuje usługi VPN i perfidnie naciąga na publiczny adres IP. Wtedy można inaczej z takim dostawcą rozmawiać.

Serwer PPTP mam postawiony na routerze RUT900, mniej znanej firmy Teltonika. W routerze mam kartę SIM ze stałym IP (Plus).
Chciałbym spróbować z tym przekierowaniem portów, bo przyznam, że mój dostawca internetu mnie zirytorwał, szczególnie przy rozmowach na infolinii gdzie nie potrafili wyjaśnić w żaden sposób dlaczego nie mogę się podłączać do VPN-ów.
Wracając do przekierowania portów, to widzę że jak na taki w miarę prosty router, to ma on sporo opcji do konfiguracji. W Menu dla firewalla mam takie zakładki. Moglibyście mnie naprowadzić co dalej?

Po mojemu przekierowanie nic tu nie da bo Ty masz serwer PPTP postawiony na tym właśnie routerze a przekierowanie (jak sama nazwa wskazuje) przekierowuje dany port z sieci WAN do danego adresu w sieci LAN na ten sam lub inny port. Miało by to sens jeżeli ten serwer PPTP byłby "postawiony" na czymś za routerem. W obecnej sytuacji musisz sprawdzić czy w samej konfiguracji PPTP na tym routerze jest opcja zmiany portu.
A z drugiej strony, klient PPTP wbudowany w Windows nie "umie" łączyć się na innym niż standardowy port.

Edit:
Sprawdź z tej sieci za Netisem czy jesteś w stanie otworzyć tę stronę: http://postquiz.net:1723/

Vytautas_YT napisał:

Po mojemu przekierowanie nic tu nie da bo Ty masz serwer PPTP postawiony na tym właśnie routerze a przekierowanie (jak sama nazwa wskazuje) przekierowuje dany port z sieci WAN do danego adresu w sieci LAN na ten sam lub inny port. Miało by to sens jeżeli ten serwer PPTP byłby "postawiony" na czymś za routerem. W obecnej sytuacji musisz sprawdzić czy w samej konfiguracji PPTP na tym routerze jest opcja zmiany portu.
A z drugiej strony, klient PPTP wbudowany w Windows nie "umie" łączyć się na innym niż standardowy port.

Edit:
Sprawdź z tej sieci za Netisem czy jesteś w stanie otworzyć tę stronę: http://postquiz.net:1723/

W konfiguracji PPTP nie ma nic o zmianie portu.


Ze stroną postquiz nie mogę się połączyć: "Witryna jest nieosiągalna"

I czy nie chodizło ci o PORTquiz ?

Jeśli tak to:
This server listens on all TCP ports, allowing you to test any outbound TCP port.
You have reached this page on port 1723.
Your network allows you to use this port. (Assuming that your network is not doing advanced traffic filtering.)
Network service: unknown
Your outgoing IP: 185.93.x.x

plcsystem napisał:

I czy nie chodizło ci o PORTquiz ?

Dokładnie o to mi chodziło, literówka się wkradła
Wygląda na to że port domyślny odpowiedzialny za PPTP nie jest blokowany. Jestem ciekawy czy na tym ich publicznym adresie od Nich by to działało i z jakiej puli adresowej są te adresy. Bo mnie się szczerze mówiąc skończyły pomysły czemu to się może nie chcieć łączyć.

A jeszcze wracając do tych testów ping o które Cię wcześniej prosiłem to skąd Ty te testy wykonywałeś? Z tej sieci za Netisem?

Tak z sieci lokalnej, którą tworzy Netis.

Czyli będąc za Netisem możesz zapingować tego swojego RUT900, tak? A czy jesteś wtedy w stanie dostać się do jego konfiguracji po jego adresie publicznym? Czy może masz tę możliwość w ogóle wyłączoną?

Tak z sieci domowej (Netis) mogę spingować publiczny stały adres IP karty SIM, która jest włożona do RUT900.
Nie próbowałem się wbijać do RUT900 przez ten adres stały.
Jeśli miałem taką potrzebę to najpierw wbijałem się do VPN i potem do RUT900 przez jego adres sieci lokalnej którą tworzy.

Mam jeszcze taki pomysł na sprawdzenia ruchu na porcie 1723 między tymi dwoma sieciami. Musisz włączyć możliwość zarządzania zdalnego na RUT900 i (o ile się da) zmienić port logowania zdalnego na 1723 ze standardowego 80, 8080 lub tym podobnego. Wtedy do RUT900 powinieneś się dostać z każdej zewnętrznej sieci poprzez http://x.x.x.x:1723
Gdzie x.x.x.x to oczywiście adres publiczny RUT900.

Widzę, że temat sprzed kilku miesięcy - natomiast ja mam tak samo.
Przerabiałem to wcześniej - dlatego, że dawniej połączenie PPTP z domu do firmy mi działało.
Jakoś na poczatku roku przestało -myślałem, że jest to wina poprawek do windowsa.
Potem walczyłem z pptp na kilku kompach w domu, myślałem, ze to mój brak wiedzy.
Dopiero po kontakcie z JMDI okazało się, że to oni po swojej stronie zmienili konfigurację.
Przecież to kłamstwo, że oni nic nie blokują. "To serwery VPN blokują Pański adres IP".
Przecież sam stawiałem ten VPN i wiem co blokują moje urządzenia...
Jaki gościu był zdziwiony jak okazało się, że inne typy VPN działają prawidłowo.
Całe szczęście, bo uważam, że to nie w porządku, że operator stosuje takie zagrania by wymusić na mnie opłatę 10zł za stały IP.
Nie znam się na sieciach, ale może to kwestia jeszcze protokołu GRE który wykorzystuje port 47? - Czy da się tu zrobić jakieś przekierowanie?

Cześć, chciałbym się zapytać bardziej doświadczonych użytkowników, czy po lekturze tego wątku moglibyście doradzić mi w jaki sposób skonfigurować VPN w firmie, aby ominąć blokadę zafundowaną przez JMDI? Mam bardzo podstawową wiedzę i prosiłbym o możliwie łopatologiczne wyjaśnienia.[/i]

Użyj innego protokołu VPN? Masz jeszcze OpenVPN, WireGuard i pewnie kilka innych