VPN probleem

dena · 27 maa 2009, 14:01

Hallo,

In ons bedrijf zitten we met volgend probleem:

We maken in onze kantoren gebruik van een Watchguard firewall om een VPN tunnel op te zetten tussen het kantoor en de hoofdzetel.
In de kantoren maken ze gebruik van een standaard ADSL connectie van Belgacom.

Tot nu toe installeerde Belgacom steeds Thomson ADSL modems (ISDN) en hadden we geen probleem.
Maar sinds kort hebben ze die niet meer en installeren ze een Philips ADSL modem/router SNA6501.
Sinds dat moment hebben we in die kantoren problemen met de VPN connectie.

Na contact opgenomen te hebben met Watchguard support hebben we al volgende poorten geforward:
UDP 500 [IKE]
UDP 4500 [NAT-T]

De VPN connectie lukt nu, maar maakt niet automatisch opnieuw verbinding nadat Belgacom de verbinding na 36u reset.

Volgens de support medewerker van Watchguard blijkt dit nog het probleem te zijn:

You need to configure your router to forward IP protocols 47/50/51 to your LAN machine. if you can't find this setting it means that your router doesn't support IPSEC traffic passthrough.

Maar in die modem/router kan ik nergens iets vinden van IPSEC passtrough.

Iemand enig idee of dit mogelijk is met de Belgacom router?

skynetbbs · 27 maa 2009, 14:42

zet die dingen in "bridge" ... zodat je watchguard de eerste is dat je tegenkomt
dan heb je geen "portforwarding" problemen meer...

normaliter worden bedrijven via cisco materiaal aangesloten...

dena · 27 maa 2009, 15:55

Dat was hetgene dat we deden met die Thomson modems, maar voor zover ik kan zien kan je dit niet met de Philips modem/router die ze nu zetten.

Sven.VdS · 28 maa 2009, 09:04

Poort 47 is normaal genoeg en noemt ook wel eens GRE (generic routing encapsulation) in routers. Als GRE bvb niet open staat voor een Windows VPN te leggen kom je tot aan 'verifying user name and password' en daar timeout hij dan op.

9/10 VPN tickets die gelogd worden is omdat GRE standaard geblocked wordt in wireless routers.

Als GRE niet in de standaard protocol lijst staat kan je 'm normaal gezien gemakkelijk zelf toevoegen.

28 maa 2009, 10:07

Mja, het grote probleem met GRE is dat het eigenlijk een IP type is en niet zozeer iets dat op een poort leeft zoals normale TCP dingen. In de meeste huis- tuin- en keukenrouters is dit te vinden onder een vinkje "enable VPN passthrough".

Sasuke · 28 maa 2009, 10:12

Sven.VdS schreef:Poort 47 is normaal genoeg en noemt ook wel eens GRE (generic routing encapsulation) in routers. Als GRE bvb niet open staat voor een Windows VPN te leggen kom je tot aan 'verifying user name and password' en daar timeout hij dan op.

9/10 VPN tickets die gelogd worden is omdat GRE standaard geblocked wordt in wireless routers.

Als GRE niet in de standaard protocol lijst staat kan je 'm normaal gezien gemakkelijk zelf toevoegen.

Aangezien het hier over een "echte" tunnel gaat (GRE/PPTP is bucht), is het voor de TS noodzakelijk om IP Protocol 50 (ESP) door te laten. (noemt dan "IPSEC VPN PassThrough"). Watchguard firewalls maken een site 2 site vpn over IPSEC normaal gezien.

@TS: Wat je ook kan doen, is te werken met een dubbele NAT. Normaal gaat dat problemen geven, maar ESP/IPSEC kan dat wel aan als je dat juist doet. Op de Philips, activeer de DMZ optie, zet de watchguard in DMZ, en dan zou het ook moeten werken. Sommige firewalls zonder VPN Passthrough optie, doen dit dan wel op het DMZ.

Anders zul je om een andere ADSL Modem moeten gaan (nu eerlijk gezegd, die 50€ voor een nieuwe adsl modem, kost volgens mij minder dan de tijd die jij er al in hebt gestoken hé ) )

Grtz,
Sasuke

Tomsworld · 29 maa 2009, 14:04

Ik ben niet 100 % zeker ik zou het opnieuw moeten testen maar met die philipsen kan je ook geen gebruiker en wachtwoord invullen. En daarna je pppoe connectie opbouwen met een device achter die modem.

dena · 30 maa 2009, 12:04

Alvast bedankt voor de reacties.

Wat ik wel niet goed snap is dat de VPN connectie lukt.
Maar enkel nadat Belgacom een reset van de verbinding doet (na 36u) en dus ook een ander ip-adres toekent, maakt de Watchguard niet opnieuw een verbinding.
In de hoofdzetel zie ik dan in de Fiebox System Manager nog steeds het oude ip-adres dat Belgacom had toegekend.
Wanneer we dan manueel de Firebox in het kantoor herstarten maakt die weer zonder problemen verbinding.

Sasuke · 30 maa 2009, 15:15

dena schreef:Alvast bedankt voor de reacties.

Wat ik wel niet goed snap is dat de VPN connectie lukt.
Maar enkel nadat Belgacom een reset van de verbinding doet (na 36u) en dus ook een ander ip-adres toekent, maakt de Watchguard niet opnieuw een verbinding.
In de hoofdzetel zie ik dan in de Fiebox System Manager nog steeds het oude ip-adres dat Belgacom had toegekend.
Wanneer we dan manueel de Firebox in het kantoor herstarten maakt die weer zonder problemen verbinding.

Dat is een bepaald protocol dat er niet doorgaat, waarschijnlijk IKE (500) denk ik. Op zich al wel bizar dat de VPN verbinding zelf wél werkt. Ik raad je trouwens toch nog altijd aan om zelf een modem te plaatsen (bvb Linksys AMG200 ofzo.)

Mvg,
Sasuke