Beantwoord

Spontane VPN problemen tussen 2 glasvezelverbindingen

  • 27 January 2023
  • 13 reacties
  • 256 Bekeken
M
Reputatie 3

Beste heer/mevrouw,

 

Graag uw aandacht voor het volgende.

 

Sinds zondag 15-1-2023 heb ik een VPN werkend gemaakt tussen mijn verbinding (Solcon glasvezel) en mijn vader (T-mobile glasvezel), gebruikmakend van het IPSec protocol. Deze situatie heeft zonder wijzigingen in configuratie prima gewerkt, tot Woensdag 18-1-2023, ergens in de middag (ergens tussen 14:30 en 17:15).

 

Na dat de Zyxel router kort spanningsloos geweest was op de Woensdag rond 17:15, is het niet langer mogelijk om een verbinding tussen beide locaties op te bouwen. De router op de T-mobile glasvezel verbinding lijkt wel verkeer uit te sturen, maar verkeer komt niet aan op de Solcon glasvezel verbinding. Ander verkeer, zoals TCP verkeer of ICMP ping, lijkt wel normaal te werken tussen beide locaties, en browsen op het Internet lijkt ook verder te werken vanaf beide netwerken.

 

Om uit te sluiten dat er iets firewall technisch op het Solcon netwerk mis gaat heb ik met een iPhone IPSec verbindingen opgezet met de router op het Solcon netwerk vanaf KPN mobiel, Vodafone mobiel, en het gasten netwerk bij mijn werkgever (via WiFi). Dit werkt allemaal zonder problemen. Hieruit lijd ik af dat er geen communicatie of firewall problemen zijn vanaf het Internet naar het Solon netwerk. Voor de zekerheid heb ik contact gehad met de helpdesk van Solcon, hier controles laten uitvoeren en zij bevestigen dat er geen filtering actief is.

 

Om uit te sluiten dat er een probleem is met het door T-mobile geleverde Zyxel modem, heb ik de VPN client (een Cisco 1921 router) direct op de ONT geplaatst met de configuratie conform de documentatie beschikbaar op uw website. De VPN client krijgt een publiek IP adres, kan contact leggen met het Internet, maar de VPN werkt niet. Ik lijd hier uit af dat er geen configuratieproblemen zijn met de Zyxel modem.

 

Om te kijken of er verdere problemen zijn heb ik zgn traceroute uitgevoerd van de router op het Solcon netwerk naar het T-mobile netwerk, en andersom. Deze staan aan het eind van deze email.

 

Wat mij opvalt aan deze traceroute is dat ik op het T-mobile netwerk RFC1918 IP adressen tegenkom. Of dit een ontwerp keuze is of een deel van het probleem, weet ik niet. Ik geef dit anekdotisch mee.

 

Voor de volledigheid: IPSec is geconfigureerd om het ESP protocol (IP protocol nummer 50 en/of UDP poort 4500) te gebruiken, naast IKE poort UDP 500.

 

Op de VPN client (Cisco 1921) wordt elke minuut de volgende debug log gegenereerd:

001583: Jan 20 2023 14:33:04.529 CET: IPSEC(sa_request): ,

  (key eng. msg.) OUTBOUND local= 192.168.1.44:500, remote= SOLCON_IP:500,

    local_proxy= 0.0.0.0/0.0.0.0/256/0,

    remote_proxy= 0.0.0.0/0.0.0.0/256/0,

    protocol= ESP, transform= XXXXXX  (Tunnel), 

    lifedur= XXXXX and XXXXXX, 

    spi= 0x0(0), conn_id= 0, keysize= XXX, flags= 0x0

001584: Jan 20 2023 14:33:04.533 CET: IPSEC(key_engine): got a queue event with 1 KMI message(s)

001585: Jan 20 2023 14:33:34.529 CET: IPSEC:(SESSION ID = 1) (key_engine) request timer fired: count = 2,

  (identity) local= 192.168.1.44:0, remote= 87.195.37.61:0,

    local_proxy= 0.0.0.0/0.0.0.0/256/0,

    remote_proxy= 0.0.0.0/0.0.0.0/256/0

001586: Jan 20 2023 14:33:34.529 CET: IPSEC(STATES): ipsec_sa_request_timer_expiry Sending crypto_ss_connection_failed

 

Op de VPN server op het Solcon netwerk (Cisco 2901) wordt geen VPN verkeer waargenomen vanaf een T-mobile IP adres.

Graag zou ik uw assistentie willen om dit te debuggen, ik heb het vermoeden dat sommige vormen van UDP verkeer, waaronder IKE/ISAKMP niet correct door de routering komen.

 

Met vriendelijke groet,

 

Michel Stam / Jan Stam

PS: Ik hebt traceroutes welke ik kan overleggen indien gewenst. IP adressen zijn uit deze email verwijderd.

icon

Beste antwoord door Michel Stam 29 January 2023, 11:02

Bekijk origineel

13 reacties

Tommie van Odido
Rank
Reputatie 7
Badge +9

Hey @Michel Stam,  welkom op de Community! Dit gaat mijn kennis te boven. Misschien kunnen @TMTV en @louisL een deskundige blik werpen?

Life is too short to drink bad wine!
M
Reputatie 3

Hey Tommie, 

Deze tekst komt uit een email die ik naar de klantenservice heb gestuurd een dag of 5 terug. Zij hebben mij weer hier naar verwezen.

Mag ik aannemen dat @TMTV en @louisL beiden topics lezen of wil je dat ik hen een PM stuur?

Groet

Michel

Tommie van Odido
Rank
Reputatie 7
Badge +9

@Michel Stam Jazeker! @TMTV en @louisL zijn zeer fanatieke en bekwame Super Users bij ons op de Community. Zij staan ons bij en helpen ons met dit soort vragen als wij er niet uitkomen. Je zult in de loop van de dagen een reactie ontvangen, houd het topic in de gaten!

Life is too short to drink bad wine!
M
Reputatie 3

@Michel Stam Jazeker! @TMTV en @louisL zijn zeer fanatieke en bekwame Super Users bij ons op de Community. Zij staan ons bij en helpen ons met dit soort vragen als wij er niet uitkomen. Je zult in de loop van de dagen een reactie ontvangen, houd het topic in de gaten!

Alright, thanks!

M
Reputatie 3

@Tommie weet jij of er ook mensen van het NOC meelezen?

L
Rank
Reputatie 6
Badge

Zucht: dit forum vondt het weer eens nodig om mijn post te dumpen voordat hij klaar was.

Hoe dan ook: @Tommie zodra ik genoemd word ik een topic krijg ik vanzelf een mail. Missen van een topic wordt dan veel lastiger.

RFC1918 adressen zul je bij veel providers tegenkomen voor routing in het eigen netwerk. Waarom zou je daar een schaars IPv4 adres gebruiken.

KPN gebuikt ook IPv6 voor hum mobiele netwerk. Ik weet dus niet of een test vanuit dat netwerk helemaal vergelijkbaar is. Maar al je andere testen werken wel, dus dat lijkt niet gerelateerd.

Hoe dan ook: als de Zyxel uit is geweest bestaat de kans dat die een ander IP-adres heeft gekregen. Heb je in de Cisco het adres van de Zyxel als remote adres staan? (dit is aangenomen dat die Cisco aan de Solcon kant staat). Wat is de client aan de T-mobile kant en wat bij Solcon?

Hoe heb je de Zyxel geconfigureerd? Ik vermoed met een exposed host/DMZ  die alles van buitenaf binnenkrijgt? Is het adres van je VPN host niet veranderd waardoor de forwarding niet meer klopt?

Vragen, vragen, vragen… Maar alles overziende is mijn beste gok dat het RF1918 adres aan de T-mobile kant is veranderd en de DMZ niet meer naar de juiste client wijst….

 

Ik ben ook maar een klant die wel eens andere klanten probeert te helpen.
M
Reputatie 3

Hoi Louis,

 

RFC1918 is zeker niet steekhoudend. Het kan iets zijn, kan ook niets zijn. Ik vermeld het als observatie. IPv6 wordt niet gebruikt voor de VPN, tmobile ondersteunt dat niet. VPN connectie is zuiver geconfigureerd op basis van IPv4 en de Cisco aan de Solcon kant controleert op certificaat, niet op IP. Dat certificaat is geldig overigens. Beide routers zijn Cisco uit dezelfde generatie met recente software. Dit heeft enkele dagen gewerkt, en voorheen via de VDSL verbinding was dit ook nooit een probleem.

aan de tmobile kant krijgt de zyxel een 31.187 adres op z’n wan interface. Aan de lan zijde is het 192.168. IPSec nat traversal staat aan en wordt ook meestal gebruikt als ik via lte vanaf m’n telefoon contact leg naar de solcon verbinding.

De zyxel is in default configuratie, maar ik heb deze ook weggehaald en de Cisco router direct op de ONT aangesloten- zelfde resultaat, mijn conclusie is dat het probleem dan niet op de Zyxel kan zitten.

vpn host zit op een vast ip adres dat niet is gewijzigd. Telefoons leggen er nog normaal connectie mee via dezelfde methodiek en protocol. 

het vreemde is dat ik de configuratie niet heb aangeraakt. Niet op de Cisco routers en ook niet de zyxel. De vpn verbinding stotterde een beetje om 14:30 en bouwde opnieuw op en uit voorzorg de zyxel gereset om 17:15. Daarna was het niet langer mogelijk een verbinding op te bouwen.

vandaar ook mijn vraag of het noc meeleest. Ik vermoed dat er meer aan de hand is.

groet

Michel

L
Rank
Reputatie 6
Badge

Hoi Louis,

 

RFC1918 is zeker niet steekhoudend. Het kan iets zijn, kan ook niets zijn. Ik vermeld het als observatie. IPv6 wordt niet gebruikt voor de VPN, tmobile ondersteunt dat niet. VPN connectie is zuiver geconfigureerd op basis van IPv4 en de Cisco aan de Solcon kant controleert op certificaat, niet op IP. Dat certificaat is geldig overigens. Beide routers zijn Cisco uit dezelfde generatie met recente software. Dit heeft enkele dagen gewerkt, en voorheen via de VDSL verbinding was dit ook nooit een probleem.

aan de tmobile kant krijgt de zyxel een 31.187 adres op z’n wan interface. Aan de lan zijde is het 192.168. IPSec nat traversal staat aan en wordt ook meestal gebruikt als ik via lte vanaf m’n telefoon contact leg naar de solcon verbinding.

De zyxel is in default configuratie, maar ik heb deze ook weggehaald en de Cisco router direct op de ONT aangesloten- zelfde resultaat, mijn conclusie is dat het probleem dan niet op de Zyxel kan zitten.

vpn host zit op een vast ip adres dat niet is gewijzigd. Telefoons leggen er nog normaal connectie mee via dezelfde methodiek en protocol. 

het vreemde is dat ik de configuratie niet heb aangeraakt. Niet op de Cisco routers en ook niet de zyxel. De vpn verbinding stotterde een beetje om 14:30 en bouwde opnieuw op en uit voorzorg de zyxel gereset om 17:15. Daarna was het niet langer mogelijk een verbinding op te bouwen.

vandaar ook mijn vraag of het noc meeleest. Ik vermoed dat er meer aan de hand is.

groet

Michel

Toen je de Cisco direct op de ONT hebt aangesloten, heb je die wel op VLAN300 ingesteld voor de WAN?

En nogmaals: als de Cisco achter de Zyxel is aangesloten: test dan eens wat er gebeurt  als je die  als DMZ instelt.

Kun je de Solcon host wel pingen?

Ander mag inderdaad een moderator de netwerk mensen vragen: @Sven-TMT / @Jason 

Ik ben ook maar een klant die wel eens andere klanten probeert te helpen.
T
Reputatie 6
Badge +3

Als je de VPN Server op de Cisco van de TM verbinding zet en dan met je telefoon verbinding maakt werkt het dan wel? Dan kan je checken of alle berichten netjes doorkomen 

M
Reputatie 3

Hoi Louis,

 

RFC1918 is zeker niet steekhoudend. Het kan iets zijn, kan ook niets zijn. Ik vermeld het als observatie. IPv6 wordt niet gebruikt voor de VPN, tmobile ondersteunt dat niet. VPN connectie is zuiver geconfigureerd op basis van IPv4 en de Cisco aan de Solcon kant controleert op certificaat, niet op IP. Dat certificaat is geldig overigens. Beide routers zijn Cisco uit dezelfde generatie met recente software. Dit heeft enkele dagen gewerkt, en voorheen via de VDSL verbinding was dit ook nooit een probleem.

aan de tmobile kant krijgt de zyxel een 31.187 adres op z’n wan interface. Aan de lan zijde is het 192.168. IPSec nat traversal staat aan en wordt ook meestal gebruikt als ik via lte vanaf m’n telefoon contact leg naar de solcon verbinding.

De zyxel is in default configuratie, maar ik heb deze ook weggehaald en de Cisco router direct op de ONT aangesloten- zelfde resultaat, mijn conclusie is dat het probleem dan niet op de Zyxel kan zitten.

vpn host zit op een vast ip adres dat niet is gewijzigd. Telefoons leggen er nog normaal connectie mee via dezelfde methodiek en protocol. 

het vreemde is dat ik de configuratie niet heb aangeraakt. Niet op de Cisco routers en ook niet de zyxel. De vpn verbinding stotterde een beetje om 14:30 en bouwde opnieuw op en uit voorzorg de zyxel gereset om 17:15. Daarna was het niet langer mogelijk een verbinding op te bouwen.

vandaar ook mijn vraag of het noc meeleest. Ik vermoed dat er meer aan de hand is.

groet

Michel

Toen je de Cisco direct op de ONT hebt aangesloten, heb je die wel op VLAN300 ingesteld voor de WAN?

En nogmaals: als de Cisco achter de Zyxel is aangesloten: test dan eens wat er gebeurt  als je die  als DMZ instelt.

Kun je de Solcon host wel pingen?

Ander mag inderdaad een moderator de netwerk mensen vragen: @Sven-TMT@Jason 

Jazeker, de router kreeg uit het hoofd een 91. IP adres.

DMZ functie heb ik niet naar gekeken, omdat het probleem niet verdwijnt direct op de ONT. Daarom dat ik dat getest had.

Het bijzondere is dat TCP en ICMP wel lijken te werken van de tm cisco naar de Solcon cisco. Om die reden heb ik de firewall op de client al eens volledig uitgezet, zonder effect. Op de Solcon zijde niet gedaan, omdat de vpn daar met telefoons wel werkt.

 

gr

 

Michel

M
Reputatie 3

Als je de VPN Server op de Cisco van de TM verbinding zet en dan met je telefoon verbinding maakt werkt het dan wel? Dan kan je checken of alle berichten netjes doorkomen 

Dit kan ik doen, daarvoor is de voorgenoemde DMZ functie of direct op de ONT aansluiten noodzakelijk. Dat verklaart voor mij nog niet waarom het 2 dagen probleemloos gewerkt heeft en hierna zonder dat ik de routers aangeraakt heb niet meer.

Ik zal er even naar kijken, moet ik even plannen omdat ik dan even naar m’n ouders moet rijden.

 

gr

Michel

M
Reputatie 3

Korte update-

Ik heb eergisteren wederom de Cisco router op de TM verbinding direct op de glasvezel verbinding aangesloten. Het bijzondere is dat na het om prikken (en het configureren van VL300 aan de WAN zijde) er foutmeldingen verschenen over het niet kunnen opbouwen van de IPSec verbinding, iets wat in het verleden niet verscheen, ondanks dat er wel een IP op de WAN zijde verscheen. Bijzonder.

Kortom, de VPN werkt weer, zolang als de router direct op de verbinding is aangesloten.

De telefoon kan overigens praten met de router. Ik heb dit niet uitgebreid onderzocht verder daar de VPN opbouwde. Maar IKEv2 babbelt. Ik ga er vanuit dat de rest van het IPSec protocol ook babbelt.

Rest dat ik hierdoor ook de DECT handset (een Gigaset S450) moet configureren voor T-mobile VoIP, dit lukt vooralsnog niet. Hier maak ik wel even een los draadje voor aan.

Ik zal de verbinding nog een paar dagen monitoren, dat deze niet ineens weer spontaan wegvalt. 

Op dit moment even door er verkeer door te sturen, dan later als de verbinding “idle” is, om te zien dat e.e.a. in stand blijft.

Groet,

Michel

M
Reputatie 3

Laatste update. Verbinding is nu al 2 weken stabiel, geen rare/onverklaarbare disconnects.

Ik ben nog 1 keer door T-mobile gebeld, de 2e lijn wilde kijken wat er aan de hand was, maar verder niets meer gehoord, gesproken met Dominic.

Het lijkt te werken, afgezien van SIP (ander draadje).

Groet,

Michel

Reageer


ForumvoorwaardenCookie instellingen