Beantwoord

VPN verkeer tussen T-Mobile thuis en T-Mobile SIM niet mogelijk

  • 16 augustus 2019
  • 9 reacties
  • 533 Bekeken

Ik heb een probleem om vanaf en T-mobile SIM (4G) een verbinding op te zetten naar T-mobile Thuis. Zodra ik met mijn telefoon op een WiFi netwerk van iemand anders ga zitten, kan ik direct een VPN maken op basis van SSTP (tcp/443) of L2TP (udp/..) maar zodra ik weer via T-Mobile 4G ga communiceren, stop het.

Ik heb deze gelezen:
https://community.t-mobile.nl/t-mobile-thuis-internet-492/blokkade-tussen-t-mobile-thuis-ip-adressen-307075
https://community.t-mobile.nl/t-mobile-thuis-internet-492/blokkade-tussen-t-mobile-thuis-ip-adressen-307075
https://community.t-mobile.nl/t-mobile-thuis-internet-492/t-mobile-thuis-aansluiting-niet-bereikbaar-via-4g-313594

Maar dat lost het voor mij niet op. Rare is dat het vroeger wel werkte, had een camera remote via 4G en L2TP naar T-mobile thuis en dat werkte prima. Is nu een jaar uitgestaan en ik wil deze in gebruik nemen, maar alleen werkt het nu niet meer. Ook hier een T-Mobile SIM (dataverdeler) in de camera.

Lang dacht ik dat het probleem in mijn router configuratie zat, maar dat blijkt niet waar te zijn, aangezien het via het gasten WiFi op mijn werk wel lukt om vanaf mijn Telefoon een SSTP verbinding te maken en dat lukt in een keer. Daarna ook bij anderen het via hun WiFi geprobeerd, prima werkt.

Als APN heb ik normaal internet, maar de smart....etc heb ik ook geprobeerd, geen verschil.


Welke info is er nog meer nodig om dit te onderzoeken?

Gr. Marco
icon

Beste antwoord door CM2 23 september 2019, 10:06

Ik heb het gevonden.

L2TP met IPSec udp/1701, udp/500, udp/4500


Probleem ligt in de T-Mobile router, deze doet niet wat ik wil 😊
Ik mag namelijk geen port forwarding instellen voor udp/1701 in de T-mobile router, dat is verboden in de firmware (zegt de webinterface van de t-mobile router).

De enige manier om het wel te laten werken is door DMZ in te stellen naar het IP achter de router waar de L2TP op wordt afgehandeld. Helaas krijg je hiermee ook gelijk alle ip poorten open naar binnen, terwijl het zo fijn is dat de eerste router alle poorten blokkeert die je verder niet nodig hebt. Scheelt een hoop flauwekul in logs.
Bekijk origineel

9 reacties

Ik heb het gevonden.

L2TP met IPSec udp/1701, udp/500, udp/4500


Probleem ligt in de T-Mobile router, deze doet niet wat ik wil 😊
Ik mag namelijk geen port forwarding instellen voor udp/1701 in de T-mobile router, dat is verboden in de firmware (zegt de webinterface van de t-mobile router).

De enige manier om het wel te laten werken is door DMZ in te stellen naar het IP achter de router waar de L2TP op wordt afgehandeld. Helaas krijg je hiermee ook gelijk alle ip poorten open naar binnen, terwijl het zo fijn is dat de eerste router alle poorten blokkeert die je verder niet nodig hebt. Scheelt een hoop flauwekul in logs.

Ik denk dat je ook bij het resterende probleem naar het client apparaat moet kijken. Dat de APN toch niet geeffectueerd wordt zoals je denkt. Wat doet het apparaat b.v. bij een type-fout. .


Ik denk dat je de startpost nog even moet nalezen.
Reputatie 7
Badge +10
is dit niet gewoon het routing probleem met mobiel en thuis voor de 31.x iprange ?
Reputatie 7
Badge +7
Hi @CM2, als ik het dus goed begrijp lukt het je wel om verbinding te maken met je Thuis verbinding via het netwerk van een andere provider en Wifi netwerken maar niet via het T-Mobile mobiele netwerk, klopt dat? En dit geldt ook wanneer je gebruik maakt van de smartsites APN. Je hebt het ongetwijfeld al geprobeerd maar even voor de goede orde, na het switchen naar de smartsite APN heb je toen ook het toestel een keer uit en weer aangezet? Zoals ik al aangaf in het andere topic lijkt het niet helemaal hetzelfde issue als dat daar vermeld stond, je ziet namelijk wel het IP adres dus de route er naar toe lijkt goed te gaan, alleen de verbinding zelf niet. Laat het mij nog even weten of ik het zo goed samen heb gevat dan ga ik dit weer doorzetten naar onze netwerk engineers!
Reputatie 6
Badge +11

Ik denk dat je ook bij het resterende probleem naar het client apparaat moet kijken. Dat de APN toch niet geeffectueerd wordt zoals je denkt. Wat doet het apparaat b.v. bij een type-fout. .Ik denk dat je de startpost nog even moet nalezen.

Dus https://community.t-mobile.nl/t-mobile-thuis-internet-492/problemen-na-onderhoud-afgelopen-nacht-313456?postid=1510006 geldt niet voor jouw?
Of is het probleem weer terug?
Reputatie 6
Badge +11
Hallo @Brian je hebt het goed begrepen.

Ik heb hier testen herhaald vanaf mijn telefoon en die op APN smartsite gezet en gecontroleerd of ik dan inderdaad een IP adres in de 10.x.x.x reeks krijg en kan dan met SSTP wel verbinden naar huis, voor mijn telefoon en SSTP protocol (tcp/443) is het op deze manier opgelost.

Maar vanaf de andere SIM die ik nu ook op smartsite APN heb ingesteld is het niet opgelost.

Een 'mijn telefoon' waarop het middels APN smartsites.t-mobile wel werkt, maar 'vanaf ander SIM' zo te lezen niet. Het is mij niet duidelijk welke configurates het gaat. Ik lees het als 2 apparaten, of is het 1 apparaat en 2 vereschillende SIMkaarten. En welke abo(s) gaat het, dat kan ook nog uitmaken?

Kun je niet met netcat o.i.d. een explicite connectie en transfertest doen?
Verder suggereerd Brian dat het een ander probleem is dan dat onderhoudsprobleem, omdat hij zo te lezen uit de screenshot concludeerd dat er wel connectie is geweest. Maar ik zie geen succesvolle verbinding in de eerste screenshot.
Twee bijlagen, 1 waarbij het via een WiFi hotspot in een telefoon met een hollandse nieuwe SIM prima werkt en gelijk verbinding maakt en de 2de met mijn T-Mobile SIM waarbij het continue faalt.


Hallo @Brian je hebt het goed begrepen.

Ik heb hier testen herhaald vanaf mijn telefoon en die op APN smartsite gezet en gecontroleerd of ik dan inderdaad een IP adres in de 10.x.x.x reeks krijg en kan dan met SSTP wel verbinden naar huis, voor mijn telefoon en SSTP protocol (tcp/443) is het op deze manier opgelost.

Maar vanaf de andere SIM die ik nu ook op smartsite APN heb ingesteld is het niet opgelost. Ik heb een nmap scan uitgevoerd en het lijkt erop dat isakmp poort (udp/500) wel open staat, maar de poorten udp/1701 en udp/4500 staan zeker nog dicht. Protocollen esp (50) en ah (51) heb ik niet onderzocht.

Om compleet te zijn zou dit het lijstje zijn van de poorten voor verschillende VPN's die open zouden horen te staan:
PPTP tcp/1723 en 47 (gre?)
L2TP met IPSec udp/1701, udp/500, udp/4500
OpenVPN udp/1194
IPSec udp/500, udp/4500 en protocollen 50 (esp), 51 (ah)
Reputatie 6
Badge +11
Hallo @Brian je hebt het goed begrepen.

Ik heb hier testen herhaald vanaf mijn telefoon en die op APN smartsite gezet en gecontroleerd of ik dan inderdaad een IP adres in de 10.x.x.x reeks krijg en kan dan met SSTP wel verbinden naar huis, voor mijn telefoon en SSTP protocol (tcp/443) is het op deze manier opgelost.

Maar vanaf de andere SIM die ik nu ook op smartsite APN heb ingesteld is het niet opgelost. Ik heb een nmap scan uitgevoerd en het lijkt erop dat isakmp poort (udp/500) wel open staat, maar de poorten udp/1701 en udp/4500 staan zeker nog dicht. Protocollen esp (50) en ah (51) heb ik niet onderzocht.

Om compleet te zijn zou dit het lijstje zijn van de poorten voor verschillende VPN's die open zouden horen te staan:
PPTP tcp/1723 en 47 (gre?)
L2TP met IPSec udp/1701, udp/500, udp/4500
OpenVPN udp/1194
IPSec udp/500, udp/4500 en protocollen 50 (esp), 51 (ah)

IP protocol nummer 47 is inderdaad GRE. Ik zou, als je er zo diep in duikt, ook vooral de mogelijke invloed van de gebruikte router ( firmware/software variant/versie) erbij betrekken. Ik kan mij i.i.g. geen melding herinnneren dat iemand PPTP VPN met TMT werkend heeft (gehad). Dat kan er aan liggen dat het min of meer legacy is en voor gebruik afgeraden wordt.
Naast een scan op wel/niet open poort kan er veel meer aan de hand zijn m.b.t. VPNs van type PPTP, L2TP en IPSec. Vergelijk maar wat er nodig in een firewall voor inbound connecties naar active FTP. OpenVPN kan prima op andere poorten dan 1194.
Ik denk dat je ook bij het resterende probleem naar het client apparaat moet kijken. Dat de APN toch niet geeffectueerd wordt zoals je denkt. Wat doet het apparaat b.v. bij een type-fout. APN internet is ook nog eens een keer vaak een template in software ontwikkelconfiguraties, naast dat het wellicht als de standaard read-only setting is op oudere SIMkaarten van T-Mobile. Dat laatste is deels gissen.

Reageer