Aero2 a VPN

[jakubd]

Dyskusja o VPN wydzielona z wątku o "Do czego nie nadaje się Aero2"
(Stawianie serwera) to nie jest typowe zastosowanie łącz komórkowych (żaden inny operator ot tak też nie pozwala na to). Poza tym problem da się obejść za pomocą... VPN.

[grzech1991]

Z tego co wiem, to iplus oferuje zewnętrzne IP.

[spamcop]

(15-06-2012 22:16)grzech1991 napisał(a):  Z tego co wiem, to iplus oferuje zewnętrzne IP.

Stale publiczne IP nie jest warunkiem zestawienia VPN.

[jakubd]

Stałe zewnętrzne IP jest warunkiem zestawienia VPN, jeżeli serwer VPN znajduje się w sieci komórkowej Wszystko zależy od kierunku patrzenia.

[spamcop]

(16-06-2012 12:19)jakubd napisał(a):  Stałe zewnętrzne IP jest warunkiem zestawienia VPN, jeżeli serwer VPN znajduje się w sieci komórkowej Wszystko zależy od kierunku patrzenia.

Hmmmm, dlaczego tak uważasz?

[jakubd]

Z dokładnością do słowa "stały" (może być zmienny, ale musi być znany) - jak chciałbyś się połączyć z komputerem (będącym twoim serwerem VPN), jeżeli jego adres to np. 192.168.5.55, znajduje się za NATem (albo dwoma, jak to nie raz bywa w sieciach komórkowych)?
Bez wykupienia zewnętrznego/routowalnego (czasem da się też stałego) adresu IP nie postawisz na takim łączu serwera VPN - z resztą i tak kto by to robił - raczej serwery VPN stoją gdzieś w sieci wpięte normalnym, sztywnym łączem.

[spamcop]

(17-06-2012 18:12)jakubd napisał(a):  Z dokładnością do słowa "stały" (może być zmienny, ale musi być znany) - jak chciałbyś się połączyć z komputerem (będącym twoim serwerem VPN), jeżeli jego adres to np. 192.168.5.55, znajduje się za NATem (albo dwoma, jak to nie raz bywa w sieciach komórkowych)?
Bez wykupienia zewnętrznego/routowalnego (czasem da się też stałego) adresu IP nie postawisz na takim łączu serwera VPN - z resztą i tak kto by to robił - raczej serwery VPN stoją gdzieś w sieci wpięte normalnym, sztywnym łączem.

Dokladnie to jest tak, ze moze byc zmienny, ale musi byc PUBLICZNY. Wiec odpadaja klasy prywatne. 10.0.0.0/8, 192.168/16, 172.16.0.0/12

Mam skonfigurowane z powodzeniem kilka tuneli OpenVPN do "serwerow" na laczach komorkowych i naprawde nie mam problemu z dzialaniem. Jako ze podawane sa przez DHCP uzywa sie DDNS.

"Serwery" chodza na sieci GPRS plusa, wiec jest są widoczne pod zmiennym adresem, ale publicznym.

Aero z DHCP podaje adresy prywatne?

[jakubd]

Przy Aero2 widać, że "publiczność" (routowalność) adresu IP nie wystarcza - ruch nie może być dodatkowo nijak filtrowany.

[spamcop]

(17-06-2012 21:15)jakubd napisał(a):  Przy Aero2 widać, że "publiczność" (routowalność) adresu IP nie wystarcza - ruch nie może być dodatkowo nijak filtrowany.

Czyli aero daje publiczne ip. Blokowanie portów ma sens w sieciach anonimowych, tu siec nie jest anonimowa. Blokują porty? Może warto zrobić listę takich portów, jeśli faktycznie są blokowane?

Co do stawiania OpenVPN za NATem to wystarczy dokonac forwardu portu 1194 UDP na IP w LANie.

A testowałeś, albo ktoś na forum, temat praktycznie? Na j akiej podstawie ktos napisał, że się nie da?

Jak tylko dostane sima, mysle, że w ciągu 2 tyg, to sprobuje tego VPN-a zmontowac na AERO2 W zobaczymy czy przejdzie. Sprawdze tez jak jest z tymi portami.

[szamot]

Ja probowalem na tym:

http://www.cyfrowypolsat.pl/oferta/sklep...U_IDK6u_02

Polaczenia przychodzace sa filtrowane i qpa

[spamcop]

(18-06-2012 09:20)szamot napisał(a):  Ja probowalem na tym:

http://www.cyfrowypolsat.pl/oferta/sklep...U_IDK6u_02

Polaczenia przychodzace sa filtrowane i qpa

Ustawiles forwarding UDP 1194 na IP w LANIE na ktorym byl poprawnie skonfigurowany serwer VPN?

Sprawdziles to samo z ustawieniem DMZ na to IP?

Probowałeś przeskanować porty routera z podlaczonym AERO2 i ustawionym DMZ na konkretne IP, na ktorym pracuje maszyna z otwartymi wszystkimi portami?

Na upartego mozna by słuchać na porcie ktorego zablokować nie mogą :] jesli rzeczywiscie 1194 jest zblokowane.

[szamot]

VPN byl ustawiony bezposrednio na modemie z cyfrowym polsatem wiec nie bardzo rozumiem co tu niby mialem przekierowywac albo wystawiac w DMZ :/ Router z tej oferty pominalem modem bezposrednio podlaczylem do kompa z zainstalowanym OpenVPN.

Dodam tez ze ssh rowniez sie nie laczy

Faktem jest ze nie probowalem skanowanowac. Jak znajde chwile to zapuszcze nmapa.

[tnijcie niepotrzebne cytaty!]

[spamcop]

(18-06-2012 10:37)spamcop napisał(a):  VPN byl ustawiony bezposrednio na modemie z cyfrowym polsatem wiec nie bardzo rozumiem co tu niby mialem przekierowywac albo wystawiac w DMZ :/ Router z tej oferty pominalem modem bezposrednio podlaczylem do kompa z zainstalowanym OpenVPN.

Dodam tez ze ssh rowniez sie nie laczy

Faktem jest ze nie probowalem skanowanowac. Jak znajde chwile to zapuszcze nmapa.

Jesli tak bylo to oczywiscie nie trzeba przekierowywac, tyle ze napisales ogolnie o zestawie, a ja wróżką nie jestem Wczesniej byl watek o ustawianiu serwera za natem, wiec sie odnosilem to tego wlasnie watku.

Czyli uklad doskonaly do zbadania tematu. Trzeba w takim ukladzie przeskanowac porty od zewnatrz i jak port jest otwarty tzn ze cos skaszanione w konfiguracji serwera. Port moze tez byc blokowany przez lokalny FW. Bo to wcale nie musi oznaczac ze cos jest blokowane w warstwie sieciowej ISP, a np ze zle sie dogaduje klient z serwerem.

Chce obalic lub potwierdzic tezę, że sie nie da ustawic VPN na aero2.

Bez skanu to trudno ocenic

Cały czas czekam na sima, ale jak dostane to sie pobawie.

[jakubd]

Skanowanie już robiłem (dawno temu, powtórzyć można) - żaden pakiet TCP z flagą SYN nie przejdzie od strony Internetu.

[Filippo]

Opierając się na swojej konfiguracji mogę powiedzieć że problemu z VPN na Aero2 nie ma. Opisywałem już to wcześniej ale bez detali.
Po stronie modemu Aero ustawiłem Drayteka Fly210. Opcja z DynDns się nie sprawdzi ponieważ wszelka próba nawiązania łączności w kierunku modemu zostanie skutecznie zablokowana. Dlatego też należy na routerze działającym z karta Aero ustawić opcję Dial Out. Taką nomenklaturę przyjął Draytek. Polega to na tym że to router zalogowany do Aero jest inicjatorem połączenia VPN. "Wdzwania się" do serwera na którym ustawiamy opcję Dial In i wszystko działa pięknie (tunel może byc zestawiony za pomocą PPTP, IPsec lub L2TP with IPsec Policy). Od blisko trzech miesięcy nie zawiodłem się na tej konfiguracji. Serwer VPN (przyjmujący połączenie) może mieć dyndns byle nie był postawiony na GSM. Uważam że przy VPN przynajmniej jedno ogniwo powinno być stałe
Gdy tylko Aero zerwie połączenie po godzinie, router odświeżając status VPN zestawia tunel na nowo. Jestem pewien że na każdym sprzęcie można wskazać która strona ma inicjować połaczenie. Dlatego nie powinno być problemu.
Poniżej screen z zestawionym połączeniem i pingami.
Pinga puściłem z pracy, czyli drogę miał podwójną. Tunel praca - dom i dopiero dalej dom - aero Router w domu robi w tym przypadku za serwerek tego połączenia.

   

[jakubd]

W ten sposób nawiązane połączenie VPN oczywiście będzie działać bez problemu, tylko router (lub inne urządzenie w sieci) musi zadbać o jego podtrzymywanie. I tyle!
Dzięki za opis!

[xristof]

Witam,

Chciałbym również poruszyć temat VPN oraz Aero2, z tym że od trochę innej strony.
Chodzi mi nie tyle o uruchomienie serwera VPN przy użyciu połączenia z Aero2 a łączenie się do serwera VPN za jego pomocą.
Sytuacja wygląda następująco:
Standardowe połączenie (OpenVPN) nie stanowi problemu - dostaje się do swojej sieci prywatnej i wszystko działa jak należy. Problem pojawia się w momencie kiedy chcę route'ować cały ruch idący do/z Internetu po przez zestawiony tunel VPN (opcja: Direct clients to redirect Internet traffic). W takim przypadku tracę dostęp do Internetu - działa mi tylko sieć VPN. Oczywiście w momencie kiedy przestaję kierować ruch internetowy przez VPN a idzie obok niego problemu nie ma (Internet działa). Wyprzedzę pytania i odpowiem, że tak sprawdzałem z innymi połączeniami (PLAY, PLUS, DSL, Neostrada, jakieś kablówki) i problem występuje jedynie kiedy łącze się za pośrednictwem sieci Areo2. Nie do końca wyobrażam sobie na jakiej zasadzie mieli by blokować ruch do Internetu idący już w samym VPN'ie skoro tunel działa prawidłowo i teoretycznie nie widzą tego co leci wewnątrz niego.
Jeśli była by możliwość żeby ktoś sprawdził u siebie czy taka opcja mu działa był bym wdzięczny. Co prawda sprawdziłem wszystko kilka razy i nie znalazłem błędu (tym bardziej, że z innymi ISP nie ma problemu) aczkolwiek zawsze mogło mi coś umknąć.

Pozdrawiam.

[jakubd]

Aero2 nie ma możliwości zajrzenia do tunelu, bo przecież jest on szyfrowany. Obstawiam, że to jakiś mały i nieoczywisty problem w konfiguracji (typu używanie DNSów Aero2 poprzez tunel, co się nie uda, bo DNSy Aero2 przyjmują tylko ruch z sieci Aero2, a ty po przejściu przez tunel wyglądasz, jakbyś przyszedł spoza sieci Aero2, natomiast wiele innych DNSów przyjmuje ruch z każdej sieci).

[sanchin]

Witam.
Ja również mam pytanie nt. VPNa w stronę Aero2 - serwer gdzieś indziej. Czytając ten wątek, doszedłem do wniosku, że powinno działać, jednak mój VPN postawiony niedawno (nie OpenVPN, normalny prywatny tunel na dd-wrt) się nie łączy. Może ma to związek z nowymi kartami / zasadami od 1 października? Sam tunel skonfigurowany jest poprawnie - z innej sieci łączę się normalnie, czy np. z telefonu z SIMem Orange. Aero jednak nie chce w ogóle podłączyć się do VPNa - testowane na modemie Huawei E3131, komputer z Win7 i Android 4.0.4.

Czy u kogoś to działa obecnie i ja mam jednak coś spieprzone, czy jednak leży?

[jakubd]

Trzeba by zrobić diagnostykę, czy jakikolwiek ruch dochodzi do dd-wrt, czy po prostu gdzieś filtrowany jest ruch - obejrzyj w logach po obu stronach, na czym staje nawiązywanie połączenia.