VPN niet werkend te krijgen

Hallo, Ik probeer al een paar dagen een VPN verbinding te bewerkstelligen, maar krijg hem niet werkend.

De situatie mbt mijn hardware is als volgt:
Ik maak gebruik van de modem van Horizon (Samsung) van Ziggo.
Ik beschik over een NAS van Synology DS214.
Op mijn laptop draait Windows 10 64 bit.

Ik heb het volgende gedaan op mijn NAS:

Op mijn NAS heb ik de applicatie voor VPN server geinstalleerd. Ik heb gekozen voor L2TP/IPSec. Ik heb de L2IPSEC VPN server ingeschakeld en gekozen voor de Verificatie “MS-CHAP v2”. Ook heb ik een vooraf gedeelde sleutel ingevoerd. Verder heb ik bij Configuratiescherm gekozen voor de tabbladen Beveiliging/Firewall. Bij de Firewall heb ik 4 vinkjes aangezet bij VPN server (poort 1723, 1194,1701, 500 en 4500). Vervolgens aangegeven dat de verbinding mag worden toegestaan.

Ik heb het volgende gedaan op de Horizon box:

Ik ben ingelogd op het menu van de modem en heb daar de poorten 1723, 1194,1701, 500 en 4500 geforward gekoppeld aan het interne IP-adres van mijn NAS (192.168.192.XX). Ik heb gekozen voor de forward optie "Beide".
Toen de instellingen opgeslagen en het menu weer verlaten.

Ik heb het volgende gedaan op mijn laptop:
Ik heb geklikt op “Een VPN verbinding toevoegen”. Bij VPN provider kies ik voor (de enige) optie “Windows ingebouwd”. Bij naam verbinding voer ik uiteraard gewoon een naam in en bij servernaam-adres voer ik mijn externe IP-adres in 24.XXX.XXX.XX.
Bij VPN type kies ik LT2PIPSec met vooraf gedeelde sleutel. Ik voer de vooraf gedeelde sleutel in en bij type aanmelding kies ik voor gebruikersnaam en wachtwoord.

Wanneer ik klaar ben, ga ik naar adapterinstellingen en kies eigenschappen van de VPN-adapter. Ik ga vervolgens naar Beveiliging en geef aan dat de verschillende protocollen toegestaan zijn.

Vervolgens zorg ik ervoor dat ik geen verbinding meer via WIFI heb (maak gebruik van 4G van mijn telefoon).
Wanneer ik dan bij de VPN verbinding op verbinding maken klik, moet ik een gebruikersnaam en wachtwoord opgeven. Ik maak hierbij gebruik van de inloggegevens van mijn NAS (waarvan het wachtwoord overigens gelijk is aan het wachtwoord van de “vooraf gedeelde sleutel”).
Vervolgens is hij een tijdje bezig en krijg ik de volgende melding:
The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer.

Vergeef me mijn uitgebreide uitleg, maar dat doe ik om te laten zien welke stappen ik precies heb gezet.


Heb ook NOD32 en mijn Firewall al eens tijdelijk uitgezet op mijn laptop, maar dat geeft geen beter resultaat. Weet dus niet waar het nu niet goed gaat.
Uiteraard heb ik ook gegoogled op deze melding. Ik zie dan onder andere het volgende:

a> L2TP based VPN client (or VPN server) is behind NAT. (GEEN IDEE HOE IK DIT MOET OPLOSSEN OF CONTROLEREN)

b> Wrong certificate or pre-shared key is set on the VPN server or client (PRE-SHARED KEY GECONTROLEERD, GEEN IDEE HOE IK HET CERTIFICAAT CONTROLEER)

c> Machine certificate or trusted root machine certificate is not present on the VPN server. (GEEN IDEE HOE IK DIT MOET CONTROLEREN)

d> Machine Certificate on VPN Server does not have ‘Server Authentication’ as the EKU (IDEM)

Ik heb zo geen idee waar het nu niet goed gaat. Ziet iemand wat ik over het hoofd zie? Wie kan mij hiermee helpen?

Alvast bedankt voor het meedenken!

Hoi,

Ken je het synology forum ook.
kijk eens bij de vragen op dat forum http://www.synology-forum.nl/vpn-server/
Misschien dat jou probleem erbij staat.

Je vermeldt niets over die poorten, dus ik vermoed dat je vrolijkjes TCP poorten bent gaan porforwarden en in firewalls zetten, maar:
L2TP traffic – UDP 1701
Internet Key Exchange (IKE) – UDP 500
IPSec Network Address Translation (NAT-T) – UDP 4500
En ook de 1194 poort is UDP
Alleen de 1723 is TCP.

Ik teken hierbij aan dat je waarschijnlijk teveel poorten openzet/gebruikt (bijv. die 1723 poort), nu, maar om te testen zou ik er nog niet in gaan snijden.

Zo een paar aantekeningen van valkuilen bij het opzetten van VPN's:
a. Firewall instellingen op routers en VPN-server(computers)
b. Verkeerde portforwarding
c. Router-na-Router opzet (dus, in jouw geval, dat er nog een andere (draadloze/bedrade) router staat tussen de Horizonbox en de Synology NAS). [Zal bij jou niet het geval zijn, want de NAS heeft een Horizonbox LAN ip-adres (192.168.192.x ip-adres).]
d. Een DHCP reeks van uit te reiken IP-adressen in de VPN-instellingen die overeenkomt met óf het VPN-netwerk óf het netwerk waar de VPN-gebruiker vandaan komt. Beiden mogen niet, dus kies als DHCP reeks (bijv.) dat 10.0.2.0 netwerk zoals in deze instructies, bij de L2TP/IPSec sectie.
e. Verkeerde authenticatieprotocollen aangegeven in de VPN-client. Zie dat je zelf (blijkbaar) MS-CHAP2 authenticatie hebt ingesteld, dus check uitgebreid of je die ook in je VPN-client setup hebt aangegeven/aangevinkt.

In jouw specifieke geval zou ik in de Horizonbox (ook) kijken naar de Geavanceerd opties: Zet (voorlopig) in ieder geval de volgende instellingen (noteer eerst wat er nu ingesteld staat:
Blokkeren WAN: uitgevinkt
IPSec tunnel: aangevinkt
PPTP tunnel: aangevinkt
Multicast tunnel: uitgevinkt
UPnP: aangevinkt
Je kunt (als het werkt) gaan experimenteren met het uitzetten van UPnP en PPTP, maar dat is (dus) van later zorg.

Tijs.

Hallo Thijs,

Bedankt voor je reactie.
Ik had de eerder genoemde poorten op "beide gezet" om zeker te weten dat het niet aan de TCP of UDP zou liggen. Volgens mij moet dit dan toch goed gaan? Heb het voor de zekerheid nu maar gewijzigd volgens jouw opgave.


Ik had tijdens mijn experimenten gisteren in het menu van Horizon al alle vinkjes aangezet, behalve Blokkeren WAN. Heb nu ook het vinkje uitgezet bij Multicast Channel.

Ik blijf echter dezelfde melding krijgen.
Bij de NAS heb ik overigens gekozen voor het Dynamisch IP-adres: 10.2.0.0. Het vinkje bij handmatige DNS gebruiken staat uit.

De simpele setup van L2TP/IPSEC VPN's vereist een preshared key en een VPN gebruikersnaam met wachtwoord.
Heb je er wel op gelet om het publieke ip-adres van de Horizonbox te gebruiken als de server waarmee verbonden moet worden?
Het publieke ip-adres van de Horizonbox is te vernemen door, aangesloten aan je Horizonbox thuisnetwerk (vanaf pc of smartphone) te gaan naar http://www.watismijnip.nl en daar het publieke ip-adres af te lezen. Bedenk ook dat het mogelijk is dat dat ip-adres tussendoor gewijzigd wordt door UPC/Ziggo, dus kon je eerder verbinden maar (opeens) niet meer, dan moet je zeker checken of het publieke ip-adres niet ondertussen door UPC/Ziggo gewijzigd is.

Tijs.

Ja, heb ik gedaan. Vandaar dat ik ook had aangegeven dat ik mijn EXTERNE IP-adres 24.XXX.XXX.XX had ingevuld.

Hmm... Ik heb hier (ex-Ziggo klant) een heel andere reeks, namelijk 77.248.113.XXX
Ga eens naar Whois.domaintools.com en vul daar eens dat 24.x.x.x ip-adres in, om te verifiëren of het echt een UPC/Ziggo ip-adres is...

Meer tips heb ik zo snel niet, want een forum is niet hetzelfde als dat we bij jou in de kamer staan om mogelijke oorzaken te kunnen uitsluiten etc.

Tijs.

Ja, IP adres klopt gewoon. Net nog gecheckt. Ook andere sites geven dat IP adres aan.

Ja snap ik. Weet zo ook even niet waar ik het moet zoeken. Bedankt in elk geval.

Weet iemand nog een oplossing? Gisteren is een vriend van mij langsgekomen. Had het op zijn laptop bij hem thuis wel werkend gekregen. Heeft alles nagelopen, maar ook hij krijgt het bij mij niet werkend. Snap er echt niets van. Heb de Firewall uitstaan en Nod32 ook. Heb alle stappen nagelopen (inclusief adapterinstellingen wijzigen), maar het lukt niet.

Ik heb inmiddels contact gehad met UPC/Ziggo en de oorzaak van het probleem is bekend. Om een werkende VPN verbinding te krijgen moet de modem in bridge stand staan en dat is iets wat in de Horizon modem niet gewijzigd kan worden (ook niet door UPC zelf). Dit was dan ook de reden dat, ondanks de goede instellingen, de VPN verbinding niet tot stand kwam. De oplossing bestaat uit het leveren van een tweede modem die het internet van de Horizon box gaat vervangen. Deze kan wel in bridge mode worden gezet.

Heb gisteren de modem ontvangen van UPC/Ziggo en de boel ingesteld. Vanochtend de VPN verbinding geprobeerd en ....het werkt.
Geen idee waar het nu aan heeft gelegen, maar blijkbaar ondersteund de Horizon box inderdaad geen VPN verbindingen als je daar verder geen router tussen hebt staan.
Mijn probleem is nu dus opgelost.

Rest mij niets meer dan iedereen die heeft gereageerd hartelijk te bedanken voor het meedenken!