Problemas Técnicos VPN - L2TP over IPSEC

B

bomb

I quit My Job for Folding
Boas pessoal,
Espero que me possa ajudar, estou a tentar implementar uma vpn num router draytek a passar primeiro por um router cisco mas infelizmente nao estou a conseguir.
Coloco aqui a duvida completa que coloquei no forum da Cisco mas que infelizmente nao obtive resposta. Peco desculpa por estar em ingles

I've been hitting with my head trying to put a VPN L2TP with IPsec Policy to work but I haven't been able to.

Basically I have a Draytek router (LAN IP 10.14.99.99) connected to a Cisco Router via the Wan 1 port (WAN IP 10.14.100.97) and the Cisco router having the IP 10.14.100.101. I have the Draytek working as a VPN Server and trough PPTP everything works fine.

Then I was requested to change the connection protocol from PPTP to L2TP over IPSEC. I configured the Draytek and when I tried to connect it wouldn't work. Then remembered that this protocol uses different ports. So I connected to the Cisco Router and executed some changes according to some topics I found in internet for the router to passtrough the VPN traffic but until the moment I haven't been able to put this VPN connection to work and honestly I don't know what to do anymore.

This is the configuration I have in the NAT and in the access lists:

ip nat inside source list nat-list interface Dialer1 overload
ip nat inside source static tcp 10.14.100.97 1723 interface Dialer1 1723
ip nat inside source static esp 10.14.99.99 interface Dialer1
ip nat inside source static tcp 10.14.20.5 8443 interface Dialer1 443
ip nat inside source static tcp 10.14.20.7 22 interface Dialer1 22
ip nat inside source static udp 10.14.100.97 500 interface Dialer1 500
ip nat inside source static udp 10.14.100.97 4500 interface Dialer1 4500
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 10.14.0.0 255.255.0.0 GigabitEthernet0/0
!
ip access-list extended nat-list
permit ip object-group local_lan_subnets any
deny ip any any
permit esp any host 10.14.100.97
permit esp any host 10.14.99.99
permit udp any host 10.14.100.97 eq isakmp non500-isakmp
Clicar para expandir...

Tenho o protocol 50 a ser reencaminhado para o router, e tenho as portas 500, 4500 e 1723 abertas no router da Cisco a serem reenchaminhas para a Wan do router Draytek
A VPN em PPTP funciona correctamente mas em L2TP over IPSEC nao há forma de funcionar

Alguem tem ideias do que eu possa estar a fazer mal??

Obrigado desde já
 
Como existem informacoes ambiguas na internet abri essa porta tanto em TCP como em UDP a apontar para o interface WAN do Draytek. O protocol 50 (ESP) esta aberto para o IP local do Draytek, 10.14.99.99.
Em PPTP ele usa este protocolo e usa a porta 1723. E por aqui funciona, ja experimentei retirar a porta 1723 e deixo de ter acesso... nao consigo entender o porque de por L2TP nao conseguir ter acesso... no cisco tenho abertas as portas, 1701, 500, 4500 e 1723. E todas estas portas estao a apontar o interface wan do draytek
 
Não consegues fazer DMZ para o draytek? Se funcionar, despistavas se seria problema de portas.

Mas estou em crer que poderá ser problema de estarem dentro de uma NAT.

O draytek vai ser server, ou será cliente? É que ao contrário (Draytek dentro de NAT a ligar a outro directamente na internet) funciona. Já tive um assim dentro de uma NAT com um router 4G.

Vê se te ajuda: https://forum.mikrotik.com/viewtopic.php?t=129801
 
Para fazer DMZ usando a cli do router terei que fazer "n" configuracoes e terei que configurar uma access list e policies pelo que andei a ver. Queria tentar evitar isso... mas em ultimo caso terei que o fazer
O draytek sera o server, e todos os clientes externos usaram o Draytek Smart VPN client para liagacao ao Draytek. A questao é, tenho a porta 1723 que e usada para pptp aberta e a vpn funciona neste modo. Abri as restantes portas da mesma forma que a 1723, condigurei a nat e apontei quando a porta 500 for pedida para apontar parano endereco wan do router, mas nao funciona... pelo que li pptp e l2tp over ipsec partilham o mesmo protocol 50 (esp) e este ja esta aberto na nat.
Vou dar uma vista de olhos no topico
Obrigado
 
Vi agora o topico e eles dizem para fazer forward das portas e que devia funcionar. A ultima reply e duma pessoa que esta a ter o mesmo problema que eu, em pptp funciona mas nao em l2tp... mas infelizmente nao houve resposta a esse post
Honestamente nao sei que fazer mais
 
jpl69 disse:
https://support.microsoft.com/pt-pt...ipsec-server-behind-a-nat-t-device-in-windows

Continua a ser válido para windows 10

criar a chave AssumeUDPEncapsulationContextOnSendRule = 2 nos clientes e reiniciar
Clicar para expandir...

Obrigado pelas respostas
Executei isto mas continua a nao dar...
Dessctivei o pptp e o mesmo se passa... o client fica preso na fase dial e nao sai dali
Verifiquei atraves do Cisco usando o comando "show ip nat translations" e consigo ver o cliente a ligar-se as portas 500 e 4500 e o router a executar a nat correctamente e a redireccionar para o ip wan do Draytek, mas nao passa dai...
Se fizer um port scan a porta 1723, porta usada pelo pptp diz que esta aberta, fiz o teste de remove da nat esta porta e automaticamente passa a fechada. Executei os mesmo comandos para abrir as outras portas mas fazendo um teste das portas a partir de fora diz que ambas estao fechadas... nao consigo entender
 
Não tive oportunidade de analisar em mais detalhe o teu problema.

Qual é a finalidade da VPN? Túnel Site to Site ou, VPN Users to Site?

Cumps
 
Boas,
Basicamente é VPN users to site.
O site está configurado da seguinte forma, um router Draytek conectado à LAN e as duas portas WAN deste router estão conectadas a dois routers cisco. Estes routers Cisco por sua vez estão conectados à Internet. Existem duas linhas porque o draytek està a fazer load balancing do tráfego, mas a VPN está a passar pelo Router da Cisco que se encontra conectado à WAN 1 do Draytek

Obrigado
 
Bem isto vai ser estranho, mas hoje tentei novamente ligar-me a VPN e sem qualquer alteracao que seja ou modificacao comecou outras a funcionar... nao consigo entender o porque
Obrigado a todos pela ajuda
 
Sendo que a finalidade do acesso VPN é para os users acederem à rede interna, configura SSL VPN no DrayTek. Têm cliente VPN para o efeito.

Cumps
 
bomb disse:
Bem isto vai ser estranho, mas hoje tentei novamente ligar-me a VPN e sem qualquer alteracao que seja ou modificacao comecou outras a funcionar... nao consigo entender o porque
Obrigado a todos pela ajuda
Clicar para expandir...
Boas
Por acaso sabes porque razão não estava a funcionar e depois passou a funcionar? Fizeste efetivamente alguma alteração que depois tivesses percebido?
Eu estou com um problema muito semelhante. Já não sei o que fazer.
Tenho a WAN1 de um Draytek ligado como servidor VPN á LAN do router HG8247Q do ISP. Não existe forma de fazer funcioanr a VPN L2TP apesar de funcionar em PPTP! Já experimentei com outro router Draytek noutro local com um ISP diferente e um router diferente e acontece exatamente o mesmo, ou seja funciona em PPTP e não funciona em IPSec L2TP!
Alguém pode ajudar? Não entendo.
Cumps
 
Inicie sessão ou registe-se para poder participar.
Back
Topo