Itselläni toimii Opengaten takaa ipsec oikein hyvin, ei pitäisi siis lähtökohtaisesti olla ongelmaa. Onhan Opengate varmasti aktivoitunut ja saat julkisen iipparin?
Googlen dns vastaa myös oikein hyvin:
root@statsi:~# nslookup www.akamai.com 8.8.8.8
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
www.akamai.com canonical name = wwwsecure2.akamai.com.edgekey.net.
wwwsecure2.akamai.com.edgekey.net canonical name = e8921.dscx.akamaiedge.net.
Name: e8921.dscx.akamaiedge.net
Address: 23.78.84.34
Hmm. Sen Googlen DNS:n kanssa homma oli ilmeisesti väliaikainen ongelma joka kyllä jatkui pari viikkoa. Vastaa nimittäin mullekin nyt ihan hienosti. Aiemmin testasin useammalla Soneran liittymällä (mobiili ja kiinteä taloyhtiölaajakaista) samalla tuloksella, Soneran omat DNS-palvelimet vastaavat hienosti mutta Googlen timeouttaavat. Hyvä näin, tuo on kätevä verkkoa koko ajan vaihtaviin laitteisiin..
IPSecin osalta taitaa katse kääntyä kohti Zyxelin LTE3301 reititintä joka liittymässä on käytössä. Testasin tuota vielä lisää kahdella eri muurilla, Juniper SRX ja Edgerouter. Kumpikin toimii samalla conffilla kuin junan vessa esimerkiksi taloyhtiölaajakaistan päässä, mobiililiittymässä VPN-tunneli ei nouse ja ainuttakaan siihen liittyvää pakettia ei meidän konesalimuurille saakka tule. Muuten verkko toimii kyllä ok.
Opengate oli käytössä ja sai julkisen IP:n, testasin myös ilman perus prointernet-APN:llä samalla tuloksella. Pitää kaivaa jostain erilainen 4G-reititin tai tutkia voiko tuolle tehdä jotain. Uusin softa siinä on sisällä.
Jos mahdollista, niin toisen reitittimen testaaminen IPSecin osalta olisi paikallaan. Ilmoittelehan miten tuossa käy!
Heitän sen verran omaa inputtia, että meidän firman PPTP tunneli ainakin toimi heittämällä Kodin Netti 4G-liittymällä jossa Opengate, reitittimenä mukana tullut Huawei E5186.
Edit: Ja opengatessahan pitäisi kaikki muu olla kauniisti auki paitsi
"Palvelussa kaikki portit ovat auki, paitsi TCP-portti 25 ja UDP-portti 53, jotka on suljettu tietoturvasyistä."
PPTP:tä ei pitäisi kenenkään enää käyttää. Sen kehitys on päättynyt ajat sitten ja se on haavoittuvainen useallakin tavalla.
Jep, ja PPTP:llä ei ongelman kanssa ole juuri tekemistä, ihan eri tekniikka. Pitää katsoa koska ehtisi vaikka vääntää tuon Zyxelin siltaavaan tilaan ja testata suoraan sillä tavalla. Tuo on tuollainen testiliittymä joten ei niin korkealla prioriteetilla nyt korjata..
Kuittaan kun tulee testattua.
Jees, nyt oli aikaa testata. Olihan syyllinen se helkkarin Zyxel. Zyxel siltaavaksi ja sen taakse kytketty Edgerouter sai hienosti julkisen IP-osoitteen ja VPN-tunneli nousi.
Nyt siinä on hieno juna, siltaavan Zyxelin perässä Edgerouter joka tekee NATin ja sen perässä toinen Edgerouter (tai muita satunnaisia laitteita) joista VPN toimii ok. Eli NAT itsessään ei noissa myöskään ollut ongelma, ainoastaan juuri tuon Zyxelin NAT joka päätti mussuttaa paketteja välistä.
Tuo siis on tuollainen testiliittymä jolla saa testattua oman talon verkon ulkopuolella asiakkaalle meneviä muureja yms.. Hieman harmitti että siitä ei VPN-tunnelit toimineet, ne kun olivat oleellisin testattava asia ennenkuin laitteen lähettää johonkin kauas. :)
Sama ongelma itse asiassa oli Huawei B593 reitittimellä.
Hyvä, että lähti toimimaan ja jaoit ratkaisun myös tänne julkiseksi, ehkä tämä ketju vielä auttaa joskus jotakuta muuta saman ongelman kanssa painivaa!
Täppää vielä ketju ratkaistuksi, niin tämä nousee paremmin hakutuloksissa esille :)
Jeps, laitoin ratkaistuksi.
Ilmeisesti noiden useamman 3G/4G reitittimen NAT-toteutuksessa tms on jotain joka nuo paketit syö. Kaikki muut testatut verkkopalvelut toimivat kuitenkin ihan ok. Siitä oli pois päältä kaikki firewall-ominaisuudet jne ja silti sama tulos. Edgerouterin läpi toimii ihan heittämällä ja varmaan muidenkin ns järkevien muurien. :)