Skip to main content

Lyhyt kysymys: Onko mahdollista että ISAKMP (UDP/500) liikennettä rajoitetaan ulos muiden operaattoreiden verkkoihin Soneran mobiililiittymissä? Opengate ja prointernet testattu.

 

Ilmeisesti ainakin NTP ja DNS muualle kuin Soneran omille palvelimille on blokattu, kumpikaan kun ei näytä toimivan. Googlen julkisten DNS:ien 8.8.8.8 ja 8.8.4.4 blokkaaminen on muuten melkoisen ikävää, niitä kun on tavattu käyttää mobiililaitteissa jotka vaihtavat eri operaattoreiden verkkojen välillä. Kaikilla muilla nuo toimivat moitteettomasti, Soneran liittymistä ei.

 

Anyway, tuo ISAKMP ei näytä läpi menevän, tässä nyt päivän yrittänyt saada yhtä site-to-site VPN-tunnelia pystyyn ja muistui mieleen että ennenkin on ollut vastaavaa ongelmaa juuri Soneran liittymien kanssa. Paketit jotka varmuudella lähtevät muurista ulos (Wireshark muurin ja 4G-reitittimen välissä) eivät ikinä tule perille toisen pään muurille johon kyllä terminoituu sata muuta VPN:ää hienosti. Olisiko tästä varmaa tietoa niin ei tarvitse turhaan käyttää aikaa muurin ihmettelyyn?

 

Jos tuon pitäisi mennä läpi niin pitänee alkaa etsiä syyllistä 4G-reitittimestä tms..



 

Itselläni toimii Opengaten takaa ipsec oikein hyvin, ei pitäisi siis lähtökohtaisesti olla ongelmaa. Onhan Opengate varmasti aktivoitunut ja saat julkisen iipparin?

 

 

Googlen dns vastaa myös oikein hyvin:

 

 

root@statsi:~# nslookup www.akamai.com 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
www.akamai.com  canonical name = wwwsecure2.akamai.com.edgekey.net.
wwwsecure2.akamai.com.edgekey.net       canonical name = e8921.dscx.akamaiedge.net.
Name:   e8921.dscx.akamaiedge.net
Address: 23.78.84.34


Hmm. Sen Googlen DNS:n kanssa homma oli ilmeisesti väliaikainen ongelma joka kyllä jatkui pari viikkoa. Vastaa nimittäin mullekin nyt ihan hienosti. Aiemmin testasin useammalla Soneran liittymällä (mobiili ja kiinteä taloyhtiölaajakaista) samalla tuloksella, Soneran omat DNS-palvelimet vastaavat hienosti mutta Googlen timeouttaavat. Hyvä näin, tuo on kätevä verkkoa koko ajan vaihtaviin laitteisiin..

 

IPSecin osalta taitaa katse kääntyä kohti Zyxelin LTE3301 reititintä joka liittymässä on käytössä. Testasin tuota vielä lisää kahdella eri muurilla, Juniper SRX ja Edgerouter. Kumpikin toimii samalla conffilla kuin junan vessa esimerkiksi taloyhtiölaajakaistan päässä, mobiililiittymässä VPN-tunneli ei nouse ja ainuttakaan siihen liittyvää pakettia ei meidän konesalimuurille saakka tule. Muuten verkko toimii kyllä ok.

 

Opengate oli käytössä ja sai julkisen IP:n, testasin myös ilman perus prointernet-APN:llä samalla tuloksella. Pitää kaivaa jostain erilainen 4G-reititin tai tutkia voiko tuolle tehdä jotain. Uusin softa siinä on sisällä.


Jos mahdollista, niin toisen reitittimen testaaminen IPSecin osalta olisi paikallaan. Ilmoittelehan miten tuossa käy!


Heitän sen verran omaa inputtia, että meidän firman PPTP tunneli ainakin toimi heittämällä Kodin Netti 4G-liittymällä jossa Opengate, reitittimenä mukana tullut Huawei E5186.



 



Edit: Ja opengatessahan pitäisi kaikki muu olla kauniisti auki paitsi



 



"Palvelussa kaikki portit ovat auki, paitsi TCP-portti 25 ja UDP-portti 53, jotka on suljettu tietoturvasyistä."


PPTP:tä ei pitäisi kenenkään enää käyttää. Sen kehitys on päättynyt ajat sitten ja se on haavoittuvainen useallakin tavalla.


Jep, ja PPTP:llä ei ongelman kanssa ole juuri tekemistä, ihan eri tekniikka. Pitää katsoa koska ehtisi vaikka vääntää tuon Zyxelin siltaavaan tilaan ja testata suoraan sillä tavalla. Tuo on tuollainen testiliittymä joten ei niin korkealla prioriteetilla nyt korjata..

 

Kuittaan kun tulee testattua.


Jees, nyt oli aikaa testata. Olihan syyllinen se helkkarin Zyxel. Zyxel siltaavaksi ja sen taakse kytketty Edgerouter sai hienosti julkisen IP-osoitteen ja VPN-tunneli nousi.

 

Nyt siinä on hieno juna, siltaavan Zyxelin perässä Edgerouter joka tekee NATin ja sen perässä toinen Edgerouter (tai muita satunnaisia laitteita) joista VPN toimii ok. Eli NAT itsessään ei noissa myöskään ollut ongelma, ainoastaan juuri tuon Zyxelin NAT joka päätti mussuttaa paketteja välistä.

 

Tuo siis on tuollainen testiliittymä jolla saa testattua oman talon verkon ulkopuolella asiakkaalle meneviä muureja yms.. Hieman harmitti että siitä ei VPN-tunnelit toimineet, ne kun olivat oleellisin testattava asia ennenkuin laitteen lähettää johonkin kauas. :)

 

Sama ongelma itse asiassa oli Huawei B593 reitittimellä.


Hyvä, että lähti toimimaan ja jaoit ratkaisun myös tänne julkiseksi, ehkä tämä ketju vielä auttaa joskus jotakuta muuta saman ongelman kanssa painivaa!



 



Täppää vielä ketju ratkaistuksi, niin tämä nousee paremmin hakutuloksissa esille :)


Jeps, laitoin ratkaistuksi.

 

Ilmeisesti noiden useamman 3G/4G reitittimen NAT-toteutuksessa tms on jotain joka nuo paketit syö. Kaikki muut testatut verkkopalvelut toimivat kuitenkin ihan ok. Siitä oli pois päältä kaikki firewall-ominaisuudet jne ja silti sama tulos. Edgerouterin läpi toimii ihan heittämällä ja varmaan muidenkin ns järkevien muurien. :)


Vastaa