Cosmote vdsl - Άνοιγμα θυρών 1701 4500 και 500

[Nojnok]

Καλησπέρα,

Μετά από πάρα πολλές προσπάθειες να στήσω vpn με πρωτόκολλο l2tp στο δίκτυο της cosmote δεν τα κατάφερα.

Έχω μιλήσει τουλάχιστον 5 φορές με το τεχνικό τμήμα και 1 φορά με την υπηρεσία που παρέχει απομακρυσμένη υποστήριξη και κατέληξα στο συμπέρασμα ότι οι θύρες 1701 4500 500 είναι μπλοκαρισμένες από τον πάροχο.

Αν κάποιος γνωρίζει σχετικά με το θέμα ας βοηθήσει.

[K1m0n]

Μετά από πάρα πολλές προσπάθειες να στήσω vpn με πρωτόκολλο l2tp στο δίκτυο της cosmote δεν τα κατάφερα.

l2tp client ή server?

[Nojnok]

l2tp client ή server?

Προσπαθώ να φτιάξω vpn server με το app της synology το οποίο τρέχει μέσα στο NAS. Τα settings στο synology είναι τσεκαρισμένα και με τεχνικό από την υποστήριξη της εταιρίας.

Από cosmote μου είπαν ότι δεν θα καταφέρω να χρησιμοποιήσω το l2tp ούτε με διαφορετικό router.

[K1m0n]

Αφήνοντας αρχικά κατά μέρος το cpe του isp, γενικότερα, αν έχεις:

1. public/routable wan ip ( = δεν είσαι πίσω απο cg-nat), και

2. δεν έχεις ενεργή την "αυξημένη προστασία" στο cpanel της cote
(^κόβει την εισερχόμενη κίνηση σε ports <= 1024), και

3. κάνεις ένα nat/port-forward από το χ router/cpe προς το nas,
λογικά θα παίξει.

Αν το x cpe της cosmote για κάποιο λόγο κόβει το l2tp, δεν το ξέρω (δεν τα χρησιμοποιώ...),
αλλά φαντάζομαι πως όχι.

Αυτών λεχθέντων, τα l2tp/ipsec και pptp δεν προτείνονται/χρησιμοποιούνται πλέον καθότι έχουν θέματα ασφαλείας.
Οπότε, αν θες vpn, θα προτιμούσες κάτι άλλο.
Νομίζω τα synology υποστηρίζουν ovpn που είναι πρωτιμότερο.

[Nojnok]

Αφήνοντας αρχικά κατά μέρος το cpe του isp, γενικότερα, αν έχεις:

1. public/routable wan ip ( = δεν είσαι πίσω απο cg-nat), και

2. δεν έχεις ενεργή την "αυξημένη προστασία" στο cpanel της cote
(^κόβει την εισερχόμενη κίνηση σε ports <= 1024), και

3. κάνεις ένα nat/port-forward από το χ router/cpe προς το nas,
λογικά θα παίξει.

Αν το x cpe της cosmote για κάποιο λόγο κόβει το l2tp, δεν το ξέρω (δεν τα χρησιμοποιώ...),
αλλά φαντάζομαι πως όχι.

Αυτών λεχθέντων, τα l2tp/ipsec και pptp δεν προτείνονται/χρησιμοποιούνται πλέον καθότι έχουν θέματα ασφαλείας.
Οπότε, αν θες vpn, θα προτιμούσες κάτι άλλο.
Νομίζω τα synology υποστηρίζουν ovpn που είναι πρωτιμότερο.

1,2 και 3 τα έχω-έχουμε κάνει.
Δυστυχώς δεν παίζει.
Υποστηρίζει openvpn απλά θα προτιμούσα να έχω native εφαρμογές στους clients και όχι να αναγκάσω κάθε εργαζόμενο της επιχείρησης να εγκαθιστά εφαρμογές στη συσκευή του.

[dpap76]

3. κάνεις ένα nat/port-forward από το χ router/cpe προς το nas,
λογικά θα παίξει.

αν θυμάμαι καλά για το l2tp θα πρέπει το CPE να κάνει και protocol NAT στο layer-4 protocol 47 (GRE) εκτός απο τα tcp/udp.
Δεν το κάνουν καλά ή και καθόλου τα περισσότερα απλά cpe των παρόχων.

[K1m0n]

για το l2tp θα πρέπει το CPE να κάνει και protocol NAT στο layer-4 protocol 47 (GRE) εκτός απο τα tcp/udp.

Αυτό^, θα πρέπει το cpe να περάσει το gre στο nas,
και δεν έχω ιδέα για τις ενδεχόμενες ιδιοτροπίες του speedport.

Υποστηρίζει openvpn απλά θα προτιμούσα να έχω native εφαρμογές στους clients και όχι να αναγκάσω κάθε εργαζόμενο της επιχείρησης να εγκαθιστά εφαρμογές στη συσκευή του.

Επί της αρχής σωστό,
απ'την άλλη στους περισσότερους σύγχρονους clients το l2tp ή δεν υποστηρίζεται πλέον (android 12+),
ή δεν συνιστάται / βαίνει προς κατάργησιν γενικότερα.
Οπότε και με το l2tp θα έχεις θέματα σε κάποια στιγμή.

Αν θες κάτι intustry std. κοίτα σε ikev2,
εναλλακτικά και το wg είναι ενδιαφέρον και είναι ελαφρύ σε πόρους.

Πόσα tunnel είναι και τι throughput χρειάζεσαι?
Αν είναι soho/smb με μια *μικρή* wan, και εξυπηρετεί να κρατήσεις την τηλεφωνία πάνω στο cpe,
ένα fritz ίσως είναι μια λύση για all-in-one και "τα-κάνω-όλα-με-wizard".

Ιδανικά θα προτιμούσες να σηκώσεις τα tunnels πάνω σε ένα proper-router χωρίς nat ενδιάμεσα.

[Nojnok]

Παιδιά ευχαριστώ για τις απαντήσεις. Θα κοιτάξω το openvpn ή το tailscale.

dpap76 μήπως γνωρίζεις κάποιο router που να υποστηρίζει αυτό το πρωτόκολλο;

K1m0n χρειάζομαι το vpn για μικρή επιχείρηση όπου θα συνδέονται 4-5 άτομα και θα έχουν κοινή πρόσβαση σε κάποια αρχεία και σε 2 εκτυπωτές που θα είναι συνδεδεμένοι στο δίκτυο.

Δεν έχω αρκετές γνώσεις σε δίκτυα οπότε θα προτιμήσω το πιο εύκολο με τις λιγότερες απαιτήσεις.

Ιδανικά θα ήθελα να έχω και απομακρυσμένη πρόσβαση στους υπολογιστές σε κάθε υποκατάστημα αλλά και πάλι θα προτιμούσα το rdp των windows μέσω vpn και όχι teamviewer κλπ.

[dpap76]

Δυστυχώς όχι, δεν γνωρίζω/δεν έχω να προτείνω κάποιο router που να παίζει εγγυημένα σωστά ο gre nat helper του.

Παλιά δεν έπαιζε καθόλου το gre πίσω απο ΝΑΤ ενώ τα περισσότερα καινούργια CPE κάτι κάνουν κουτσά-στραβά αλλά και πάλι έχουν θέματα. πχ ένας client απο το LAN κατορθώνει επιτυχώς να σηκώσει το l2tp tunnel αλλά μετά αν και δεύτερος απο το LAN ξεκινήσει l2tp παθαίνει κοκομπλόκο.

Καλύτερα να πάς σε openvpn ή wireguard. Ειδικά το openvpn είναι πολύ απλό στη χρήση του απο τους τελικούς χρήστες με τον GUI client. To wireguard σε windows δεν το εχω δεί αλλά εκτιμώ και εκεί δεν θα είναι τίποτα ιδιαίτερο.

Αν επιμένεις με το l2tp καλύτερα να μιλήσεις με κάποιον επαγγελματία IT για μια επαγγελματική λύση.

Αν ο server και οι clients έχουν και IPv6 διευθύνσεις από τον πάροχο και το CPE (dual-stack) ίσως να δοκίμαζες να σηκώσεις το l2tp πάνω από τις ipv6 διευθύνσεις

Ανοίγουν βέβαια μερικά θέματα πχ πιθανόν να θέλει σχετική ρύθμιση το ipv6 firewall του CPE για να επιτρέψει κατι τέτοιο αλλά αν το επιτρέψει θεωρητικά θα δουλέψει.
Επίσης θα χρειαστείς dyndns ipv6 client στον server ώστε να κάνει publish στο dns την IPv6 που έχει κάθε φορά. Γενικά είναι δυσκολάκι η άσκηση για αρχάριους αλλά αν έχεις όρεξη να μπλέξεις απλά το προτείνω

[netblues]

l2tp Το 2024?

Θα ελεγα tailscale , να μη σε νοιαζει και το cgn..