VPN server πίσω από NAT & Client πίσω από proxy

[anon]

Το IPSEC που χρησιμοποιείται για υλοποιήσεις VPN, χρησιμοποεί πακέτου τύπου GRE (είναι διαφορετικά απο τα TCP), και αυτά οι εταιρίες κινητής μάλλον δεν τα περνούν. Εαν χρησιμοποιείς TCP/UDP δεν έχεις πρόβλημα, μιας και τουλάχιστον έχω δοκιμάσει με SSH και παίζει. Αρα μπορείς να κάνεις VPN με χρήση TCP/UDP όπως το OpenVPΝ που αναφέρθηκε πιο πριν.

[agent]

Οι υλοποιήσεις IPSEC VPN δε χρησιμοποιούν πακέτα τύπου GRE, αλλά ESP. Συγκεκριμένα το GRE είναι το IP protocol #47, ενώ το ESP είναι το IP protocol #50. Όπου υπάρχει GRE μαζί με IPSEC, τότε μιλάμε για GRE over IPSEC, δηλαδή encapsulated traffic σε GRE frames, τα οποία με τη σειρά τους ενθυλακώνονται σε ESP frames.

Αντίθετα, οι VPN συνδέσεις που μπορεί να δημιουργήσει κανείς σε λειτουργικά Windows -χωρίς extra software- υλοποιούνται με PPTP, το οποίο με τη σειρά του χρησιμοποιεί αποκλειστικά GRE frames.

Και οι δύο υλοποιήσεις 'υποφέρουν' από συσκευές που υλοποιούν κάποιο είδος ΝΑΤ και δε μπορούν να χειριστούν σωστά συνδέσεις που δεν είναι TCP ή UDP ή ειδικά για το IPSEC, δε χειρίζονται σωστά το IKE (το άλλο πρωτόκολλο του IPSEC). Συγκεκριμένα ένα πακέτο IKE είναι UDP, ενώ η source και destination port ΠΡΕΠΕΙ να είναι η 500. Μια συσκευή που υλοποιεί PAT (ή αλλιώς dynamic NAT) κατά κανόνα θα αλλάξει τη source port του πακέτου, κάτι που ακυρώνει το πακέτο καθώς πλέον δεν είναι σύμφωνο με το σχετικό RFC (RFC 2407).

Έχω δει ακόμη και περίπτωση όπου ESP traffic μεταφραζόταν σε TCP () από χαζό-router που υλοποιούσε PAT - ένα Cisco ήταν.... Επιπλέον ειδικά στο IPSEC VPN μπορεί να προκύψει πρόβλημα πιστοποίησης του πακέτου σε περιβάλλοντα NAT/PAT, καθώς αλλαγή στο IP header σημαίνει και αλλαγή του signature του πακέτου (όταν αυτό υπολογίζεται εκ νέου και συγκρίνεται στο απέναντι άκρο / VPN gateway). Η λύση είναι η ενεργοποίηση του NAT traversal (κάπου μπορεί να αναφέρεται ως ΝΑΤ-Τ) μηχανισμού που (θα έπρεπε να) υλοποιεί ο κάθε κατασκευαστής.




:έδιτ:

Κάτι που ξέχασα..... Έχοντας υλοποιήσει VPNs πάνω από δίκτυα κινητής, γνωρίζω ότι οι εταιρείες δίνουν στους πελάτες τους διευθύνσεις τύπου 10.x.x.x και τους 'βγάζουν' στο Internet κάνοντας dynamic NAT. Δεν υπάρχει περιορισμός στο ποια πρωτόκολλα επιτρέπουν (επιτρέπεται όλο το IP) - αλλά λόγω του NAT κάποιες υπηρεσίες που θέλει να 'τρέξει' ο συνδρομητής ενδέχεται να μη λειτουργούν σωστά ή καθόλου.

[Hose]

Οταν λένε ότι άνοιξαν το VPN από την COSMOTE πρέπει να αλλάξεις το APN σε vpn-internet (αν θυμάμαι καλά).

[klemes]

Πρόσφατα δοκίμασα να συνδεθώ στο server του τοπικού Πανεπηστημίου μέσω VPN(PPTP) όπου έχω πρόσβαση με κάποιο τρόπο(συγγενικό πρόσωπο).
Ακολούθησα τις οδηγίες στη σχετική σελιδα εκανα το connection μεσω του connection wizzard των Windows XP Pro και προχώρησα στη στη VPN σύνδεση.
Εκεί συνδέθηκα κανονικά εδωσα authentication και βγήκε εικονίδιο VPN σύνδεσης οτι συνέθηκα πλήρως με το server.Το IPCONFIG κατέγραψε κανονικά τη σύνδεση ως VPN με νέο IP και DNS server αλλά δυστυχώς όπως διαπίστωσα έχανα τη σύνδεση με το ιντερντετ παρόλο που το εικονίδιο του τοπικού δικτύου ήταν ενεργό(συνδέομαι στο ιντερνετ μεσω τοπικού δικτύου πάνω σε router modem Sagem με ενεργοποιημένο ΝΑΤ και firewall).
Θέμα firewall του router η των windows δεν πρέπει να είναι γιατί τα σχετικά ports ήταν ανοιχτά αλλά πιθανώς απο οτι διάβασα παρπάνω ίσως είναι θέμα ΝΑΤ.
Δοκίμασα να το απενεργοποιήσω δοκιμαστικά και ως εκ θαύματος έχασα πάλι τη σύνδεση με το internet ,παρόλο που αυτη τη φορά εκανε name resolving αλλά απο εκει και περα τίποτα ουτε pings ούτε WWW, ftp,τίποτα.
Παρακαλώ τα φώτα σας για αυτήν την αξιοπερίεργη κατ' εμέ συμπεριφορά και κυρίως για το αν δικαιολογείται να μην έχω σύνδεση με internet οταν κάνω disable το ΝΑΤ στο router μου.
Ευχαριστώ προκαταβολικά για κάθε βοήθεια.

[dimitris_]

Αν κατάλαβα καλά λες πως δεν έχεις σύνδεση με το τοπικό LAN. Αυτό είναι απολύτως φυσιολογικό, όταν συνδέεσαι στο VPN αποτελείς μέρος ενός άλλου LAN και συνεπώς παίρνεις internet -εάν σε αφήνει- από αυτό. Το ότι είχες και το "τοπικό" LAN ενεργό δεν σημαίνει πως μπορείς να παίρνεις Internet τοπικά ενώ εργάζεσαι σε server του VPN LAN.

[hedgehog]

σ.σ.: Σημαντικό είναι να μην χρησιμοποιούν το ίδιο subnet το τοπικό και το απομακρυσμένο δίκτυο!

[teop]

Αν κατάλαβα καλά λες πως δεν έχεις σύνδεση με το τοπικό LAN. Αυτό είναι απολύτως φυσιολογικό, όταν συνδέεσαι στο VPN αποτελείς μέρος ενός άλλου LAN και συνεπώς παίρνεις internet -εάν σε αφήνει- από αυτό. Το ότι είχες και το "τοπικό" LAN ενεργό δεν σημαίνει πως μπορείς να παίρνεις Internet τοπικά ενώ εργάζεσαι σε server του VPN LAN.

Αυτό συμβαίνει γιαί όταν δημιουργείς ένα vpn connection τότε δηλώνεται στον υπολογιστή ως προεπιλεγμένη πύλη από το vpn, αυτό όμως μπορείς να το αλλάξεις από τις ιδιότητες της σύνδεσης vpn και έτσι ο υπολογιστης χρησιμοποιεί ως πύλη αυτή του τοπικού δικτύου, έτσι βγαίνεις από το τοπικό δίκτυο internet

[dimitris_]

Αυτό συμβαίνει γιαί όταν δημιουργείς ένα vpn connection τότε δηλώνεται στον υπολογιστή ως προεπιλεγμένη πύλη από το vpn, αυτό όμως μπορείς να το αλλάξεις από τις ιδιότητες της σύνδεσης vpn και έτσι ο υπολογιστης χρησιμοποιεί ως πύλη αυτή του τοπικού δικτύου, έτσι βγαίνεις από το τοπικό δίκτυο internet

Πως το κάνεις αυτό ?

[dimitris_]

Πως το κάνεις αυτό ?

[hab]

@anon & agent: πολύ κατατοπιστικοί κι οι δύο, ευχαριστώ για τη βοήθεια. Όσο και να έψαξα δεν τα κατάφερα να συνδεθώ με cosmote, οπότε ξεκινάω το διάβασμα για το openVPN...

@Hose: ναι αλλάζεις το apn αλλά, εκτός αυτού, υποτίθεται πως σου ανοίγουν και κάποια υπηρεσία για να λειτουργεί αυτό το apn.

[apropos]

χμμμ, η συζήτηση δυσκολεύει.

Έχω πρόβλημα σε σύνδεση VPN από Vista μέσω Cosmote HSDPA & Huawei E220 USB modem
Αν αλλάξω το APN σε vpn-internet δεν παίζει ούτε το Internet

Οποιαδήποτε βοήθεια ευπρόσδεκτη μήπως και δουλέψουμε και από το νησί

[anon]

Tο apn το ορίζει ο πάροχος, η Cosmote εν προκειμένω. Συνήθως έχουν ένα γενικό apn που ειναι για internet και custom apn's που ειναι για τα vpn's πελατών τους (τουλάχιστον στην Vodafone έτσι είναι). Aυτό σημαίνει ότι εαν βάλεις το apn που έχουν ορίσει για το vpn, θα έχεις vpn. Οχι όμως απαραίτητα και ιντερνετ (οι εταιρίες συνήθως όπως και εμείς φυσικά το κλειδώνουμε, διαφορετικά γεμίζει πολύ όγκο η κάρτα του χρήστη). Επίσης μπορεί να οριστεί ότι κάποια κάρτα (λογαριασμός), θα παίζει με συγκεκριμένο μόνο apn, οπότε και ματσακωνιές του τύπου να αλλάξεις το apn προκειμένου να έχεις διαφορετική δικτυακή συμπεριφορά δεν παίζει.

[ArChEaN]

Πως το κάνεις αυτό ?

Δεξί κλικ στην σύνδεση VPN και επιλογή Properties.

Πας στο Networking, επιλέγεις το TCP/IP και πατάς πάλι Properties.

Στην επόμενη καρτέλα (με τις IPs) πατάς Advanced.

Στο πρώτο Tab (General) θα δεις την επιλογή "Use default gateway on remote network".

Uncheck it. You're done

[drhouse]

Βάλε ένα traffic analyzer και δες σε ποιό σημείο κολλάει.

Αν θες βοήθεια με το διάβασμα των πακέτων είμαι διαθέσιμος.

Πάντως κι εγώ είμαι της γνώμης (άλλωστε το ανέφερε o locasitos, στην αρχή της συζήτησης) ότι τiς VPN συνδέσεις πολλές φορές εμποδίσζουν τα NATs γι' αυτό και έχουμε το "Nat traversal/ NAT-T, ipsec over udp/tcp".