VPN server πίσω από NAT & Client πίσω από proxy

[hedgehog]

Έχω στήσει ένα VPN Server σε Windows 2000 Server (PPTP).

Η σύνδεση σε αυτόν από το τοπικό δίκτυο αλλά και από το internet εφόσον ο client έχει συνδεθεί με dial up είναι εφικτή. (έχω κάνει NAT για το TCP port 1723 και έχω επιτρέψει το GRE)

Το επιθυμητό όμως είναι η σύνδεση να γίνει μέσω 3G.

Μέσω 3G λοιπόν, φτάνει στο στάδιο επαλήθευσης των username & password αλλά δεν επιστρέφει ποτέ πίσω στον client η απάντηση για την αποδοχή ή την απόρριψη αυτών. (Σφάλμα 721: Ο απομακρυσμένος υπολογιστής δεν αποκρίθηκε...)

Σε ένα tracert λοιπόν από τον client προς τον server είδα πως τα τρία πρώτα hops έχουν IP 10.Χ.Χ.Χ και το τέταρτο είναι ένα XXX_internet_vpn.mycosmos.gr
Άρα ο Client δεν έχει πραγματική internetική IP και περίπτωση για NAT ή οποιασδήποτε παραμετροποίησης σε ότι είναι αυτό που έχει μπροστά του δεν υπάρχει.

Αν έχω καταλάβει καλά λοιπόν, η συνέχεια μετά την αποστολή των credentials δεν γίνεται μέσα από το ίδιο connection που έχει ανοίξει ο client, αλλά από νέο που προσπαθεί να ανοίξει ο server προς τον client. (!?)

Μου χαλάει αυτό το σενάριο ωστόσο το γεγονός πως παρά την εσκεμμένη χρήση λάθος credentials κατά την σύνδεση μέσω 3G, στο log του VPN Server δεν βρίσκω την σχετική καταγραφή.
Αντίθετα όταν κάνω το ίδιο μέσω dialup η καταγραφή στο log γίνεται κανονικά (Event ID: 20189)

Aπό όσα έχω διαβάσει έως τώρα δεν φαίνεται πως η χρήση του L2TP/IPSec αντί του PPTP θα βοηθήσει.

Καμιά άλλη ιδέα για το πως θα μπορούσα να το ξεπεράσω;

[Kapnos]

Λογικά όλα αυτά γίνονται γιατί τα κινητά με 3G/GPRS βρίσκονται πίσω από proxy όταν μπαίνουν στο internet...

[Dr.CHaNaS]

Οταν τα 2 ακρα ειναι πισω απο ΝΑΤ και δεν υπαρχει στο ρουτερ καποιος application handler τοτε πολλα τετοια γινονται. Πχ εγω πισω απο ΝΑΤ μπορω να κανω FTP σε αλλο (πισω απο ΝΑΤ) μηχανημα. Αν βαλω ομως TLS/SSL τοτε δεν παιζει τιποτε.

[baskin]

Να κάνεις παράπονα στον παροχέα 3G, εξηγώντας που είναι το πρόβλημα.

[lacacitos]

στο pptp το authentication γίνεται με tcp 1723 και μετά όλα τα πραγματικά data (payload) περνάνε με GRE.
συνήθως η συσκευή που κάνει το ΝΑΤ στον 3G provider είναι κάποιο cisco που μάλλον δεν ανοίγει τα αντίστοιχα access list αυτόματα.
αυτό που ψάχνεις βασικά λέγεται "Nat traversal/ NAT-T, ipsec over udp/tcp", πιθανόν να το υποστηρίζει η microsoft στο l2tp over ipsec.
μπορείς να ψάξεις και για ssl-vpn λύσεις.

[hedgehog]

Να κάνεις παράπονα στον παροχέα 3G, εξηγώντας που είναι το πρόβλημα.

Εννοείτε, αλλά έλεγα για κάτι πιο άμεσο από το να τους πείσω να αλλάξουν το configuration τους

αυτό που ψάχνεις βασικά λέγεται "Nat traversal/ NAT-T, ipsec over udp/tcp", πιθανόν να το υποστηρίζει η microsoft στο l2tp over ipsec.

Το υποστηρίζει με σχετικό patch για win 2000 / XP (το SP2 το έχει ενσωματωμένο), αλλά με αποθάρρυνε το

The following scenarios will successfully allow for L2TP/IPsec-based IPsec NAT-T connections. In these scenarios, Client is a client that is running Windows 2000 and that has update 818043 installed or is a Windows XP-based computer that has SP2 installed. Server is an L2TP/IPsec server that is running Windows Server 2003 and that is using Routing and Remote Access.
Client----> NAT ----Internet---->Server

The only supported and recommended scenario is when the Server is not located behind a NAT device.
The L2TP/IPsec server may also be a third-party gateway product that supports NAT-T connections.

Για την ώρα λέω να κάνω στροφή προς OpenVPN, μήπως και....

thnx guyz

PS: για την ιστορία και για πιθανή επιβεβαίωση / διάψευση από άλλον που έχει δοκιμάσει / πετύχει το ίδιο, ο παροχέας είναι η Cosmote (αν και φαίνεται και από το tracert)

Edit: [ Το OpenVPN έπαιξε με την μία... μένω για την ώρα τουλάχιστον με αυτό και όλα καλά
ty all ]

[baskin]

Θα σου πρότεινα να μείνεις με το OpenVPN. Το χρησιμοποιώ χρόνια τώρα και είναι πολύ σταθερό και αξιόπιστο.

Κάνε μια γκρίνια και στην Cosmote όμως, αν δεν βαριέσαι.

[hab]

Φίλε δλδ. κατάφερες να συνδεθείς με το 3G πάνω στο VPN σου?

Σε ρωτάω γιατί έχω παρόμοιο πρόβλημα με ένα VPN που έχω στήσει μέσω ενός draytek vigor router που έχω.

Ενώ μπορώ κανονικά να συνδεθώ από pc με adsl σύνδεση π.χ., με ένα laptop μου και 3G wireless connect card, δε μπορώ. Παίρνω το ίδιο error με εσένα (Error 721...).

[hedgehog]

Με το OpenVPN, ναι τα κατάφερα. (το οποίο παρεμπιπτόντως με κατέκτησε!!!)
Βασισμένος στα εργαλεία του MS 2000 Server, όχι δεν τα κατάφερα.

Αυτή ήταν ουσιαστικά και η πρώτη μου επαφή με το OpenVPN, όπου με βοήθησε πολύ αυτό το step by step howto.

[hab]

Δλδ. το OpenVPN χρησιμοποιεί διαφορετικά πρωτόκολλα (και λογικά διαφορετικά ports) για αυτό?

Το θέμα άμα χρησιμοποιήσω software για αυτό το λόγο, πάει χαμένο το hardware και χρησιμοποιώ και πόρους από pc. Βέβαια άμα δε γίνεται κι αλλιώς...

Πάντως έχω επικοινωνήσει με την cosmote (όπου έχω μπει σε σειρά προτεραιότητας για να με πάρει τηλέφωνο κάποιος τεχνικός!!!) κι ελπίζω μπας και βγάλω κάτι από εκεί, αν και δεν είμαι και πολύ αισιόδοξος...

[kanenas3]

Αν είναι Cosmote ζήτα τους τους να σου δώσουν τις ρυθμίσεις για να φτιάξεις ειδικό profile. Είχα το ίδιο πρόβλημα με το PPTP στη δουλειά που λύθηκε με αυτόν τον τρόπο.

[hab]

Μου αναπτέρωσες λίγο τις ελπίδες. Μέσω PPTP συνδέομαι κι εγώ, αλλά δεν έχω την επιλογή να κάνω dial-up στο router. Μέσω internet γίνεται η σύνδεση...

[baskin]

Με το OpenVPN, ναι τα κατάφερα. (το οποίο παρεμπιπτόντως με κατέκτησε!!!)
Βασισμένος στα εργαλεία του MS 2000 Server, όχι δεν τα κατάφερα.

Αυτή ήταν ουσιαστικά και η πρώτη μου επαφή με το OpenVPN, όπου με βοήθησε πολύ αυτό το step by step howto.

Στο έλεγα εγώ. Είναι κατά την ταπεινή μου γνώμη το καλύτερο!

[hedgehog]

Στερνή μου γνώση, να σ' είχα πρώτα

[hab]

Παλεύω ακόμα με το VPN του router μου (PPTP) αλλά δε βγάζω άκρη. Μίλησα με την cosmote, μου έδωσε ρυθμίσεις, μου "ανοίξανε" και την υπηρεσία vpn (!), όμως δε γίνεται τίποτα.

@kanenas3: Μήπως έχεις πρόσβαση στις ρυθμίσεις του vpn server, για να μου πεις μήπως έχουν ρυθμίσει τίποτα περίεργο?