Nie można wyświetlić tego widżeta.
Nie można wyświetlić tego widżeta.
Nie można wyświetlić tego widżeta.

Neostrada - RDP over VPN IPSEC

ROZWIĄZANE

Poziom 17, Badacz Przestworzy
  • 6
  • 14
  • 1

Neostrada - RDP over VPN IPSEC

Witam,

przeczytałem chyba wszystkie tematy na forum związane z VPN ale albo do końca nie poruszały mojego tematu albo były na tyle stare że może coś się zmieniło w tym czasie. W szybkim skrócie ... mam sieć domową opartą na routerze Netis DL 4323 (usługa Neostrada do 20Mb/s). Po zestawieniu tunelu VPN IPsec (aplikacja VPN Access Manager) do firmowej sieci próbuje następnie wbić się poprzez pulpit zdalny na komputer stacjonarny w firmie. Tak jak napisałem tunel zostaje zestawiony ... przynajmniej tak to wygląda ... powstał nowy interfejs sieciowy z IP 192.168.106.100 ale RDP zostaje odrzucone ze standardowym komunikatem (dostęp zdalny do serwera jest niedostępny ... komputer zdalny wyłączony ... komputer zdalny niedostępny w sieci), ale jeśli użyje internetu mobilnego od innego dostawcy to cała operacja kończy się sukcesem w tym sensie udaje się zestawić RDP ... niestety internet mobilny jest "słaby" .. łącze niestabilne i RDP rozłącza się co chwile ... praca zdalna w takich warunkach nie ma najmniejszego sensu. Jeśli chodzi o konflikt adresowania sieci domowej i firmowej i problem odnalezienia zdalnego komputera to chyba raczej nie występuje ... adresacja firmowa to 192.168.x.x ... domowa 10.0.x.x. Dostałem również odpowiedź z CERT'a że Cyber Tarcza nie powinna blokować protokołów IPSEC, ESP, AH (portów 500, 4500, 1701).  Jeśli chodzi o router to nie mam ustawionych żadnych reguł/filtrów/mapowań portów.

Przepraszam za długi wpis ale chciałem dokładnie opisać sprawę ... wrzucam też kilka screenow z konfiguracji VPN Access Managera

 

 

1.png2.png3.png4.png5.png

1 ZAAKCEPTOWANE ROZWIĄZANIE

Rozwiązanie:

Poziom 17, Badacz Przestworzy
  • 6
  • 14
  • 1

Neostrada - RDP over VPN IPSEC

Sprawa rozwiązana ... prosta rzecz do zrobienia .. wrzucam kilka screen'ow ... może komuś kiedyś pomoże

 

1) związanie MAC'a z adresem 10.0.0.10 (DHCP Static)

Grzegorz84_3-1633646417622.png

 

2)"IPSec Pass-Through" - obowiązkowo zaznaczone (przekazywanie pakietów IPSEC)

Grzegorz84_0-1633645915064.png

 

3) skonfigurowanie wirtualnych serwerów dla portów 500 (IPSEC port) i 4500 (NAT Traversal port)... przekazywanie pakietów na lokalny komputer 10.0.0.10 (sieć domowa)

 

Grzegorz84_1-1633646001159.png

Wyświetl rozwiązanie w oryginalnym poście

8 ODPOW. 8

Poziom 36, Nawigator Galaktyczny
  • 5320
  • 21246
  • 170

Neostrada - RDP over VPN IPSEC


@Grzegorz84napisał(-a)

...

 tunel zostaje zestawiony ... przynajmniej tak to wygląda ... powstał nowy interfejs sieciowy z IP 192.168.106.100 ale RDP zostaje odrzucone 

 

A zwykły ping przechodzi? Pewnie też nie. Czyli chyba jednak tunel nie powstaje.

 

jeśli użyje internetu mobilnego od innego dostawcy to cała operacja kończy się sukcesem 

...

Czyli coś (na styku LAN i WAN?) blokuje tunel.

 

Cyber Tarcza nie powinna blokować protokołów IPSEC, ESP, AH (portów 500, 4500, 1701). 

 

OK, ale coś jednak może te porty blokować, wygląda na to że powinny być otwarte żeby protokół IPSEC mógł działać.

 

Jeśli chodzi o router to nie mam ustawionych żadnych reguł/filtrów/mapowań portów.

 

No to może tu jest problem? Nie pokazałeś konfiguracji domyślnej tego rutera.


 

 

 


Poziom 17, Badacz Przestworzy
  • 6
  • 14
  • 1

Neostrada - RDP over VPN IPSEC

@Grzegorz84 - moja odpowiedź na czerwono

 

 tunel zostaje zestawiony ... przynajmniej tak to wygląda ... powstał nowy interfejs sieciowy z IP 192.168.106.100 ale RDP zostaje odrzucone 

 

A zwykły ping przechodzi? Pewnie też nie. Czyli chyba jednak tunel nie powstaje.

 

Ping nie przechodzi ani na neostradzie ani na mobilnym. Podejrzewam że maja go wyłączonego że nie robić ataku DDoS.

 

*****************************************************************************************************************

jeśli użyje internetu mobilnego od innego dostawcy to cała operacja kończy się sukcesem ...

 

Czyli coś (na styku LAN i WAN?) blokuje tunel.

 

na to wygląda

*****************************************************************************************************************

Cyber Tarcza nie powinna blokować protokołów IPSEC, ESP, AH (portów 500, 4500, 1701). 

 

OK, ale coś jednak może te porty blokować, wygląda na to że powinny być otwarte żeby protokół IPSEC mógł działać.

 

też tak podejrzewam .. tylko nie wiem jak tutaj uzyskać pomoc od Orange ... CERT powiedział że nie blokuje i odesłał do konsultanta a konsultant na forum 🙂

*****************************************************************************************************************

Jeśli chodzi o router to nie mam ustawionych żadnych reguł/filtrów/mapowań portów.

 

No to może tu jest problem? Nie pokazałeś konfiguracji domyślnej tego rutera.

 

mój błąd

 

Grzegorz84_2-1633548306399.pngGrzegorz84_3-1633548344344.pngGrzegorz84_4-1633548380957.pngGrzegorz84_5-1633548404012.pngGrzegorz84_6-1633548441604.pngGrzegorz84_7-1633548516792.pngGrzegorz84_8-1633548542735.pngGrzegorz84_9-1633548591594.pngGrzegorz84_10-1633548798196.pngGrzegorz84_11-1633548821398.png

 


Poziom 36, Nawigator Galaktyczny
  • 5320
  • 21246
  • 170

Neostrada - RDP over VPN IPSEC

@Grzegorz84 

A czy jest możliwość zobaczenia co kryje się pod tajemniczym "IPSec PassTrough"?

Generalnie wystarczyłoby żeby jakieś ustawienie typu zapory siecowej zablokowało którykolwiek z tych portów o których mowa żeby to nie zadziałało. A tak zdefiniowane ustawienie na ruterze nie daje wglądu co tak naprawdę pod nim się kryje, jakie porty.

Próbuję zgadywać po omacku bo nie znam tego rutera, ale może ma też jakąś zaporę?

 

Trochę na marginesie zagadnienia, ponieważ z VPN do firmy korzystam rutynowo, wyrażę tylko opinię że znacznie wygodniej skonfigurować takie połączenie w oparciu o SSL niż o IPSEC, wtedy w zasadzie ruter nie ma wiele do powiedzenia. Ale to oczywiście zależy od IT firmy więc nic z tym raczej nie zrobisz. Ale może oni by jednak coś zasugerowali w ramach wsparcia?


Poziom 17, Badacz Przestworzy
  • 6
  • 14
  • 1

Neostrada - RDP over VPN IPSEC

Doczytuje i testuje właśnie sprawę ustawienia "IPSec PassTrough", o co chodzi z tym przekazywaniem pakietów IPSEC. Dam znać czy to coś pomogło. Jeśli chodzi o SSL, to tak zgadzam się całkowicie SSL VPN byłby znacznie lepszym rozwiązaniem, samo to że działa na wyższych warstwach OSI.

Równoległe czekam właśnie na odpowiedź w sprawie  SSL VPN. Zobaczę czy prośba zostanie rozpatrzona pozytywnie 🙂


Poziom 17, Badacz Przestworzy
  • 6
  • 14
  • 1

Neostrada - RDP over VPN IPSEC

"IPSec PassTrough" zdecydowanie musi być zaznaczone, w przeciwnym razie aplikacja VPN Access Manager dostaje timeout'y i w ogóle nie może zestawić połączenia


Poziom 17, Badacz Przestworzy
  • 6
  • 14
  • 1

Neostrada - RDP over VPN IPSEC

Sprawa rozwiązana ... prosta rzecz do zrobienia .. wrzucam kilka screen'ow ... może komuś kiedyś pomoże

 

1) związanie MAC'a z adresem 10.0.0.10 (DHCP Static)

Grzegorz84_3-1633646417622.png

 

2)"IPSec Pass-Through" - obowiązkowo zaznaczone (przekazywanie pakietów IPSEC)

Grzegorz84_0-1633645915064.png

 

3) skonfigurowanie wirtualnych serwerów dla portów 500 (IPSEC port) i 4500 (NAT Traversal port)... przekazywanie pakietów na lokalny komputer 10.0.0.10 (sieć domowa)

 

Grzegorz84_1-1633646001159.png


Poziom 36, Nawigator Galaktyczny
  • 5320
  • 21246
  • 170

Neostrada - RDP over VPN IPSEC

@Grzegorz84 

No i bardzo dobrze że Ci się udało znaleźć w menu rutera opcje odpowiedzialne za otwieranie potrzebnych portów. Przepraszam że nie mogłem Ci ich, z oczywistych względów, wskazać bezpośrednio. Niemniej, mam nadzieję że nie uważasz czasu spędzonego an NO za stracony i w przyszłości również (w razie, odpukać, problemów) skorzystsz z tej formy konsultacji.


Poziom 17, Badacz Przestworzy
  • 6
  • 14
  • 1

Neostrada - RDP over VPN IPSEC

Znacznie zwiększyłem swoją wiedzę więc zdecydowanie nie był to stracony czas.

Jestem też pozytywnie zaskoczony gdyż odezwał się do mnie CERT chcąc drążyć sprawę dalej i rozwiązać problem. Także fajnie że komuś po prostu zależy