Get - VPN problem med sagemcom 3890 ruter

[Diablos]

Jeg er IT-admin i et firma, og har siden overgangen desember/januar begynt å få tilbakemeldinger fra tilsynelatende tilfeldige personer om at de ikke lenger får til å koble til VPN (PPTP, L2TP/IPsec). Etter en periode, så fant vi at Get var det som knyttet alle de med dette problemet sammen. Men de fleste med Get sliter ikke med dette, og det viste seg etter litt flere spørsmål at de med problemet sitter på en sagemcom v3890 ruter.

Nå har jeg ikke Get selv, så har ikke fått testet noe på det selv, men en av våre ansatte har det, og han har forsøkt diverse for å åpne opp for dette uten hell, inkludert å deaktivere firewall på ruteren.

Så konklusjonen min enn så lenge er at det er noe feil i firmware for disse ruterne. Har derfor meldt fra til Get, i tillegg til at jeg har bedt de med problemet til å melde inn direkte til Get i tillegg. Spesielt i disse tider, så er fungerende VPN ganske viktig, og mange som vanligvis ikke bruker det skal nå bruke det.

Svar fra Get lar vente på seg, så om de i det hele tatt undersøker det, eller har avskrevet det som feil på brukersiden, som de gjorde med den ene av de med problemet som meldte det inn, vet jeg ikke.

 

Så mens jeg venter på svar eller resultater fra Get (som kanskje aldri kommer), så tenkte jeg å sjekke om det er flere administratorer eller enkeltpersoner som har opplevd det samme siden nyttår?

Endret 24. mars 2020 av Diablos

[sk0yern]

Ikke et direkte svar på spørsmålet ditt, men slutt å bruke PPTP, L2TP.
Firmaet har vel allerede en fw som støtter vpn?
Eventuelt, se på alternativer som openvpn

[Diablos]

Vi bruker i utgangspunktet L2TP/IPSec, kombinert med andre løsninger som øker sikkerheten. Så det skal i utgangspunktet være bra nok. Men vi har også testet med PPTP og oppdaget at det er sperret også kun i dette modemet, så tenkte det var greit å slenge med her.

[nomore]

Er det forskjell på om de har routeren i bridge modus med egen router bak?

Og har de egen router i tillegg til Sagemcom routeren? Dvs to NAT routere.

[KanKhan]

På firmahytta så er det Get som leverer på Coax. Har satt opp L2TP/IPSEC mot en Unifi Secure Gateway 3P som skulle brukes for Site to site VPN. Ved oppsett (før Site to site) fungerer ikke VPN serveren på hytta. Det timer ut, ikke sett noe på dette enda da det er mest gjort i opplæringsøyemed for en lærling. Har samme oppsett flere steder, hvor kun der Get leverer er problemet. Get box står i bridge, usikker på modell på modem. Men Zyxel anno’slag. Gjetter vilt på NAT problemer. 

[Diablos]

nomore skrev (1 time siden):

Er det forskjell på om de har routeren i bridge modus med egen router bak?

Og har de egen router i tillegg til Sagemcom routeren? Dvs to NAT routere.

Den personen med IT bakgrunn som har testet har ikke egen router, så bruker kun Get sitt. Det samme gjelder for minst 2 andre som har rapportert om dette.

[nomore]

Skjønner. Kunne en prøvd å testet med å få satt opp en annen router bak Sagemcom routeren, og få Get til å sette Sagemcom routeren i bridge modus?

Jeg mistenker NAT problematikk her som andre og er inne på.

[Diablos]

Får ikke gjort det med det første, i den situasjonen vi er i i dag, men den ruteren har en DMZ funksjon, som du kan knytte opp mot en spesifikk IP adresse. Legger man maskinen i DMZ, så funker VPN med en gang.

Pushet på de nok en gang ift dette, men skjer nok ikke noe der med det første, med mindre flere selskaper rapporterer det inn som et problem. Derfor jeg i utgangspunktet var ute etter tilbakemeldinger. Men kan se ut som ingen som eventuelt opplever dette har sett tråden ennå  

[NULL]

Tenker vel to ting her først: NAT Passthrough eller SPI Firewall. Hvilke innstillingsmuligheter har ruteren på valg som heter noe ala dette?

[E.I. Lonoff]

Diablos skrev (På 25.3.2020 den 15.53):

[...]

Pushet på de nok en gang ift dette, men skjer nok ikke noe der med det første, med mindre flere selskaper rapporterer det inn som et problem. Derfor jeg i utgangspunktet var ute etter tilbakemeldinger. Men kan se ut som ingen som eventuelt opplever dette har sett tråden ennå  

Vi har samme problem i går bedrift. Blitt rapportert tilbake minst fire tilfeller fra random ansatte fra ulike deler av landet. (Sannsynligvis fler, men jeg har vært borti fire). IT-direktøren skulle ta det med GET i mars, men vet ikke om han har gjort noe mer med det. Ble travelt til ham (og oss andre) når hele bedriften skulle jobbe hjemmefra.

[Diablos]

Driver å tester SSTP heller enn L2TP, og første test virket lovende. Har enn så lenge kun fått testet med en av de problematiske. Get er en lost cause.

[Diablos]

Da har jeg fått bekreftet med flere at SSTP er en fungerende løsning, selv på denne GET ruteren. Så da håper jeg det hjelper de andre som måtte slite med dette.

Har man en RRAS server satt opp for PPTP eller L2TP/IPsec, så er det lite som skal til for å aktivere SSTP. Man skal bare legge til et sertifikat + åpne for port 443 inn til serveren. Bruker man den innebygde windows VPN klienten, så endres den fra spesifikk VPN protokoll til Automatisk. Med Automatisk, så forsøker den alltid sikreste VPN først, før den deretter forsøker seg på de mindre sikre variantene.

[inside_446486]

Har samme erfaring med enkelte brukere, Get og L2TP vs SSTP. Virker som det kun gjelder enkelte Get-brukere, og kan jo rime at det kan skyldes en bestemt boks. Vi har en overgang til OpenVPN på blokka til uttesting, men det tar tid å få på plass et praktisk testregime i disse hjemmekontor-tider.