Router filtruje VPN připojení

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod .Hardy 3. 8. 2018 19:06

Ahoj,

narazil jsem na problém, týkající se pravděpodobného filtrování/omezování VPN mým routerem (Asus DSL-AC52U).

Situace:
Po připojení k VPN se dostanu pouze na určitou podmnožinu intranetu, což bohužel ovlivňuje i funkčnost některých aplikací. Pro ověření, zdali se jedná o problém na mé straně a nikoliv firmy, jsem se pokusil připojit skrze mobilní hotspot (telefon s mob. daty) a voilá - nyní již VPN funguje naprosto bez problému.

Netušíte někdo prosím, čím by mohl být tento problém způsoben? Koukal jsem se již na administraci routeru a switche, zajištující správnou funkčnost VPN, by měly být nastaveny správně.
Obrázek

Díky!
AMD R5 1600 + Freezer 33 | Asus B350-f Strix | Asus Dual GTX1060 6GB | HyperX Fury 2x8GB DDR4 | HyperX Savage 240GB + WD Blue 1TB | Corsair RM550x | Gladius M35w
.Hardy
Junior

Odeslat příspěvekod milsimr 3. 8. 2018 19:46

WAN - NAT Passthrough ti bordel dělat nebude, problém bude na 99,9% někde jinde.
Administrátor fóra Živě.cz.
milsimr
Administrátor
Uživatelský avatar

Odeslat příspěvekod Nargon 4. 8. 2018 12:12

Já si jen tak tipnu. Ta podmnožina intranetu co ti nefunguje. Nemá náhodou stejný adresní prostor jako tvoje síť doma?
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor

Odeslat příspěvekod .Hardy 4. 8. 2018 16:56

milsimr: Jedná asi o nejčastěji zmiňované nastavení (PPTP/L2TP) v souvislosti s VPN u těchto routerů/modemů. Proto jsem jej pro jistotu zmínil.

Nargon: Při letmé kontrole se jedná o jiný adresní prostor.

Zajimavý je fakt, že se na dané „nefungující“ stránky dopingnu. Že by byl problém s dns? :hm
AMD R5 1600 + Freezer 33 | Asus B350-f Strix | Asus Dual GTX1060 6GB | HyperX Fury 2x8GB DDR4 | HyperX Savage 240GB + WD Blue 1TB | Corsair RM550x | Gladius M35w
.Hardy
Junior

Odeslat příspěvekod Nargon 4. 8. 2018 17:47

Tak pokud ti funguje ping na ip adresu, tak je spojení v pořádku. Data chodí tam i zpět. Pokud ti funguje i ping na DNS jméno, tak funguje i překlad adres korektně. Tím máš ověřeno že síťová vrstva funguje jak má.
Pokud se ale ani tak na stránku nedostaneš, tak je to spíš nějaký blok na aplikační úrovni Jako například že tvoje uživatelské jméno tam nemá přístup apod. Nebo blokování z jiného důvodu apod.
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor

Odeslat příspěvekod hunter21 4. 8. 2018 19:40

Ak sa jedná o väčšiu firmu, tak problém je vhodné komunikovať s bezpečnostným adminom vo firme, ktorý má väčšie možnosti ako bežný Franta užívateľ. Každý pokus niekoho sa niekam prihlásiť vidí v logu.
hunter21
Pokročilý

Odeslat příspěvekod .Hardy 5. 8. 2018 00:28

Problém s přihlášením pravděpodobně nebude, protože jak jsem již psal v úvodu, pokud se z domácí wifi přepojím na mobilní hotspot, tak vše začne fungovat. Tj. z toho soudím, že problém bude buď v nastavení modemorouteru a nebo někde na cestě (např. ISP).

Jen poznamenám, že nefunkční stránka = točící se kolečko nahoře v tabu (a občas i načtený certifikát).
AMD R5 1600 + Freezer 33 | Asus B350-f Strix | Asus Dual GTX1060 6GB | HyperX Fury 2x8GB DDR4 | HyperX Savage 240GB + WD Blue 1TB | Corsair RM550x | Gladius M35w
.Hardy
Junior

Odeslat příspěvekod hunter21 5. 8. 2018 07:21

Tým som myslel to, že by ti dokazal pomôcť kde to viazne. Ak sa dostaneš aspoň niekam, tak VPN je funkčné a šifrované spojenie je zostavené na VPN koncentrátore vo firme. Ak by bol problem s VPN vrstvou, tak ťa VPN koncentrátor odmietne a žiadny ping do vnútornej firemnej siete nepôjde.
Ja teda neviem ako to tam máte, ale takmer určite sa do firemnej siete nedostate hocikto pomocou mobilu cez VPN. Predpokladám, že MAC adresa toho mobilu je zaregistrovaná.
hunter21
Pokročilý

Odeslat příspěvekod vladimir 5. 8. 2018 10:49

.Hardy píše:Po připojení k VPN se dostanu pouze na určitou podmnožinu intranetu
A čím konkréně se ta podmnožina liší od zbytku množiny? Jiný rozsah IP-adres (jiná síť)?

.Hardy píše:Zajimavý je fakt, že se na dané „nefungující“ stránky dopingnu.
A jsi si jistý, že se dopingneš na správné servery, a ne třeba na stejné IP-adresy v síti providera?

Směřuju svými dotazy k tomu, jestli ti v nastavení windows klienta jenom nechybí háček u "použít vzdálenou výchozí bránu", resp. u OpenVPN že v konfigu chybí nastavení routy do vzdálených subnetů.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod .Hardy 5. 8. 2018 18:21

hunter21: Mac přístupového zařízení (router/mobil/whatever) by neměla hrát roli. Dole jsem blíže popsal scénář připojení.

Vladimir: Dopingnu se přímo na firemní servery (zkouším přímo ping int_server.jmeno_firmy.com), které jsou dostupné pouze v rámci intranetu. Jedná se většinou o různé adresy (sítě) s tím, že třeba jedna adresa ze stejné sítě jde a druhá ne.

Abych ještě upřesnil popisovaný scénář:

1) Jsem připojený k domací WiFi
2) Připojím se k VPN skrze Cisco Anyconnect klienta
-> Některé stránky nejdou
3) Nyní se přepojím k jiné WiFi (pro testovací účely mobilní hotspot s LTE daty)
4) VPN se automaticky „reconnectne“
-> Vše začne fungovat

Systém: MacOs 10.13.6

Právě proto padá podezření na domácí router.
AMD R5 1600 + Freezer 33 | Asus B350-f Strix | Asus Dual GTX1060 6GB | HyperX Fury 2x8GB DDR4 | HyperX Savage 240GB + WD Blue 1TB | Corsair RM550x | Gladius M35w
.Hardy
Junior

Odeslat příspěvekod vladimir 5. 8. 2018 19:49

Router nemá šanci nic filtrovat, jakmile je jednou VPN spojení navázané, komunikace je šifrovaná. Tunel buď funguje, nebo nefunguje.

To, že pingáš ping int_server.jmeno_firmy.com ale neznamená, že pingáš ten server. DNS-server ti vrátí adresu např. 10.0.20.50 a pokud nemáš správně nakonfigurované routy, ping může putovat do internetu, protože tam Windows najde rychlejší výchozí bránu s dostupným počítačem 10.0.20.50.

Ve firmě, slouží Cisco současně jako výchozí brána pro všechny ty firemní počítače? Pokud ne, opět by pakety místo do VPN mohly směřovat do internetu.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod hunter21 5. 8. 2018 21:26

Či je to routrom sa odskúša velmi jednoducho, stači ho vymeniť za iný len ta to otestovanie. Vyskúšaj vypnúť IPv6 na počítači. Nepotrebuješ mať IP z DHCP servera vo firme? DHCP paket obsahuje niektoré nastavenia, ktoré ti môžu chýbať. Čo dodať keď máš problem komunikovať s adminom vo firme a radšej potrebuješ tip na najlepší odhad.
hunter21
Pokročilý

Odeslat příspěvekod .Hardy 6. 8. 2018 19:08

Zkusil jsem další možnosti připojení:

WiFi v buse: VPN jde;
WiFi hotspot (nyní pomocí jiného telefonu) : VPN jde;
Starý modem/router: VPN jde;
Nový modem/router: VPN jde, ale s výše uvedeným omezením.

Takže si troufám říct, že se jedná o problém nového modemu/routeru.
AMD R5 1600 + Freezer 33 | Asus B350-f Strix | Asus Dual GTX1060 6GB | HyperX Fury 2x8GB DDR4 | HyperX Savage 240GB + WD Blue 1TB | Corsair RM550x | Gladius M35w
.Hardy
Junior

Odeslat příspěvekod hunter21 7. 8. 2018 09:34

Vzhľadom na to, že nám nedokážeš povedať nič konkrétne o tom ako máte vo firme nastavený (nielen) VPN koncentrátor/router niž ďaľšie už nevymyslíme. Ja si nemyslím, že by router menil obsah šifrovaného paketu, ktory je vytvorený a zašifrovaný na počítači ako VPN paket a cez router len prechádza. Bolo by potrebné pozrieť čo a kam chodí za VPN routrom vo firme. Je to možné, sú na to programy, ale k tomu sa asi nedostaneš.
Jediné čo sa dá doporučiť, nechaj si tam router s ktorým to funguje ak nutne potrebuješ pracovať doma na firemných veciach vo svojom voľnom čase.
hunter21
Pokročilý

Odeslat příspěvekod Nargon 8. 8. 2018 02:36

No tady to už chce situaci monitorovat z obou stran. Tedy připojit se přes to co zlobí a nejprve zkusit ping na nějakou IP která funguje. A monitorovat pakety. Tím zjistit "korektní" stav. Pak to stejné zkusit na IP, která ti nefunguje a zjistit kde je problém.
Tj zda vyslaný ping na VPN server dorazí, pokud ano, zda je správně zpracován a odeslán do sítě. Nebo zda se vyskytl problém a paket byl zahozen z důvodu nějakého poškození apod.
Pokud dotaz na ping dorazí, tak zda se korektně odešle odpověď a vstoupí do VPN tunelu. A pak i u tebe, zda ti nějaká odpověď přijde a jak je zpracovaná.
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 2 návštevníků