Стани премиум член и добиј попуст на 2000+ производи и куп други бенефити!
  • Важно
    Имате проблем со најава или регистрација на it.mk?
    Побарајте го решението на вашиот проблем ТУКА!

Проблем при поврзување до сопствен (домашен) IKEv2 VPN сервер преку мобилна мрежа

TexasUS

On your way to fame
25 февруари 2017
909
842
Здраво на сите, како што гласи темата имам проблем при поврзување до домашен VPN сервер (IKEv2 протокол) преку мобилниве мрежи најверојатно поради блокирање на таков сообраќај од мобилниве опрератори. Бар ја се сомневам дека е до ова, затоа ја отворив темава за помош и сугестии.

Во кратки црти конфигурацијата локална:
  • Корисник сум на Телеком оптика, немам фиксна ИП, туку динамична и преку дднс цело време се ажурира ИПто и така и се конектирам уствари, како хост на впнот е конфигуриран на домеинот.
  • Користам нивно ОНТ - Huawei HG8145, на кое имам подесено порт форвардинг на порти 500 и 4500 UDP да препраќа кон локална ип односно кон orangepi на кое и имам поставено конфигуриран strongswan ikev2 сервер.

Во кратки црти проблемот и што фунционира а што не:
  • Закачен преку други Wi-Fi мрежи (денес тестирано на 2, и 2те се од телеком) конекцијата нема никаков проблем, веднаш се конектира и од Windows и од iOS. Изминатиов период бев и во шпанија и ист случај и таму, преку мобилна не работи преку фиксна мрежа нема никаков проблем, се конектираше. Секој трафик инициран од надвор се логира и на Хуавеито (дека има примено пакет од надвор) и на orangepi-то (барање за конекцијата). Али кога пробувам од мобилна, воопшто нема никаков лог на ниедно место, ни дека Хуавеито примило пакет ни на пи-то. Бидејќи iOS ко iOS не фрла еррор зошто не успева, на Windows јавува како да се затворени портите, истиот еррор што би го добил кога би ги затворил портите на ОНТ-то (видете слика 1). Значи кога би ги затворил портите и би пробал од другиве Wi-Fi мрежи е целосно истиот ерор. Во event viewer e код 809 што по гуглање на истиот значи: Error 809 cause You can encounter this issue when the UDP 500 or 4500 ports on the VPN server or firewall are blocked
  • До пред некој месец бев на Телекабел мобилна (рентаат мрежа од Телеком нели) и од таму немав никаков проблем, и преку мобилната се поврзуваше без никакви проблеми. Откако се префрлив на Телеком, веднаш се појави проблемот
  • Со нмап пробав да видам што можам, од фиксна мрежа портите ги јавува како open, од мобилна (Телеком и А1) како open|filtered. Видете слики. Од ова и дојдов до заклучок дека најверојатно ова е и проблемот што не можам да се конектирам, дека не е до моја локална конфигурација, али ајде сугестии, помош, идеи се добредојдени. На Телекабел мобилната фунционираше.

Доколку е така зошто од еднава би ги блокирале зошто од другата не?
 

Атачменти

  • 1722438354557.png
    1722438354557.png
    61,7 KB · Прегледи: 26
  • 1722438873554.png
    1722438873554.png
    2,7 KB · Прегледи: 25
  • 1722438896595.png
    1722438896595.png
    2,7 KB · Прегледи: 22
  • 1722439909057.png
    1722439909057.png
    40,6 KB · Прегледи: 24
Последна промена:

ARMac

Epic
2 октомври 2010
9.321
12.205
Скопје
androgaming.com
Можно е да е проблемот до софтверот на мобилните.

А за кој сервер се одлучи (претпоставувам IPSEC?) и зошто па Ike V2, како оди хендшејкот?

Има некое време поминато откако сум сетирал IPSEC, ама неколку работи ми паѓаат на памет.

1. Премести го хуавеито во бриџ мод. Стави асален рутер. На пример ефтин микротик
2. Пробај со друг DNS сервис, на пример dynu.com
3. Пробај дали IP адресата се апдејтира правилно, па пробај со директна конекција кон IP
4. Направи VM снепшот и изолирај го па сподели да пробаме.

Јас откако го запознав wireguard, имам 1000 пати помалце проблеми и дома и деловно. Јас се конектирам без проблем на мојот сервер (исто динамичка телеком), од телеком, од А1, од дојче телеком Германија, Србија итн. Не сум приметил дека било каков протокол е блокиран на мобилните мрежи. Иако IPSEC ти викам немам користено ~2 год.
 

marv

Unbeatable
5 октомври 2007
5.173
4.750
Да пробаш андроид? Уште тоа ми текна, освен блокада на трафик.

Sent by ME using Tapatalk
 

lumixoid

Gaining Experience
22 септември 2008
185
233
На мобилните мрежи секогаш се користи NAT/CGNAT и најчесто блокираат се освен DNS/HTTP/HTTPS.
На времето имаше опција да се јавиш и да побараш ослободување на сите порти, ама не знам дали ова сеуште функционира.
 

Oktar

Хаќер без дрон
23 октомври 2012
5.676
17.228
Skopje
Oktar's setup  
Processor & Cooler
Intel® Core™ i9-9900k + Noctua NH D15 Chromax.black
Motherboard
Asus Prime Z370-A
Storage
SM951 256 + PM981 512 + 850 Pro 512 + 840 Evo 250 + WD Blue 1TB + WD Red 2TB + WD Red 3TB
PSU
Cooler Master Vanguard v850
RAM
Kingston HyperX Predator 2x16GB Kit (2x8GB) DDR4 3200MHz
Video card
MSI RTX3080 SuprimX
Case
BeQuiet Pure Base 600
Mouse
Logitech MX Master 2, Logitech MX Master 3, Logitech Wireless G Pro, Logitech G703
Keyboard
Keychron Q2, Keychron Q6, Logitech MX Keys Mini
Monitor
Dell U2515H
OS
Windows 11 + MacOS
A зошто имаш source port ист со destination port? In fact, зошто воопшто имаш source port? Тргни го и/или стави 0.

1722439909057.png
 

ARMac

Epic
2 октомври 2010
9.321
12.205
Скопје
androgaming.com
На мобилните мрежи секогаш се користи NAT/CGNAT и најчесто блокираат се освен DNS/HTTP/HTTPS.
На времето имаше опција да се јавиш и да побараш ослободување на сите порти, ама не знам дали ова сеуште функционира.

Неможе да ти блокира оператор порти на воспоставување повик. Само на слушање. Таман работа да има блокирање на рандом порти на проток. NAT-ирање спречува примање пакети на одреден порт, не и праќање.

Јас користам рандом порт 1982 и нема никаков проблем.
 

gdamjan

Unstoppable
3 април 2008
3.644
2.693
Скопје
damjan.softver.org.mk
gdamjan's setup  
Processor & Cooler
AMD Ryzen 5 Pro 4650G / Cooler Master Hyper 212 Black
Motherboard
MSI MAG B550m Mortar Wifi
Storage
NVME: 1TB AData XPG SX8200 Pro / HDD: 2x 2TB Toshiba P300
PSU
Gigabyte G750H
RAM
G. SKILL Ripjaws V Series 2x 16GB / DDR4 3200Mhz/CL16
Video card
Vega 7 on APU
Case
Bequiet! PureBase 500
Mouse
Logitech MX Anywhere 2S
Keyboard
ThinkPad USB Keyboard With TrackPoint (sk-8855)
OS
Arch Linux
A зошто имаш source port ист со destination port? In fact, зошто воопшто имаш source port? Тргни го и/или стави 0.
дека ipsec е килав

искрено @TexasUS би ти препорачал да преминеш на wireguard за vpn многу порезилиентен е на несоработувачки мрежи.
 

Bosko71

Gaining Experience
18 август 2022
70
64
Смени лан кабел, може зелено белата жичка да е оштетена, таа го филтрира трафикот и дозволува одредени пакети да поминуваат или запираат во мрежата, служи како пред фајрвол. Сличен проблем реши другар со промена на лан кабел категорија 5е. :)
 

marv

Unbeatable
5 октомври 2007
5.173
4.750
Смени лан кабел, може зелено белата жичка да е оштетена, таа го филтрира трафикот и дозволува одредени пакети да поминуваат или запираат во мрежата, служи како пред фајрвол. Сличен проблем реши другар со промена на лан кабел категорија 5е. :)
Се заебаваш, нели? Pls кажи дека се заебаваш?

Sent by ME using Tapatalk
 

Bosko71

Gaining Experience
18 август 2022
70
64
Се заебаваш, нели? Pls кажи дека се заебаваш?

Sent by ME using Tapatalk
Можеби ги измешав со портокалово бела, секогаш ме збунува типА и типБ пинување и тоа крос овер и пач стреит кабел,ама во суштина тоа е логиката :)
 

marv

Unbeatable
5 октомври 2007
5.173
4.750
Можеби ги измешав со портокалово бела, секогаш ме збунува типА и типБ пинување и тоа крос овер и пач стреит кабел,ама во суштина тоа е логиката :)
Човек, нема никаква логичка, електрична а камо ли мрежна логика и основа пишаното. Ова којзнае кој и каде те излажал, ама верувај те излажал.

Sent by ME using Tapatalk
 

Bosko71

Gaining Experience
18 август 2022
70
64
Човек, нема никаква логичка, електрична а камо ли мрежна логика и основа пишаното. Ова којзнае кој и каде те излажал, ама верувај те излажал.

Sent by ME using Tapatalk
Тогаш јас не сум разбрал убаво, можеби е поради тоа што го промени кабелот од 5е во cat 6a s/ftp, повеќе проток се отвори и сега има гигабитна мрежа. Сигурно тоа било друга тема.
 

marv

Unbeatable
5 октомври 2007
5.173
4.750
Тогаш јас не сум разбрал убаво, можеби е поради тоа што го промени кабелот од 5е во cat 6a s/ftp, повеќе проток се отвори и сега има гигабитна мрежа. Сигурно тоа било друга тема.
Е тоа е веќе можно, иако и квалитетен 5е крепи гигабит, ама околу и за тоа на друго место и друга тема.

Sent by ME using Tapatalk
 

Cika

Practice makes perfect
8 декември 2009
2.743
1.579
Ако не си го решил проблемот, пробај да ги избришеш proxy серверите од APN, телеком и а1 ставаат по дефолт нивни.

Претпоставувам затоа и работи на телекабел мобилната мрежа, ама не на овие две.
 

marv

Unbeatable
5 октомври 2007
5.173
4.750
Ако не си го решил проблемот, пробај да ги избришеш proxy серверите од APN, телеком и а1 ставаат по дефолт нивни.

Претпоставувам затоа и работи на телекабел мобилната мрежа, ама не на овие две.
Телеком не тура прокси, тоа само А1.

Sent by ME using Tapatalk
 

TexasUS

On your way to fame
25 февруари 2017
909
842
Најпрво извинете што ме снема, реков да дадам ден два да одговорите али ради обврски и други ствари немав време убаво да седнам да прочитам се и да проверам детално, еве ќе ви одговорам, и благодарам на советите и помошта од сите.

DMZ проба да видиш дали разлика ќе направи ?
Или дефинитивно од кај нив е блокирана портата ?
Не гледам што би сменило тоа, се сомневам дека ги блокираат на мобилната, но не и на фиксната мрежа (и најверојатно тоа е кај сите оператори, освен ете Телекабел каде уште пред 6 месеци кога го сетирав работеше без никакви проблеми се дур не се префрлив на телеком со мобилната).

Можно е да е проблемот до софтверот на мобилните.

А за кој сервер се одлучи (претпоставувам IPSEC?) и зошто па Ike V2, како оди хендшејкот?

Има некое време поминато откако сум сетирал IPSEC, ама неколку работи ми паѓаат на памет.

1. Премести го хуавеито во бриџ мод. Стави асален рутер. На пример ефтин микротик
2. Пробај со друг DNS сервис, на пример dynu.com
3. Пробај дали IP адресата се апдејтира правилно, па пробај со директна конекција кон IP
4. Направи VM снепшот и изолирај го па сподели да пробаме.

Јас откако го запознав wireguard, имам 1000 пати помалце проблеми и дома и деловно. Јас се конектирам без проблем на мојот сервер (исто динамичка телеком), од телеком, од А1, од дојче телеком Германија, Србија итн. Не сум приметил дека било каков протокол е блокиран на мобилните мрежи. Иако IPSEC ти викам немам користено ~2 год.
1. Не верувам да е до Хуавеито, би пробал ама навистина од моево знаење нема никаква логика ако е сличајов да истото се случува и на Windows машина и на iOS и исклучиво на мобилна. Значи еве од кај другарче пробав исто и од негова машина и од моиве уреди работи, он е на телеком, без никаков проблем се поврзува, до лог на хуавеито стига пакет, до лог на пи-то каде што е впн серверот стига пакет, конфигурација немам апсолутно никаква сменета од прв ден кога сетирав. Намерно внесувам погрешен пасворд, пакет стига се логира и на Хуваеито и на пи-то. Пребаци се не мобилна апсолутно ништо, на Windows вика дека е блокирано, server not responding, пребаци се на ВиФи се поврзува инстантно без никаков проблем. ДДНС работи, пробано се така се поврзувам цело време. Еве бев и во Шпанија период како што напоменав исто и таму, од ВиФи мрежи се поврзува, од мобилна не. Кога се поврзуваше се беше топ, мк ип добивав, си реков да проверам ај, проверив дури функционираше и магента тв можев да гледам, од станство е забрането.

2. Зошто ikev2, искрено немам некој посебен одговор, едноставно пошто ми треба на Windows и iOS и видов дека е нејтив поддржано од двава ОС-а па отидов со тоа, најдов и сосема солиден туториал (никогаш претходно немав чачкано вакви ствари, да напоменам) по кој идев и го подесив си функционираше.

3. На кои порти ти работи wireguard?
На мобилните мрежи секогаш се користи NAT/CGNAT и најчесто блокираат се освен DNS/HTTP/HTTPS.
На времето имаше опција да се јавиш и да побараш ослободување на сите порти, ама не знам дали ова сеуште функционира.
Најверојатно е и до ова, ете во првиот пост пратив што ми дава од нмап, од мобилната е filtered сообраќајот на тие порти, од фиксна само opened. Претпоставувам и затоа на @ARMac му работи, бидејќи и по нет најдов слични проблеми со ипсек и советуваат миграција на ссл-впн на порта 443. Можеби и најдобро ќе е да се обратам до телеком да прашам да кажат дали ставаат вакви ограничувања.
 

ARMac

Epic
2 октомври 2010
9.321
12.205
Скопје
androgaming.com
Најверојатно е и до ова, ете во првиот пост пратив што ми дава од нмап, од мобилната е filtered сообраќајот на тие порти, од фиксна само opened. Претпоставувам и затоа на @ARMac му работи, бидејќи и по нет најдов слични проблеми со ипсек и советуваат миграција на ссл-впн на порта 443. Можеби и најдобро ќе е да се обратам до телеком да прашам да кажат дали ставаат вакви ограничувања.

Јас стави рандом порта. И ок ми е и на телеком и на А1.

1724097828670.png
 

marv

Unbeatable
5 октомври 2007
5.173
4.750
Мислам дека не е до мобилните оператори. Користам self hosted Wireguard, OpenVPN како и малку постари L2TP/PPTP сервери (на кои преку мобилен не може веќе да се приклучам од 13ка навака). До сега не сум имал проблеми нит преку мобилен интернет (телеком, телеком во роаминг, грција водафон сим и есим преку мрежа на Nova, турција turk telekom sim) а ни преку вифи освен на неколку места во хотели каде испадна со брза проверка дека блокираат апер рејнџ порти.

Sent by ME using Tapatalk
 

TexasUS

On your way to fame
25 февруари 2017
909
842
A зошто имаш source port ист со destination port? In fact, зошто воопшто имаш source port? Тргни го и/или стави 0.

Погледнете го атачментот 139553
Друже, имаш пиво од мене, сега седнав да проверам детално да го испитам пак, до ова беше. Работи перфектно сега, ваљда ради натирањето е ова. Благодарам и на другите секако за сугестиите. (y):giggle:
 
Последна промена:

Oktar

Хаќер без дрон
23 октомври 2012
5.676
17.228
Skopje
Oktar's setup  
Processor & Cooler
Intel® Core™ i9-9900k + Noctua NH D15 Chromax.black
Motherboard
Asus Prime Z370-A
Storage
SM951 256 + PM981 512 + 850 Pro 512 + 840 Evo 250 + WD Blue 1TB + WD Red 2TB + WD Red 3TB
PSU
Cooler Master Vanguard v850
RAM
Kingston HyperX Predator 2x16GB Kit (2x8GB) DDR4 3200MHz
Video card
MSI RTX3080 SuprimX
Case
BeQuiet Pure Base 600
Mouse
Logitech MX Master 2, Logitech MX Master 3, Logitech Wireless G Pro, Logitech G703
Keyboard
Keychron Q2, Keychron Q6, Logitech MX Keys Mini
Monitor
Dell U2515H
OS
Windows 11 + MacOS
Друже, имаш пиво од мене, сега седнав да проверам детално да го испитам пак, до ова беше. Работи перфектно сега, ваљда ради натирањето е ова. Благодарам и на другите секако за сугестиите. (y):giggle:

MyJobHereIsDone.JPG
 

Нови мислења

Последни Теми

Статистика

Теми
47.598
Мислења
982.486
Членови
35.833
Најнов член
xanxgela
На врв Дно