L2TP/IPSEC VPN over 4g modem

Laptop op wifi hotspot van je telefoon gebruikt de APN van je telefoon.  Die is beveiligd via een NAT. De apn in je telefoon zal zijn internet.mobiel. Als je die beveiliging wil weghalen (eigen risico) probeer dan eens de ApN INTERNet op je telefoon. 

Dag rvk01,

Ja uiteraard ken ik dit en heb ik dat allang geleden gedaan. want de verbinding naar mijn huis werk ook wel gewoon.

Dag eric,

Inderdaad nu doet de telnet verbinding ook via de telefoon reageren.

Maar ik krijg de VPN dus niet aan de gang. als ik op mijn WIFI zit en bij servernaam/adres het lokale adres invul dan zet die de verbinding wel op. dus ergens word dit tegen gehouden. gaat om poorten 1723 TCP en 1701,500,4500 UDP.

Eh? Probeer je via 4G binnen te komen op je router, dan moet je wel portforwarding maken.  Door intern IP adres erin te zetten via wifi sla je dat over.

Mijn Samsung S24 ondersteund verder alleen nog maar Open VPN. Dus je vpn client zit dan op je laptop neem ik aan.

Ik probeer met mijn laptop, met de ingebouwde VPN client verbinding te maken met mijn synology nas.
uiteraard moet ik portforwarding maken. dat heb ik ook beschreven en getest of mijn modem dit deed met telnet, telnet deed ik over poort 23. en de VPN gaat over de poorten 1723 TCP en 1701,500,4500 UDP.

Zet eens een printscreen van de portforwarding pagina hier neer.

Ik heb nog steeds niet echt door van en waarnaartoe je verbinding probeert te maken. 

Maar goed... als je toegang hebt tot een Linux machine kun je met nmap kijken of de UDP poort open staat. 

pi@space01:~ $ sudo nmap -sU -p 1701 x.x.x.x
Starting Nmap 7.93 ( https://nmap.org ) at 2025-05-09 22:21 CEST
Nmap scan report for ip-x.x.x.x.f2x.nl (x.x.x.x)
Host is up (0.012s latency).

PORT     STATE SERVICE
1701/udp open  L2TP

Nmap done: 1 IP address (1 host up) scanned in 0.28 seconds

Heb je onder het ALG menu ook L2TP en IPSEC Pass-through aangevinkt?

Jazeker heb daar alle vinkjes aanstaan. 
 

maar hier begrijp ik uit dat je toch denkt dat het ergens in mijn router/modem zit?

Als je de apn “internet”gebruikt zit er aan de Odido mobiel zijde geen NAT tussen. Op de standaard APN “internet.mobiel” wel.

Ja die staat op APN internet.

Als we dan even terug naar het begin gaan… als je via een mobiele data verbinding contact probeert te maken met telnet 23, dan werkt het niet. Terwijl TCP 23 wel goed geforward is? En dat is wanneer je APN: internet gebruikt? Dan lijkt mij er toch iets niet goed te zijn (er even van uitgaande dat je telnet server wel connecties van buiten je locale netwerk accepteert). Zolang telnet 23 TCP niet werkt, krijg je VPN natuurlijk helemaal niet aan de gang.

juist wel. als ik dus op de nas telnet aan zet. en dan op het modem poort 23 open.

mijn laptop verbind met mijn telefoon dan kan ik WEL een telnet verbinding openen. dus deze poort gaat goed open en lijkt dus gewoon te werken. nu zet ik de VPN poorten open maar dan komt de VPN verbinding er niet. ben nu aan het kijken op mijn linux thuis of ik via nmap dat kan zien. maar nmap werk nog niet.

Uh. Ok, ik dacht dat je in je openingspost dit zei:

als ik dan met de laptop op de wifi van mijn telefoon gaat komt deze niet tot stand.

Maar goed… als het via de wifi van je telefoon (mobiele data) wel goed gaat dan heb ik niets gezegd 😉

Dat was inderdaad in mijn opening post zo. maar toen zij iemand ook de apn op je telefoon op “internet” zetten en toen werkte het wel.

pi@space01:~ $ sudo nmap -sU -p 1701 x.x.x.x
Starting Nmap 7.93 ( https://nmap.org ) at 2025-05-09 22:21 CEST
Nmap scan report for ip-x.x.x.x.f2x.nl (x.x.x.x)
Host is up (0.012s latency).

PORT     STATE SERVICE
1701/udp open  L2TP

Nmap done: 1 IP address (1 host up) scanned in 0.28 seconds

Oke dit is nu ook gelukt. Alleen krijg ik het volgende bericht: 

Starting Nmap 7.70 ( https://nmap.org ) at 2025-09-03 14:54 CEST
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.62 seconds

Dit krijg ik ook als ik naar de wel werkende VPN bij mij thuis. Ik denk dat de NAS niet op ping reageert via deze poort?

Als ik nu -Pn toevoeg krijg ik wel reactie. en dat is het volgende: 

:~ $ sudo nmap -Pn -sU -p 1701 xxx.xxx.xxx.xxx
Starting Nmap 7.70 ( https://nmap.org ) at 2025-09-03 15:00 CEST
Nmap scan report for xxx.xxx.xxx.xxx
Host is up.

PORT     STATE         SERVICE
1701/udp open|filtered L2TP

Nmap done: 1 IP address (1 host up) scanned in 2.61 seconds

maar dan krijg ik altijd de melding host is up wat voor een poort ik ook invul.

Ik weet niet meer tegen welke server ik getest heb maar ik krijg de “open” nu hier ook niet meer. Maar het is ook afhankelijk van welke VPN server.

Overigens is 1701 misschien niet eens niet nodig want als je achter een NAT zit worden de pakketjes voor L2TP encrypted over 4500 verzonden. Maar meestal wordt ie wel geadviseerd.

Sowieso is het controleren op “open port” moeilijk omdat veel van deze services pas reageren als ze ook geldige pakketjes hebben gekregen. En er wordt eerst via 500 een onderhandeling gedaan voordat er over 1701/4500 pakketjes verzonden/ontvangen worden.

Er schijnt voor nmap wel een optie --script=ike-version te zijn (om te onderhandelen en de versie terug te krijgen) maar die heb ik nog niet werkend gekregen. sudo nmap --script=ike-version -p500 -sU x.x.x.x

Wel gaf ike-scan mij een goed resultaat:

# sudo apt install ike-scan
# sudo ike-scan x.x.x.x
Starting ike-scan 1.9.5 with 1 hosts (http://www.nta-monitor.com/tools/ike-scan/)
x.x.x.x   Main Mode Handshake returned HDR=(CKY-R=461e37c82a5a532e) SA=(Enc=3DES Hash=SHA1 Auth=PSK Group=2:modp1024 LifeType=Seconds LifeDuration(4)=0x00007080) VID=afcad71368a1f1c96b8696fc77570100 (Dead Peer Detection v1.0)

Ending ike-scan 1.9.5: 1 hosts scanned in 0.034 seconds (29.41 hosts/sec).  1 returned handshake; 0 returned notify

Om wat voor VPN server gaat het?

PS. Geeft dit commando wel een open 500 UDP? (en open|filtered 1701/4500) ?
sudo nmap -sU -p 500,4500,1701 --script=ike-version x.x.x.x

de VPN server draait op een synology nas.

en ook op de andere poorten host seems down.

kan het uitmaken dat de NAS via upnp zelf poorten open heeft gezet in onze router? die in het modem heb ik zelf gemaakt. hier onder nog de screenshots

mijn router heeft op de wan poort 192.168.1.180

en mijn nas 192.168.0.254

Hoezo heeft de router een ip van 192.168.1.180 op de WAN poort? Dat is een intern adres. Heb je twee routers achter elkaar staan? Dat zou natuurlijk sowieso een probleem zijn.

Waarom is je TP-Link MR600 niet gewoon hoofdroute?

Als je de tweede router (AX3000?) wel moet houden, dan kun je die beter in de DMZ van de MR600 zetten. Maar dubbel NAT is sowieso vragen om problemen. 

Werkt het wel als je de NAS gewoon direct op de MR600 aansluit?

(We hadden ons veel moeite kunnen besparen als je gelijk gezegd had dat je twee routers achter elkaar had staan. Probeer het dus eerst direct op de MR600 werkend te krijgen.) 

Ja ik heb 2 routers achter elkaar. Ik kan helaas niet nu zo maar de nas rechtstreeks op de MR600 aansluiten, want mijn collega's hebben dan een uitdaging.

De AX3000 is altijd al onze hoofd routen en zal dit ook blijven. wij zijn verhuisd met het bedrijf, en hebben hier nog niet een vaste internet aansluiting, vandaar dat de MR600 hier nu voor internet zorgt. dit was tot vorige week via een TCL MW63-VK die via odido zakelijk geleverd is. hier kon je niks op instellen dus met odidio paar x aan de telefoon gehangen die kwamen met een andere “modem” proberen en contact zoeken hier op het forum.

Op zich moet dit toch geen probleem zijn? thuis heb ik ook een route AX1500 en daar voor een modem van ziggo met daar achter een synology nas. en hier werkt de vpn gewoon geen probleem om hier van werk een vpn te krijgen naar huis.

En om de MR600 een DMZ naar de AX3000 werk ook niet.

De TCL MW63-VK is waarschijnlijk geen router maar alleen een converter. En de Ziggo modem thuis staat waarschijnlijk in bridge mode (ook alleen doorgeefluik).

Ik had het al gehad over ALG en pass-through. Ik neem aan dat je die instellingen op beide routers ingesteld of uitgezet hebt. 

Ik zie dat de AX3000 ook een VPN server heeft. Ik neem aan dat die niet aan staat. Of misschien kun je die juist proberen.

Anders weet ik het ook niet meer (anders dan dat NAT achter NAT problemen geeft met VPN).

De MR600 heeft geen bridge modus heb ik gevonden op het internet.

Wat bedoel je precies met de ALG en Pass-trough? die staan allemaal aan.

Probeerde het nu idd met de VPN serve op de AX3000 maar ook die krijg ik niet aan de gang. dus dan lijkt het dat de MR600 of het mobiele netwerk toch ergens iets blokkeert.

Klik en klaar is inderdaad niet bedoelt alternatief voor een zakelijke glasvezel aansluiting.  Er kunnen best beperkingen zijn, maar voor een gewone consument is het ook een product wat weinig kost en elke maand opzegbaar is zodat die hetzelf kan proberen en vaststellen of het wat voor hem is.