Κάτι δεν πάει καλά με Cosmote internet τώρα τελευταία;

[Philippe]

Τις τελευταίες μέρες έχω θεματάκια όταν μπαίνω στο vpn της δουλειάς από κινητό. Χρόνια τώρα δεν είχα ποτέ πρόβλημα. Αν έχει καμία σημασία, η σύνδεση γίνεται με ipsec. Έχω δοκιμάσει 2 κινητά μέχρι στιγμής.

 

Χωρίς να πειράξω απολύτως τίποτα σε σχέση με το παρελθόν που όλα δούλευαν ρολόι, η σύνδεση πλέον χάνεται μετά από λίγα λεπτά. Αυτό μπορεί να συμβεί και κατευθείαν (δηλ. να φανεί η ip μου της cosmote στο computer της δουλειάς, αλλά εγώ να μην μπορώ να ανοίξω ούτε μια σελίδα στον browser του κινητού). Αργότερα μες στη μέρα μπορεί να καταφέρω να συνδεθώ κανονικά χωρίς να παρουσιαστεί κανένα πρόβλημα. Την άλλη μέρα, πάλι τα ίδια.

 

Το φαινόμενο παρατηρείται εδώ και λίγες μέρες μόνο με 2G/3G/4G σύνδεση. Όταν τα κινητά είναι σε wi-fi συνδέονται μια χαρά για όση ώρα θέλω.

Έχει αντιμετωπίσει άλλος κάτι αντίστοιχο; Είναι θέμα δικτύου cosmote άραγε; Από τεχνικής άποψης τι θα μπορούσε να το προκαλεί; Υψηλό latency ίσως; Μήπως αλλάξανε τίποτα με τα VoLTE που αρχίσανε πιλοτικά πρόσφατα;

[panos-]

Οταν δεν μπαινεις στο VPN τι γινεται;

[Philippe]

Μόνο με το vpn έχω το πρόβλημα!

[Philippe]

Το πρόβλημα παραμένει.. TL;DR: Σύνδεση VPN από android σε fritzbox με IPSec πρωτόκολλο. Δουλεύει άψογα όταν το κινητό έχει σύνδεση wifi αλλά όταν είναι σε mobile data συνδέεται μεν, αλλά με 0 κίνηση. Ξεκίνησε να μπλοκάρει η Cosmote τίποτα και γι'αυτό; Έχει αλλάξει κάτι στο NAT της εταιρείας;

[madrivermadonus]

ειχα και εγω αυτο το προβλημα ενω σε iphone σε υπηρχε.

ηταν θεμα ρυθμισεων του vpn στο server. μας εκαναν κατι αλλαγες και πλεον δεν αποσυνδεεται.

[Philippe]

Αχά! Με cosmote είσαι κι εσύ;

 

Το θέμα είναι ότι εγώ δεν έχω κάποιον να το φτιάξει.. Ό,τι κάνω μόνος μου και δυστυχώς είμαι ψιλο-άσχετος 

 

Στο router μπορώ να αλλάξω tcp port για https (τώρα 443). Αυτό θα βοηθήσει άραγε (αμφιβάλλω ότι έχει σχέση);

 

Το άλλο που μπορώ να κάνω είναι να αλλάξω τα udp pοrts στο text file που κάνω import στο router και αφορά την ipsec σύνδεση:

 

        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 

                            "udp 0.0.0.0:4500 0.0.0.0:4500";

 

Άραγε το iphone τι να χρησιμοποιεί και δεν έχει πρόβλημα;

Βρήκα μια λίστα TCP and UDP ports used by Apple software products αλλά πάλι τα standard ports αναφέρονται:

 

 

Πρόβλημα για δυνατούς λύτες

[madrivermadonus]

ουτε εγω μπορω να βοηθησω σε αυτο

ανοιξε νεο θεμα με αναλογο τιτλο μηπως βρεθει κανενας

[Επισκέπτης]

Βασικά το iOS και το ΜacOS με IPsec client είναι το πιό δύστροπο σε περιπτώσεις ειδικά όπου η πλευρά του VPN server είναι πίσω απο NAT  μιας και το NAT traversal δεν δουλεύει εδώ και κάμποσα χρόνια (απο leopard σε mac θυμάμε το ίδιο πρόβλημα...).

 

Τώρα NAT-T (nat traversal) έχουμε όταν τουλάχιστον ένας εκ των 2 ipsec peers είναι με private ip και χρησιμοποιεί NAT. 

 

Στο σενάριο σου όταν δουλεύει το wifi φαντάζομαι στο σπίτι σου, πέρνεις μια private ip συνηθως στην συσκευή σου και μέσω ΝΑΤ που γίνετε στο modem/router σου φτάνεις σε κάποιον ipsec server. Αυτό το σενάριο δουλεύει.

 

Τώρα με mobile σύνδεση, τι είδους ipv4 address σου δίνει  cosmote ? private ή public το έχεις προσέξει ποτέ ? Mε public δεν θα πρέπει να έχεις πρόβλημα. Υποψιάζομαι όμως αν έχεις private, τότε πιθανό πρόβλημα αν κάνει η cosmote το NAT (μιας και δεν θα μπορεί να δεσμέυει οποιοδήποτε UDP/TCP port θέλει ο κάθε συνδρομητής πίσω απο την ίδια IPv4 που γίνετε NAT, πχ  το NAT-T παίζει με UDP 4500 src <-> dst) .

 

Σε κάθε περίπτωση:

 

Γίνετε established κανονικά το IPsec ? Μπορείς να δείς logs σε client/server ? Το setup τους ?

Επεξ/σία 15 Ιανουαρίου 2017 από Επισκέπτης

[Philippe]

Ευχαριστώ πάρα πολύ για τη βοήθεια!

 

Με οποιοδήποτε wifi (είτε του σπιτιού μου είτε άλλων) έχω σταθερότατη vpn σύνδεση μεταξύ κινητού και γραφείου για ώρες - μέχρι να την διακόψω εγώ.

 

Μέσω mobile data - ενώ πάντοτε γίνεται established η σύνδεση και με εμφανίζει συνδεδεμένο και στο κινητό και στο γραφείο - δεν μπορώ να μπω καθόλου στο internet. Ορισμένες φορές δεν μπορώ να μπω από το πρώτο δευτερόλεπτο και άλλες μπαίνω μια χαρά για λίγα λεπτά (max 1-2 ώρες) και "πέφτει" μετά. Δηλαδή κάποιες φορές ΚΑΙ αυτό το σενάριο δουλεύει! Γι' αυτό λέω μήπως τσάμπα ψαχνόμαστε με ρύθμίσεις, μήπως η ποιότητα της mobile σύνδεσης έχει κάποιο πρόβλημα???

 

Θα ψάξω τώρα για τυχόν logs και θα επανέλθω..

 

Να τι μου εμφανίζει το κινητό όταν πάω να μπω στο insomnia.gr από τον mobile chrome:

 

 

Και αυτό δείχνει το μηχάνημα του γραφείου:

 

 

Το ίδιο, μετά από restart του κινητού που πήρε άλλη public ip από την cosmote:

 

 

 

Το "λαμπάκι" του status είναι πράσινο, ας μην έχω internet στο κινητό. Σαν να έχει ελάχιστο bandwith, ίσα-ίσα να βλέπει το ένα το άλλο.

[Επισκέπτης]

Το πιό βασικό είναι να δείς αν έχεις private ip στο κινητό όταν δοκιμάζεις με mobile συνδέση να συνδεθείς. Αν κάνει ΝΑΤ η cosmote (λογικά) θα σου δίνει ένα range απο udp/tcp ports για κάποιο χρονικό διάστημα, αν εκεί είναι και η UDP port 4500 τότε θα μπορεί να παίξει (για όσο καιρό γίνονται allocated σε εσένα).

 Πχ σε android δες με το LANdroid στο LocalNet, τη IP διεύθυνση σου εμφανίζει, (ή απο android settings, about device, status, IP) δεν το πολυκαταλαβαίνω το output που μου δείχνεις (remote network 192.168.178.201).

Επεξ/σία 15 Ιανουαρίου 2017 από Επισκέπτης

[Philippe]

Σ' ευχαριστώ φίλε koftis650 για την προσπάθεια

 

Με λίγο ακόμη ψάξιμο βρήκα ότι το έχει κι άλλος κόσμος το πρόβλημα. Και εδώ στο forum έχει γραφτεί πριν μερικούς μήνες και σε άλλα fora. Ίσως να σχετίζεται με την υπηρεσία IP VPN με πρόσβαση 3G/4G που ξεκίνησαν πρόσφατα. Τι θα μπορούσαν να έχουν κάνει οι cosmotέδες και δεν μπορούμε να συνδεθούμε (αν τελικά φταίνε αυτοί)?

 

 

PS: Το 192.168.178.201 είναι η local ip που αποκτά η κινητή συσκευή από το router αφού γίνει επιτυχώς η vpn σύνδεση μεταξύ τους. Το router το έχω με local ip 192.168.178.1 και "διαμοιράζει" στις συσκευές από το 200 και πάνω. Στο κινητό του έχω πει να δίνει το 201. Οι public ip του δικτύου κινητής είναι αυτές που γράφει πιο πάνω "Address in the internet" (π.χ. 31.217.178.79).

[Επισκέπτης]

Θα μπορούσαν να περιορίζουν την κίνηση που αφορά πόρτες που λειτουργούν για services (πχ ports για IPsec όπως κάνουν σε κάποιες άλλες "ευρωπαικές -  δημοκτρατικές" χώρες....), θα μπορούσαν αν κάνουν NAT και σου δίνουν  private ip και κάποιο range απο udp/tcp ports για κάποιο χρόνικο διάστημα να έχεις πρόβλημα επίσης (υπό προυποθέσεις, δες το traffic capture στο παράδειγμα) ή κάτι άλλο προβληματικό σχετικά με NAT/ALG.

 

Πχ με IPsec και NAT-T (udp port 4500 as src and dst, μεταξύ vpncliet <=> vpnserver) απο ένα android mobile (ipsec vpnclient) σε xDSL forthnet και IPsec VPN server ένα raspberry pi που έχει public ip σε κάποιον άλλο πάροχο (μιλάνε IPsec με NAT-T και UDP 4500) :

 

=========================================================================================================

    X.X.X.X.dsl.dyn.forthnet.gr.4500 > raspberrypi.4500: [no cksum] UDP-encap: ESP(spi=0x6049e8bd,seq=0x111), length 100
19:59:31.883751 IP (tos 0x0, ttl 54, id 9413, offset 0, flags [DF], proto UDP (17), length 624)
    X.X.X.X.dsl.dyn.forthnet.gr.4500 > raspberrypi.4500: [no cksum] UDP-encap: ESP(spi=0x6049e8bd,seq=0x112), length 596
19:59:32.040777 IP (tos 0x0, ttl 54, id 9414, offset 0, flags [DF], proto UDP (17), length 144)
    X.X.X.X.dsl.dyn.forthnet.gr.4500 > raspberrypi.4500: [no cksum] UDP-encap: ESP(spi=0x6049e8bd,seq=0x113), length 116
19:59:32.362016 IP (tos 0x0, ttl 64, id 17634, offset 0, flags [DF], proto UDP (17), length 256)
    raspberrypi.4500 > X.X.X.X.dsl.dyn.forthnet.gr.4500: [bad udp cksum 0x42b0 -> 0x7110!] UDP-encap: ESP(spi=0x0aeafdd8,seq=0x67), length 228
19:59:32.512576 IP (tos 0x0, ttl 54, id 9415, offset 0, flags [DF], proto UDP (17), length 128)
    X.X.X.X.dsl.dyn.forthnet.gr.4500 > raspberrypi.4500: [no cksum] UDP-encap: ESP(spi=0x6049e8bd,seq=0x114), length 100
19:59:33.732064 IP (tos 0x0, ttl 64, id 17704, offset 0, flags [DF], proto UDP (17), length 112)

=========================================================================================================

 

Φυσικά όταν κάνεις εσύ στο σπίτι NAT έχεις όλο το range των πορτών 1-65535 TCP/UDP και δουλεύει (με την προυπόθεση και πως το modem/router κάνει pass through το ipsec). Αν όμως το κάνει κάποιος άλλος (Cosmote) θα μπορούσε να είναι εκτός η UDP port 4500 και να μην δουλευει (αν και πιστεύω πως δεν θα έπρεπε να ανεβαίνει το ipsec tunnel στην περίπτωση αυτή). Μπορεις να βάλεις ένα wireshark capture  στον server  και να δίνεις τι συμβαίνει (αν έχεις γνώσεις γύρω απο δίκτυα).

 

 Σίγουρα δεν έχει να κάνει με κακή ποιότητα του δικτύου της Cosmote αλλά με κάτι άλλο που κάνει στο δίκτυο της η Cosmote.

 

Mια άλλη δοκιμή θα ήταν αν έχεις mobile internet απο κάποιον άλλο πάροχο και έκανες δοκιμή εκεί (πχ με vodafone βλέπω πως δίνει και αυτή non-routable ip σε 100.64.0.0/10 range και κάνει NAT αλλά δουλεύει το IPsec με τους ίδους peers και NAT-T έχει μόνο ως destination την UDP port 4500 προς τον VPN server άλλα όχι το αντίστροφο)

 

Σχετικά με το addressing είναι παραπλανητικό το ouptut απο τον server όπως το δείχνεις. Θα έλεγα να ξαναδείς όπως ανέφερα και πρίν απο τον client.

 

Σχετικά με το service που προσφέρει η Cosmote δεν θεωρώ πως έχει σχέση, μιας και εδώ και πάρα πολλά χρόνια είναι στην αγορά η συγκερκιμένη τύπου υπηρεσία απο όλους τους παρόχους (και το οποίο δεν έχει και σχέση με IPsec VPN).

Επεξ/σία 17 Ιανουαρίου 2017 από Επισκέπτης

[Philippe]

 Είσαι φοβερός! Υποκλίνομαι!!!