NS en VPN verbinding. | NS Community
beantwoord

NS en VPN verbinding.

  • 31 December 2022
  • 25 reacties
  • 770 Bekeken

Onlangs opgemerkt dat ik niet gebruik kan maken van de NS app of inloggen op Mijn NS website zodra er een VPN verbinding is.

Waarom wordt een VPN verbinding; in mijn geval ProtonVPN, geblokkeerd?

 

Ik waardeer mijn privacy enorm, dit zou niet moeten kunnen!

 

Laat VPN gebruikers toe!

icon

Beste antwoord door Stijn NS 31 December 2022, 11:39

Bekijk origineel

25 reacties

Goedemorgen Yinchie en welkom bij de NS Community!

Ik ben zelf weinig bekend met VPN servers, maar ik heb wel dit topic kunnen vinden over het gebruik van VPN's met het WiFi in de trein. Wellicht heb je daar iets aan?

Of misschien kunnen andere gebruikers er meer over zeggen? Ik meen dat @Henk_NL redelijke kennis heeft op dit gebied.

Hallo @Stijn NS 

Dankje voor je snelle reactie maar helaas dat is mijn oplossing niet.

HIer de melding die ik ontvang zodra ik verbonden ben via mijn thuis internet verbinding in combinatie met een VPN verbinding (via ProtonVPN) als ik naar "Mijn NS" inloggen wilt gaan.

"Access Denied

You don't have permission to access "http://loginapi.ns.nl/oauth/authorize?" on this server.

Reference #18.3c301060.1672483276.d473828”

 

In de NS app als je probeerd in te loggen wordt je terug gestuurd naar het inlog scherm; een eindeloze loop.

 

Met andere woorden, VPN verbinding wordt geblokkeerd en dat waardeer ik niet.

Betreffende het WiFi in de trein zou het NIET uit moeten maken hoe iemand verbinding maakt met gebruik van TCP of UDP. Het is algemeen bekend en aanbevolen om gebruik te maken van  een VPN verbinding bij een publieke WiFi network voor veiligheid en privacy redenen.

Ik zie dat er meerdere gebruikers deze foutmelding hebben gemeld. Zie o.a. deze topics:

Ik weet niet wat de oplossing uiteindelijk is geweest en in hoeverre het gerelateerd is met de VPN, maar ik zou je ook willen adviseren om contact op te nemen met onze Klantenservice, onze IT afdeling zal er dan naar moeten kijken.

Badge +3

Tegenwoordig gebruiken veel VPN apps het WireGuard protocol, want dat is sowieso sneller dan andere protocollen (zoals OpenVPN).

https://restoreprivacy.com/vpn/wireguard-vs-openvpn

Maar… ‘It only supports UDP protocol and does not use 443 port (HTTPS traffic port)’, en dat kan je in een trein (of andere ‘managed’ WiFi omgeving) behoorlijk opbreken.

Terugvallen op OpenVPN (en TCP) zou gewoon moeten werken, maar verwacht dus geen wonderen want meer dan 512 kbps krijg je toch niet in een NS trein.

Reputatie 7

Uit welk land komt het IP-adres dat je VPN je geeft ? Veel Nederlandse sites blokkeren buitenlandse IP's van landen waarvan het onwaarschijnlijk is, dat die burgers die Nederlandse dienst nodig zou hebben (in dit geval: een Nederlandse trein).

De manier waarop filtering en vooral limitaties worden geregeld op publieke netwerken zoals in de trein, willen als bijvangst nogal eens hebben dat allerlei andere zaken dan tcp/80 en tcp/443 worden geblokkeerd. NS blokkeert niet bewust VPN-clients omdat het VPN-clients zijn, maar vangt vrij breed allerlei zaken af behalve de “gebruikelijke” zaken die een mens in de trein doet volgens NS. Ik maakte in het verleden bijvoorbeeld gebruik van SSH-tunnels om zo “veilig” bij remote diensten te kunnen zonder enig probleem. 
 

Voor het openen van het portaal op akkoord te geven op de voorwaarden ga je wel je VPN-verbinding nog uit moeten hebben, of de VPN-cliënt zo geconfigureerd dat lokale adresruimte bereikbaar is buiten de VPN-verbinding om. En ook de eerste DNS-query moet dat doen. Dat is de lookup van portal.ns.nl namelijk en die wordt lokaal afgehandeld. Is niet publiek in de DNS opgenomen. 

Nogmaals, inloggen op mijn ns of in de app werkt niet met vpn. Het heeft niks met trein wifi te maken als ik thuis wil inloggen.

Met gebruik van protonvpn.

 

Deze melding ook in de app.

 

Conclusie NS blocked vpn gebruik.

 

Ik als IT hobbyist heb geen uitleg nodig hoe en wat. Er is geen reden om vpns te blokkeren als ik niet op de trein zit en als ik sowieso nooit publieke wifi gebruik en uit privacy standpunt is vpn gebruik aangeraden op publieke wifi.

 

Zodra ik de vpn uitzet werkt het direct.

 

Badge +3

 

Conclusie NS blocked vpn gebruik.

Nee hoor. Dat ligt aan je protocol (en mogelijk UDP verbindingen en zo, dat gaat niet werken)

. Binnenkort eens testen wat nu precies wel en niet werkt, vooropgesteld dat er ‘werkende’ Wifi in de trein is (dus een internet verbinding - ping google.nl of zo)

Protonvpn lijkt op een ‘anonomyzer’ en niets meer dan dat. Voor dat soort dingen raad ik Surfshark (geen reclame) aan.

Wat werkt er voor jou dus niet in de trein @Yinchie?

Reputatie 7
Badge

@Robert B TS heeft het over verbinden met mijnNS via een VPN server vanuit zijn huis, niet vanuit de trein.

Reputatie 5
Badge

Het probleem lijkt dan wel specifiek bij ProtonVPN te zitten; gebruik makende van Surfshark met het Wireguard protocol kan ik gewoon inloggen op de site en de app vanaf een Argentijns ip adres

Veel Nederlandse sites blokkeren buitenlandse IP's van landen waarvan het onwaarschijnlijk is, dat die burgers die Nederlandse dienst nodig zou hebben (in dit geval: een Nederlandse trein).

Wat is daarvan de achterliggende reden? Angst voor hackers, censuur of wat anders?

Reputatie 7
Badge

Los van de NS zie ik dat meerdere grote organisaties buitenlandse VPN's blokkeren. Gisteren heb ik nog iemand gezien die luchtvaartmaatschappij Vueling niet kon bereiken en dezelfde foutmelding kreeg.

Los van de NS zie ik dat meerdere grote organisaties buitenlandse VPN's blokkeren. Gisteren heb ik nog iemand gezien die luchtvaartmaatschappij Vueling niet kon bereiken en dezelfde foutmelding kreeg.

Zeker voor een luchtvaartmaatschappij lijkt me dat heel vreemd.

Ik als IT hobbyist heb geen uitleg nodig hoe en wat.

Jammer dat je het meteen op die tour gooit, doordat @Stijn NS pingde en begon over wifi in de trein raakte (ik in ieder geval) van de wijs.

Veel Nederlandse sites blokkeren buitenlandse IP's van landen waarvan het onwaarschijnlijk is, dat die burgers die Nederlandse dienst nodig zou hebben (in dit geval: een Nederlandse trein).

Wat is daarvan de achterliggende reden? Angst voor hackers, censuur of wat anders?

Eerder uit voorzorg, of vanuit een (doorgeschoten angst om aangesproken te worden op het niet naleven van enige) zorgplicht. Soms is het enkel op geo-ip-basis, soms op AS-nummer, en soms op basis van een externe dienst die een combinatie van deze en andere factoren gebruikt. Translink heeft de ov-chipkaart website ook lange tijd beperkt tot Benelux + DE. Dat is een voorbeeld van een wat doorgeschoten implementatie in mijn optiek.

 

Idee is dat bepaalde IP-space veel gebruikt wordt voor ongewenste activiteiten, zoals het inloggen met gelekte inloggegevens, terwijl de hoeveelheid legitiem verkeer minimaal is. Helemaal sinds er veel meer gebruik wordt gemaakt van gelekte inloggegevens die mensen delen, waardoor je niet op voorhand al een indicator hebt omdat er veel inlogpogingen mislukken. Die kun je pas blokkeren als er een x aantal accounts inloggen vanaf hetzelfde IP-adres. Maar ook dat is lastig een grens stellen sinds CG-NAT steeds gangbaarder wordt.

 

Probleem speelt niet alleen bij VPN-boeren overigens, wij draaien een remote desktop-achtige omgeving op een AS-nummer dat vaak als ‘datacenter’ wordt aangemerkt. Maakt inloggen ook wel eens lastig bij bepaalde bedrijven.

Reputatie 2

je kunt ook een andere server (van hetzelfde land) proberen als een bepaald ip van een vpn provider niet werkt, vaak werkt het dan weer wel.

Bij proton heb je naar mijn idee al snel met blokkades en extra veiligheidsmaatregelen (bijvoorbeeld continu captcha's) te maken, omdat er vanaf die servers gewoon extreem veel 'ongewenste activiteit' is

Badge +3

(Semi off-topic) Ik dacht dat OV-chipkaart de boel verbeterd had, maar nee dus (vanuit India, iemand wil zijn kaart vernieuwen). https://twitter.com/awe_flaw_some/status/1672541525014896640

This page is not available from your location. This is because we have temporarily blocked the country you are in for security reasons

Reputatie 7
Badge +1

(Semi off-topic) Ik dacht dat OV-chipkaart de boel verbeterd had, maar nee dus (vanuit India, iemand wil zijn kaart vernieuwen).

Het is minder slecht geworden, zeg maar. Vanuit Zwitserland bv. werkt het nu wel weer.

Badge +3

Het is minder slecht geworden, zeg maar. Vanuit Zwitserland bv. werkt het nu wel weer.

Via een VPN in New Delhi werkt ov-chipkaart.nl grotendeels, maar een kaart vernieuwen (inloggen) gaat niet lukken 😥

 

Reputatie 7

Mijn e-mailprovider heeft een uitgebreide webpagina geschreven over hoe het account wordt beschouwd als gecompromiteerd. Ze blokkeren dan je gehele account en ze gaan er vanuit, dat je bent gehackt. De enige uitzondering: gebruik van VPN. In dat geval - zo melden ze - heeft ‘iedereen’ hetzelfde IP-adres, inclusief de piraat die hun servers aanvalt. Als jij (ik) in dat geval op exact hetzelfde moment inlogt, denken zij, dat jij aanvalt en dus blokkeren ze je. In dat geval moet je een e-mail schrijven naar hun recherche met een hoop details.

 

En hop… mijn account was geblokkeerd.

 

Ik heb inderdaad een e-mail terug gekregen en ze hebben mij bevestigd, dat mijn account niet was gehackt, maar dat Windscribe - mijn VPN-aanbieder - het bovenstaande scenario had aangericht.

 

Reactie van Windscribe: uw e-mailprovider heeft gewoon een hekel aan VPN’s en daarom blokkeren ze die IP-range. En ze blokkeren dan ook je account (als bonus).

 

Enfin, met al die uitleg begrijp ik dus wel een beetje, dat ‘men’ IP-adressen die bij VPN providers horen preventief blokkeert. Dat is leuk, anonimiteit. Maar piraten vinden dat ook leuk.

 

@Tamzin : ik had je vraag niet gezien, maar Henk heeft je al van antwoord gediend. Inderdaad. als het niet logisch is, dat men vanuit - bijvoorbeeld - India iets van de NS wil, dan blokkeert de NS India.

Reputatie 2

 

@Tamzin : ik had je vraag niet gezien, maar Henk heeft je al van antwoord gediend. Inderdaad. als het niet logisch is, dat men vanuit - bijvoorbeeld - India iets van de NS wil, dan blokkeert de NS India.

 

Werkt een Nederlandse VPN vanuit het buitenland wel op loginapi.ns.nl ?

 

Het gros heeft altijd wel gewerkt. Of dat nu nog zo is, zou iemand moeten uitproberen

Reputatie 3

 

Werkt een Nederlandse VPN vanuit het buitenland wel op loginapi.ns.nl ?

Mullvad werkt over het algemeen vrij goed. Sporadisch kun je ermee niet inloggen op Mijn NS, maar als je dan een andere Nederlandse server selecteert lukt het wel gewoon. 

Misschien heeft het ermee te maken dat Mullvad niet zo heel groot is in vergelijking met een aantal andere aanbieders, ook omdat ze geen gratis accounts hebben zoals bijvoorbeeld Proton.

Het maken van VPN-verbindingen lijkt niet te worden toegestaan via het WiFi in de trein netwerk. Heb diverse VPN-aanbieders geprobeerd en dit lijkt actief te worden geblokkeerd. OpenVPN krijg ik (naar divese bestemmingen van verschillende aanbieders) er niet doorheen.

Badge +3

Het maken van VPN-verbindingen lijkt niet te worden toegestaan via het WiFi in de trein netwerk. Heb diverse VPN-aanbieders geprobeerd en dit lijkt actief te worden geblokkeerd. OpenVPN krijg ik (naar divese bestemmingen van verschillende aanbieders) er niet doorheen.

Welkom bij de NS Community!

Zijn al meerdere topics over, waaruit blijkt dat UDP/TCP en het protocol en de gebruikte poort(en) verschillende resultaten geven. TCP/443 en WireGuard i.p.v. OpenVPN of PPTP of IPsec zou moeten werken, en volgens NS blokkeren ze geen poorten. Iemand anders had het via UDP/53 werkend, maar da's alweer 9 jaar geleden na de swich van Tmobile naar Wifi in de trein.

 

Reageer