PPTP Server mit Radius Auth
-
Das sind nicht wirklich Adressen (bis auf die des PPTP-Servers). Kannst Du die tatsächlichen Adressen bitte komplett mit entsprechenden Subnets angeben?
-
192.6.1.0-255 255.255.255.0 Internes Netz
192.6.2.1 ist die PPTP Server Adresse.
192.6.5.0-255 Netz in dem die VPN Clients sind.Versteh nicht ganz was du meinst g.
Nochmal, auf die dumme idee mit 192.6 bin ich nicht gekommen ^^. Ich distanziere mich ausdrücklich ;-).
-
Ich meinte irgendwas in der Art (fiktive Adressen, bitte richtig stellen):
LAN 192.6.1.1/24
PPTP Server 192.6.2.1
PPTP Subnet 192.168.6.2.192/16 -
Aso, ja hat fast gestimmet ;-)
LAN Adresse der Firewall 192.6.1.245/24
PPTP Server 192.6.2.1
PPTP Subnet 192.168.6.5.1/28 -
Da kriegst du u.U. Probleme mit dem Routing. Ich würde das PPTP-Subnet zu einem Teil des LANs machen (z.B.):
LAN: 192.6.1.245/24
PPTP-Server: 192.6.1.246 (freie IP aus dem LAN)
PPTP-Subnet: 192.6.1.64/28Das ist am Schmerzlosesten. Damit sind Deine PPTP-Clients im gleichen Subnet.
-
Und wenn das nicht geht, weil das Subnetz vom LAN zu voll ist? g
-
Dann mußt Du sicherstellen, daß das Routing funktioniert.
-
Juhu, ich glaubs net. Mein Cheff lässt es zu das wir die IP's ändern. Dann hat sich das mit dem Routing zwischen VPN und LAN auch erledigt.
Nur noch eine Frage, ich müsste ein Routing einrichten auf der FW, damit Rechner oder Drucker die noch nicht umgestellt sind, trotzdem ins neue Netz, und damit auf die Server im neuen, dürfen.
Wie gebe ich der FW 2 IP's im LAN, eine im neuen und eine im Alten Netz? Und was passiert wenn ich im "Interfaces: LAN" die IP Adresse ändere? werden die Firewallregeln angepasst?
Gruß Max
-
Der dazu benötigte Virtual-IP-Typ wird derzeit nicht unterstützt (ist bereits in HEAD verfügbar). Ich empfehle für die Übergangszeit eine zusätzliche Netzwerkkarte einzubauen, die auf dem alten Subnet läuft und am gleichen Switch im gleichen Layer2 Netz hängt.
Das gibt zwar ein paar ARP Meldungen im Log, aber die kannst Du unter System>advanced unterdrücken:
Shared Physical Network
( X ) This will suppress ARP messages when interfaces share the same physical networkDamit kannst Du dann schön "sanft" migrieren weil Clients sowohl im alten als auch im neuen Subnet funktionieren.
-
Alles klar, hab eh so nen Embedded mit 8 Netzwerkanschlüssen, war mir nur net sicher ob das ne Schleife im Netz gibt.
-
Schleifen gäbe es nur mit Bridging und da die pfSense SpanningTreeProtocol unterstützt entdeckt sie das und schaltet die Bridge dann ab (siehst auch unter status>interfaces, wenn das der Fall ist).