OPVPN и PPTP с выключеным firewall в локалке
-
Есть сеть LAN, все настроено. Связь с миром - подключение ADSL. Роутер ADSL - с NAT и Port Forward.
Хочется установить в сети сервер OVPN и PPTP малой кровью (т.е. не перенастраивая сеть, а просто внедрить туда еще одно устройство и пробросить порты с рутера ADSL).1. Монтируем pfsense, настраиваем PPTP, OVPN, генерируем сертификаты, имена и пароли,…
2. Порт WAN - настраиваем как статический и присваиваем IP из диапазона локалки.
3. Порт LAN - настраиваем как bridge с WAN.
4. Запрещаем Packet Filter.
5. Подключаем в общий switch (локалка) настроеный pfSense через WAN порт.
6. На роутере ADSL делаем проброс соответсвующих портов на IP WAN адреса pfsense и прописываем статические маршруты, чтобы другие участники сети могли достигнуть PPTP и OVPN клиентов.
7. Подключаемся ноутбуком к Инету через 3G-modem - пробуем соединиться по OVPN и по PPTP - все работает как часики.
8. Едем домой и тем же ноутбуком пытаемя соединиться (но только из домашней LAN со своим NAT-ом) - не подключается.
9. Идем к товарищу и тем же ноутбуком пытаемя соединиться (из LAN товарища со своим NAT-ом) - не подключается.
10. Вытаскиваем UTP провод, вставляем 3G modem, подкючаемся к Инету, соединяемся по OVPN, PPTP - снова все работает.Резюмируя: OVPN и PPTP работает (на pfsense) только если клиент подключается с "белым адресом". Или (из других наблюдений) - клиент может иметь "серый адрес", но тогда сервер pfsense НЕ должен быть за натом.
client-->nat-->inet-->nat-->(ovpn,pptp)-pfsense - НЕ РАБОТАЕТ
client-->nat-->inet-->(ovpn,pptp)-pfsense - РАБОТАЕТ
client-->inet-->nat-->(ovpn,pptp)-pfsense - РАБОТАЕТЯ прав (так оно и есть и ничего нельзя сделать), или где-то запутался ???
Заранее спасибо.
-
Трассировать надо, что на pfSense приходит и приходит ли вообще.
-
Проблема разрешилась следующим образом.
Firewall -> Nat -> Outbound: Manual Outbound NAT rule generation
И создаем единственное правило:Interface Source SourcePort Destination DestinationPort NAT Address NAT Port Static Port
WAN 192.168.188.0/24 * * * * * NOИ обязательно указываем в этом правиле "Not NAT" - после этого все VPNы работают без проблем.
192.168.188.0/24 - это локалка куда подключен WAN port.
-