Возможно ли обойти ограничение PF на 1 VPN соед.
-
PFsense не пропускает более 1-го VPN соединения ( gre ) из внутренней к одному внешенему PPTP серверу, имеющему 1 IP.
Подскажите пожалуста ???, может кто сталкивался с такой проблемой и имеет готовое решение или подскажет направление в котором работать, буду очень признателен. -
Это не проблема pfSense. Это теоретическое ограничение.
Вариант решения существует только если есть несколько Public IP на WAN. В этом случае разные локальные IP можно выпускать с разными public IP позволяя коннектиться к одному и тому же удалённому IP. -
Это не проблема pfSense. Это теоретическое ограничение.
Это ограничение PF?
Просто хочется немного разобраться. Сейчас стоит Керио наружу, за ним ISA и к одному PPTP-серверу коннектятся несколько клиентов из внутренней сети. Самое интересное, что такая ситуация возникла именно тогда, когда я решил заменить Керио на pfSense ;D Раньше мне это не требовалось и скоро необходимость тоже отпадет, но хотелось бы все-таки понять почему это не работает в pfSense и будет ли. И почему тогда это без проблем работает на виндовом Керио, если это теоретическое ограничение? -
Это не проблема pfSense. Это теоретическое ограничение.
Вариант решения существует только если есть несколько Public IP на WAN. В этом случае разные локальные IP можно выпускать с разными public IP позволяя коннектиться к одному и тому же удалённому IP.ограничения чего? шлюз freebsd 8.0 natd стандартный, за ним сидит офис, подключаются к впн серверу в другом офисе (шлюз freebsd 7.2)
3 машины - 3 впн коннекта чяднт? -
Говоря об ограничении я имелл в виду это ->
http://devwiki.pfsense.org/PPTPTroubleShootingНеобходимо чтоб роутер пропускал более 1-го VPN подключения ( в моём случае около 50) к одному серверу, имеющему 1 IP.
-
Это не проблема pfSense. Это теоретическое ограничение.
Вариант решения существует только если есть несколько Public IP на WAN. В этом случае разные локальные IP можно выпускать с разными public IP позволяя коннектиться к одному и тому же удалённому IP.ограничения чего? шлюз freebsd 8.0 natd стандартный, за ним сидит офис, подключаются к впн серверу в другом офисе (шлюз freebsd 7.2)
3 машины - 3 впн коннекта чяднт?pfSense
LocalIP–-NAT to public IP---->------GREServerIP
создаётся State LocalIP:GRE:GREServerIP
Когда приходит обратный пакет GRE с GREServerIP на PublicIP и pfSense знает, куда его кидать - на LocalIP.Второй user:
pfSense
LocalIP1---NAT to public IP---->------GREServerIP
создаётся State LocalIP1:GRE:GREServerIP
И того в таблице состояний имеем:
LocalIP:GRE:PublicIP:GREServerIP
LocalIP1:GRE:PublicIP:GREServerIPПриходит обратный пакет GRE с GREServerIP на Public IP и куда его pfSense должен кидать? он подпадает под два состояния.
Как это обходится в Kerio? -
pfSense
LocalIP–-NAT to public IP---->------GREServerIP
создаётся State LocalIP:GRE:GREServerIP
Когда приходит обратный пакет GRE с GREServerIP на PublicIP и pfSense знает, куда его кидать - на LocalIP.Второй user:
pfSense
LocalIP1---NAT to public IP---->------GREServerIP
создаётся State LocalIP1:GRE:GREServerIP
И того в таблице состояний имеем:
LocalIP:GRE:PublicIP:GREServerIP
LocalIP1:GRE:PublicIP:GREServerIPПриходит обратный пакет GRE с GREServerIP на Public IP и куда его pfSense должен кидать? он подпадает под два состояния.
Как это обходится в Kerio?Эта проблема только у pf!
следовательно автору топика дистрибутив pfSense не подойдет, пробуйте другие -
Да, с теорией я погорячился. Внутри GRE-header'а есть Key, которым можно в принципе играться, чтобы получить разные сессии между двумя IP. Видимо, так это и реализовывается там, где это работает, но pf этим делом не занимается.
-
pfSense
LocalIP–-NAT to public IP---->------GREServerIP
создаётся State LocalIP:GRE:GREServerIP
Когда приходит обратный пакет GRE с GREServerIP на PublicIP и pfSense знает, куда его кидать - на LocalIP.Второй user:
pfSense
LocalIP1---NAT to public IP---->------GREServerIP
создаётся State LocalIP1:GRE:GREServerIP
И того в таблице состояний имеем:
LocalIP:GRE:PublicIP:GREServerIP
LocalIP1:GRE:PublicIP:GREServerIPПриходит обратный пакет GRE с GREServerIP на Public IP и куда его pfSense должен кидать? он подпадает под два состояния.
Как это обходится в Kerio?Эта проблема только у pf!
следовательно автору топика дистрибутив pfSense не подойдет, пробуйте другиеСпасибо за помощь, жаль что нельзя реализовать это на PF , может в последних дистрибутивах авторы решат эту проблему.
-
У меня сделано так:
LAN -> ISA Server -> DMZ -> pfSense
Клиенты из LAN при этом могут коннектиться к одному и тому же PPTP-серверу. Возможно, что это заслуга ISA, не знаю точно, но это работает.
-
У меня сделано так:
LAN -> ISA Server -> DMZ -> pfSense
Клиенты из LAN при этом могут коннектиться к одному и тому же PPTP-серверу. Возможно, что это заслуга ISA, не знаю точно, но это работает.
а можно по секрету, зачем pfsense если есть ISA?
-
Использую схему с 2 фаерами и DMZ. В DMZ стоят несколько серваков. Сейчас просто хочу поменять Керио на pfsense. ISA аутентифицирует внутренних клиентов и принимает VPN-соединения. Одну ИСУ в интернет выставлять стрёмно.
-
Использую схему с 2 фаерами и DMZ. В DMZ стоят несколько серваков. Сейчас просто хочу поменять Керио на pfsense. ISA аутентифицирует внутренних клиентов и принимает VPN-соединения. Одну ИСУ в интернет выставлять стрёмно.
купить продукт за 60 тысяч и стремно выставлять в интернет?
P.S. /me ушел убиваться от зависти -
Можно сказать, досталось по наследству… впрочем, отказ от ISA тоже планируется. ISA "куплен" по типу Open Value Subscription.
-
Можно сказать, досталось по наследству… впрочем, отказ от ISA тоже планируется. ISA "куплен" по типу Open Value Subscription.
Если я правильно понял - тебе нужно связать два офиса с разными серыми сетками и ты хотел использовать РРТР соединение конечных пользователей одной сетки на впн-сервер в другой ??
Могу предложить другое решение, используй встроенный механизм IPSEC в пф-сенс, и свяжи сети двух офисов. Тогда каждый клиент с любой сети сможет видеть другую сеть (при необходимости).