Возможно ли обойти ограничение PF на 1 VPN соед.
-
Это не проблема pfSense. Это теоретическое ограничение.
Вариант решения существует только если есть несколько Public IP на WAN. В этом случае разные локальные IP можно выпускать с разными public IP позволяя коннектиться к одному и тому же удалённому IP.ограничения чего? шлюз freebsd 8.0 natd стандартный, за ним сидит офис, подключаются к впн серверу в другом офисе (шлюз freebsd 7.2)
3 машины - 3 впн коннекта чяднт?pfSense
LocalIP–-NAT to public IP---->------GREServerIP
создаётся State LocalIP:GRE:GREServerIP
Когда приходит обратный пакет GRE с GREServerIP на PublicIP и pfSense знает, куда его кидать - на LocalIP.Второй user:
pfSense
LocalIP1---NAT to public IP---->------GREServerIP
создаётся State LocalIP1:GRE:GREServerIP
И того в таблице состояний имеем:
LocalIP:GRE:PublicIP:GREServerIP
LocalIP1:GRE:PublicIP:GREServerIPПриходит обратный пакет GRE с GREServerIP на Public IP и куда его pfSense должен кидать? он подпадает под два состояния.
Как это обходится в Kerio? -
pfSense
LocalIP–-NAT to public IP---->------GREServerIP
создаётся State LocalIP:GRE:GREServerIP
Когда приходит обратный пакет GRE с GREServerIP на PublicIP и pfSense знает, куда его кидать - на LocalIP.Второй user:
pfSense
LocalIP1---NAT to public IP---->------GREServerIP
создаётся State LocalIP1:GRE:GREServerIP
И того в таблице состояний имеем:
LocalIP:GRE:PublicIP:GREServerIP
LocalIP1:GRE:PublicIP:GREServerIPПриходит обратный пакет GRE с GREServerIP на Public IP и куда его pfSense должен кидать? он подпадает под два состояния.
Как это обходится в Kerio?Эта проблема только у pf!
следовательно автору топика дистрибутив pfSense не подойдет, пробуйте другие -
Да, с теорией я погорячился. Внутри GRE-header'а есть Key, которым можно в принципе играться, чтобы получить разные сессии между двумя IP. Видимо, так это и реализовывается там, где это работает, но pf этим делом не занимается.
-
pfSense
LocalIP–-NAT to public IP---->------GREServerIP
создаётся State LocalIP:GRE:GREServerIP
Когда приходит обратный пакет GRE с GREServerIP на PublicIP и pfSense знает, куда его кидать - на LocalIP.Второй user:
pfSense
LocalIP1---NAT to public IP---->------GREServerIP
создаётся State LocalIP1:GRE:GREServerIP
И того в таблице состояний имеем:
LocalIP:GRE:PublicIP:GREServerIP
LocalIP1:GRE:PublicIP:GREServerIPПриходит обратный пакет GRE с GREServerIP на Public IP и куда его pfSense должен кидать? он подпадает под два состояния.
Как это обходится в Kerio?Эта проблема только у pf!
следовательно автору топика дистрибутив pfSense не подойдет, пробуйте другиеСпасибо за помощь, жаль что нельзя реализовать это на PF , может в последних дистрибутивах авторы решат эту проблему.
-
У меня сделано так:
LAN -> ISA Server -> DMZ -> pfSense
Клиенты из LAN при этом могут коннектиться к одному и тому же PPTP-серверу. Возможно, что это заслуга ISA, не знаю точно, но это работает.
-
У меня сделано так:
LAN -> ISA Server -> DMZ -> pfSense
Клиенты из LAN при этом могут коннектиться к одному и тому же PPTP-серверу. Возможно, что это заслуга ISA, не знаю точно, но это работает.
а можно по секрету, зачем pfsense если есть ISA?
-
Использую схему с 2 фаерами и DMZ. В DMZ стоят несколько серваков. Сейчас просто хочу поменять Керио на pfsense. ISA аутентифицирует внутренних клиентов и принимает VPN-соединения. Одну ИСУ в интернет выставлять стрёмно.
-
Использую схему с 2 фаерами и DMZ. В DMZ стоят несколько серваков. Сейчас просто хочу поменять Керио на pfsense. ISA аутентифицирует внутренних клиентов и принимает VPN-соединения. Одну ИСУ в интернет выставлять стрёмно.
купить продукт за 60 тысяч и стремно выставлять в интернет?
P.S. /me ушел убиваться от зависти -
Можно сказать, досталось по наследству… впрочем, отказ от ISA тоже планируется. ISA "куплен" по типу Open Value Subscription.
-
Можно сказать, досталось по наследству… впрочем, отказ от ISA тоже планируется. ISA "куплен" по типу Open Value Subscription.
Если я правильно понял - тебе нужно связать два офиса с разными серыми сетками и ты хотел использовать РРТР соединение конечных пользователей одной сетки на впн-сервер в другой ??
Могу предложить другое решение, используй встроенный механизм IPSEC в пф-сенс, и свяжи сети двух офисов. Тогда каждый клиент с любой сети сможет видеть другую сеть (при необходимости).