Помогите с PPTP VPN
-
pfsense WAN -статический
LAN - подсеть 192.168.0.*Поднимаю PPTP сервер со след. настройками:
адрес сервера 192.168.0.200
адреса клиентов начиная с 192.168.0.201Удаленная сеть не пингуется.
Возможно ли выдать VPN-клиентам адреса из сети 192.168.10., к примеру, и пробросить из в сеть 0.?
-
pfsense WAN -статический
LAN - подсеть 192.168.0.*Поднимаю PPTP сервер со след. настройками:
адрес сервера 192.168.0.200
адреса клиентов начиная с 192.168.0.201Удаленная сеть не пингуется.
Возможно ли выдать VPN-клиентам адреса из сети 192.168.10., к примеру, и пробросить из в сеть 0.?
1. Надеюсь , что сам сервер поднимается на WAN ? Тогда какого гада у вас его ип 192.168.0.200 ?! Должен быть ваш WAN IP!
2. Я бы добавил правило Firewall: Rules :WAN , разрещающее пинг на WAN address с любых адресов. Это чтобы проверить доступность вашего VPN-сервера для клиентов.
3. Вы правила в fw для пинга (ICMP !) c LAN на PPTP clients добавили ? Если же нужен полный доступ с ЛАН на ППТП (или наоборот - если с ), то и сделайте его в fw.
Возможно ли выдать VPN-клиентам адреса из сети 192.168.10., к примеру, и пробросить из в сеть 0.?
Да хоть 192.168.20.*
-
Адрес сервера исправил на WAN.
Проблема в том, что удаленные клиенты, соединяясь по PPTP с главным офисом, не видят внутреннюю локальную сеть в диапазоне 192.168.0.*.
В правилах FW разрешен доступ PPTP-клиентов куда угодно.
-
Адрес сервера исправил на WAN.
Проблема в том, что удаленные клиенты, соединяясь по PPTP с главным офисом, не видят внутреннюю локальную сеть в диапазоне 192.168.0.*.
В правилах FW разрешен доступ PPTP-клиентов куда угодно.
Хм , а они так просто и не будут видеть :) Надо расшарить VPN подключение , а затем прописать маршрутизацию на всех клиентах. Что так мол и так - на 192.168.0.0\24 ходить через машину к-ая поднимает ВПН. В св-вах виндового ВПН подключения СНЯТЬ галку "Использовать шлюз в удаленной сети". Иначе ВЕСЬ трафик будет заворачиваться в ВПН, а не только тот, что обращен к 192.168.0.0\24.
З.ы. Как вариант, можно заморочиться с OpenVPN. На ютубе есть и ролики по настройке.
-
Поставьте в правилах PPTP Protocol - any
-
Поставьте в правилах PPTP Protocol - any
Что за ахинея ? Это вообще к чему ? Причем здесь сам протокол?
У меня филиалы (29 шт.) подключаются по описанному мною выше сценарию.
Второй год. И все работает.З.ы. 2 ABBaz
Сперва думаем, а потом пишем.
-
Поставьте в правилах PPTP Protocol - any
Что за ахинея ? Это вообще к чему ? Причем здесь сам протокол?
У меня филиалы (29 шт.) подключаются по описанному мною выше сценарию.
Второй год. И все работает.З.ы. 2 ABBaz
Сперва думаем, а потом пишем.
Реальная ахинея вот:
1. Надеюсь , что сам сервер поднимается на WAN ? Тогда какого гада у вас его ип 192.168.0.200 ?! Должен быть ваш WAN IP!
Внизу скрин с боевой машины, который я сделал сидя на ней по PPTP. Удивительное рядом!) P.S. Адрес моего WAN - 192.168.1.10.
-
Поставьте в правилах PPTP Protocol - any
Что за ахинея ? Это вообще к чему ? Причем здесь сам протокол?
У меня филиалы (29 шт.) подключаются по описанному мною выше сценарию.
Второй год. И все работает.З.ы. 2 ABBaz
Сперва думаем, а потом пишем.
Реальная ахинея вот:
1. Надеюсь , что сам сервер поднимается на WAN ? Тогда какого гада у вас его ип 192.168.0.200 ?! Должен быть ваш WAN IP!
Внизу скрин с боевой машины, который я сделал сидя на ней по PPTP. Удивительное рядом!) P.S. Адрес моего WAN - 192.168.1.10.
Ну так я вас удивлю. При условие серости вашего IP на WAN для доступа к вашему впн-серверу извне (из интернета, т.е.) и без договоренности с тем(и) , кто пробросит порт 1723 (ТСР) и протокол GRE вы не то что впн - ничего выставить "в мир" не сможете.
А то ведь как получается. Имеют люди модем (АДСЛ) , к-ый сам поднимает сессию, за ним ставят pf. За pf-oм - n-oe кол-во машин в локалке. Потом появляется желание опубликовать какой-то сервис "в мир" на одной из локальных машин. И начинается, по незнанию, "головняк". А решения-то, два. Или модем в бридж и pf поднимает сессию плюс проброс нужных портов в локалку или двойной проброс портов - с модема (к-ый в режиме роутера) на pf , с pf - в локалку (было такое ,когда пров вместо РРРоЕ юзал РРРоА ).
-
Скрин к Вашим услугам. Про модем в режиме роутера всё верно и именно поэтому прежде чем советовать людям
1. Надеюсь , что сам сервер поднимается на WAN ? Тогда какого гада у вас его ип 192.168.0.200 ?! Должен быть ваш WAN IP!
нужно уточнить какая у них схема.
-
Скрин к Вашим услугам. Про модем в режиме роутера всё верно и именно поэтому прежде чем советовать людям
1. Надеюсь , что сам сервер поднимается на WAN ? Тогда какого гада у вас его ип 192.168.0.200 ?! Должен быть ваш WAN IP!
нужно уточнить какая у них схема.
Ув. Broodval ТС в самом начале написал :
pfsense WAN -статический
LAN - подсеть 192.168.0.*Вы это читали ? WAN, скорее всего, "белая" статика :o А у вас схема иная.
**P.s.**То что вы из Беларуси и , возможно, из Гомеля (или области или района), это и так понятно. У вас ethernet или adsl? Просто ваш пров оба типа доступа предоставляет. Шлюзом стоит *.1.4 . Это ваша железка или провайдерская ? Вообщем, схему сети в студию. А потом спорить будем.
-
pfsense WAN -статический
LAN - подсеть 192.168.0.*Вы это читали ? WAN, скорее всего, "белая" статика А у вас схема иная.
Читал. WAN IP у меня тоже статический. :)
У вас ethernet или adsl?
У меня мой ADSL-модем в режиме роутера.
То есть условия описанные автором топика и у меня совпадают. И при этом (как я уже писал ранее) прописывать WAN IP в качестве сервера PPTP нет необходимости.
-
pfsense WAN -статический
LAN - подсеть 192.168.0.*Вы это читали ? WAN, скорее всего, "белая" статика А у вас схема иная.
Читал. WAN IP у меня тоже статический. :)
У вас ethernet или adsl?
У меня мой ADSL-модем в режиме роутера.
То есть условия описанные автором топика и у меня совпадают. И при этом (как я уже писал ранее) прописывать WAN IP в качестве сервера PPTP нет необходимости.
По-моему, вы (в силу возраста?) совсем не понимаете что пишете :o
"Белая" статика на WAN у ТС - это када цифирки IP-адреса вписываются сразу (ну может еще по dhcp получаются ;)) , т.е. без всяких там pptp,pppoe и т.п. соединений ;D И эти цифирки не из диапазонов 10/8, 172.16/12, 192.168/16 как минимум.
P.s. Всё-таки переведите свой момед в бридж. Чтобы pf поднимал сессию - модему жить легче станет. А то , знаете, p2p- такой p2p. Если понимаете о чём я.
-
Сам уже жалею, что взялся с неадекватом спорить :( Но попробую в последний раз.
Итак:
1. Первый пост автораpfsense WAN -статический
LAN - подсеть 192.168.0.*Поднимаю PPTP сервер со след. настройками:
адрес сервера 192.168.0.200
адреса клиентов начиная с 192.168.0.201Ни слова про схему сети.
2. Второй пост Ваш1. Надеюсь , что сам сервер поднимается на WAN ? Тогда какого гада у вас его ип 192.168.0.200 ?! Должен быть ваш WAN IP!
2. Я бы добавил правило Firewall: Rules :WAN , разрещающее пинг на WAN address с любых адресов. Это чтобы проверить доступность вашего VPN-сервера для клиентов.
3. Вы правила в fw для пинга (ICMP !) c LAN на PPTP clients добавили ? Если же нужен полный доступ с ЛАН на ППТП (или наоборот - если с ), то и сделайте его в fw.
Где Вы тут выясняете его структуру сети? Я что-то не вижу. Ну а после того как я Вас поправил, Вы начали бросаться стандартными терминами, вероятно чтоб сойти за умного, и начали разбираться что к чему при этом отдаляясь от первоначального своего высказывания
1. Надеюсь , что сам сервер поднимается на WAN ? Тогда какого гада у вас его ип 192.168.0.200 ?! Должен быть ваш WAN IP!
Я не поленился и скриншоты для Вас выложил, где ясно видно что адрес моего PPTP сервера это не WAN IP!
-
Сам уже жалею, что взялся с неадекватом спорить :( Но попробую в последний раз.
Итак:
1. Первый пост автораpfsense WAN -статический
LAN - подсеть 192.168.0.*Поднимаю PPTP сервер со след. настройками:
адрес сервера 192.168.0.200
адреса клиентов начиная с 192.168.0.201Ни слова про схему сети.
2. Второй пост Ваш1. Надеюсь , что сам сервер поднимается на WAN ? Тогда какого гада у вас его ип 192.168.0.200 ?! Должен быть ваш WAN IP!
2. Я бы добавил правило Firewall: Rules :WAN , разрещающее пинг на WAN address с любых адресов. Это чтобы проверить доступность вашего VPN-сервера для клиентов.
3. Вы правила в fw для пинга (ICMP !) c LAN на PPTP clients добавили ? Если же нужен полный доступ с ЛАН на ППТП (или наоборот - если с ), то и сделайте его в fw.
Где Вы тут выясняете его структуру сети? Я что-то не вижу. Ну а после того как я Вас поправил, Вы начали бросаться стандартными терминами, вероятно чтоб сойти за умного, и начали разбираться что к чему при этом отдаляясь от первоначального своего высказывания
1. Надеюсь , что сам сервер поднимается на WAN ? Тогда какого гада у вас его ип 192.168.0.200 ?! Должен быть ваш WAN IP!
Я не поленился и скриншоты для Вас выложил, где ясно видно что адрес моего PPTP сервера это не WAN IP!
Еще раз , для тех кто в танке.
1. То что ТС не уточнил, что всё же точно у него на WAN - белая "статика" или "серый" IP - это
нехорошо.Ув. ТС, уточните этот момент , пж-та! Пока комментаторы не поубивали друг друга.
2. Теперь по вам, ув. Broodval.
Если ТС указал такой IP - это не значит, что у него клиенты смогли подключиться ИЗВНЕ. Я и сам могу , указав адрес сервера и диапазон IP для клиентов, к-ый мне больше понравится ,подключиться ВНУТРИ самой LAN , выбрав LAN в кач-ве интерфейса для ВПН-сервера . Проверим?3. Ув. Broodval, попробуйте сами опубликовать у себя в локалке тот же FTP-сервер на одной из машин, а потом "достучаться" до этого FTP извне БЕЗ ПРОБРОСА ПОРТА. Очень удивитесь, ага. Тем более , что с вашей организацией сети это будет ДВОЙНОЙ проброс. Первый - с вашего модема на WAN pf-а, второй - проброс с WAN pf-а на адрес и порт машины с FTP-сервисом. С вашей архитектурой - это аксиома. Если же вы упростите свою схему, переведя модем в бридж и "заставив" pf поднимать сессию, то проброс портов прийдется делать ОДИН раз.
Только при задание именно WAN в кач-ве интерфейса впн-сервера при наличие "белого" IP или проброса порта и протокола при "сером" адресе, возможно подключение клиентов к этому серверу извне. И точка.
P.s. Ув. гуру! Пож-та, подтвердите или опровергните всё мною вышеизложенное.
-
P.s. Ув. гуру! Пож-та, подтвердите или опровергните всё мною вышеизложенное.
аминь.
Только зря вы так werter. Не гоже расписывать как оно всё работает на самом деле. Те кто в теме - им оно не надо, а школоту учить - себе дороже, естественный отбор рулит. -
Зачем мне ещё что-то подтверждать? Я б и рад принять Вашу точку зрения, но выше видно, что я соединяюсь с сервером PPTP извне (соединяюсь с адресом 86.57..), при этом адрес PPTP-сервера 10.10.200.1 (т.е. из внутренней подсети LAN).
Вот простая схема:
Провайдер - ADLS модем в режиме роутера раздаёт Инет нескольким серверам (модем получает адрес 86.57..) - при обращении по протоколу PPTP модем делает проброс на адрес WAN PFsense (192.168.1.10) по тому же протоколу - клиент, который инициировал соединение с PPTP-сервером получает адрес из диапазона 10.10.200.2 - 10.10.200.6 и работает в диапазоне 10.10.200.х.
Так вот почему в этой схеме адрес PPTP-сервера должен быть WAN IP? -
Зачем мне ещё что-то подтверждать? Я б и рад принять Вашу точку зрения, но выше видно, что я соединяюсь с сервером PPTP извне (соединяюсь с адресом 86.57..), при этом адрес PPTP-сервера 10.10.200.1 (т.е. из внутренней подсети LAN).
Вот простая схема:
Провайдер - ADLS модем в режиме роутера раздаёт Инет нескольким серверам (модем получает адрес 86.57..) - при обращении по протоколу PPTP модем делает проброс на адрес WAN PFsense (192.168.1.10) по тому же протоколу - клиент, который инициировал соединение с PPTP-сервером получает адрес из диапазона 10.10.200.2 - 10.10.200.6 и работает в диапазоне 10.10.200.х.
Так вот почему в этой схеме адрес PPTP-сервера должен быть WAN IP?Ну так вот и пришли с чего и начинали!
Естественно, если модем сам сессию устанавливает, то на нём и должен быть настроен проброс портов, что у вас и сделано(!). В вашей схеме клиент , в первую очередь, устанавливает связь с внешним IP м о д е м а, а потом срабатывает проброс портов на WAN pf-а. Для внешнего клиента этот процесс прозрачен. И ,исходя из вашей схемы, можно сказать, что на WAN pf-а вполне может быть "серый" IP.P.s. У меня такое ощущение, что всю схему настраивали не вы. Иначе, как объяснить, то что вы даже не поймете , как все это у вас вертится?
P.s.s Займитесь самообразованием. Тем более на таком форуме как этот стыдно не знать азы.
-
Просто умора с вас werter. На вопрос про адрес PPTP-сервера Вы опять не ответили, снова повторили то, что я Вам писал ранее и записали себя в герои. :D
И ,исходя из вашей схемы, можно сказать, что на WAN pf-а вполне может быть "серый" IP.
То что у меня на WAN PFSense "серый" IP я написал в первом посте и это было видно из первых скриншотов, которые я предоставил. И если бы Вы внимательно читали и смотрели, то не нужно было б не из чего исходить )))
P.s. У меня такое ощущение, что всю схему настраивали не вы. Иначе, как объяснить, то что вы даже не поймете , как все это у вас вертится?
Я то как раз знаю, поэтому Вас и поправил. А вот Вы до сих пор не можете понять как это работает и как адресом PPTP-сервера может быть не WAN IP.
-
Просто умора с вас werter. На вопрос про адрес PPTP-сервера Вы опять не ответили, снова повторили то, что я Вам писал ранее и записали себя в герои. :D
И ,исходя из вашей схемы, можно сказать, что на WAN pf-а вполне может быть "серый" IP.
То что у меня на WAN PFSense "серый" IP я написал в первом посте и это было видно из первых скриншотов, которые я предоставил. И если бы Вы внимательно читали и смотрели, то не нужно было б не из чего исходить )))
P.s. У меня такое ощущение, что всю схему настраивали не вы. Иначе, как объяснить, то что вы даже не поймете , как все это у вас вертится?
Я то как раз знаю, поэтому Вас и поправил. А вот Вы до сих пор не можете понять как это работает и как адресом PPTP-сервера может быть не WAN IP.
Смотрите, не "уморитесь".
Начнем с первого поста ТС :pfsense WAN -статический
LAN - подсеть 192.168.0.*Я исходил из того, что доступ ко внутренней сети ТС при поднятом vpn-сервере должен быть и з в н е (!) и ТС-у на 99,9 % было нужно то же. И 99,9 % людей на этом форуме поняли это так же как и я. Если вы это не поняли - флаг в руки . Я устал объяснять.
Далее, г д е (!) я написал что впн-сервер ВОЗМОЖНО поднимать только на WAN ?! Я не слепой, что бы зайдя на пф и увидеть , что поднять пптп-сервер возможно (о чудо!! ) на любом интерфейсе имеющемся в наличие. Мало того (OMG!), можно редиректить соединение на др. pptp-сервер.
В случае же ТС для решения его задачи необходимо поднимать сервер на WAN и только на WAN! Всё , точка. В любом другом случае исходим из требований конкретной (!) ситуации.
P.s. В вашей схеме сети несколько pf-ов за модемом? Или модем еще сам , т.е. аппаратно, поддерживает туннель с др. железкой и по-этому работает роутером, а не мостом? Если да - то схема
ваша , возможно, и оправдана. Если нет - то у вас лишнее и ненужное звено в цепи. Смело переводите его в мост и пусть pf поднимает сессию. Подумайте об этом. -
Пару дней назад менял сервер на котором установлен pfSense и тип подключения к Интернету (был модем в режиме роутера, стало через оптику, сессию PPPoE поднимает pfSense).
Таким образом сервер с установленным pfSense имеет "белый" динамический IP. В тоже время, адрес PPTP сервера у меня 10.10.200.1, тоесть из локальной подсети. И вот сидя сейчас за ноутбуком, я поднял PPTP-сессию до сервера pfSense, получил адрес 10.10.200.2 и теперь WebGUI pfSense мне доступен по адресу 10.10.200.10, а например мой ПЭВМ доступен по адресу 10.10.200.14.
А для товарища werter поясню более подробно:
Адрес PPTP-сервера (VPN: VPN PPTP - Server address) который прописывает пользователь, это адрес, который должен выдаваться в качестве шлюза подключаемым клиентам.
