Firewall rules и PPTP VPN
-
Здравствуйте.
Перешел недавно на PfSense 2.0.1 Release (AMD64). Последний раз pfSense'ом пользовался более года назад, тогда 1.2.3 Release у меня стоял, некоторые вещи может уже забылись. Сейчас имеется проблема с 2-мя настройками:
1. Разрешить пинговать шлюз извне. Создаю в Firewall-Rules правило (ICMP * * * * * none ) либо даже разрешаю все на wan интерфейсе, но с того же например ping.eu достучаться не могу :( Насколько помню в версии 1.2.3 все работало. Встречал информацию, что бывает переустановив pfSense и выполнив те же настройки решают проблему - сделал эту операцию, но ничего не вышло. Включал логирование правила - ICMP запросы разрешает.
2. Есть два рабочих места с городским трафиком. Включил PPTP сервер, завел пользователя, включил все разрешения на PPTP интерфейсе, подключился с удаленного рабочего места стандартным pptp клиентом с получением маршрута по умолчанию. Проверяю рабочую локалку - пингуются все сервера кроме локального интерфейса pfSense. Пингую гугл, яндекс - все быстро отвечает. Пробую загрузить эти страницы в браузере - грузятся минут по 5. Пробую на PPTP клиенте не через NAT а через работающий Kerio Proxy - тот же результат, загрузка страницы в течении 5 минут :( При этом скорость канала хорошая, скорость через VPN тоже держит, на шарах проверено.
Подскажите хоть в каком направлении копать? -
1. Правило для ICMP создавать в Firewall: Rules: WAN
ICMP * * WAN address * * none
2. Схему нарисуйте. Непонятно описано. Похоже на ошибках в правилах (недописывание правил?) FW для LAN- и PPTP-интерфейсов. NAT - автоматом ? Перевести в ручной.
Для доступа к инету пптп-клиентов Remote address range в настройка ВПН-сервера попробовать указать из подсети LAN. И правило в FW , конечно. Попробовать указать шлюз явно.
А лучше скрины выложите со всей этой петрушкой. -
ICMP * * WAN address * * none
Так тоже пробовал. Безрезультатно. Вернее в логах pfSense показано что трафик разрешен, но удаленный хост все равно не видит.
Схему смогу вечером нарисовать. А вот скрины с удаленных машин к сожалению только в понедельник. NAT да автоматом.Remote address range в настройка ВПН-сервера попробовать указать из подсети LAN
Пробовал и из одной и из разных. Результат одинаковый.
-
Выход в инет как организован? На ВАНе белая статика\динамика?
З.ы. Скрины где ?
З.ы.ы.Перешел недавно на PfSense 2.0.1 Release (AMD64).
Путем обновления с 1.2.3 ? Если да - попробуйте поставить "на чистую" вторую версию.
-
Выход в инет как организован? На ВАНе белая статика\динамика?
Провайдер выдает серый IP по DHCP, который входит в городскую подсеть. Дальше поднимается PPPoE канал с выдачей белого адреса. Таким образом в pfSense 3 интерфейса: lan, opt(с серым IP), WAN (с белым IP)
@werter:З.ы. Скрины где ?
сделал схему сети
По схеме: vpn server пробовал организовывать и на Керио, пробрасывая порт и на pfSense. Прокси сервер так же включал и на Kerio и на своей рабочей машине. Внутри сети все работает, у удаленного VPN клиента нет.
@werter:З.ы.ы.
Перешел недавно на PfSense 2.0.1 Release (AMD64).
Путем обновления с 1.2.3 ? Если да - попробуйте поставить "на чистую" вторую версию.
Нет, в смысле что раньше роль шлюза исполнял Kerio Control, сейчас он работает исключительно как Web Filter, соединение же поднимает pfSense. Просто раньше я последний раз пользовался версией 1.2.3. и 2.0 RC1
-
На самом внешнем клиенте не прописана ли маршрутизация какая ?
З.ы. Все же скрины лучше будут.
-
маршрутизация не прописана, правила все очищены. Оказывается в пятницу вечером еще баловался с ручными правилами NAT и забыл что их не удалил после чего в понедельник/вторник вообще казалось ничего не работает, внешние ресурсы даже не пинговались, к Kerio VPN подключение не устанавливалось, но О ЧУДО, через прокси наконец трафик пошел :) почему так произошло я не понял, завтра скину правила NAT которые были сделаны на сонную голову в пятницу. Главное хоть как-то сделал интернет, потому что завтра последний день рабочий, в четверг уже в отпуске и уезжаю, как приеду буду копать основательно
-
Полностью решил все проблемы просто переходом с 2.0.1-RELEASE-amd64 на 2.0.1-RELEASE-i386. Рядом поставил чистую установку i386, проверил несколько проблемных функций - заработало. Сделал еще раз чистую установку amd64 - не работает. Заменил версию на шлюзе на i386 и все вышеописанное работает (и разрешение на echo request, и доступ удаленному пользователю к проксе через впн и НАТ для впн клиента). Так же на amd64 не получается дать доступ к веб интерфейсу любому другому пользователю кроме admin, что при тех же настройках работает на i386 версии.