PPTP+локальные ресурсы+интернет
-
Коллеги добрый вечер.
Поставил такую себе задачу и сломал уже голову напрочь.Дано:
2.0.1-RELEASE (i386) FreeBSD 8.1-RELEASE-p6 (на VMware
Workstation 8.0.4 build-744019)Топология
<- - - (LAN 192.168.10.0/24) - - /pfSense/ - - (EXT IP 192.168.175.128) - - - >
INT IP 192.168.10.1PPTP server config:
Enable PPTP server = true
No. PPTP users = 16
Server address = 192.168.5.1
Remote address range = 192.168.5.2
Require 128-bit encryption = trueКлиенты:
(LAN)
192.168.10.21 – Windows 7 Pro SP1
(PPTP)
192.168.5.2 - Windows 7 Pro SP1 (это та машина что принадлежит LAN- сегменту)
192.168.5.3 - Windows 7 Pro (внешняя машинка, что коннектится через PPTP
к IP 192.168.175.128)
192.168.5.4 - Windows XP SP2 (внешняя машинка, что коннектится через PPTP
к IP 192.168.175.128)Что говорит ipconfig:
(192.168.5.2)Адаптер PPP pptp2: DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : pptp2 Физический адрес. . . . . . . . . : DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да IPv4-адрес. . . . . . . . . . . . : 192.168.5.2(Основной) Маска подсети . . . . . . . . . . : 255.255.255.255 Основной шлюз. . . . . . . . . : 0.0.0.0 DNS-серверы. . . . . . . . . . . : 192.168.10.1 NetBios через TCP/IP. . . . . . . . : Включен Ethernet adapter Подключение по локальной сети: DNS-суффикс подключения . . . . . : my-local-domain Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) PRO/1000 MT Физический адрес. . . . . . . . . : 00-0C-29-D9-04-2D DHCP включен. . . . . . . . . . . : Да Автонастройка включена. . . . . . : Да IPv4-адрес. . . . . . . . . . . . : 192.168.10.21(Основной) Маска подсети . . . . . . . . . . : 255.255.255.0 Аренда получена. . . . . . . . . . : 10 декабря 2012 г. 14:23:19 Срок аренды истекает. . . . . . . . . . : 13 декабря 2012 г. 14:23:19 Основной шлюз. . . . . . . . . : 192.168.10.1 DHCP-сервер. . . . . . . . . . . : 192.168.10.1 DNS-серверы. . . . . . . . . . . : 192.168.10.1 NetBios через TCP/IP. . . . . . . . : Включен(192.168.5.3)
Адаптер PPP pptp1: DNS-суффикс подключения . . . . . : Описание. . . . . . . . . . . . . : pptp1 Физический адрес. . . . . . . . . : DHCP включен. . . . . . . . . . . : Нет Автонастройка включена. . . . . . : Да IPv4-адрес. . . . . . . . . . . . : 192.168.5.3(Основной) Маска подсети . . . . . . . . . . : 255.255.255.255 Основной шлюз. . . . . . . . . : 0.0.0.0 DNS-серверы. . . . . . . . . . . : 192.168.10.1 NetBios через TCP/IP. . . . . . . . : Включен Ethernet adapter Подключение по локальной сети: DNS-суффикс подключения . . . . . : localdomain Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) PRO/1000 MT Физический адрес. . . . . . . . . : 00-0C-29-26-97-3B DHCP включен. . . . . . . . . . . : Да Автонастройка включена. . . . . . : Да IPv4-адрес. . . . . . . . . . . . : 192.168.175.148(Основной) Маска подсети . . . . . . . . . . : 255.255.255.0 Аренда получена. . . . . . . . . . : 12 декабря 2012 г. 18:32:58 Срок аренды истекает. . . . . . . . . . : 12 декабря 2012 г. 21:17:58 Основной шлюз. . . . . . . . . : 192.168.175.2 DHCP-сервер. . . . . . . . . . . : 192.168.175.254 DNS-серверы. . . . . . . . . . . : 192.168.175.2 Основной WINS-сервер. . . . . . . : 192.168.175.2 NetBios через TCP/IP. . . . . . . . : Включен(192.168.5.4)
Подключение по локальной сети - Ethernet адаптер: DNS-суффикс этого подключения . . : localdomain Описание . . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter Физический адрес. . . . . . . . . : 00-0C-29-D8-4C-5A Dhcp включен. . . . . . . . . . . : да Автонастройка включена . . . . . : да IP-адрес . . . . . . . . . . . . : 192.168.175.130 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : 192.168.175.2 DHCP-сервер . . . . . . . . . . . : 192.168.175.254 DNS-серверы . . . . . . . . . . . : 192.168.175.2 Основной WINS-сервер . . . . . . : 192.168.175.2 Аренда получена . . . . . . . . . : 12 декабря 2012 г. 20:48:14 Аренда истекает . . . . . . . . . : 12 декабря 2012 г. 21:18:14 pptp3 - PPP адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface Физический адрес. . . . . . . . . : 00-53-45-00-00-00 Dhcp включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 192.168.5.4 Маска подсети . . . . . . . . . . : 255.255.255.255 Основной шлюз . . . . . . . . . . : DNS-серверы . . . . . . . . . . . : 192.168.10.1Что настроено и работает:
pfSense как DHCP
pfSense как хранитель точного времени
pfSense как PPTP сервер, соответственно…
ну и маршрутизация с натом из коробки.
Правила:
(в аттаче)т. е. (игнорируя последние тестовые правила на каждом интерфейсе «разрешить все куда угодно»):
- на wan разрешен доступ только для удаленного администрирования через вебморду;
- на INT IF разблокирующие правила для вебморды (порты 80 и 433);
- правила блокировки сайтов и сервисов через алиасы;
- к INT IF разрешены запросы днс из локальной сети, трафик для установки pptp-сессии, веб трафик соответственно;
- на PPTP IF разрешены пинги от pptp-клиента до pptp-сервера, между pptp-клиентами и между pptp-подестью и локальной подсетью;
- ну и проверка форварда порта внутри pptp-подсети.
Что не работает:
1. Так и не пингуются локальные ресурсы с pptp-подсети (только между собой и + pptp-сервер (192.168.5.1);
2. При включеной опции у pptp-клиента в настройках pptp-соединения «использовать удаленный шлюз» инета на тазе нету, а хотелось бы что бы при подключении весь трафик шел по «типа защищенному» каналу;
3. Из локальных ресурсов присутствует пинг только INT IP 192.168.10.1 но самое интересное то, что на машине 192.168.5.3 - Windows 7 Pro оно работает сразу, а на 192.168.5.4 - Windows XP SP2 только тогда когда добавишь маршрут ручками route add 192.168.10.0 mask 255.255.255.0 192.168.5.4Перечитал кучу инфы в гугле, в т.ч. и англоязычную ветку, все до чего еще додумался — это в настройках pptp поставить ip сервера что-то типа 192.168.10.2, или прописать маршрут какой-то вручную что бы отмаршрутизировать трафик с одной подсети в другую.
п.с. Пока не осилил это http://thin.kiev.ua/router-os/50-pfsense/402–pptp-server-pfsense-20.html (какая-то дикая настройка с ручным добавлением интерфейса)
и это http://thin.kiev.ua/router-os/50-pfsense/595-pptpserver.html (не поняв предыдущего за это не брался).
Коллеги, если кто-то знает, подскажите куда хоть копнуть, а то уже тоннелей нарыл а толку нету.
-
Одну проблему решил - с доступом в локальную сеть.
Если кому интересно:
192.168.5.2 - Windows 7 Pro SP1 (машина что принадлежит LAN-сегменту) - когда соединение с pptp сервером было отключено - появились пинги ее локального ip 192.168.10.21 от других pptp-клиентов! И тут сразу стало все ясно.
Заходим в настройки pptp соединения и снимаем галку в соединениях IPv4 "использовать основной шлюз в удаленный сети". Запускаем соединение снова - и вуаля, устойчивый пинг остался )
п.с. т.е. если в локальной сети нужны какие-то ресурсы для pptp клиентов, нужно обязательно в настройках соединения с pptp-сервером убрать ту галку. -
Интернета по прежнему через pptp нету (
nslookup нормально заработал после правила на PPTP VPN для UDP 53, есть аналогичные правила на 80 и 443 TCP но инет не хочет работать… -
Правила для DNS (TCP/UDP) и ICMP есть?
-
для DNS есть только UDP port 53, ICMP в некоторые направления тоже присутствует.
вот скрины:
-
Обычно, если не имеется ввиду конкретный конечный IP/подсеть, параметр destination ставится в '*'.
В правиле для DNS исправьте его, и протокол на TCP/UDP. -
Поменял - не помогло…
Такая модель вообще работает на pfSense? Например на аппаратных роутерах так и работает - инет идет через созданный тоннель. -
Было такое. Поищите по русской ветке поиском и посмотрите здесь http://thin.kiev.ua/router-os/50-pfsense.html .
-
@roy:
Такая модель вообще работает на pfSense?
Из LAN в мир через PPTP - работает. Выж ссылки сами написали. Токма, больше одного PPTP подключения я не делал, не было надобности. Могут быть проблемы, надо тетсить.
-
Было такое. Поищите по русской ветке поиском и посмотрите здесь http://thin.kiev.ua/router-os/50-pfsense.html .
спасибо большое.
п.с. а не знаете, на IPSec такое организовать возможно? Суть в том что бы удаленные клиенты могли пользоваться общими ресурсами локальной сети через защищенный канал + имелась возможность связать две удаленные сети через 2 pfSense'a. OpenVPN может связать две локальные сети через инет? -
@roy:
Такая модель вообще работает на pfSense?
Из LAN в мир через PPTP - работает. Выж ссылки сами написали. Токма, больше одного PPTP подключения я не делал, не было надобности. Могут быть проблемы, надо тетсить.
Я немного не то говорил. Клиенты, которые подключаются через интернет к pptp серверу помимо ресурсов локальной сети должны иметь выход в интернет используя галочку в настройках своего pptp соединения - "использовать как маршрут по умолчанию маршрутизатор удаленной сети", т.е. получается что интернет трафик должен идти через сам pfsense (по созданному каналу VPN).
-
@roy:
Я немного не то говорил. Клиенты, которые подключаются через интернет к pptp серверу помимо ресурсов локальной сети должны иметь выход в интернет используя галочку в настройках своего pptp соединения - "использовать как маршрут по умолчанию маршрутизатор удаленной сети", т.е. получается что интернет трафик должен идти через сам pfsense (по созданному каналу VPN).
Имхо - Делайте лучше на openvpn. С PPTP вылезет проблема GRE протокола.
-
@roy:
Я немного не то говорил. Клиенты, которые подключаются через интернет к pptp серверу помимо ресурсов локальной сети должны иметь выход в интернет используя галочку в настройках своего pptp соединения - "использовать как маршрут по умолчанию маршрутизатор удаленной сети", т.е. получается что интернет трафик должен идти через сам pfsense (по созданному каналу VPN).
Имхо - Делайте лучше на openvpn. С PPTP вылезет проблема GRE протокола.
ок, но pptp будет достаточно, например, для работы скажем по rdp с удаленным сервером?
-
@roy:
ок, но pptp будет достаточно, например, для работы скажем по rdp с удаленным сервером?
http://forum.pfsense.org/index.php/topic,53852.0.html
Ограничения PPTP
http://thin.kiev.ua/router-os/50-pfsense/569-pptp-vpn.html -
http://forum.pfsense.org/index.php/topic,53852.0.html
Ограничения PPTP
http://thin.kiev.ua/router-os/50-pfsense/569-pptp-vpn.htmlСпасибо огромное.
Но с ограничениями я не особо понял. Лично у меня успешно подключились два внешних клиента и один из локальной сети. Между ними всеми - как обычная локалка, доступны сетевые шары, обмен файлами и все сопутствующее, и я не заметил что чего-то не так…