OPVPN и PPTP с выключеным firewall в локалке



  • Есть сеть LAN, все настроено. Связь с миром - подключение ADSL. Роутер ADSL - с NAT и Port Forward.
    Хочется установить в сети сервер OVPN и PPTP малой кровью (т.е. не перенастраивая сеть, а просто внедрить туда еще одно устройство и пробросить порты с рутера ADSL).

    1. Монтируем pfsense, настраиваем PPTP, OVPN, генерируем сертификаты, имена и пароли,…
    2. Порт WAN - настраиваем как статический и присваиваем IP из диапазона локалки.
    3. Порт LAN - настраиваем как bridge с WAN.
    4. Запрещаем Packet Filter.
    5. Подключаем в общий switch (локалка) настроеный pfSense через WAN порт.
    6. На роутере ADSL делаем проброс соответсвующих портов на IP WAN адреса pfsense и прописываем статические маршруты, чтобы другие участники сети могли достигнуть PPTP и OVPN клиентов.
    7. Подключаемся ноутбуком к Инету через 3G-modem - пробуем соединиться по OVPN и по PPTP - все работает как часики.
    8. Едем домой и тем же ноутбуком пытаемя соединиться (но только из домашней LAN со своим NAT-ом) - не подключается.
    9. Идем к товарищу и тем же ноутбуком пытаемя соединиться (из LAN товарища со своим NAT-ом) - не подключается.
    10. Вытаскиваем UTP провод, вставляем 3G modem, подкючаемся к Инету, соединяемся по OVPN, PPTP  - снова все работает.

    Резюмируя: OVPN и PPTP работает (на pfsense) только если клиент подключается с "белым адресом".  Или (из других наблюдений) - клиент может иметь "серый адрес", но тогда сервер pfsense НЕ должен быть за натом.

    client-->nat-->inet-->nat-->(ovpn,pptp)-pfsense  - НЕ РАБОТАЕТ
    client-->nat-->inet-->(ovpn,pptp)-pfsense - РАБОТАЕТ
    client-->inet-->nat-->(ovpn,pptp)-pfsense - РАБОТАЕТ

    Я прав (так оно и есть и ничего нельзя сделать), или где-то запутался ???

    Заранее спасибо.



  • Трассировать надо, что на pfSense приходит и приходит ли вообще.



  • Проблема разрешилась следующим образом.
    Firewall -> Nat -> Outbound: Manual Outbound NAT rule generation
    И создаем единственное правило:

    Interface  Source     SourcePort Destination DestinationPort NAT Address NAT Port  Static Port
    WAN        192.168.188.0/24    *                  *              *         *      *     NO

    И обязательно указываем в этом правиле "Not NAT" - после этого все VPNы работают без проблем.

    192.168.188.0/24 - это локалка куда подключен WAN port.



  • @alphil:

    это локалка куда подключен WAN port.

    Неплохо звучит. :)


Log in to reply