Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OPVPN и PPTP с выключеным firewall в локалке

    Scheduled Pinned Locked Moved Russian
    4 Posts 2 Posters 2.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      alphil
      last edited by

      Есть сеть LAN, все настроено. Связь с миром - подключение ADSL. Роутер ADSL - с NAT и Port Forward.
      Хочется установить в сети сервер OVPN и PPTP малой кровью (т.е. не перенастраивая сеть, а просто внедрить туда еще одно устройство и пробросить порты с рутера ADSL).

      1. Монтируем pfsense, настраиваем PPTP, OVPN, генерируем сертификаты, имена и пароли,…
      2. Порт WAN - настраиваем как статический и присваиваем IP из диапазона локалки.
      3. Порт LAN - настраиваем как bridge с WAN.
      4. Запрещаем Packet Filter.
      5. Подключаем в общий switch (локалка) настроеный pfSense через WAN порт.
      6. На роутере ADSL делаем проброс соответсвующих портов на IP WAN адреса pfsense и прописываем статические маршруты, чтобы другие участники сети могли достигнуть PPTP и OVPN клиентов.
      7. Подключаемся ноутбуком к Инету через 3G-modem - пробуем соединиться по OVPN и по PPTP - все работает как часики.
      8. Едем домой и тем же ноутбуком пытаемя соединиться (но только из домашней LAN со своим NAT-ом) - не подключается.
      9. Идем к товарищу и тем же ноутбуком пытаемя соединиться (из LAN товарища со своим NAT-ом) - не подключается.
      10. Вытаскиваем UTP провод, вставляем 3G modem, подкючаемся к Инету, соединяемся по OVPN, PPTP  - снова все работает.

      Резюмируя: OVPN и PPTP работает (на pfsense) только если клиент подключается с "белым адресом".  Или (из других наблюдений) - клиент может иметь "серый адрес", но тогда сервер pfsense НЕ должен быть за натом.

      client-->nat-->inet-->nat-->(ovpn,pptp)-pfsense  - НЕ РАБОТАЕТ
      client-->nat-->inet-->(ovpn,pptp)-pfsense - РАБОТАЕТ
      client-->inet-->nat-->(ovpn,pptp)-pfsense - РАБОТАЕТ

      Я прав (так оно и есть и ничего нельзя сделать), или где-то запутался ???

      Заранее спасибо.

      1 Reply Last reply Reply Quote 0
      • E
        Eugene
        last edited by

        Трассировать надо, что на pfSense приходит и приходит ли вообще.

        http://ru.doc.pfsense.org

        1 Reply Last reply Reply Quote 0
        • A
          alphil
          last edited by

          Проблема разрешилась следующим образом.
          Firewall -> Nat -> Outbound: Manual Outbound NAT rule generation
          И создаем единственное правило:

          Interface  Source     SourcePort Destination DestinationPort NAT Address NAT Port  Static Port
          WAN        192.168.188.0/24    *                  *              *         *      *     NO

          И обязательно указываем в этом правиле "Not NAT" - после этого все VPNы работают без проблем.

          192.168.188.0/24 - это локалка куда подключен WAN port.

          1 Reply Last reply Reply Quote 0
          • E
            Eugene
            last edited by

            @alphil:

            это локалка куда подключен WAN port.

            Неплохо звучит. :)

            http://ru.doc.pfsense.org

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.