РЕШЕНО - Помогите настроить правила.



  • Здравствуйте! pfsense 1.2.2. Офис, к нему доступ по VPN. WAN - динамический, тип PPPoE, привязан к сервису DynDNS. LAN - офисная сеть. По VPN подключение проходит, а вот компьютеры офисной сети даже не пингуются. Из интернет шлюз пингуется. Со шлюза тоже все компьютеры пингуются. В фаерволе разрешаю всем всё - не получается. Отключаю фаервол, компьютеры сети не видят инет. Приведите пожалуйста пример создания правил в моём случае. Спасибо.



  • Тип VPN?



  • Пардон, PPTP



  • В файрволе разрешено на всех интерфейсах ?



  • В файрволе для LAN, WAN и PPTP
    Proto | Source | Port | Destination | Port | Gateway
      *          *        *          *            *          *
    Пробоваал и такие варианты:
    Proto | Source | Port | Destination | Port | Gateway
    TCP        *        *          *            *          *
    UDP        *        *          *            *          *
    ICMP        *        *          *            *          *

    Терзают смутные сомнения, что что-то делаю не так…. поправьте пожалуйста
    Вообще файрвол откуда читать правила начинает сверху или снизу?



  • Сверху



  • Ну а вообще правила так можно создавать? (см. выше)



  • PPTP-сервер запущен на pfSense? Если да, то screenshot его конфигурации плюс скриншот конфигурации интерфейса LAN.



  • PPTP-сервер запущен на pfSense.






  • Remote Address Range должен содержать первый IP клиентского диапазона, а не маску.
    Поставь чего-нидь типа 192.168.1.17



  • Поставил 192.168.1.16 - не помогло, ни пинга, ни рдп
    перезагружал.



  • почему сервер адрес 192.168.1.10?
    покажи текущий скрин настроек сервера, юзера и фаервола pptp



  • @chum:

    Поставил 192.168.1.16 - не помогло, ни пинга, ни рдп
    перезагружал.

    Пользователь получает 192.168.1.16, когда коннектится?



  • да, именно этот адрес и  получает.
    а какой должен быть адрес сервера?








  • я его совсем не понимаю



  • Подконнктится по VPN и попробовать пинг 192.168.1.10, должно работать, если в правилах на PPTP вкладке разрешено всё.
    дальше если пинг не проходит да компьютеры подключенные к LAN:
    Запускаем tcpdump -ni <lan interface="" name="">host <ip address="" машины,="" которую="" пингуем="">Пингуем, есть какой-нибудь вывод? сюда его.</ip></lan>



  • Пинг на 192.168.1.10 прошёл не сразу, с задержкой, сначала был ответ от 192.168.1.2 что-то типа заданная сеть недоступна, потом пинги пошли нормально без задержек и потерь. После этого начал пинговать машины сети - первый пинг то же самое потом нормально, РДП работает. Спасибо больщое всем за помощь. И всё-таки интересно, почему пинги не сразу прошли?



  • Что не сразу - это нормально, секунд 10-15



  • Ну вроде после перезагрузки всё стало на место.
    А почему компьютеры сети (LAN) по ДНС имени не пингуются?



  • @chum:

    Ну вроде после перезагрузки всё стало на место.
    А почему компьютеры сети (LAN) по ДНС имени не пингуются?

    пропиши nslookup и имя компьютера и посмотри какой DNS тебе ответил, а лучше вывод сюда



  • Вообще как-то странно, сейчас работал около 30 минут, впн сам отключился. Повторно удалось подключиться только после перезагрузки шлюза. Потом старая песня - пинга нет, потом 192.168.1.2 - заданная сеть недоступна, потом пинги пошли
    вот nslookup:




  • Вот что мне мой умишко подсказывает…
    Запускаем tcpdump -ni <lan interface="" name="">host <ip address="" машины,="" которую="" пингуем="">и крайне желательно параллельно запустить tcpdump -ni <wan interface="" name="">port 1723 or proto gre

    Коннектимся по VPN и запускаем ping -t 192.168.1.x.

    Пингуем до посинения, есть какой-нибудь вывод? сюда его.</wan></ip></lan>



  • А нельзя ли вот здесь чуть-чуть подробнее? Как запустить tcpdump? Где он? И какой IP где вводить?
    "Запускаем tcpdump -ni <lan interface="" name="">host <ip address="" машины,="" которую="" пингуем="">и крайне желательно параллельно запустить tcpdump -ni <wan interface="" name="">port 1723 or proto gre"
    Вот первый пинг после подключения VPN:


    </wan></ip></lan>



  • @chum:

    А нельзя ли вот здесь чуть-чуть подробнее? Как запустить tcpdump? Где он? И какой IP где вводить?
    "Запускаем tcpdump -ni <lan interface="" name="">host <ip address="" машины,="" которую="" пингуем="">и крайне желательно параллельно запустить tcpdump -ni <wan interface="" name="">port 1723 or proto gre"</wan></ip></lan>

    tcpdump запускается в терминальном окне. Я использую программу PuTTY для подключения к pfSense. Перед этим нужно разрешить SSH на pfSense в System->Advanced.
    Далее открываешь два окна PuTTY, login=root password=твой пароль на pfSense. Тут тебе pfSense и покажет имена LAN и WAN интерфейсов.



  • Это что-ли?




  • да, теперь жми 8, откроется консоль



  • Ну мне кажется результат не тоот что мы ждём… Нельзя ли подробно синтаксис команды tcpdump -ni? Что эта команда делает?




  • tcpdump -ni re0 host 192.168.1.99
    Команда покажет любой трафик к/от 192.168.1.99



  • Вот вырезка того что получилось. Почему в ответ на первый пинг на 192.168.1.99 приходит ответ от 192.168.1.2 - заданная сеть недоступна.






  • @chum:

    Вот вырезка того что получилось. Почему в ответ на первый пинг на 192.168.1.99 приходит ответ от 192.168.1.2 - заданная сеть недоступна.

    Потому, что 192.168.1.2 шлюз через который уходят твои пакеты.



  • Стоп. Давай-ка сначала.
    Сидишь ты дома, семечки жуёшь и домашняя сеть у тебя  192.168.1.0/24, дальше у тебя какой-то файрволл-роутер с public IP x.x.x.x, потом большой и страшный интернет, к кторому подключена твоя контора (офис по-модному называется) с public IP y.y.y.y  на pfSense и локальной сетью за pfSense z.z.z.z/z, к которой ты и стремишься подключиться через PPTP-сервер на pfSense.
    Перепиши это предложения подставляя вместо x, y, z реальный цифры (ну ладно x & y не так интересны сейчас).



  • "x" и "y" присвоены динамически, к серверу ППТП подключаюсь через сервис dyndns. Сеть офиса проще некуда 192.168.1.1-99.
    Почему РДП подключается не с первого раза?
    Кто такой 192.168.1.2? пинги от него идут…



  • Дома какая сеть?
    Сделай на домашнем компе:
    ipconfig /all - если работаешь на Windows
    ifconfig - если работаешь на Linux



  • И почему офис не пингуется по ДНС имени?
    ipconfig /all (домашняя сеть)




  • Дома и в офисе одинаковые подсети - 192.168.1.0/24, так не заработает.



  • Действительно, изменил подсеть в офисе, теперь всё с первого раза подключается.
    Но вот по ДНС имени не подключется. Что нужно сделать в pfsense чтоб разрешить днс?



  • думаю, в днс пфсенса поставить айпи ДНС-сервера, который обслуживает офис.



  • Пробовал, не помогает.
    Вот скрин. Это один и тотже компьютер. Сначала по IP, затем по DNS




  • ipconfig /all на домашнем компьютере, когда VPN подключен и ipconfig /all с любого офисного компьютера



  • ipconfig /all на домашнем компьютере, когда VPN подключен (2 столбца)
    ipconfig /all с офисного компьютера





Log in to reply