Возможно ли обойти ограничение PF на 1 VPN соед.



  • PFsense не пропускает более 1-го VPN соединения ( gre )  из внутренней к одному внешенему  PPTP серверу, имеющему 1 IP.
    Подскажите пожалуста  ???, может кто сталкивался с такой проблемой и имеет готовое решение или подскажет направление в котором работать, буду очень признателен.



  • Это не проблема pfSense. Это теоретическое ограничение.
    Вариант решения существует только если есть несколько Public IP на WAN. В этом случае разные локальные IP можно выпускать с разными public IP позволяя коннектиться к одному и тому же удалённому IP.



  • @Eugene:

    Это не проблема pfSense. Это теоретическое ограничение.

    Это ограничение PF?
    Просто хочется немного разобраться. Сейчас стоит Керио наружу, за ним ISA и к одному PPTP-серверу коннектятся несколько клиентов из внутренней сети. Самое интересное, что такая ситуация возникла именно тогда, когда я решил заменить Керио на pfSense  ;D Раньше мне это не требовалось и скоро необходимость тоже отпадет, но хотелось бы все-таки понять почему это не работает в pfSense и будет ли. И почему тогда это без проблем работает на виндовом Керио, если это теоретическое ограничение?



  • @Eugene:

    Это не проблема pfSense. Это теоретическое ограничение.
    Вариант решения существует только если есть несколько Public IP на WAN. В этом случае разные локальные IP можно выпускать с разными public IP позволяя коннектиться к одному и тому же удалённому IP.

    ограничения чего? шлюз freebsd 8.0 natd стандартный, за ним сидит офис, подключаются к впн серверу в другом офисе (шлюз freebsd 7.2)
    3 машины - 3 впн коннекта чяднт?



  • Говоря об ограничении я имелл в виду это ->
    http://devwiki.pfsense.org/PPTPTroubleShooting

    Необходимо чтоб роутер пропускал более 1-го VPN подключения ( в моём случае около 50) к одному серверу, имеющему 1 IP.



  • @zar0ku1:

    @Eugene:

    Это не проблема pfSense. Это теоретическое ограничение.
    Вариант решения существует только если есть несколько Public IP на WAN. В этом случае разные локальные IP можно выпускать с разными public IP позволяя коннектиться к одному и тому же удалённому IP.

    ограничения чего? шлюз freebsd 8.0 natd стандартный, за ним сидит офис, подключаются к впн серверу в другом офисе (шлюз freebsd 7.2)
    3 машины - 3 впн коннекта чяднт?

    pfSense
    LocalIP–-NAT to public IP---->------GREServerIP
    создаётся State LocalIP:GRE:GREServerIP
    Когда приходит обратный пакет GRE с GREServerIP на PublicIP и pfSense знает, куда его кидать - на LocalIP.

    Второй user:
                    pfSense
    LocalIP1---NAT to public IP---->------GREServerIP
    создаётся State LocalIP1:GRE:GREServerIP
    И того в таблице состояний имеем:
    LocalIP:GRE:PublicIP:GREServerIP
    LocalIP1:GRE:PublicIP:GREServerIP

    Приходит обратный пакет GRE с GREServerIP на Public IP и куда его pfSense должен кидать? он подпадает под два состояния.
    Как это обходится в Kerio?



  • @Eugene:

    pfSense
    LocalIP–-NAT to public IP---->------GREServerIP
    создаётся State LocalIP:GRE:GREServerIP
    Когда приходит обратный пакет GRE с GREServerIP на PublicIP и pfSense знает, куда его кидать - на LocalIP.

    Второй user:
    pfSense
    LocalIP1---NAT to public IP---->------GREServerIP
    создаётся State LocalIP1:GRE:GREServerIP
    И того в таблице состояний имеем:
    LocalIP:GRE:PublicIP:GREServerIP
    LocalIP1:GRE:PublicIP:GREServerIP

    Приходит обратный пакет GRE с GREServerIP на Public IP и куда его pfSense должен кидать? он подпадает под два состояния.
    Как это обходится в Kerio?

    Эта проблема только у pf!
    следовательно автору топика дистрибутив pfSense не подойдет, пробуйте другие



  • Да, с теорией я погорячился. Внутри GRE-header'а есть Key, которым можно в принципе играться, чтобы получить разные сессии между двумя IP. Видимо, так это и реализовывается там, где это работает, но pf этим делом не занимается.



  • @zar0ku1:

    @Eugene:

    pfSense
    LocalIP–-NAT to public IP---->------GREServerIP
    создаётся State LocalIP:GRE:GREServerIP
    Когда приходит обратный пакет GRE с GREServerIP на PublicIP и pfSense знает, куда его кидать - на LocalIP.

    Второй user:
    pfSense
    LocalIP1---NAT to public IP---->------GREServerIP
    создаётся State LocalIP1:GRE:GREServerIP
    И того в таблице состояний имеем:
    LocalIP:GRE:PublicIP:GREServerIP
    LocalIP1:GRE:PublicIP:GREServerIP

    Приходит обратный пакет GRE с GREServerIP на Public IP и куда его pfSense должен кидать? он подпадает под два состояния.
    Как это обходится в Kerio?

    Эта проблема только у pf!
    следовательно автору топика дистрибутив pfSense не подойдет, пробуйте другие

    Спасибо за помощь, жаль что нельзя реализовать это на PF , может в последних дистрибутивах авторы решат эту проблему.



  • У меня сделано так:

    LAN -> ISA Server -> DMZ -> pfSense

    Клиенты из LAN при этом могут коннектиться к одному и тому же PPTP-серверу. Возможно, что это заслуга ISA, не знаю точно, но это работает.



  • @Alexey12:

    У меня сделано так:

    LAN -> ISA Server -> DMZ -> pfSense

    Клиенты из LAN при этом могут коннектиться к одному и тому же PPTP-серверу. Возможно, что это заслуга ISA, не знаю точно, но это работает.

    а можно по секрету, зачем pfsense если есть ISA?



  • Использую схему с 2 фаерами и DMZ. В DMZ стоят несколько серваков. Сейчас просто хочу поменять Керио на pfsense. ISA аутентифицирует внутренних клиентов и принимает VPN-соединения. Одну ИСУ в интернет выставлять стрёмно.



  • @Alexey12:

    Использую схему с 2 фаерами и DMZ. В DMZ стоят несколько серваков. Сейчас просто хочу поменять Керио на pfsense. ISA аутентифицирует внутренних клиентов и принимает VPN-соединения. Одну ИСУ в интернет выставлять стрёмно.

    купить продукт за 60 тысяч и стремно выставлять в интернет?
    P.S. /me ушел убиваться от зависти



  • Можно сказать, досталось по наследству… впрочем, отказ от ISA тоже планируется. ISA "куплен" по типу Open Value Subscription.



  • @Alexey12:

    Можно сказать, досталось по наследству… впрочем, отказ от ISA тоже планируется. ISA "куплен" по типу Open Value Subscription.

    Если я правильно понял - тебе нужно связать два офиса с разными серыми сетками и ты  хотел использовать РРТР соединение конечных пользователей одной сетки на впн-сервер в другой ??

    Могу предложить другое решение, используй встроенный механизм IPSEC в пф-сенс, и свяжи сети двух офисов. Тогда каждый клиент с любой сети сможет видеть другую сеть (при необходимости).


Log in to reply