Problemas Cortes VPN PPTP



  • Buenos dias,

    Hace poco he empezado a conocer a pfsense y me quedé muy positivamente sorprendido. Ahora mismo tenemos un firewall con 1.2.3 instalado en una oficina y algunos empleados se conectan a una VPN para trabajar sobre una base de datos.

    Es una VPN PPTP configurada desde windows XP, y la conexión se establece y funciona correctamente durante cierto tiempo (~10min) pero luego deja de responder, no se desconecta la VPN pero no transfiere datos y la aplicación se queda tonta.  Hay que desconectar y reconectarse dentro de un tiempo. El servidor remoto esta en internet.

    Las reglas de SALIDA son totales para facilitar las tareras:

    *  LAN net  *  *  *  *      Default LAN -> any

    Hablando con el SAT de esa VPN me indican que debe ser un problema de nuestro router/firewall que no NATea bien el puerto GRE 47 y por eso se corta la VPN al cabo de un rato, el caso es que a lser una conexión saliente no tengo que hacer NAT pienso.

    Buscando me econtré con esta noticia creo que poco agradable porque puede ser lo que me pasa:

    PPTP and GRE Limitation - The state tracking code in pf for the GRE protocol can only track a single session per public IP per external server. This means if you use PPTP VPN connections, only one internal machine can connect simultaneously to a PPTP server on the Internet. A thousand machines can connect simultaneously to a thousand different PPTP servers, but only one simultaneously to a single server. The only available work around is to use multiple public IPs on your firewall, one per client, or to use multiple public IPs on the external PPTP server. This is not a problem with other types of VPN connections. A solution for this is currently under development.

    No dice nada de cortes pero es cierto que solo uno de ellos puede conectarse al mismo tiempo, mientras uno esta conectado al otro le da error.

    Si esto no se puede evitar de alguna forma, me temo que he de volver a ipcop u otra alternativa, es sumamente importante que estas VPN funcionen :/

    Un saludo y gracias !!!



  • ¡Hola!

    No se puede evitar. Es una limitación. Está en el libro de pfSense…

    Una sola conexión, en este caso.

    Saludos,

    Josep Pujadas



  • Gracias por la rápida respuesta,

    pues la verdad es una pena que esto sea así, PFsense me gusta bastante pero esto me parece realmente un BUG bastante importante, en casi todas las mpresas se usan conexiones VPN para trabajar sobre una BBDD centralizada y es frecuente que la usen varios usuarios simultáneamente.  Estuve al mediodía preparando un IPcop 1.4.21 y nada mas instalar y pinchar ya funciona todo correctamente. Pasa que este ´compañero´ (el ipcop) anda un pelín desactualizado y por eso busco alternativas.

    Un saludo.



  • ¡Hola!

    No es un bug. Es una limitación de PF (Packet Filter). Sólo puedes tener una conexión por IP pública (server).

    2. Only one client can connect to a PPTP server on the Internet simultaneously.

    http://doc.pfsense.org/index.php/What_are_the_limitations_of_PPTP_in_pfSense%3F

    No recuerdo exactamente si es el mismo problema pero había visto algo semejante hace un tiempo con las VPN por PPTP en Windows 2000 Server…

    Puedes plantearte no emplear PPTP... En su lugar, OpenVPN o IPSec...

    http://es.wikipedia.org/wiki/OpenVPN#Comparaci.C3.B3n_entre_OpenVPN_e_IPsec_VPN
    http://doc.pfsense.org/index.php/VPN_Capability_Overview

    Saludos,

    Josep Pujadas


Log in to reply