удаленный клиент к VPN на PFSENSE ошибка 619



  • Приветствую.

    Наблюдаю плавающую проблему.
    Есть:
    сам PFSense 1.2.3
    WAN - Static IP
    LAN - DHCP
    VPN сервер

    все правила прописаны, все проверено, все работало. Но с неделю появляются странные глюки. При попытке удаленного подключения с виндовой машины к ВПН на PFSense получаю ошибку 619, следующую сразу после проверки логина/пароля. Ошибка наблюдается не постоянно. К примеру вчера в 23-00 все было прекрасно и коннект был (в офисе все компы кроме серверов были погашены), а сегодня в 11 утра как отрезало. Предположил, что виноват какой-то из компов,создающий некий GRE поток из офиса наружу, попросил погасить все компы…. толку никакого. все та же 619 ошибка... кто встречался с подобным и лечится ли это вообще... На англоязычных форумах описание подобной ошибки присутствует, но решения нет ((

    P.S. Сразу скажу, что пробовал успешные и не успешные подключения к ВПН с разных мест, как с файрволами, так и без оных...



  • kin syda opisanie oshibki



  • лога, к сожалению сейчас нет, но выглядит это так

    происходит подключение с серверу - идет проверка логина и пароля (секунд 10) - вываливается окно с ошибкой 619 (удаленный компьютер не отвечает)



  • u tebya  kto to konektitsya po pptp na ruju?????



  • posmotri v moment kogda dayot error est li kto u sebya doma kto podklyuchaetsya na ruju cherez pptp u pfsens a est limitaciya mojet postavish pptp server na otdelny virtualny IP
    poprobuy stavit proxyARP i podnyat na nyom pptp server



  • чтобы было понятнее)) схема следующая

    штатная работа.
    офисная сеть – шлюз PFSense (NAT)--- Internet

    когда подключаюсь я
    мой комп --- интернет --- VPN на PFSense --- офисная сеть

    ошибка касается именно второго варианта. как я понимаю, PF может кочерыжить если в этот момент уже есть созданое соединение изнури офиса наружу, которое юзает GRE ???



  • @Iskupitel:

    чтобы было понятнее)) схема следующая

    штатная работа.
    офисная сеть – шлюз PFSense (NAT)--- Internet

    когда подключаюсь я
    мой комп --- интернет --- VPN на PFSense --- офисная сеть

    ошибка касается именно второго варианта. как я понимаю, PF может кочерыжить если в этот момент уже есть созданое соединение изнури офиса наружу, которое юзает GRE ???

    Попробуй тогда в файере разрешить хождение gre пакетов только для определённого компа, сервера я так понимаю.



  • 13:52:55.076772 IP 10.10.122.10.57831 > 192.168.0.14.445: tcp 247
    13:52:55.076842 IP 10.10.122.10.57831 > 192.168.0.14.445: tcp 247
    13:52:55.077401 IP 10.10.122.11 > 91.209.105.168: GREv1, call 31, seq 640080, length 231: compressed PPP data
    13:52:55.097507 IP 10.10.122.10.24175 > 92.79.57.128.58419: UDP, length 1220
    13:52:55.104694 IP 77.39.1.109.56541 > 10.10.122.10.24175: UDP, length 20
    13:52:55.105166 IP 10.10.122.10.24175 > 77.39.1.109.56541: UDP, length 620
    13:52:55.123258 IP 91.209.105.168 > 10.10.122.11: GREv1, call 49152, seq 753873, ack 640080, length 645: compressed PPP data
    13:52:55.128702 IP 91.209.105.168 > 10.10.122.11: GREv1, call 49152, seq 753874, length 572: compressed PPP data
    13:52:55.129057 IP 10.10.122.10.57831 > 192.168.0.14.445: tcp 0
    13:52:55.129114 IP 10.10.122.10.57831 > 192.168.0.14.445: tcp 0
    13:52:55.129504 IP 10.10.122.11 > 91.209.105.168: GREv1, call 31, seq 640081, ack 753874, length 61: compressed PPP data
    13:52:55.133580 IP 91.209.105.168 > 10.10.122.11: GREv1, call 49152, seq 753875, length 620: compressed PPP data
    13:52:55.139571 IP 91.209.105.168 > 10.10.122.11: GREv1, call 49152, seq 753876, length 616: compressed PPP data
    13:52:55.139945 IP 10.10.122.10.57831 > 192.168.0.14.445: tcp 0
    13:52:55.139996 IP 10.10.122.10.57831 > 192.168.0.14.445: tcp 0

    vot kogda snova dast error na pf e vklyuchay pacet capture na lan interface e i poluchish chto to vrode etogo
    eto pomojet uznat kto tebe meshaet



  • @Iskupitel:

    ошибка касается именно второго варианта. как я понимаю, PF может кочерыжить если в этот момент уже есть созданое соединение изнури офиса наружу, которое юзает GRE ???

    Не важно изнутри или снаружи. Проблема возникает если:

    1. На pfSense один и тот же IP используется для доступа в Интернет из локальной сети и для PPTP сервера
    2. Уже существует PPTP-тоннель pfSense <-> твой public IP.
      Проверить: в момент своего неудачно подключения (когда у тебя комп задумается прежде чем выплюнуть ошибку)
    pfctl -ss | grep 1723
    pfctl -ss | grep gre
    

    покажет тебе уже существующие(активные) и пытающие установиться (1723)


Log in to reply