удаленный клиент к VPN на PFSENSE ошибка 619
-
Приветствую.
Наблюдаю плавающую проблему.
Есть:
сам PFSense 1.2.3
WAN - Static IP
LAN - DHCP
VPN сервервсе правила прописаны, все проверено, все работало. Но с неделю появляются странные глюки. При попытке удаленного подключения с виндовой машины к ВПН на PFSense получаю ошибку 619, следующую сразу после проверки логина/пароля. Ошибка наблюдается не постоянно. К примеру вчера в 23-00 все было прекрасно и коннект был (в офисе все компы кроме серверов были погашены), а сегодня в 11 утра как отрезало. Предположил, что виноват какой-то из компов,создающий некий GRE поток из офиса наружу, попросил погасить все компы…. толку никакого. все та же 619 ошибка... кто встречался с подобным и лечится ли это вообще... На англоязычных форумах описание подобной ошибки присутствует, но решения нет ((
P.S. Сразу скажу, что пробовал успешные и не успешные подключения к ВПН с разных мест, как с файрволами, так и без оных...
-
kin syda opisanie oshibki
-
лога, к сожалению сейчас нет, но выглядит это так
происходит подключение с серверу - идет проверка логина и пароля (секунд 10) - вываливается окно с ошибкой 619 (удаленный компьютер не отвечает)
-
u tebya kto to konektitsya po pptp na ruju?????
-
posmotri v moment kogda dayot error est li kto u sebya doma kto podklyuchaetsya na ruju cherez pptp u pfsens a est limitaciya mojet postavish pptp server na otdelny virtualny IP
poprobuy stavit proxyARP i podnyat na nyom pptp server -
чтобы было понятнее)) схема следующая
штатная работа.
офисная сеть – шлюз PFSense (NAT)--- Internetкогда подключаюсь я
мой комп --- интернет --- VPN на PFSense --- офисная сетьошибка касается именно второго варианта. как я понимаю, PF может кочерыжить если в этот момент уже есть созданое соединение изнури офиса наружу, которое юзает GRE ???
-
чтобы было понятнее)) схема следующая
штатная работа.
офисная сеть – шлюз PFSense (NAT)--- Internetкогда подключаюсь я
мой комп --- интернет --- VPN на PFSense --- офисная сетьошибка касается именно второго варианта. как я понимаю, PF может кочерыжить если в этот момент уже есть созданое соединение изнури офиса наружу, которое юзает GRE ???
Попробуй тогда в файере разрешить хождение gre пакетов только для определённого компа, сервера я так понимаю.
-
13:52:55.076772 IP 10.10.122.10.57831 > 192.168.0.14.445: tcp 247
13:52:55.076842 IP 10.10.122.10.57831 > 192.168.0.14.445: tcp 247
13:52:55.077401 IP 10.10.122.11 > 91.209.105.168: GREv1, call 31, seq 640080, length 231: compressed PPP data
13:52:55.097507 IP 10.10.122.10.24175 > 92.79.57.128.58419: UDP, length 1220
13:52:55.104694 IP 77.39.1.109.56541 > 10.10.122.10.24175: UDP, length 20
13:52:55.105166 IP 10.10.122.10.24175 > 77.39.1.109.56541: UDP, length 620
13:52:55.123258 IP 91.209.105.168 > 10.10.122.11: GREv1, call 49152, seq 753873, ack 640080, length 645: compressed PPP data
13:52:55.128702 IP 91.209.105.168 > 10.10.122.11: GREv1, call 49152, seq 753874, length 572: compressed PPP data
13:52:55.129057 IP 10.10.122.10.57831 > 192.168.0.14.445: tcp 0
13:52:55.129114 IP 10.10.122.10.57831 > 192.168.0.14.445: tcp 0
13:52:55.129504 IP 10.10.122.11 > 91.209.105.168: GREv1, call 31, seq 640081, ack 753874, length 61: compressed PPP data
13:52:55.133580 IP 91.209.105.168 > 10.10.122.11: GREv1, call 49152, seq 753875, length 620: compressed PPP data
13:52:55.139571 IP 91.209.105.168 > 10.10.122.11: GREv1, call 49152, seq 753876, length 616: compressed PPP data
13:52:55.139945 IP 10.10.122.10.57831 > 192.168.0.14.445: tcp 0
13:52:55.139996 IP 10.10.122.10.57831 > 192.168.0.14.445: tcp 0vot kogda snova dast error na pf e vklyuchay pacet capture na lan interface e i poluchish chto to vrode etogo
eto pomojet uznat kto tebe meshaet -
ошибка касается именно второго варианта. как я понимаю, PF может кочерыжить если в этот момент уже есть созданое соединение изнури офиса наружу, которое юзает GRE ???
Не важно изнутри или снаружи. Проблема возникает если:
- На pfSense один и тот же IP используется для доступа в Интернет из локальной сети и для PPTP сервера
- Уже существует PPTP-тоннель pfSense <-> твой public IP.
Проверить: в момент своего неудачно подключения (когда у тебя комп задумается прежде чем выплюнуть ошибку)
pfctl -ss | grep 1723 pfctl -ss | grep gre
покажет тебе уже существующие(активные) и пытающие установиться (1723)