PPTP Server mit Radius Auth

Reply to PPTP Server mit Radius Auth on Thu, 01 Feb 2007 20:05:17 GMT

hoba — Thu, 01 Feb 2007 20:05:17 GMT

Schleifen gäbe es nur mit Bridging und da die pfSense SpanningTreeProtocol unterstützt entdeckt sie das und schaltet die Bridge dann ab (siehst auch unter status>interfaces, wenn das der Fall ist).

Reply to PPTP Server mit Radius Auth on Thu, 01 Feb 2007 11:58:19 GMT

dexcs — Thu, 01 Feb 2007 11:58:19 GMT

Alles klar, hab eh so nen Embedded mit 8 Netzwerkanschlüssen, war mir nur net sicher ob das ne Schleife im Netz gibt.

Reply to PPTP Server mit Radius Auth on Thu, 01 Feb 2007 09:13:21 GMT

hoba — Thu, 01 Feb 2007 09:13:21 GMT

Der dazu benötigte Virtual-IP-Typ wird derzeit nicht unterstützt (ist bereits in HEAD verfügbar). Ich empfehle für die Übergangszeit eine zusätzliche Netzwerkkarte einzubauen, die auf dem alten Subnet läuft und am gleichen Switch im gleichen Layer2 Netz hängt.

Das gibt zwar ein paar ARP Meldungen im Log, aber die kannst Du unter System>advanced unterdrücken:
Shared Physical Network
( X ) This will suppress ARP messages when interfaces share the same physical network

Damit kannst Du dann schön "sanft" migrieren weil Clients sowohl im alten als auch im neuen Subnet funktionieren.

Reply to PPTP Server mit Radius Auth on Thu, 01 Feb 2007 06:49:18 GMT

dexcs — Thu, 01 Feb 2007 06:49:18 GMT

Juhu, ich glaubs net. Mein Cheff lässt es zu das wir die IP's ändern. Dann hat sich das mit dem Routing zwischen VPN und LAN auch erledigt.

Nur noch eine Frage, ich müsste ein Routing einrichten auf der FW, damit Rechner oder Drucker die noch nicht umgestellt sind, trotzdem ins neue Netz, und damit auf die Server im neuen, dürfen.

Wie gebe ich der FW 2 IP's im LAN, eine im neuen und eine im Alten Netz? Und was passiert wenn ich im "Interfaces: LAN" die IP Adresse ändere? werden die Firewallregeln angepasst?

Gruß Max

Reply to PPTP Server mit Radius Auth on Wed, 31 Jan 2007 09:23:47 GMT

hoba — Wed, 31 Jan 2007 09:23:47 GMT

Dann mußt Du sicherstellen, daß das Routing funktioniert.

Reply to PPTP Server mit Radius Auth on Wed, 31 Jan 2007 09:21:39 GMT

dexcs — Wed, 31 Jan 2007 09:21:39 GMT

Und wenn das nicht geht, weil das Subnetz vom LAN zu voll ist? g

Reply to PPTP Server mit Radius Auth on Wed, 31 Jan 2007 08:06:53 GMT

hoba — Wed, 31 Jan 2007 08:06:53 GMT

Da kriegst du u.U. Probleme mit dem Routing. Ich würde das PPTP-Subnet zu einem Teil des LANs machen (z.B.):
LAN: 192.6.1.245/24
PPTP-Server: 192.6.1.246 (freie IP aus dem LAN)
PPTP-Subnet: 192.6.1.64/28

Das ist am Schmerzlosesten. Damit sind Deine PPTP-Clients im gleichen Subnet.

Reply to PPTP Server mit Radius Auth on Wed, 31 Jan 2007 08:01:31 GMT

dexcs — Wed, 31 Jan 2007 08:01:31 GMT

Aso, ja hat fast gestimmet ;-)

LAN Adresse der Firewall 192.6.1.245/24
PPTP Server 192.6.2.1
PPTP Subnet 192.168.6.5.1/28

Reply to PPTP Server mit Radius Auth on Tue, 30 Jan 2007 13:53:36 GMT

hoba — Tue, 30 Jan 2007 13:53:36 GMT

Ich meinte irgendwas in der Art (fiktive Adressen, bitte richtig stellen):
LAN 192.6.1.1/24
PPTP Server 192.6.2.1
PPTP Subnet 192.168.6.2.192/16

Reply to PPTP Server mit Radius Auth on Tue, 30 Jan 2007 12:32:03 GMT

dexcs — Tue, 30 Jan 2007 12:32:03 GMT

192.6.1.0-255 255.255.255.0 Internes Netz
192.6.2.1 ist die PPTP Server Adresse.
192.6.5.0-255 Netz in dem die VPN Clients sind.

Versteh nicht ganz was du meinst g.

Nochmal, auf die dumme idee mit 192.6 bin ich nicht gekommen ^^. Ich distanziere mich ausdrücklich ;-).

Reply to PPTP Server mit Radius Auth on Tue, 30 Jan 2007 12:05:33 GMT

hoba — Tue, 30 Jan 2007 12:05:33 GMT

Das sind nicht wirklich Adressen (bis auf die des PPTP-Servers). Kannst Du die tatsächlichen Adressen bitte komplett mit entsprechenden Subnets angeben?

Reply to PPTP Server mit Radius Auth on Tue, 30 Jan 2007 10:35:04 GMT

dexcs — Tue, 30 Jan 2007 10:35:04 GMT

192.6.1.0 ist die LAN Adresse des internen Netzes.
192.6.2.1 ist die PPTP Server adresse.
192.6.5.0 ist das Subnetz in dem die PPTP Clients verweilen.

Firewall zwischen PPTP Netz und internem Netz ist komplett offen.

Reply to PPTP Server mit Radius Auth on Tue, 30 Jan 2007 09:32:17 GMT

hoba — Tue, 30 Jan 2007 09:32:17 GMT

Wie wird die erreicht? Ist die gerouted oder ist das direkt das interne LAN subnet? Kriegen PPTP-Clients IPs aus diesem Bereich?

Reply to PPTP Server mit Radius Auth on Tue, 30 Jan 2007 08:02:46 GMT

dexcs — Tue, 30 Jan 2007 08:02:46 GMT

Ok, PPTP hab ich verstanden. Danke schön.

Bezgl. DNS und Outlook:
Ich muss hier Außendienstler diesen Zugang ermöglichen. Problem ist das die das selbst einrichten müssen, nur mit Telefonischer unterstützung.

Daher will ich nicht das ich irgendwas von hand eintragen muss. Ich habs jetzt so gelöst das ich der pfsense als DNS Server unseren Hausinternen gegeben habe, diesen trägt er ja dann auch bei den VPN Clients ein.

Ahh, mir ist noch was eingefallen während ich so schreibe. Wir hab hier im Haus die IP "192.6.1.0", ich weiß ist ne öffentliche und totaler Schwachfug, aber mein Vorgänger wusste das nicht. Kann es an dem liegen?

Gruß

Reply to PPTP Server mit Radius Auth on Tue, 30 Jan 2007 07:56:03 GMT

hoba — Tue, 30 Jan 2007 07:56:03 GMT

Bzgl. des PPTP: Du kannst nicht mehrere Tunnelsessions zwischen den GLEICHEN öffentlichen IPs laufen haben. Ein Ende (also Dein PPTP-Server) kann durchaus mehrere Sessions zu VERSCHIEDENEN anderen öffentlichen IPs haben. Wenn das PPTP-Proxy-Package erst mal fertig ist wird diese Limitierung jedoch wegfallen.

Bzgl. Outlook habe ich eigentlich keine Probleme. Trage einfach in die PPTP-Verbindung des Clients manuell den Domänen DNS und den Domänen WINS ein, dann sollte das gehen.

Reply to PPTP Server mit Radius Auth on Tue, 30 Jan 2007 07:12:23 GMT

dexcs — Tue, 30 Jan 2007 07:12:23 GMT

Zum Thema PPTP:
Heißt das, das sich mehrere öffentliche IP's auf meine eine öffentliche IP connecten können oder nicht? Steh grad bissle aufm Schlauch.

Zum Thema Outlook:
Ich habe unserem DNS das VPN noch als Forward Lookup Zone eingefügt. Funktioniert aber auch nicht. Mir hat einer erzählt, das er meint mal gehört zu haben, das der WINS nur im gleichen Subnetz arbeiten kann und das deswegen nicht mit outlook geht. Hab aber dazu irgendwie nichts bei Tante google gefunden, kann es trotzdem sein?

Gruß dexcs

Reply to PPTP Server mit Radius Auth on Wed, 24 Jan 2007 13:25:25 GMT

hoba — Wed, 24 Jan 2007 13:25:25 GMT

Du kommst mit mehreren Clients hinter dem gleiche NAT daher. Da das GRE Protocol aber keine Ports o.ä. verwnedet werden das Sessions zwischen den gleiche öffentlichen IP-Adressen und können nicht mehr voneinander getrennt werden. Abhilfe schafft hier ein PPTP-Proxy (ist als Package in Entwicklung). Kommen die Clients jedoch von verschiedenen öffentlichen IPs funktioniert das.

Es geht nur nicht sich von hinter dem gleichen NAT zur gleichen öffentlichen IP-Adresse mehrmals zu verbinden. Hinter dem gleichen NAT zu unterschiedlichen öffentlichen IPs funktioniert ohne Probleme. Liegt also nur an der Art und weise, wie Du testest.

Das mit dem Outlook macht für mich keinen Sinn. Vielleicht ein DNS/WINS Problem. Versuche mal beim Client in der PPTP-Verbindung als DNS und WINS den Domänen-DNS/WINS einzutragen.