Pfsense + squid + vpn



  • Pessoal,

    Utilizo hoje para conectar ao servidor de um cliente a VPN (pptp). Ao conectar a navegação sai normalmente (inclusive com as regras impostas no Squid). Estou com dois problemas que não consigo resolver:

    • Ao tentar utilizar um Softphone que conecta num Asterisk Internamente;
    • Skype e MSN não conectam (mesmo liberando as regras do squid).

    Alguém poderia me ajudar ?



  • @takaasi:

    Pessoal,
    Utilizo hoje para conectar ao servidor de um cliente a VPN (pptp). Ao conectar a navegação sai normalmente (inclusive com as regras impostas no Squid). Estou com dois problemas que não consigo resolver:

    • Ao tentar utilizar um Softphone que conecta num Asterisk Internamente;
    • Skype e MSN não conectam (mesmo liberando as regras do squid).
      Alguém poderia me ajudar ?

    @takaasi,

    Estes teus clientes PPTP recebem IP na mesma rede/classe da tua LAN?
    Em caso positivo, apenas vá até a aba "Firewall->Rules->PPTP" e crie uma regra liberando "tudo de tudo", ou seja, dos clientes PPTP para a LAN e vice-versa.

    Nota importante: O ideal é sempre abrir somente o que for explicitamente necessário no que tange as rules do firewall. Por isso, se você conseguir identificar os protocolos, portas e destinos, crie a regra acima com base nesta limitação. Por exemplo: Liberar somente todos as conexões vindas dos clientes PPTP, com destino ao seu Asterisk, sob o protocolo SIP.

    Abraços!
    Jack



  • JackL,

    Os clientes recebem IP em outra classe de rede.

    Na rede do Cliente, eu utilizo o 192.168.0.X e no PPPTP utilizo 192.168.8.X.

    • Tentei modificar o ip do Ppptp para a mesmo da rede e apareceu uma mensagem que não é possivel ingressas uma rede ppptp na mesma rede LAN


  • @takaasi:

    • Tentei modificar o ip do Ppptp para a mesmo da rede e apareceu uma mensagem que não é possivel ingressas uma rede ppptp na mesma rede LAN

    Bem, o seu problema aparentemente está relacionado a questão de roteamento. Como são redes diferentes, é normal que as estações só enxerguem via NAT.

    O mais curioso do seu depoimento, é que em geral, o mais simples de se fazer é colocar os clientes remotos na mesma rede da sua LAN. Aliás, isso é praticamente automático no configurador do PFSense 2.0!

    Você pode encaminhar um screenshot ou maiores detalhes acerca desta sua configuração (VPN PPTP) no PFSense?

    Abraços!
    Jack



  • Eu prefiro em redes diferentes, para facilitar o roteamento.

    Com relação ao asterisk, veja se existe configuração de nat para ele e se o asterisk consegue chegar nos seus clientes remotos.



  • Pessoal,

    Acho que deu certo aqui. O Softphone está funcionando certinho.

    Coloquei as seguintes configurações:

    Server address - 192.168.8.1
    Remote address range - 192.168.0.200

    Tem algum problema em colocar o Server Address diferente da Remote address ?

    Obrigado



  • @marcelloc:

    Eu prefiro em redes diferentes, para facilitar o roteamento.
    Com relação ao asterisk, veja se existe configuração de nat para ele e se o asterisk consegue chegar nos seus clientes remotos.

    Bem @marcelloc,

    Na verdade esta é uma questão muito mais de cenário e objetivos do que uma questão de "preferência". :-)
    Isso está relacionado a sua política de segurança para clientes PPTP e requisitos de aplicações (algumas aplicações simplesmente não admitem ficar atrás de NAT).

    Abraços!
    Jack



  • @takaasi:

    Tem algum problema em colocar o Server Address diferente da Remote address ?

    Nenhum problema @takaasi.
    Do jeito que configurastes, o gateway dos teus clients remotos passa a ser o 192.168.8.1. Por isso teus clientes PPTP que estão na rede "0", vão conseguir "enxergar" a rede "8", já que o default gateway conhece a rota de ambas.

    A questão é: Se a idéia é deixar que os clientes PPTP tenham acesso total a rede "8", como se estivessem fisicamente conectados nela, porque manter em redes diferentes? A menos que tenha requisitos de política de segurança, pessoalmente, não vejo grande finalidade nisso!

    Abraços!
    Jack


Log in to reply