Несколько VPN-Соединений через pfSense 2.0
-
Доброго времени суток.
Столкнулся с необходимостью проброса нескольких VPN (PPTP) соединений через pfSense. Почитал, что есть ограничение в 1.2, которого больше нет в 2.0. Обновился, но проблема сохранилась. Скажите, может быть проблема в том что я не с нуля ставил 2.0 а обновился, или что-то докрутить нужно?
Спасибо. -
Доброго времени суток.
Столкнулся с необходимостью проброса нескольких VPN (PPTP) соединений через pfSense. Почитал, что есть ограничение в 1.2, которого больше нет в 2.0. Обновился, но проблема сохранилась. Скажите, может быть проблема в том что я не с нуля ставил 2.0 а обновился, или что-то докрутить нужно?
Спасибо.Проблему не решили. Решение принесло столько проблем, что решили до 2.1 отложить.
-
А есть какая-нибудь бета-версия, в которой данная проблема решена?
Просто pfSence в продакшне, не хотелось бы его на что-либо менять…. -
Или может быть можно как-нибудь проблему решить на уровне фри - не поленюсь лезть в конфиги и пр. Очень нужно.
-
a mojet poprobovat podklyuchit sam pfsense pptp klientom a ostalnix propuskat cherez nego???
-
Нет, так не получиться, потому что клиенты авторизуются по-сертификатно на вин-сервере.
-
Нет, так не получиться, потому что клиенты авторизуются по-сертификатно на вин-сервере.
А если попробовать multi-WAN ? Пусть даже от одного провайдера ? Через каждый wan-интерфейс свой pptp-линк пробрасывается, если речь идет об extranet.
P.S. Хотя суть проблемы, если честно, не догнал.
-
А
VPN: PPTP
Redirect incoming PPTP connections to:
PPTP redirectionне работает?
-
P.S. Хотя суть проблемы, если честно, не догнал.
Суть проблемы в том, что необходимо, чтобы 2 пользователя соединялись с внешней сетью (PPTP) имея доступ в Интернет через pfSence (NAT). Аналогичная схема через Cisco работает без проблем.
А можно по-подробнее про multi-WAN? Если я правильно понимаю, то нам тогда необходимо несколько внешних IP-адресов, правильно? -
А
VPN: PPTP
Redirect incoming PPTP connections to:
PPTP redirection
не работает?Сразу же попробовал. Нет, соединение тогда вообще не проходит.
-
А
VPN: PPTP
Redirect incoming PPTP connections to:
PPTP redirection
не работает?Сразу же попробовал. Нет, соединение тогда вообще не проходит.
А на Вашем ВинСервере что прописано шлюзом?
Вин-сервер не мой. Да и с ним самим проблем нету. если заменяю pfSence на cisco - все работает.
-
А на Вашем ВинСервере что прописано шлюзом?
Вин-сервер не мой. Да и с ним самим проблем нету. если заменяю pfSence на cisco - все работает.
А понял. Подключение pptp из Вашей локалки на внешний сервер
-
-
А есть какая-нибудь бета-версия, в которой данная проблема решена?
Просто pfSence в продакшне, не хотелось бы его на что-либо менять….Я такой версии не знаю.
Знаю, что Linux'овые iptables этим делом не страдают, но это уже не pfSense, и даже не FreeBSD. -
Забыл сказать про убогий обход этой проблемы, который я когда-то использовал. Если таких соединений нужно организовать не много, а несколько и с определённых локальных IP, а также есть свободные IP на WAN интерфесе, то можно сделать Outbound nat таким образом, чтобы каждый локальный IP отображался в свой IP на WAN интерфейсе.
-
P.S. Хотя суть проблемы, если честно, не догнал.
Суть проблемы в том, что необходимо, чтобы 2 пользователя соединялись с внешней сетью (PPTP) имея доступ в Интернет через pfSence (NAT). Аналогичная схема через Cisco работает без проблем.
А можно по-подробнее про multi-WAN? Если я правильно понимаю, то нам тогда необходимо несколько внешних IP-адресов, правильно?Эмммм….я думал, что наоборот, извне требуется достучаться до pfSense. Если я правильно понял - нужно чтобы у пользователя одновременно был интернет и параллельно pptp-соединение ? Покопайтесь в настройках pptp-соединения у пользователей по части IPv4, отключите там галочку "default gateway" (я уж не скажу сходу как она точно называется). Правда надо будет батником прописать маршруты в удаленные сети на каждом пользовательском компе. Я так эту ситуацию вижу.
-
Вся беда в том, что наружу - 1 IP, поэтому даже вариант с outbound не прокатит…
Жаль конечно. Использую pfSense для раздачи инета в нескольких конторах, видимо из-за этой отличившейся, придется съезжать с pfSense на что-то более универсальное :( -
Эмммм….я думал, что наоборот, извне требуется достучаться до pfSense. Если я правильно понял - нужно чтобы у пользователя одновременно был интернет и параллельно pptp-соединение ? Покопайтесь в настройках pptp-соединения у пользователей по части IPv4, отключите там галочку "default gateway" (я уж не скажу сходу как она точно называется). Правда надо будет батником прописать маршруты в удаленные сети на каждом пользовательском компе. Я так эту ситуацию вижу.
Проблема не в этом. Роуты писать я умею :)
Проблема именно в том, что не подымается одновременно 2 PPTP-подключения… -
Проблема не в этом. Роуты писать я умею :)
Проблема именно в том, что не подымается одновременно 2 PPTP-подключения…Странно. Я вот только что с десктопа и с ноутбука поднял два pptp-подключения в два разных места через pfSense NAT. У нас похожие ситуации ? Версия 2.0 Release.
-
Проблема не в этом. Роуты писать я умею :)
Проблема именно в том, что не подымается одновременно 2 PPTP-подключения…Странно. Я вот только что с десктопа и с ноутбука поднял два pptp-подключения в два разных места через pfSense NAT. У нас похожие ситуации ? Версия 2.0 Release.
В разные места - хоть в сто, в одно и то же не получится.
-
В разные места - хоть в сто, в одно и то же не получится.
Вот теперь понял - действительно, не работает. Интересно, а если по разным wan-интерфейсам двух пользователей разнести ? Понятно, что это извращение, но если острая необходимость и все такое прочее ? Сработает такая система ?
-
по разным WAN - без проблем, работать будет :) Вот еще были бы эти самые разные WAN :).
Проблема непосредственно в способе установления соединения - NAT + GRE(PPTP), в котором нельзя с одним белым IP создать несколько сопоставлений IP:Порт, потому что как я помню порт на GRE с клиента не динамический.
Проблема решается вроде как через специальные PPTP Proxy, по-моему есть какой-то fickin, но судя по форумам - его хотели прикрутить, да недоприкручивали -
Проблема в том, что у GRE порта вообще нет -)
-