Не получается установить VPN соединение с уд&
-
Коллеги!
Схема такова:
Удаленный и давно работающий VPN сервер на FreeBSD mpd4 (хх.хх.хх.хх).
Шлюз (уу.уу.уу.уу) с pfsense 2.0 на нем NATится локалка 10.0.0.0/24 в инет.
На шлюзе имеется еще третья сетевуха, смотрящая в DMZ сеть с реальными IP.
Если клиент из локальной сети, ну скажем 10.0.0.30, настроит на своей винде VPN соединение с удаленным сервером (хх.хх.хх.хх), то при соединении затыкается все на уровне проверки пароля.
Похоже тут косяк где-то в NATе или pf c прохождение GRE пакетов.[root@router ~]# tcpdump -n -e -ttt -i pflog0
tcpdump: WARNING: pflog0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 96 bytes
00:00:00.000000 rule 48/0(match): pass in on re0: 10.0.0.30.61773 > xx.xx.xx.xx.1723: tcp 28 [bad hdr length 0 - too short, < 20]
00:00:00.042554 rule 38/0(match): pass in on rl0: xx.xx.xx.xx > yy.yy.yy.yy: GREv1, call 39285, seq 0, ack 100311118, proto PPP (0x880b), length 58: [|ppp]
00:00:00.003998 rule 47/0(match): pass in on re0: 10.0.0.30 > xx.xx.xx.xx: GREv1, call 32102, seq 0, proto PPP (0x880b), length 37: [|ppp]Если создать PVN соединение на компе из сети DMZ (на компе с реальным IP) то соединение с тем же удаленным VPN серверм устанавливается.
Кто нибудь сталкивался с такой проблемой и если да, то как ее решить? -
Настройки правил и NAT покажите.
-
Настройки правил и NAT покажите.
NAT работает режиме Manual Outbound NAT rule generation
с правилами :
Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port Description
WAN 10.0.0.0/24 * * * * * NO[root@router ~]# pfctl -s nat
nat-anchor "natearly/" all
nat-anchor "natrules/" all
nat on rl0 inet from 10.0.0.0/24 to any -> 84.204.148.211 port 1024:65535
nat on re0 inet from 127.0.0.1 to any -> 10.0.0.1 port 1024:65535
rdr-anchor "relayd/" all
rdr-anchor "tftp-proxy/" all
rdr on re0 inet proto tcp from any to ! (re0) port = http -> 127.0.0.1 port 3128
rdr on pptp inet proto tcp from any to ! 127.0.0.1 port = http -> 127.0.0.1 port 3128
rdr pass on re0 inet proto udp from any to 10.0.0.1 port = tftp -> 127.0.0.1 port 69
rdr-anchor "miniupnpd" all -
А Лан ?
Можно скриншотами
-