Не получается установить VPN соединение с уд&



  • Коллеги!
    Схема такова:
    Удаленный и давно работающий VPN сервер на FreeBSD mpd4 (хх.хх.хх.хх).
    Шлюз (уу.уу.уу.уу) с pfsense 2.0 на нем NATится  локалка 10.0.0.0/24 в инет.
    На шлюзе имеется еще третья сетевуха, смотрящая в DMZ сеть с реальными IP.
    Если клиент из локальной сети, ну скажем 10.0.0.30, настроит на своей винде VPN соединение с удаленным сервером (хх.хх.хх.хх), то при соединении затыкается все на уровне проверки пароля.
    Похоже тут косяк где-то в NATе или pf c прохождение GRE пакетов.

    [root@router ~]#  tcpdump -n -e -ttt -i pflog0
    tcpdump: WARNING: pflog0: no IPv4 address assigned
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 96 bytes
    00:00:00.000000 rule 48/0(match): pass in on re0: 10.0.0.30.61773 > xx.xx.xx.xx.1723:  tcp 28 [bad hdr length 0 - too short, < 20]
    00:00:00.042554 rule 38/0(match): pass in on rl0: xx.xx.xx.xx > yy.yy.yy.yy: GREv1, call 39285, seq 0, ack 100311118, proto PPP (0x880b), length 58: [|ppp]
    00:00:00.003998 rule 47/0(match): pass in on re0: 10.0.0.30 > xx.xx.xx.xx: GREv1, call 32102, seq 0, proto PPP (0x880b), length 37: [|ppp]

    Если создать PVN соединение на компе из сети DMZ (на компе с реальным IP) то соединение с тем же удаленным VPN серверм устанавливается.
    Кто нибудь сталкивался с такой проблемой и если да, то как ее решить?



  • Настройки правил и NAT покажите.



  • @dvserg:

    Настройки правил и NAT покажите.

    NAT работает режиме Manual Outbound NAT rule generation
    с правилами :
    Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port Description
    WAN  10.0.0.0/24 * * * * *                                                                       NO

    [root@router ~]# pfctl -s nat
    nat-anchor "natearly/" all
    nat-anchor "natrules/
    " all
    nat on rl0 inet from 10.0.0.0/24 to any -> 84.204.148.211 port 1024:65535
    nat on re0 inet from 127.0.0.1 to any -> 10.0.0.1 port 1024:65535
    rdr-anchor "relayd/" all
    rdr-anchor "tftp-proxy/
    " all
    rdr on re0 inet proto tcp from any to ! (re0) port = http -> 127.0.0.1 port 3128
    rdr on pptp inet proto tcp from any to ! 127.0.0.1 port = http -> 127.0.0.1 port 3128
    rdr pass on re0 inet proto udp from any to 10.0.0.1 port = tftp -> 127.0.0.1 port 69
    rdr-anchor "miniupnpd" all



  • А Лан ?

    Можно скриншотами



  • @dvserg:

    А Лан ?

    Можно скриншотами

    а это NAT


Log in to reply