Firewall rules и PPTP VPN



  • Здравствуйте.
    Перешел недавно на PfSense 2.0.1 Release (AMD64). Последний раз pfSense'ом пользовался более года назад, тогда 1.2.3 Release у меня стоял, некоторые вещи может уже забылись. Сейчас имеется проблема с 2-мя настройками:
    1. Разрешить пинговать шлюз извне. Создаю в Firewall-Rules правило (ICMP * * * * * none ) либо даже разрешаю все на wan интерфейсе, но с того же например ping.eu достучаться не могу :( Насколько помню в версии 1.2.3 все работало. Встречал информацию, что бывает переустановив pfSense и выполнив те же настройки решают проблему - сделал эту операцию, но ничего не вышло. Включал логирование правила - ICMP запросы разрешает.
    2. Есть два рабочих места с городским трафиком. Включил PPTP сервер, завел пользователя, включил все разрешения на PPTP интерфейсе, подключился с удаленного рабочего места стандартным pptp клиентом с получением маршрута по умолчанию. Проверяю рабочую локалку - пингуются все сервера кроме локального интерфейса pfSense. Пингую гугл, яндекс - все быстро отвечает. Пробую загрузить эти страницы в браузере - грузятся минут по 5. Пробую на PPTP клиенте не через NAT а через работающий Kerio Proxy - тот же результат, загрузка страницы в течении 5 минут :( При этом скорость канала хорошая, скорость через VPN тоже держит, на шарах проверено.
    Подскажите хоть в каком направлении копать?



  • 1. Правило для ICMP создавать в Firewall: Rules: WAN

    ICMP * * WAN address * * none

    2. Схему нарисуйте. Непонятно описано. Похоже на ошибках в правилах (недописывание правил?) FW для LAN- и PPTP-интерфейсов. NAT - автоматом ? Перевести в ручной.
    Для доступа к инету пптп-клиентов Remote address range в настройка ВПН-сервера попробовать указать из подсети LAN. И правило в FW , конечно. Попробовать указать шлюз явно.
    А лучше скрины выложите со всей этой петрушкой.



  • ICMP    *    *    WAN address    *    *    none

    Так тоже пробовал. Безрезультатно. Вернее в логах pfSense показано что трафик разрешен, но удаленный хост все равно не видит.
    Схему смогу вечером нарисовать. А вот скрины с удаленных машин к сожалению только в понедельник. NAT да автоматом.

    Remote address range в настройка ВПН-сервера попробовать указать из подсети LAN

    Пробовал и из одной и из разных. Результат одинаковый.



  • Выход в инет как организован? На ВАНе белая статика\динамика?
    З.ы. Скрины где ?
    З.ы.ы.

    Перешел недавно на PfSense 2.0.1 Release (AMD64).

    Путем обновления с 1.2.3 ? Если да - попробуйте поставить "на чистую" вторую версию.



  • @werter:

    Выход в инет как организован? На ВАНе белая статика\динамика?

    Провайдер выдает серый IP по DHCP, который входит в городскую подсеть. Дальше поднимается PPPoE канал с выдачей белого адреса. Таким образом в pfSense 3 интерфейса: lan, opt(с серым IP), WAN (с белым IP)
    @werter:

    З.ы. Скрины где ?

    сделал схему сети

    По схеме: vpn server пробовал организовывать и на Керио, пробрасывая порт и на pfSense. Прокси сервер так же включал и на Kerio и на своей рабочей машине. Внутри сети все работает, у удаленного VPN клиента нет.
    @werter:

    З.ы.ы.

    Перешел недавно на PfSense 2.0.1 Release (AMD64).

    Путем обновления с 1.2.3 ? Если да - попробуйте поставить "на чистую" вторую версию.

    Нет, в смысле что раньше роль шлюза исполнял Kerio Control, сейчас он работает исключительно как Web Filter, соединение же поднимает pfSense. Просто раньше я последний раз пользовался версией 1.2.3. и 2.0 RC1



  • На самом внешнем клиенте не прописана ли маршрутизация какая ?

    З.ы. Все же скрины лучше будут.



  • маршрутизация не прописана, правила все очищены. Оказывается в пятницу вечером еще баловался с ручными правилами NAT и забыл что их не удалил после чего в понедельник/вторник вообще казалось ничего не работает, внешние ресурсы даже не пинговались, к Kerio VPN подключение не устанавливалось, но О ЧУДО, через прокси наконец трафик пошел :) почему так произошло я не понял, завтра скину правила NAT которые были сделаны на сонную голову в пятницу. Главное хоть как-то сделал интернет, потому что завтра последний день рабочий, в четверг уже в отпуске и уезжаю, как приеду буду копать основательно



  • Полностью решил все проблемы просто переходом с 2.0.1-RELEASE-amd64 на 2.0.1-RELEASE-i386. Рядом поставил чистую установку i386, проверил несколько проблемных функций - заработало. Сделал еще раз чистую установку amd64 - не работает. Заменил версию на шлюзе на i386 и все вышеописанное работает (и разрешение на echo request, и доступ удаленному пользователю к проксе через впн и НАТ для впн клиента). Так же на amd64 не получается дать доступ к веб интерфейсу любому другому пользователю кроме admin, что при тех же настройках работает на i386 версии.


Locked