[Resolvido] VPN PPTP proxy transparente x proxy não transparente.



  • Olá pessoal, tudo tranquilo?!

    Bem, chegou a hora de eu recorrer ao forum pela 1ª vez, se alguém puder dar uma luz, desde já agradeço.

    Estou tentando fechar uma conexão via vpn pptp:

    Com "proxy NÃO transparente (squid)" que utiliza a porta 3128 não vai nem com rezar braba.

    Agora quando altero para "proxy transparente" conecta numa boa, sem problema algum.

    Serio mesmo pessoal, varias tentativas de liberação na interface LAN (Usando rules e criando alias) e nada de conectar.

    Range da rede da externa (VPN) 192.168.1.0/24
    Range da rede Interna 192.168.0.0/24

    Outra questão que notei quando uso o proxy não transparente é que as estações com o SO Windows 7 ficam dando mensagem de "Sem Acesso à Internet" sendo que a mesma esta com acesso a internet.

    Um muito obrigadoa todos.



  • Veja a sua regra de bloqueio , se esta liberado a porta 1723, vc deve ter bloqueado
    qualquer conexão para WAN para os usuarios não bular o proxy,

    Entendo que squid e pptp são duas coisas totalmente diferentes.



  • Paulo_Cesar,

    Bem vindo ao fórum !  :)

    @Paulo_Cesar:

    Serio mesmo pessoal, varias tentativas de liberação na interface LAN (Usando rules e criando alias) e nada de conectar.

    Aplique as regras na aba pptp em firewall -> rules.

    @Paulo_Cesar:

    Outra questão que notei quando uso o proxy não transparente é que as estações com o SO Windows 7 ficam dando mensagem de "Sem Acesso à Internet" sendo que a mesma esta com acesso a internet.

    Atualize para o squid3 e veja se o problema desaparece.

    att,
    Marcello Coutinho



  • Olá Mestre Marcello Coutinho e Mantunespb, muito obrigado pelas resposta!

    Assim que eu tiver um parecer das dicas, eu post aqui. E vai ser hoje…rssss

    Um Abraço a todos.



  • É Marcello, já tentei de tudo. E olhe que sou insistente!

    Como eu falei anteriormente: Se eu deixar o proxy como transparente conecta na hora à vpn.

    Coloco o proxy como NÃO transparente, utilizando a porta 3128, não vai de jeito nenhum, para navegar é tranquilo deste que configuro o ip e porta do proxy no navegador.

    Não sendo um aproveitador, mas como você criaria a sua regra.

    Hoje fui efetuar alguns teste com ammyy para assistencisa remota e também não foi, porém ele usa a porta 443 para se conectar.

    Acredito que vou ter que desistir do proxy não transparente.

    Atenciosamente,
    Paulo Cesar



  • @Paulo_Cesar:

    Coloco o proxy como NÃO transparente, utilizando a porta 3128, não vai de jeito nenhum, para navegar é tranquilo deste que configuro o ip e porta do proxy no navegador.

    Não entendi ???

    Você quer conectar a vpn usando o proxy ou acessar o proxy da empresa depois de conectar na vpn?



  • Olá Marcello tudo bem?! Obrigado pela ajuda.

    Então deixa eu te explicar a situação.

    Estou efetuando alguns teste com o Squid no modo: Transparente e Não Transparente. Ok

    Tenho um servidor EXTERNO com o S.O. Windows 2003  com a função habilitada de VPN PPTP, o range dele é 192.168.1.1/24.

    Ai e que vem o meu problema:

    Quando configuro o Squid no modo NÃO transparente, escutando pela porta 3128, não fecha a VPN.

    Agora:

    Quando configuro o Squid em modo TRANSPARENTE, consigo conectar a minha vpn externa, sem problema algum.

    O porque desde testes: e que o Squid em modo transparente pode ser burlado facilmente colocando um S no http.

    Isto já não e mais um pedido de ajuda é um desabafo!

    Um Abraço pessoal !!!



  • Paulo_Cesar,

    Roda o tcpdump no pfsense para ver o que seu cliente de vpn esta fazendo de diferente quando o proxy esta transparente ou não.

    que regras você tem na lan?

    att,
    Marcello Coutinho



  • Olá Marcello, tudo tranquilo.

    Bem vamos lá:

    Regra Alias
    –---------------------------
    Firewall > Aliases

    Name: proxy
    Type: Port(s)
    Port: 3128

    Regra Firewall

    Firewall > Rules > LAN

    Proto: TCP
    Source: *
    Port: *
    Destination: LAN address
    Port: proxy (Alias que citado acima)
    Gateway: *
    Queue: none

    Qual é a melhor pratica neste situação rodo o comando tcpdump no PF na estação ou em ambos ao mesmo tempo?

    Desde já agradeço a sua ajuda Marcello.

    Att,
    Paulo Cesar



  • Esta é a única regra da lan?

    Pode rodar o tcpdump só no firewall mesmo.



  • Bom dia, Marcello tudo bem?!

    Esta é a regra do proxy utilizando a porta 3128. Segui o passo a passo do tutorial que o colega Gelson fez em seu blog: http://gelson.iyd.com.br/?p=155

    Como te expliquei anteriomente, estava fazendo um laboratorio com o proxy não transparente, com uma porta especifica, economiza tem na hora de bloquear as redes socias.

    Porém o firewall bloqueou o meu conehcimento.

    Referente a sua pergunta: Criei outra regras tanto na WAN como na LAN, liberando a TCP, TCP e UDP, GRE, PPTP, LAN net…. e assim por diante, mas em nenhuma obtive sucesso.

    Provavelmente eu esteja comendo bola em algum detalhe.

    Tudo o que tem neste forum eu consegui fazer, mas uma simples conexão em uam vpn externa passando por uma porta especifica me derrubou....rsssss

    Um Abraço Marcello e mutio obrigado pela ajuda. Se precisar excluir este topico me avise.... Fuiiii



  • O problema está no tutorial que você seguiu.

    A regra que bloqueia tudo nunca pode ser a primeira.

    Passe o bloqueio para a ultima regra(ou exclua a regra) e tente de novo.

    att,
    Marcello Coutinho



  • Marcello, tudo tranquilo?!

    Já joguei esta para baixo. Tem um porém, o servidor que responde a vpn utiliza no-ip, vou tentar efetuar a conexão utilizando o IP.

    Outro exemplo, tentei efetuar um teste de assintencia remota utilizando o software ammyy, com a regra da porta 3128 dava erro. Foi eu tirar a regra e ele conectou, só que percebi que ele usa a porta 443.

    Vou tentar mais um pouco hoje. Qualquer coisa dou um alô.

    Abraços



  • Veja sempre o log do squid para identificar o motivo do bloqueio.

    O squid é um proxy de http/https/ftp, protocolos como vpn pptp não usam proxy para suas conexões.

    att,
    Marcello Coutinho



  • Sim Marcello, estou ciente disto.

    Marcello, só por curiosidade, naquele tutorial do colega Gelson, no lugar dele utilizar o IP do proxy no Internet Explorer ele utilizou o nome do seu servidor + porta. Tentei fazer isto aqui mas não foi, somente pelo IP + Porta.

    Faltou alguma coisa?

    Por um acaso: System > Advanced > Miscellaneous > Proxy URL?

    Abraços



  • @Paulo_Cesar:

    Faltou alguma coisa?

    configurar o nome do servidor pfsense no dns

    @Paulo_Cesar:

    Por um acaso: System > Advanced > Miscellaneous > Proxy URL?

    Esta configuração faz com que o pfsense use um proxy para acessar a internet quando instala um pacote, verfica versão , etc.

    att,
    Marcello Coutinho



  • Olá pessoal, tudo tranquilo?!

    Para quem tiver o mesmo problema que o meu, segue a solução que eu achei, se é certa não sei, mas funcionou como eu queria.

    Abaixo esta a minha dúvida que me fez abrir este tópico:

    –---------------------------------------------------------------------------------------------------------------------------------------------------

    "Estou tentando fechar uma conexão via vpn pptp:

    Com "proxy NÃO transparente (squid)" que utiliza a porta 3128 não vai nem com rezar braba."

    SOLUÇÃO:

    Na Aba: Firewall>Alias

    Name: Nome do Alias
    Descrition: Texto de Referência
    Type: Network(s)
    Network: Endereço do DDNS no meu caso NO-IP

    Agora na aba Firewall>Rules tive que criar 02 Regras:

    1ª Regra

    Proto: TCP
    Source: *
    Port: *
    Destination: *
    Port: Nome do Alias que você criou na Firewall>Alias
    Gateway:
    *

    2ª Regra

    Proto: GRE
    Source: *
    Port: *
    Destination: *
    Port: *
    Gateway:
    *

    Assim resolvi o problema da minha conexão PPTP com um servidor externo, utilizando o proxy NÃO tranparente.

    Abaixo estava a minha outra dúvida:

    "Outra questão que notei quando uso o proxy não transparente é que as estações com o SO Windows 7 ficam dando mensagem de "Sem Acesso à Internet" sendo que a mesma esta com acesso a internet."

    Proto: *
    Source: *
    Port: *
    Destination: LAN address
    Port: *
    Gateway:
    *

    Observação: Deixe estas Regras sempre acima da Regra da Porta do filtro (PROXY)

    –----------------------------------------------------------------------------------------------------------------------------------------------------

    Deixa aqui minha contribuição.

    Um Abraço a Todos.


Locked