Не проходит VPN PPTP



  • Подскажите из-за чего может не прохадить соединение VPN PPTP. PfSense настроем по дефомлту. Есть пару портов которые проброшены внуть. Доступ во внешную сеть дан полностью одной сети (firewall - rulses - lan). Других правил нет. Проблема в том, что при таких настройках не проходят соединения на внешние VPN PPTP сервера. Есть идеи?





  • Хм, к чему эта ссылка?
    У меня и так VPN работает без проблем. Я не могу подключится к внешнему серверу когда внутри сети сижу.

    work pc –->---> pfsense (default gateway) --->---> vpn server



  • @k0st1an:

    Хм, к чему эта ссылка?
    У меня и так VPN работает без проблем. Я не могу подключится к внешнему серверу когда внутри сети сижу.

    work pc –->---> pfsense (default gateway) --->---> vpn server

    Хм, телепаты в отпуске. Какой вопрос, такой и ответ.
    Имхо это ограничения ПФ. с- одного ip одно подключение. Где-то по форуму мелькало.



  • Кажется внятно описал, ну да ладно.

    Т.е. из внутренней сети с внешним сервером может подключится только один клиент?! Ээээ а как тогда работать???
    И скорее всего в данный момент времени (не знаю как это проверить) нет соединений через шлюз.



  • –-



  • @k0st1an:

    Т.е. из внутренней сети с внешним сервером может подключится только один клиент?! Ээээ а как тогда работать???

    Из внутренней сети на один внешний сервер через NAT Pfsense может существовать только одно соединение.
    Если подключаться на разные внешние VPN серверы, то хоть сколько.
    Проблема NAT+GRE, так как данный протокол не имеет портов, а NAT определяет соединение клиент-сервер с учетом портов.



  • У меня есть три сервера VPN PPTP за пределами моей сети. Я Точно уверен, что в данный момент времени на эти три сервера из моей сети подключения нет.

    Вот это правило единстввенное, что есть между пользователями и сервером VPN PPTP. Но не на один из них нет соединения. Проверял с wireshark. При появлении пакета с GRE перестает что либо проходить.

    @dvserg:

    @k0st1an:

    Т.е. из внутренней сети с внешним сервером может подключится только один клиент?! Ээээ а как тогда работать???

    Из внутренней сети на один внешний сервер через NAT Pfsense может существовать только одно соединение.
    Если подключаться на разные внешние VPN серверы, то хоть сколько.
    Проблема NAT+GRE, так как данный протокол не имеет портов, а NAT определяет соединение клиент-сервер с учетом портов.

    А как же тогда виндовый нат работает? Как раз с винды хотел слезть. Возвращаться не хочется. Может что посовутуете, в какую сторону теперь двигаться…



  • А как же тогда виндовый нат работает? Как раз с винды хотел слезть. Возвращаться не хочется. Может что посовутуете, в какую сторону теперь двигаться…

    OpenVPN



  • @werter:

    А как же тогда виндовый нат работает? Как раз с винды хотел слезть. Возвращаться не хочется. Может что посовутуете, в какую сторону теперь двигаться…

    OpenVPN

    Не выход. Один сервер не мой.



  • @k0st1an:

    @werter:

    А как же тогда виндовый нат работает? Как раз с винды хотел слезть. Возвращаться не хочется. Может что посовутуете, в какую сторону теперь двигаться…

    OpenVPN

    Не выход. Один сервер не мой.

    Попробуйте m0n0wall http://thin.kiev.ua/router-os/53-monowal.html
    Возможно там нет такой проблемы.

    Или тут обсуждение пакета http://forum.pfsense.org/index.php?topic=14442.0



  • Спасибо, посмотрю.

    Оставлю тут сообщение, ибо не зная этого пытался решить проблему: если у вас настроен VPN сервер на шлюзе pfsense - VPN соединения на внешние сервера работать не будут.



  • @k0st1an:

    если у вас настроен VPN сервер на шлюзе pfsense - VPN соединения на внешние сервера работать не будут.

    не так! читаем доку http://thin.kiev.ua/router-os/50-pfsense/569-pptp-vpn.html

    Ограничения PPTP

    Код отслеживания состояния лежащий в основе брандмауэра PF для протокола GRE позволяет отслеживать только единственную сессию на публичном IP внешнего сервера. Это означает, что если вы используете соединение PPTP VPN, только одна внутренняя машина одновременно может соединиться с PPTP сервером в интернет. Тысяча машин может одновременно соединиться с тысячей различных серверов PPTP, но только одна машина может присоединяться к одному серверу одновременно. Единственная возможность - использовать множество публичных IP на вашем брандмауэре, один на клиент, или использовать множество публичных IP на внешнем PPTP сервере. С другими типами VPN соединений таких проблем нет. Это же ограничение означает, что если вы добавляете функции PPTP сервера или перенаправления PPTP, никакие клиенты подключенные через NAT к вашему WAN IP адресу не смогут соединиться с внешним PPTP сервером. Рабочее решение - доступ клиентов в интернет через NAT реализуется с различных публичных IP адресов. Оба этих ограничения позволяют работу в большинстве сред, однако их устранение имеет высокий приоритет для релиза pfSense 2.0. Во время написания этой книги, ведутся разработки позволяющие устранить эти ограничения, хотя говорить о их успехе пока ещё рано.


Locked