Clientes não conseguem acessar VPN PPTP



  • Os clientes em minha rede interna não conseguem acessar a vpn que utiliza PPTP mesmo dando permissão total na regra, alguém tem alguma ideia de como posso resolver isso?



  • Existem algumas limitações do pptp/gre por IP de destino no pfSense. Tenta achar os tópicos aqui do forum falando sobre isso pesquisando por PPTP.



  • @marcelloc:

    Existem algumas limitações do pptp/gre por IP de destino no pfSense. Tenta achar os tópicos aqui do forum falando sobre isso pesquisando por PPTP.

    Marcello,

    Vou dar uma procurada no fórum, mas as limitações são no pf? ele não consegue filtrar os pacotes PPTP?

    Só explicando melhor, os clientes da minha rede precisam acessar um host que utiliza PPTP, eu não rodo pptp na minha rede.

    Att



  • @iskull:

    Vou dar uma procurada no fórum, mas as limitações são no pf? ele não consegue filtrar os pacotes PPTP?

    Sim, existem limitações conhecidas no pfSense no que tange conexões PPPTP.

    Leia mais sobre isso aqui: http://doc.pfsense.org/index.php/PPTP_Troubleshooting e aqui: http://doc.pfsense.org/index.php/Connect_to_a_remote_PPTP_server_when_you_have_the_pfSense_PPTP_server_enabled

    Abraços!
    Jack



  • Não sei porque ainda insistem em usar PPTP. Já foi bastante difundido que o protocolo não oferece nenhuma segurança e está completamente comprometido! Aqui mesmo no fórum consta essa informação:
    http://forum.pfsense.org/index.php/topic,54255.0.html



  • @johnnybe:

    Não sei porque ainda insistem em usar PPTP. Já foi bastante difundido que o protocolo não oferece nenhuma segurança e está completamente comprometido! Aqui mesmo no fórum consta essa informação:
    http://forum.pfsense.org/index.php/topic,54255.0.html

    Infelizmente eu disse para o cliente, porém ele acha que não precisa alterar e acha que o problema é meu se eu não consigo acessar a rede dele usando pptp :(



  • @johnnybe:

    Não sei porque ainda insistem em usar PPTP. Já foi bastante difundido que o protocolo não oferece nenhuma segurança e está completamente comprometido! Aqui mesmo no fórum consta essa informação:
    http://forum.pfsense.org/index.php/topic,54255.0.html

    Essa é fácil de responder… é pq pptp é muito mais facil e simples de se configurar.... as empresas infelizmente não estão muito preocupadas com a questão de segurança, cabe a nós mudar essa cultura :)

    A questão é que ainda sofremos com esse protocolo e essa limitação do pfsense deveria ser revista, é uma limitação boba que compromete uma solução maravilhosa que é o pfsense. Eu pessoalmente estou tendo que rever a utilização do pfsense em varios clientes que precisam de acesso a VPN pptp de terceiros.



  • @Thiago:

    A questão é que ainda sofremos com esse protocolo e essa limitação do pfsense deveria ser revista

    A muito tempo atrás alguem postou no forum internacional uma forma de acertar isso, envolvendo paramentros de kernel e se não me engano, o ipfw também.

    O core team já afirmou categoricamente que o pptp tem vários problemas de compatibilidade, incluindo em redes 3g de operadoras, e tenho quase certeza que o foco deles, além dos clientes pagos está no ipv6 da 2.1.

    você já leu as limitações do protocolo no pfsense, você consegue dar a volta nisso criando um gateway de pptp, onde apenas uma máquina conecta na vpn remota e disponibiliza para todos(ou poucos) clientes internos.

    http://doc.pfsense.org/index.php/What_are_the_limitations_of_PPTP_in_pfSense%3F

    There are two limitations of PPTP in pfSense, due to limitations in the NAT capabilities of the underlying pf.
    1. If the PPTP server is enabled, no clients behind the firewall can connect to a PPTP server on the Internet if they are NAT'ed to the same public IP as the PPTP server is using. If you have another public IP available, you can try to NAT the PPTP traffic destined for a specific remote server out that way. See this how-to.
    2. Only one client can connect to a PPTP server on the Internet simultaneously. 10 clients can connect to 10 different servers, but only a single simultaneous connection can exist to a single server.



  • @marcelloc:

    O core team já afirmou categoricamente que o pptp tem vários problemas de compatibilidade, incluindo em redes 3g de operadoras, e tenho quase certeza que o foco deles, além dos clientes pagos está no ipv6 da 2.1.

    você já leu as limitações do protocolo no pfsense, você consegue dar a volta nisso criando um gateway de pptp, onde apenas uma máquina conecta na vpn remota e disponibiliza para todos(ou poucos) clientes internos.
    .

    penso que infelizmente criar o "gtw pttp" é única saida hj para o pfsense…

    o post abaixo fala sobre como criar uma conexão pptp cliente to ntserver no proprio pfsense (freebsd)

    http://forum.pfsense.org/index.php/topic,47364.0.html

    Alguem ja testou essa solução? A configuração será toda via shell? Isso não pode gerar alguma instabilidade no pfsense?



  • @Thiago:

    penso que infelizmente criar o "gtw pttp" é única saida hj para o pfsense…

    PPTP não é mais consideredo solução de segurança. Protocolo antigo, difícil de passar por nat e com problemas de segurança.

    Considere usar o openvpn, já tem cliente inclusive para android e ios.



  • @marcelloc:

    PPT não é mais consideredo solução de segurança. Protocolo antigo, difícil de passar por nat e com problemas de segurança.

    Considere usar o openvpn, já tem cliente inclusive para android e ios.

    Mas a realidade é que infelizmente ainda é amplamente usado principalmente por smallbusiness.
    Espero um dia não precisar mais de pptp mas hj ainda é um mal necessário



  • Pessoal, apenas reforçando o que já foi dito várias vezes aqui no forum, pptp já era, estou querendo uma solução pq não posso obrigar o cliente do meu cliente a trocar a vpn dele mas para nós que estamos com uma nivel maior de conhecimento temos que abondonar esse protocolo e apontar as falhas sempre que possivel, vai do cliente entender ;)

    Uma fonte idônea ajuda nesses casos: http://technet.microsoft.com/en-us/security/advisory/2743314

    abs



  • Olá  ;D

    Metendo o bedelho na discussão um pouco, não seria viavel também o uso de IPSEC nesses casos?


Locked