PPTP+локальные ресурсы+интернет



  • Коллеги добрый вечер.
    Поставил такую себе задачу и сломал уже голову напрочь.

    Дано:
    2.0.1-RELEASE (i386) FreeBSD 8.1-RELEASE-p6 (на VMware® Workstation 8.0.4 build-744019)

    Топология

    <- - - (LAN 192.168.10.0/24) - - /pfSense/ - - (EXT IP 192.168.175.128) - - - >
                    INT IP 192.168.10.1

    PPTP server config:

    Enable PPTP server = true
    No. PPTP users = 16
    Server address  = 192.168.5.1
    Remote address range = 192.168.5.2
    Require 128-bit encryption = true

    Клиенты:

    (LAN)
    192.168.10.21 – Windows 7 Pro SP1
    (PPTP)
    192.168.5.2 - Windows 7 Pro SP1 (это та машина что принадлежит LAN-             сегменту)
    192.168.5.3 -  Windows 7 Pro (внешняя машинка, что коннектится через PPTP
      к IP 192.168.175.128)
    192.168.5.4 - Windows XP SP2 (внешняя машинка, что коннектится через PPTP
      к IP 192.168.175.128)

    Что говорит ipconfig:
    (192.168.5.2)

    Адаптер PPP pptp2:
    
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : pptp2
       Физический адрес. . . . . . . . . :
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.5.2(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.255
       Основной шлюз. . . . . . . . . : 0.0.0.0
       DNS-серверы. . . . . . . . . . . : 192.168.10.1
       NetBios через TCP/IP. . . . . . . . : Включен
    
    Ethernet adapter Подключение по локальной сети:
    
       DNS-суффикс подключения . . . . . : my-local-domain
       Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) PRO/1000 MT
       Физический адрес. . . . . . . . . : 00-0C-29-D9-04-2D
       DHCP включен. . . . . . . . . . . : Да
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.10.21(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Аренда получена. . . . . . . . . . : 10 декабря 2012 г. 14:23:19
       Срок аренды истекает. . . . . . . . . . : 13 декабря 2012 г. 14:23:19
       Основной шлюз. . . . . . . . . : 192.168.10.1
       DHCP-сервер. . . . . . . . . . . : 192.168.10.1
       DNS-серверы. . . . . . . . . . . : 192.168.10.1
       NetBios через TCP/IP. . . . . . . . : Включен
    
    

    (192.168.5.3)

    Адаптер PPP pptp1:
    
       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : pptp1
       Физический адрес. . . . . . . . . :
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.5.3(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.255
       Основной шлюз. . . . . . . . . : 0.0.0.0
       DNS-серверы. . . . . . . . . . . : 192.168.10.1
       NetBios через TCP/IP. . . . . . . . : Включен
    
    Ethernet adapter Подключение по локальной сети:
    
       DNS-суффикс подключения . . . . . : localdomain
       Описание. . . . . . . . . . . . . : Сетевое подключение Intel(R) PRO/1000 MT
       Физический адрес. . . . . . . . . : 00-0C-29-26-97-3B
       DHCP включен. . . . . . . . . . . : Да
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.175.148(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Аренда получена. . . . . . . . . . : 12 декабря 2012 г. 18:32:58
       Срок аренды истекает. . . . . . . . . . : 12 декабря 2012 г. 21:17:58
       Основной шлюз. . . . . . . . . : 192.168.175.2
       DHCP-сервер. . . . . . . . . . . : 192.168.175.254
       DNS-серверы. . . . . . . . . . . : 192.168.175.2
       Основной WINS-сервер. . . . . . . : 192.168.175.2
       NetBios через TCP/IP. . . . . . . . : Включен
    

    (192.168.5.4)

    Подключение по локальной сети - Ethernet адаптер:
    
            DNS-суффикс этого подключения . . : localdomain
            Описание  . . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
    
            Физический адрес. . . . . . . . . : 00-0C-29-D8-4C-5A
            Dhcp включен. . . . . . . . . . . : да
            Автонастройка включена  . . . . . : да
            IP-адрес  . . . . . . . . . . . . : 192.168.175.130
            Маска подсети . . . . . . . . . . : 255.255.255.0
            Основной шлюз . . . . . . . . . . : 192.168.175.2
            DHCP-сервер . . . . . . . . . . . : 192.168.175.254
            DNS-серверы . . . . . . . . . . . : 192.168.175.2
            Основной WINS-сервер  . . . . . . : 192.168.175.2
            Аренда получена . . . . . . . . . : 12 декабря 2012 г. 20:48:14
            Аренда истекает . . . . . . . . . : 12 декабря 2012 г. 21:18:14
    
    pptp3 - PPP адаптер:
    
            DNS-суффикс этого подключения . . :
            Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
            Физический адрес. . . . . . . . . : 00-53-45-00-00-00
            Dhcp включен. . . . . . . . . . . : нет
            IP-адрес  . . . . . . . . . . . . : 192.168.5.4
            Маска подсети . . . . . . . . . . : 255.255.255.255
            Основной шлюз . . . . . . . . . . :
            DNS-серверы . . . . . . . . . . . : 192.168.10.1
    

    Что настроено и работает:

    pfSense как DHCP
    pfSense как хранитель точного времени
    pfSense как PPTP сервер, соответственно…
    ну и маршрутизация с натом из коробки.
    Правила:
    (в аттаче)

    т. е. (игнорируя последние тестовые правила на каждом интерфейсе «разрешить все куда угодно»):

    • на wan разрешен доступ только для удаленного администрирования через вебморду;
    • на INT IF разблокирующие правила для вебморды (порты 80 и 433);
    • правила блокировки сайтов и сервисов через алиасы;
    • к INT IF разрешены запросы днс из локальной сети, трафик для установки pptp-сессии, веб трафик соответственно;
    • на PPTP IF разрешены пинги от pptp-клиента до pptp-сервера, между pptp-клиентами и между pptp-подестью и локальной подсетью;
    • ну и проверка форварда порта внутри pptp-подсети.

    Что не работает:

    1. Так и не пингуются локальные ресурсы с pptp-подсети (только между собой и + pptp-сервер (192.168.5.1);
    2. При включеной опции у pptp-клиента в настройках pptp-соединения «использовать удаленный шлюз» инета на тазе нету, а хотелось бы что бы при подключении весь трафик шел по «типа защищенному» каналу;
    3. Из локальных ресурсов присутствует пинг только INT IP 192.168.10.1 но самое интересное то, что на машине 192.168.5.3 -  Windows 7 Pro оно работает сразу, а на 192.168.5.4 - Windows XP SP2 только тогда когда добавишь маршрут ручками route add 192.168.10.0 mask 255.255.255.0 192.168.5.4

    Перечитал кучу инфы в гугле, в т.ч. и англоязычную ветку, все до чего еще додумался — это в настройках pptp поставить ip сервера что-то типа 192.168.10.2, или прописать маршрут какой-то вручную что бы отмаршрутизировать трафик с одной подсети в другую.

    п.с. Пока не осилил это http://thin.kiev.ua/router-os/50-pfsense/402–pptp-server-pfsense-20.html    (какая-то дикая настройка с ручным добавлением интерфейса)
    и это http://thin.kiev.ua/router-os/50-pfsense/595-pptpserver.html (не поняв предыдущего за это не брался).
    Коллеги, если кто-то знает, подскажите куда хоть копнуть, а то уже тоннелей нарыл а толку нету.









  • Одну проблему решил - с доступом в локальную сеть.

    Если кому интересно:

    192.168.5.2 - Windows 7 Pro SP1 (машина что принадлежит LAN-сегменту) - когда соединение с pptp сервером было отключено - появились пинги ее локального ip 192.168.10.21 от других pptp-клиентов! И тут сразу стало все ясно.
    Заходим в настройки pptp соединения и снимаем галку в соединениях IPv4 "использовать основной шлюз в удаленный сети". Запускаем соединение снова - и вуаля, устойчивый пинг остался )
    п.с. т.е. если в локальной сети нужны какие-то ресурсы для pptp клиентов, нужно обязательно в настройках соединения с pptp-сервером убрать ту галку.



  • Интернета по прежнему через pptp нету (
    nslookup нормально заработал после правила на PPTP VPN для UDP 53, есть аналогичные правила на 80 и 443 TCP но инет не хочет работать…



  • Правила для DNS (TCP/UDP) и ICMP есть?



  • для DNS есть только UDP port 53, ICMP в некоторые направления тоже присутствует.
    вот скрины:






  • Обычно, если не имеется ввиду конкретный конечный IP/подсеть, параметр destination ставится в '*'.
    В правиле для DNS исправьте его, и протокол на TCP/UDP.



  • Поменял - не помогло…
    Такая модель вообще работает на pfSense? Например на аппаратных роутерах так и работает - инет идет через созданный тоннель.



  • Было такое. Поищите по русской ветке поиском и посмотрите здесь http://thin.kiev.ua/router-os/50-pfsense.html .



  • @roy:

    Такая модель вообще работает на pfSense?

    Из LAN в мир через PPTP - работает. Выж ссылки сами написали. Токма, больше одного PPTP подключения я не делал, не было надобности. Могут быть проблемы, надо тетсить.



  • @dvserg:

    Было такое. Поищите по русской ветке поиском и посмотрите здесь http://thin.kiev.ua/router-os/50-pfsense.html .

    спасибо большое.
    п.с. а не знаете, на IPSec такое организовать возможно? Суть в том что бы удаленные клиенты могли пользоваться общими ресурсами локальной сети через защищенный канал + имелась возможность связать две удаленные сети через 2 pfSense'a. OpenVPN может связать две локальные сети через инет?



  • @dr.gopher:

    @roy:

    Такая модель вообще работает на pfSense?

    Из LAN в мир через PPTP - работает. Выж ссылки сами написали. Токма, больше одного PPTP подключения я не делал, не было надобности. Могут быть проблемы, надо тетсить.

    Я немного не то говорил. Клиенты, которые подключаются через интернет к pptp серверу помимо ресурсов локальной сети должны иметь выход в интернет используя галочку в настройках своего pptp соединения - "использовать как маршрут по умолчанию маршрутизатор удаленной сети", т.е. получается что интернет трафик должен идти через сам pfsense (по созданному каналу VPN).



  • @roy:

    Я немного не то говорил. Клиенты, которые подключаются через интернет к pptp серверу помимо ресурсов локальной сети должны иметь выход в интернет используя галочку в настройках своего pptp соединения - "использовать как маршрут по умолчанию маршрутизатор удаленной сети", т.е. получается что интернет трафик должен идти через сам pfsense (по созданному каналу VPN).

    Имхо - Делайте лучше на openvpn. С PPTP вылезет проблема GRE протокола.



  • @dr.gopher:

    @roy:

    Я немного не то говорил. Клиенты, которые подключаются через интернет к pptp серверу помимо ресурсов локальной сети должны иметь выход в интернет используя галочку в настройках своего pptp соединения - "использовать как маршрут по умолчанию маршрутизатор удаленной сети", т.е. получается что интернет трафик должен идти через сам pfsense (по созданному каналу VPN).

    Имхо - Делайте лучше на openvpn. С PPTP вылезет проблема GRE протокола.

    ок, но pptp будет достаточно, например, для работы скажем по rdp с удаленным сервером?



  • @roy:

    ок, но pptp будет достаточно, например, для работы скажем по rdp с удаленным сервером?

    http://forum.pfsense.org/index.php/topic,53852.0.html

    Ограничения PPTP
    http://thin.kiev.ua/router-os/50-pfsense/569-pptp-vpn.html



  • @dr.gopher:

    http://forum.pfsense.org/index.php/topic,53852.0.html

    Ограничения PPTP
    http://thin.kiev.ua/router-os/50-pfsense/569-pptp-vpn.html

    Спасибо огромное.
    Но с ограничениями я не особо понял. Лично у меня успешно подключились два внешних клиента и один из локальной сети. Между ними всеми - как обычная локалка, доступны сетевые шары, обмен файлами и все сопутствующее, и я не заметил что чего-то не так…


Locked