Особенности настройки PPTP-сервера на 2.1



  • Здравствуйте,

    сходу не нашел похожей темы, поэтому прошу прощения, если повторяюсь…
    Суть: решил переехать с 1.2.3 на 2.1 (т.к. шейпер на 1.2.3 не предусмотрен для работы с MultiWAN-MultiLAN) и при настройке PPTP-сервера не могу сохранить настройки, ругается на 'Server adress', где в моей прошлой версии располагался IP того WAN интерфейса, на который принимались подключения, теперь же он ругается что нельзя использовать IP уже использующийся в firewall-е, при этом подставляю IP от балды (адрес WAN интерфейса *.193 - ставлю .194), все принимает, появляется вкладка PPTP в firewall rules и что интересно PPTP-клиент подключается на WAN интерфейс (.193)...
    Вопрос: что изменилось в логике подключения и что всетаки должно быть прописано в поле 'Server adress'...

    Заранее спасибо.
    С уважением, Иван.



  • Там указывается адрес сервера , к-ый будет использоваться в этой туннельной сети. И сеть эта не должна совпадать с вашей и удаленной.
    Т.е. если у вас сеть 192.168.1.0/24, удаленная 192.168.2.0/24, то в Server address указываем , например, 192.168.10.1, а в Remote address range первый выдаваемый ВПН-клиентам адрес -  например, 192.168.10.10.

    Или по аналогии, исходя из особенностей адресации вашей и удаленной сетей.



  • Тоже создал PPTP-сервер с адресом 192.168.100.1 с диапазоном выдаваемых адресов PPTP-клиентам, начиная с 192.168.100.2. Подсеть локальной сети на pfsense 192.168.0.0/27, а удаленной 192.168.1.0/28. Суть проблемы в том, что подключаюсь к PPTP-серверу удачно, получаю адрес 192.168.100.2, но не могу зайти на веб-интерфейс pfsensa 192.168.0.1 с удаленного компа. Видимо нужно правило фаервола разрешающее подсеть PPTP-клиентов и подсети 192.168.0.0/27.
    Вот такое правило создал (рис.), но не работает, неправильное по ходу или не на том интерфейсе?




  • Локальный интерфейс pfsense на каком интерфейсе висит? Во втором правиле должно быть - LAN address или какое там у вас имя локального интерфейса pfsense (VLAN_XX_ etc.)

    P.s. Первое правило на PPTP - зачем? У вас NAT - автоматом настроен или вручную ?



  • @werter:

    Локальный интерфейс pfsense на каком интерфейсе висит? Во втором правиле должно быть - LAN address или какое там у вас имя локального интерфейса pfsense (VLAN_XX_ etc.)

    P.s. Первое правило на PPTP - зачем? У вас NAT - автоматом настроен или вручную ?

    Локальный интерфейс pfsense висит на LAN_1. Первое правило по инструкции из инета создания PPTP-сервера сделал. Его не обязательно было создавать?



  • Согласно первому правилу fw на PPTP Вы клиентам разрешаете только TCP. Это так надо?
    Советую эти правила удалить (на время) и создать одно - разрешено всё всем и везде . Далее, переподключитесь клиентом и пинганите локальный адрес pfsense.
    И с NAT-ом что у Вас - он автоматом или вручную настроен?



  • @werter:

    Согласно первому правилу fw на PPTP Вы клиентам разрешаете только TCP. Это так надо?
    Советую эти правила удалить (на время) и создать одно - разрешено всё всем и везде . Далее, переподключитесь клиентом и пинганите локальный адрес pfsense.
    И с NAT-ом что у Вас - он автоматом или вручную настроен?

    Поставил вот это разрешающее правило (рис.1).
    У NATa такие настройки стоят (рис.2,3)
    Но пинг не идет на 192.168.0.1 (локальный ип pfsensa)








  • А пакеты в сеть за сервером с подключающихся клиентов идут? Что tracert -d 192.168.0.x до какого-нибудь узла в сети за pfsense говорит?



  • @werter:

    А пакеты в сеть за сервером с подключающихся клиентов идут? Что tracert -d 192.168.0.x до какого-нибудь узла в сети за pfsense говорит?

    По всей видимости не идут. Вот что трасерт показывает (рис.)




  • Выдавать ip-адреса подключающимся vpn-клиентам из локальной подсети сервера. Тогда точно заработает. Или используйте OpenVPN

    P.s. Вот еще (временное) решение (http://otvety.google.ru/otvety/thread?tid=2eeeebc493695a67) :

    У себя сделал так: два батника, один прописывает маршруты, другой соответственно, удаляет. Запускаются в планировщике заданий, триггер - по событию, журнал - Приложение, источник - RasClient, код события - 20225 для запуска файла добавления и 20226 для удаления маршрутов.



  • @werter:

    Выдавать ip-адреса подключающимся vpn-клиентам из локальной подсети сервера. Тогда точно заработает. Или используйте OpenVPN

    P.s. Вот еще (временное) решение (http://otvety.google.ru/otvety/thread?tid=2eeeebc493695a67) :

    У себя сделал так: два батника, один прописывает маршруты, другой соответственно, удаляет. Запускаются в планировщике заданий, триггер - по событию, журнал - Приложение, источник - RasClient, код события - 20225 для запуска файла добавления и 20226 для удаления маршрутов.

    Да, спасибо, с vpn-клиентами из локальной подсети сервера все работает, проверил. А в OpenVPN можно значит и с vpn-клиентами из другой подсети подключаться к локальным узлам без проблем в отличии от PPTP?



  • OpenVPN оччччень гибкое решение :) А учитывая что можно не только по L3 (tun-адаптер) , но и по L2 (tap-адаптер) работать - вообще класс!



  • Тоже настроил PPTP и выдал Server address и Remote address range из сети LAN pfsense. Заработало, но почему-то проработало только сутки. Потом перестал видить адреса в LAN-е. Сейчас клиент подключается нормально и получает адрес из Remote address range, но не видит ни одного адреса в LAN-е. В настройках файрвола разрешено практически все и ничего не менялось. Перезагрузка pfsense и обновление настроек PPTP не помогло. Что делать?



  • Проверяйте на совпадение адресов выдываемых Вами и имеющихся уже в локальной сети за впн-сервером.



  • А вы знаете помогло. Действительно оказался принтер с таким адресом в сети.
    Вопрос закрыт.


Log in to reply