Port Forward для VPN

Scotch

Помогите пожалуйста разобраться:
Требуется сделать проброс портов в LAN для VPN подключений к терминалу.
Создал NAT правила, автоматом прописались правила в FireWall Rules.
NAT:
WAN / TCP/UDP / Источник - Любой / Порт - Любой /// Назначение - Порты (TCP/UDP 1701, 1723, 500) / forward на ip 10.0.3.100
Запретов "выше" этих правил нет.
Внутри сети VPN работает, снаружи доступа нет.

dvserg

Покажите правила/NAT. И можно схему приложить.

Scotch

Никакой особой специфики нет…
Пытаюсь подключиться из офиса: ip 10.0.10.X, через шлюз 10.0.10.10 к терминала за шлюзом pfSense (pfSense ip 10.0.3.X) с адресом 10.0.3.100 (Терминал MS Win2012)

1.png_thumb

2.png_thumb

Scotch

Схема

3.png_thumb

dr.gopher

@Scotch:

Пытаюсь подключиться из офиса: ip 10.0.10.X, через шлюз 10.0.10.10 к терминала за шлюзом pfSense (pfSense ip 10.0.3.X) с адресом 10.0.3.100 (Терминал MS Win2012)

1. А вам принципиально использование PPTP? Может проще пробросить порт RDP.

2. Воспользуйтесь NAT: 1:1
http://www.thin.kiev.ua/router-os/50-pfsense/608-portforward-nat.html

и уберите галки
Interfaces: WAN

Block private networks
Block bogon networks

Scotch

К сожалению такой вариант не подходит (схема не от меня зависит).
Требуется именно проброс портов. RDP тоже не подходит…
И VPN нужен либо PPTP, либо L2TP, постоянный тоннель, опять таки, не подходит :'( :'( :'(

Пробовал L2TP server средствами pfSense... отлично работает на Win7/8, WinXP не смог подключить (((

dr.gopher

@Scotch:

Требуется именно проброс портов.

2. Воспользуйтесь NAT: 1:1
http://www.thin.kiev.ua/router-os/50-pfsense/608-portforward-nat.html

Плюс правила запрета все остальных портов.

По мне, так это тот же портфорвард.

WY6EPT

хотелось бю видеть всё же с интерфейса рртр сервера варианты проброса. доже этой проблемой озадачивался.
еще ко кучи имею проблему следующего плана.
есть удалённая сеть которая роутится через влан провайдера.
ну для примера.
pptp_user 192.168.11.12 => pptp server 192.168.11.1 =>provaiderVlan 192.168.10.1=>
=>remote gate 192.168.10.2=>remote subnet 192.168.2.0/24
при этом настраиваю правило для интерфейса рртр через алиасы:
protocol=any
source
vpn_user1=192.168.11.12 (там они списками сформированы)
port range=any
destination
remote_subnet=192.168.2.0/24; (пробовал добавить проходн,ую сеть) 192.168.10.2/32
port range=any
даже с гейтвэем игрался.

логи файра при этом показывают такое
интерфейс block pptp23 source 192.168.11.12 destinatination 192.168.2.5

тоесть созданное мною правило игнорируется.
если открываю отовсюду и везде. всё гуляет. но так не секурно

поможите кто чем может

dr.gopher

@WY6EPT:

хотелось бю видеть всё же с интерфейса рртр сервера варианты проброса.

ИМХО
У PF есть ограничения на работу с PPTP (как я понимял с GRE). На форуме это обсуждалось. Оттуда и ноги растут.

Воспользуйтесь OPEN VPN. Но гибче и надежнее.

Scotch

Настроил OpenVPN.
Подключается без проблем, но нет доступа к удаленной сети, пинг тоже не проходит…
Хотя бы примерно, где копать?

Shraik

Начать лучше с проверки ната. Если стоит автоматически то переставить на ручной