несколько vpn-подключений к провайдеру



  • Добрый день, смотрел поиском по форуму, нашёл несколько аналогичных тем, но так и не понял окончательно… Есть серая сеть 192.168.6.X, которая работает под шлюзом Pfsense 2.1-RELEASE (amd64), и есть ethernet-провайдер с локальной-городской сетью 10.X.X.X, доступ к интернет у него предоставляется с помощью пула клиентских vpn-подключений (172.X.X.X). Проблема в том, если с одного компьютера за Pfsense из сети 192.168.6.X подключаюсь к vpn-провайдера, всё работает нормально, но при попытке подключить вторую vpn с любого другого компьютера выдаёт 619 ошибку, т.е. возможно только одно исходящее vpn-подключение к провайдеру с рабочих станций, второе уже не пускает. Что-нибудь можно с этим сделать? В Unix новичёк, немного погуглив, вроде нашёл что можно в linux сделать через ip_nat_pptp? В BSD есть аналоги?

    Немного доп. информации о Pfsense: 2 WAN (к провайдеру 10.6.0.X) объединены в LAGG (100), два LAN тоже в LAGG (100); 25 vpn/ipsec тоннелей на 25 Zyxel USG в других магазинах (тоже под провайдером 10.X.X.X).



  • del



  • Читаем документацию

    Ограничения PPTP

    http://www.thin.kiev.ua/router-os/50-pfsense/569-pptp-vpn.html



  • Что-нибудь можно с этим сделать?

    Взять нормальный маршрутизатор и поднимать рртр его силами.

    Ограничения PPTP

    О каких ограничениях речь? Пожалуйста, объяснитесь.



  • http://www.thin.kiev.ua/router-os/50-pfsense/569-pptp-vpn.html

    Оба этих ограничения позволяют работу в большинстве сред, однако их устранение имеет высокий приоритет для релиза pfSense 2.0. Во время написания этой книги, ведутся разработки позволяющие устранить эти ограничения, хотя говорить о их успехе пока ещё рано.

    я читал документацию) но надеялся что может появился какой-нибудь вариант, или в документации не указан обходной вариант… Ведь она (документация) писалась для версии младше 2.0, я же поставил 2.1.

    Взять нормальный маршрутизатор и поднимать рртр его силами.

    приобретённый начальником IT шлюз Zyxell USG 300 не тянет нагрузку по vpn/ipsec, цп железки при интенсивной нагрузке проседает под 600-1000 мс пинг, и идут потери… а потом начинают отлетать каналы vpn/ipsec. я взял i3 pentium и решил поставить pfsense в качестве её замены... вот такая ситуация ).

    жаль конечно если нет решения) придётся ставить что-нибудь на linux тогда с ip_nat_pptp



  • @romasantu:

    Добрый день, смотрел поиском по форуму, нашёл несколько аналогичных тем, но так и не понял окончательно… Есть серая сеть 192.168.6.X, которая работает под шлюзом Pfsense 2.1-RELEASE (amd64), и есть ethernet-провайдер с локальной-городской сетью 10.X.X.X, доступ к интернет у него предоставляется с помощью пула клиентских vpn-подключений (172.X.X.X). Проблема в том, если с одного компьютера за Pfsense из сети 192.168.6.X подключаюсь к vpn-провайдера, всё работает нормально, но при попытке подключить вторую vpn с любого другого компьютера выдаёт 619 ошибку, т.е. возможно только одно исходящее vpn-подключение к провайдеру с рабочих станций, второе уже не пускает.

    Сделать VPN подключение к провайдеру с самого pfSense, оформить это отдельным интерфейсом и рулить трафик 192.168.. > 172...* через него (скорее всего нужен будет и NAT).



  • @aleksvolgin:

    Ограничения PPTP

    О каких ограничениях речь? Пожалуйста, объяснитесь.

    Ограничения PPTP
    Код отслеживания состояния лежащий в основе брандмауэра PF для протокола GRE позволяет отслеживать только единственную сессию на публичном IP внешнего сервера. Это означает, что если вы используете соединение PPTP VPN, только одна внутренняя машина одновременно может соединиться с PPTP сервером в интернет.



  • Увы проблема осталась. Пробовал ставить другой шлюз(готовый комплект), правда на Линухе(Убунта), типа КлеарОС. Вот там была тоже такая же проблема, но она решалась путем добавление пакетов. Тут я думаю это не сработает. Т.к. пробовал, анализировал, что же нам больше подходит для работы, и как раз один из важных критериев это много исходящих ВПН соединений. Остановился на Керио построен по моему на Юбунте, наиболее оптимально оказалось, если надо на торрентах образ найдешь.  Вот уже два года, как стоит на пне 4-ом с 1 Гб оперативы, все клиенты(30-50) активно юзающие инет, работа с этим связана. Я не в коем случае не отговариваю. Но для меня было критичным одно соединение ВПН. Поэтому и перешел, на то, что может это поддерживать.


Log in to reply