Проброс портов к внутреннему L2TP серверу



  • Добрый день.. Встал тут вопрос выбора шлюза для организации, и выбор пал на PfSense 2.2.4-RELEASE (i386).
    Конфигурация простая - 2 сетевые карты - одна - внутренняя сеть, вторая - внешняя, куда напрямую втыкается провод от провайдера со статическим IP.

    До этого никогда не имел дел с подобным софтом. Выбран он был из за обзоров и отзывов, что можно тут всё быстро почти из коробки настроить.
    Быстро удалось настроить только прокси сервер с созданием отчетов и авторизацией по Active Directory, а вот задачу с подключением удалённых пользователей по VPN решить не могу уже третий день. Пробовал OpenVPN и L2TP/IPSec по многочисленным инструкциям. Не соединяется клиент и всё тут.. пишет что удалённый сервер не отвечает.

    В итоге я плюнул и решил поднять L2TP сервер на Windows Server.. По внутреннему IP адресу подключается всё нормально, а вот снаружи из интернета снова никак не получается.
    Создал в Firewall/NAT правила для каждого из портов, которые участвуют в протоколе L2TP/IPSec

    IKE — UDP порт 500
        L2TP — UDP порт 1701
        IPSec ESP — UDP порт 50
        IPSec NAT-T — UDP порт 4500

    Вот скриншот проброса портов http://f6.s.qip.ru/14a5VJoPU.png

    192.168.175.222 - это внутренний VPN Server

    При этом в правилах Firewall для WAN были созданы правила, открывающие на WAN эти порты.. и на всякий случай для проверки был создано правило, открывающее для WAN всё и вся.
    http://f5.s.qip.ru/14a5VJoPV.png (Извините, в MS Edge почему то не работают кнопки визуального редактора, в частности вставка изображений)

    Но pfsense ни в какую не хочет пробрасывать порты.. И что самое печальное, что нет даже записей по попытках подключиться в Status > System Logs > Firewall

    Подскажите пожалуйста, как правильно всётаки пробросить порт? Или может быть поделитесь рабочим мануалом по настройке OpenVPN или L2TP средствами самого pfsense 2.2.4 ?
    Требование - чтобы клиенты могли подключаться с Windows/iOS/Android.

    Нужен работающий VPN к среде.. один день остался на танцы с бубном.



  • @awe007:

    Но pfsense ни в какую не хочет пробрасывать порты.. И что самое печальное, что нет даже записей по попытках подключиться в Status > System Logs > Firewall

    В логе отмечаются 
    либо пакеты отброшенные, для которых нет разрешающего правила.
    либо пакеты, для которых есть такое правило и в нем установлена галочка "Log packets that are handled by this rule"

    Тут нужно быть чрезвычайно осторожным, и включать галочку ТОЛЬКО для диагностики и только на время диагностики.
    Лог пишется на диск, место может быстро кончится, и всякие такие неприятные вещи начнутся..

    Наводящие\дополнительные вопросы:

    На windows server  интернет работает?

    И работает именно через pFsense (нет ли другого интернет маршрутизатора)?

    на windows server  правила firewall  разрешают принимать соединения L2TP из интернета ?

    да. и самое главное - у провайдера nat\firewall разрешает такие соединения? 
    некоторые провайдеры, даже предоставляя белый IP адрес (у тебя же такой, да?)  все равно "защищают" клиента своим firewall.



  • Наводящие\дополнительные вопросы:

    На windows server  интернет работает?  - Да, Интернет работает

    И работает именно через pFsense (нет ли другого интернет маршрутизатора)? - Именно через другой маршрутизатор, Zyxel, в который приходит кабель от резервного провайдера.

    на windows server  правила firewall  разрешают принимать соединения L2TP из интернета ? - Firewall отключен, если подключаться по L2TP на внутренний адрес (192.168.175.222), то все подключается и работает.
    да. и самое главное - у провайдера nat\firewall разрешает такие соединения?  - на 99% уверен, что провайдер ничего не рубит. В другом офисе на этом же провайдере я делал VPN, но без pfsense :)



  • @awe007:

    Наводящие\дополнительные вопросы:

    На windows server  интернет работает?  - Да, Интернет работает

    И работает именно через pFsense (нет ли другого интернет маршрутизатора)? - Именно через другой маршрутизатор, Zyxel, в который приходит кабель от резервного провайдера.

    Ну вот.  vpn клиент шлет запрос на соединение на адрес pfsense.

    (это значит что, клиент ожидает получить ответ именно от этого ip адреса)

    pfsense старательно передает запрос на windows server.
    windows server радуется, начинает соединение и шлёт ответ.

    Но получается так, что ответ уходит через zyxel.

    И приходит к vpn клиенту с другого IP адреса. как новое входящее соединение.

    Естественно оно отбрасывается

    Это будет с любым vpn.  OpenVPN, L2TP IPSEC и тд.

    Я думаю, самое оптимальное - добавить сетевую карту и оба интернета "принимать" через один pfSense.  Тогда все сразу заработает, без дополнительных мучений.



  • Вот оно что.. Спасибо большое за разъяснения.
    Третью сетевую нет возможности воткнуть, а вот шлюз по умолчанию для VPN сервера могу изменить. А сами правила-то я правильно прописал? Должны они работать?

    UPD.
    В общем, прописал на windows-сервере шлюзом по умолчанию PFSense, но ситуация не изменилась. При попытке подключиться пишет что VPN Сервер не отвечает :((



  • 2 awe007
    Мой Вам совет - не ищите себе "приключений".

    Если есть возможность - делайте pfsense единственным шлюзом и поднимайте все необходимые Вам сервисы на нем.

    P.s. Нужен будет ви-фи - исп. любой ви-фи маршрутизатор в кач-ве простой точки доступа (отключить dhcp, воткнуть кабель в LAN).
    P.p.s. Провайдер Вам дает на внешний адрес "белую" статику\динамику ? Иначе ни о каких VPN и не мечтайте.