[Netscreen 5 GT] PPTP Passthrough

We hebben hier een Windows 2K server achter een netscreen 5 GT draaien en willen deze kunnen benaderen middels pptp.

- Op de server staat allees juist, lokaal kan ik een vpn verbinding opzetten.
- Er is een policy op de netscreen die alles vanaf untrust doorsluist naar VIP1, die dus weer bepaalt welke poorten er naar welk ip worden ge-nat.

Bij predefined object staat er ook netjes 'PPTP' met de volgende informatie;
PPTP TCP src port 1-65535, dst port:1723
GRE IP (47) any
Dat zijn de benodigde poorten voor pptp passthrough, zover ik weet!

Normaal kun je dus per interface aangeven welke services je waar naatoe wilt natten, ondanks dat de pptp bij predefined object staat kan ik deze niet selecteren, ook niet op een andere interface trouwens.
Ik heb het gevoel dat ik iets over het hoofd zie, heeft iemand ervaring met deze beestjes en pptp passthrough?
Natten is net helemaal het juiste woord, maar het doorgooien van GRE/47 is ook een van opties die ik kan instellen op de netscreen

Nog wat device informatie
Hardware Version: 1010(0)
Firmware Version:
5.0.0r8.1 (Firewall+VPN)
Serial Number:
0064092005004955
Host Name:
FWOB01
Operational Mode: trust-untrust

[ Voor 10% gewijzigd door enveekaa op 13-06-2006 21:41 ]

Waarom niet? dan zou pptp passthrough toch nooit kunnen werken?

Pinky, ik zou zo één, twee, drie niet weten hoe eigenlijk.

Maar het is toch vreemd dat de service wel predefined is, en je hem niet kunt selecteren bij VIP?

Dus me publieke ip doorzetten naar de W2K server? en dan via policies de firewall configureren?

Kan, maar dat is niet de oplossing die ik ambieer, en ik ben er bijna zeker van dat het ook via VIP kan Dat is frustrerend! Begrijp me niet vekeerd hoor, heb zeker wat aan je input! en kan het altijd gebruiken als laatste redmiddel!

Nee dat begrijp ik

Maar met VIP kun je wel GRE forwarden omdat je ook IP Protocol 47 kan kiezen ipv TCP of UDP. Echter wil het niet werken als je een custom object maakt met de juiste forwards.. ik ga hier wel uit van de juiste forwards hé en dat zit dus blijkbaar niet helemaal oké.

[ Voor 20% gewijzigd door enveekaa op 13-06-2006 15:57 ]

antonn, dat zijn ook de poorten / protocollen die ik probeer te forwarden naar de ras server. Ik heb het via het LAN getest, en dan kom ik er gewoon op.

Het gaat fout bij het verifieren van de userid en het wachtwoord, het lijkt erop dat pptp (1723) de aanvraag netjes doorgooit maar er daarna iets mis gaat.. waarschijnlijk dus GRE/47 wat ik op de een of andere manier er maar niet door krijg.. om gek van te worden!!

Ik heb in trust to untrust ANY / ANY gezet. Ook heb ik geprobeerd specifiek PPTP/GRE-47 van trust naar untrust toe te laten, maar dit maakte geen verschil.

Ik kom even terug op mijn concrete vraag, normaal kun je dus per interface aangeven welke services je waar naatoe wilt natten, ondanks dat de pptp bij predefined object staat kan ik deze niet selecteren, ook niet op een andere interface trouwens.

Gek dus, PPTP is dus wel een predefined object waarin o.a. dus 1723 en GRE/47 worden verklaard, maar deze kan ik niet toevoegen aan de VIP van de externe interface... ik ben er eigenlijk niet zeker van of dit uberhaupt de bedoeling is. Sommige predefined objecten kun je wel toevoegen als VIP service en andere weer niet...

Ok, is inderdaad een van de weinige opties die overblijven ;-)
Ik heb er voorlopig niet echt haast mee, maar na de zomervakantie moet ik deze locatie remote beheren en is dus wel heel makkelijk om een vpn op te kunnen zetten ipv een rdp sessie.

Ik ga er nog even aan zitten, en meld me terug als ik evt. meer weet! Tips blijven welkom!

Hmja, heb er zelf afgelopen dagen nog wat uurtjes ingestoken, maar ga het nu opgeven! Inderdaad maar een een melding maken bij Netscreen zelf.. mocht ik alsnog met een oplossing komen dan zijn jullie de eerste

Waardeloos, maar het is echt zo.. het gaat gewoon niet in NAT mode.

Point to Point Tunneling Protocol (PPTP) uses Generic Routing Encapsulation (GRE), which encapsulates the transport protocol header and the original IP header of each packet sent by the PPTP client. GRE is its own protocol (not TCP or UDP) and each end of a GRE tunnel must have a unique source-IP/destination-IP pair. Since GRE traffic does not use TCP or UDP headers, there is no way to create a special port mapping so a unique source IP is required for each GRE tunnel. For this reason, PPTP does not work when in NAT mode.

The workaround for this is to either use a MIP for each PPTP client, or use DIP. This is required no matter how many clients or servers are involved in the PPTP tunnel.

Even kort, GRE heeft dus een uniek source ip nodig, in NAT mode komt alles dus vanaf 1 interface, in dit geval de firewall.. en snap GRE het dus niet meer.
Dit betekent dus dat PPTP nooit door een firewall zou kunnen? of kan de Netscreen er gewoon niet mee omgaan.

[ Voor 77% gewijzigd door enveekaa op 16-06-2006 17:28 ]

Nou het werkt hoor, via VIP!

Solution
To address this problem, enable the VIP multi-port command, which will allow
configuration of a VIP service which has more than 1 port it listens to.
From the command line interface (CLI):

set vip multi-port [Enter]
save [Enter]
reset [Enter]


The multi-port command will match the first port it sees in the custom service.

Next, define a custom service for PPTP. From the CLI:

set service CustomPPTP group "other" 47 src 2048-2048 dst 2048-2048 [Enter]
set service CustomPPTP + tcp src 0-65535 dst 1723-1723 [Enter]
set policy incoming "Outside Any" VIP::1 CustomPPTP Permit [Enter]

In this example, the PPTP server was assumed to be on the trust side of the NetScreen,
at IP address 10.1.1.10 > please change this with your own Ip address.

En dan even handmatig op de externe interface Custom PPTP op port 2048 doorgooien naar je interne PPTP server ook op port 2048 Succes!

[ Voor 12% gewijzigd door enveekaa op 27-06-2006 15:07 ]