[pfSense] Probleem met VPN verbinding

zaterdag 19 juni 2010 21:30

Acties:

0 Henk 'm!

the alien you never expected

Topicstarter

Ik heb sinds een tijdje een PC-Engines ELIX embedded box met hierop de pfSense firewall oplossing. Alleen heb ik wat problemen als ik een VPN verbinding wil maken naar mijn ouders. Het probleem is dat ik hiervoor mijn eigen VPN server (op de pfSense) en mijn firewall regels moet uitschakelen om dit werkend te krijgen. Dit lijkt mij nou niet echt de bedoeling.

Ik snap niet waar de fout zit. Ik heb gewoon de standaard regels plus een voor mijn Asterisk systeem. De volgende regels heb ik:

WAN
* LAN net * * * * Default LAN -> any
* Block private networks
* Block bogon networks

LAN
TCP/UDP * * 192.168.1.3 57246 * NAT voip filter

Momenteel maak ik gebruik van een PPTP verbinding zowel voor mijn eigen VPN verbinding (werk->huis) en naar mijn ouders (om een NL ip-adres te krijgen tbv. NOS WK stream) . Alleen nu moet ik dus de bovenstaande regels uitschakelen om dit werkend te krijgen.

Weet iemand waarom dit is? En hoe ik dit kan oplossen? Eerder heb ik geprobeerd om een OpenVPN server werkend te maken alleen die krijg ik al helemaal niet werken op mijn pfSense (embedded) box.

zondag 20 juni 2010 06:29

Acties:

0 Henk 'm!

Xorsist

NAT Limitations
PPTP and GRE Limitation - The state tracking code in pf for the GRE protocol can only track a single session per public IP per external server. This means if you use PPTP VPN connections, only one internal machine can connect simultaneously to a PPTP server on the Internet. A thousand machines can connect simultaneously to a thousand different PPTP servers, but only one simultaneously to a single server. The only available work around is to use multiple public IPs on your firewall, one per client, or to use multiple public IPs on the external PPTP server. This is not a problem with other types of VPN connections. A solution for this is currently under development.

PPTP Server

PPTP is a popular VPN option because nearly every OS has a built in PPTP client, including every Windows release since Windows 95 OSR2. See this Wikipedia article for more information on the PPTP protocol.

The pfSense PPTP Server can use a local user database, or a RADIUS server for authentication. RADIUS accounting is also supported. Firewall rules on the PPTP interface control traffic initiated by PPTP clients.
Limitations
Because of limitations in pf NAT, when the PPTP Server is enabled, PPTP clients cannot use the same public IP for outbound PPTP connections. This means if you have only one public IP, and use the PPTP Server, PPTP clients inside your network will not work. The work around is to use a second public IP with Advanced Outbound NAT for your internal clients. See also the PPTP limitation under NAT on this page.

Van de info features pagina van pfsense.

De oplossing in deze zouden meerdere publieke IP's zijn. In jou geval 3 te weten 1 voor je pptp server en 1 voor beide pptp verbindingen. Of je provider de mogelijkheid heeft om meerdere IP adressen te krijgen zul je daar na moeten vragen.

maandag 21 juni 2010 21:36

Acties:

0 Henk 'm!

alienfruit

the alien you never expected

Topicstarter

Bedankt! Ik zal eens uitzoeken of Cablecom/UPC meerdere ip adressen aanbiedt. Maar als ik nou zou overstappen naar OpenVPN is het probleem dan ook weg? Oftewel is een specifiek PPTP probleem?

Aha, blijkbaar twee ip adressen!
http://www.cablecom.ch/b2c/internet/fiberpower20.htm

maandag 21 juni 2010 21:39

Acties:

0 Henk 'm!

mace

Sapere Aude

Misschien is het wel net zo makkelijk om een SSH-tunnel op te zetten naar je ouders?

woensdag 23 juni 2010 04:07

Acties:

0 Henk 'm!

Xorsist

Voor zover als ik kan zien staan er geen limitaties bij gebruik van OpenVPN onder pfSense. Er staat op de OpenVPN site een vrij uitgebreide HOWTO welke vrij simpel te volgen is.
Je zou dan bij je ouders die server op moeten zetten en je pfSense server ofwel als client aan moeten laten loggen danwel een site to site VPN opzetten. Voor je doel (het bekijken van de NOS streams) denk ik dat de client oplossing de makkelijkste is hoewel het ook vrij simpel is om een static route op te ztten naar de range waarvandaan de strams komen via je site to site verbinding.

Onderwerpen