[Techinfo] pfSense + Debian + VPN

Fehér Sándor fehersandor at madach-starjan.sulinet.hu
2019. Jan. 7., H, 09:23:36 CET 

Üdv!

Üzemeltetek ilyet, de mikrotikkel.
 >"publikus IP" is egy privát IP a 192.168.1.0/24 tartományból?
Ezt hogyan kell értelmezni?
Topológia rajz van? Le tudod írni nagyjából?

A gre és a 1723 meg az AH nem kell az l2tp-ipsec-nek(ezek pptp 
szerverhez szükségesek kivéve AH).
A többi meg udp port.

Ezeket kell forwardolni:
udp1701(l2tp)
udp500(ike)
udp4500(nat-traversal)
protocol=ESP(encapsulated security payload, titkosított tartalom)

esp-nél szokott probléma lenni a gagyi tűzfalak esetében.
Próbálkozz valódi publikus ip-vel vagy hagyd ki a nat-ot és rakj össze 
egy labort a lan-on.

FONTOS:
Azonos CGNAT mögötti kliensekből egyszerre csak egy kliens tud ezzel a 
módszerrel csatlakozni.
pl: mostanában a szolgáltatók "natolt" ip címet adnak. Ha azonos külső 
(natolt) ipcímről próbálsz becsatlakozni az l2tp serverre, csak az egyik 
kliens fog működni!!


Ha fentiek miatt van gondod, akkor openvpn irányába gondolkozz, esetleg 
natív ipsec(utóbbi esetén probléma a dinamikus ip és a pfsense nem tudom 
ismeri e)




2019. 01. 06. 20:25 keltezéssel, Takács Tibor írta:
> Sziasztok!
>
> Egyik ismerős sulitól megkértek, segítsek a szervertelepítésben. A 
> végső lépésnél (VPN készítése) elakadtam. Korábban az OpenVPN-t 
> használtam, de itt az egyszerű kliens oldali kezelhetőség miatt az 
> L2TP+IPSec mellett döntöttem. Sikerült is összerakni Debian alatt, a 
> Win10 és Win7 kliensek is rögtön felkapcsolódnak.
>
> A gond ott kezdődik, ha az egészet beteszem egy pfSense tűzfal mögé. 
> Hiába állítottam be a portforwardokat (500, 4500, 1701, 1723, AH, ESP, 
> GRE), a windowsos kliens nem tud csatlakozni.
>
> Próbáltam úgy is, hogy közvetlenül a pfSense-hez csatlakozik a 
> Windows, de így se megy (lépésről lépésre megcsináltam mindent, de nem 
> hajlandó működni a "dög".)... Lehet, az a baj, hogy még csak 
> teszt-üzemben próbálom, így a "publikus IP" is egy privát IP a 
> 192.168.1.0/24 tartományból?
>
> Van aki üzemeltet hasonlót? Mi a trükk?
>
> Köszi, üdv:
>
>                       TT
>
> _______________________________________________
> Techinfo mailing list
> Techinfo at lista.sulinet.hu
> Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
> Illemtan: http://www.szag.hu/illemtan.html
> Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
>
>

További információk a(z) Techinfo levelezőlistáról