7
Pfsense Firewall, wie konfiguriere ich PPTP-VPN-Passthrough?
Hallo zusammen
es geht um folgendes Problem:
Wir wollen von unserem Firmennetzwerk aus eine PPTP-VPN-Verbindung zu einem remoten Netzwerk aufbauen, am remoten Netzwerk ist eine Firewall mit integriertem PPTP-VPN-Server vorhanden.
Es handelt sich um eine End-to-Site VPN-Verbindung, d.h. bei uns im Büro verwenden wir Windows XP oder auch Windows 7 als PPTP-VPN-Client.
Als Firewall ist bei uns eine pfsense im Einsatz (FW-version 2.1.0).
Beim Versuch die VPN-Verbindung aufzubauen bekommen wir den Fehler 619, "A connection to the remote computer could not be established."
Der Netzwerkadministrator des remoten Netzwerkes hat mir nun den Tipp gegeben, ich müsse bei mir in der pfsense-Firewall das PPTP-VPN-Passthrough einschalten.
Frage: kann mir jemand einen Tipp geben, wie man das an der pfsense-Firewall macht?
vielen Dank für eure Hilfe
Grüsse
Jan
es geht um folgendes Problem:
Wir wollen von unserem Firmennetzwerk aus eine PPTP-VPN-Verbindung zu einem remoten Netzwerk aufbauen, am remoten Netzwerk ist eine Firewall mit integriertem PPTP-VPN-Server vorhanden.
Es handelt sich um eine End-to-Site VPN-Verbindung, d.h. bei uns im Büro verwenden wir Windows XP oder auch Windows 7 als PPTP-VPN-Client.
Als Firewall ist bei uns eine pfsense im Einsatz (FW-version 2.1.0).
Beim Versuch die VPN-Verbindung aufzubauen bekommen wir den Fehler 619, "A connection to the remote computer could not be established."
Der Netzwerkadministrator des remoten Netzwerkes hat mir nun den Tipp gegeben, ich müsse bei mir in der pfsense-Firewall das PPTP-VPN-Passthrough einschalten.
Frage: kann mir jemand einen Tipp geben, wie man das an der pfsense-Firewall macht?
vielen Dank für eure Hilfe
Grüsse
Jan
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 226734
Url: https://administrator.de/contentid/226734
Ausgedruckt am: 25.11.2024 um 23:11 Uhr
7 Kommentare
Neuester Kommentar
Guckst du hier:
VPNs einrichten mit PPTP
Kapitel: "PPTP hinter NAT Firewalls" Das gilt analog für dich !
Du musst bei Outgoing PPTP Verbindungen lediglich das GRE Protokoll (Nummer 47) in den NAT und Firewall Regeln der pfSense eintragen. PPTP nuzt TCP 1723 und für den VPN Tunnel das GRE Protokoll.
Damit klappt das dann problemlos.
Hättst du auch selber gesehen wenn du mal in das Firewall Log gesehen hättest bei deiner pfSense
VPNs einrichten mit PPTP
Kapitel: "PPTP hinter NAT Firewalls" Das gilt analog für dich !
Du musst bei Outgoing PPTP Verbindungen lediglich das GRE Protokoll (Nummer 47) in den NAT und Firewall Regeln der pfSense eintragen. PPTP nuzt TCP 1723 und für den VPN Tunnel das GRE Protokoll.
Damit klappt das dann problemlos.
Hättst du auch selber gesehen wenn du mal in das Firewall Log gesehen hättest bei deiner pfSense
Hallo aqui
Vielen Dank für deine schnelle Antwort.
Ich habe den von Dir angegebenen Beitrag gelesen, kann jedoch das Kapitel "PPTP hinter NAT-Firewalls" nicht finden.
Ich finde sehr wohl das Kapitel "Achtung mit PPTP VPN Servern hinter NAT Firewalls !", aber um das geht es ja bei meinem Problem nicht.
Andere PPTP-VPN-Clients können sich problemlos mit dem externen PPTP-VPN-Server verbinden, nur von unserem Standort (Büro) aus geht es nicht!
Kannst Du mir bitte nochmals ein bisschen nachhelfen, wo ich den Punkt "Outgoing PPTP Verbindungen" finden kann in der pfsense-Firewall?
Danke für deine Hilfe
Grüsse
Jan
Vielen Dank für deine schnelle Antwort.
Ich habe den von Dir angegebenen Beitrag gelesen, kann jedoch das Kapitel "PPTP hinter NAT-Firewalls" nicht finden.
Ich finde sehr wohl das Kapitel "Achtung mit PPTP VPN Servern hinter NAT Firewalls !", aber um das geht es ja bei meinem Problem nicht.
Andere PPTP-VPN-Clients können sich problemlos mit dem externen PPTP-VPN-Server verbinden, nur von unserem Standort (Büro) aus geht es nicht!
Kannst Du mir bitte nochmals ein bisschen nachhelfen, wo ich den Punkt "Outgoing PPTP Verbindungen" finden kann in der pfsense-Firewall?
Danke für deine Hilfe
Grüsse
Jan
Was denn nun ?? Einmal schreibst du das andere NICHT den PPTP Server erreichen können dann geht es wieder... Du verwirrst jetzt nur als das deine Aussage hilft...sorry.
Ums noch al zu wiederholen.... Du hast eine pfsense Firewall in der Lokation und dort kann keiner ? Der Clients hinter der Firewall einen externen PPTP Server erreichen ??
Ist das so richtig ??
Wenn ja solltest du noch die Frage beantworten ob VOR der pfsense am WAN port ein einfaches modem ist oder aich ein NAT Router kaskadiert ??
Ist letzteres der Fall musst du 2 mal Port Forwarding machen logischerweise.
Ein lokaler VPN PPTP Client schickt einen Request los an der server und der versucht dann einen GRE tunnel aufzubauen. Du bekommst also eine eingehenden GRE Verbindung ohne das eine interne besteht und das blockt natürlich die NAT firewall wie sie soll.
In der pfsense musst du also zuerst GRE auf die WAn IP erluaben und dann ein Port forwarding auf die lokale Client IP machen, dann klappt das sofort.
Ums noch al zu wiederholen.... Du hast eine pfsense Firewall in der Lokation und dort kann keiner ? Der Clients hinter der Firewall einen externen PPTP Server erreichen ??
Ist das so richtig ??
Wenn ja solltest du noch die Frage beantworten ob VOR der pfsense am WAN port ein einfaches modem ist oder aich ein NAT Router kaskadiert ??
Ist letzteres der Fall musst du 2 mal Port Forwarding machen logischerweise.
Ein lokaler VPN PPTP Client schickt einen Request los an der server und der versucht dann einen GRE tunnel aufzubauen. Du bekommst also eine eingehenden GRE Verbindung ohne das eine interne besteht und das blockt natürlich die NAT firewall wie sie soll.
In der pfsense musst du also zuerst GRE auf die WAn IP erluaben und dann ein Port forwarding auf die lokale Client IP machen, dann klappt das sofort.
Hallo aqui
Du schreibst:
Was denn nun ?? Einmal schreibst du das andere NICHT den PPTP Server erreichen können dann geht es wieder... Du verwirrst jetzt nur als das deine Aussage hilft...sorry.
Ich glaube zwar nicht, dass ich mich unklar ausgedrückt habe, wiederhole es aber gerne für Dich:
Von unseren Büroräumlichkeiten aus haben wir Probleme den PPTP-Tunnel zu dem externen VPN-Server aufzubauen, andere Firmen von anderen Räumlichkeiten aus gelingt es problemlos, den PPTP-VPN-Tunnel zu öffnen...
Du schreibst:
Ums noch al zu wiederholen.... Du hast eine pfsense Firewall in der Lokation und dort kann keiner ? Der Clients hinter der Firewall einen externen PPTP Server erreichen ??
Ist das so richtig ??
genau, wir haben eine pfsense Firewall, und ja, am WAN-Port der pfsense ist ein VDSL-Modem im Brigde-Modus angeschlossen.
Ich habe das gestern Abend nochmals ausgiebig getestet.
Dabei habe ich folgendes festgestellt:
Wir können von unseren PPTP-Clients (Win XP, Win7) im internen LAN Verbindungen zu externen PPTP-Servern aufbauen, nur zu dem einen PPTP-VPN-Server geht es nicht, obwohl das früher jeweils problemlos möglich war. Und andere Standorte können mit den gleichen PPTP-Zugangsdaten wie wir haben problemlos den VPN-Tunnel aufbauen, das Problem muss also auf unserer Seite liegen.
Als ich mich gestern Abend mit dem Thema beschäftigt habe, ist mir eingefallen, das wir vor nicht allzu langer Zeit unsererseits auf der pfsense Firewall ebenfalls den PPTP-VPN-Server aktiviert haben, um unseren Servicetechnikern Zugang zu unserem Netzwerk zu ermöglichen.
Nun habe ich gestern Abend einen Artikel gefunden, der einen Workaround beschreibt, da es scheinbar ein bekanntes Problem ist, dass es Schwierigkeiten geben kann einen VPN-Server zu kontaktieren, wenn der VPN-Server auf der eigenen pfsense ebenfalls aktiviert ist.
siehe:
https://doc.pfsense.org/index.php/Connect_to_a_remote_PPTP_server_when_y ...
Ich glaube inzwischen, dass genau das unser Problem beschreibt.
Leider bin ich nicht sicher, was genau unter einer VIP (virtuellen IP) zu verstehen ist, die Anleitung lautet ja:
Add Virtual IP for your additional public IP to use for outbound PPTP
Click Firewall > Virtual IP
Click "+" to add
Choose Type: Proxy ARP
Interface: WAN
IP Address Type: Single Address
IP Address: <your additional public IP>
Description: Whatever you want, something like "VIP for outbound PPTP"
Click Save
Click Apply
die Frage ist nun, was muss ich bei "IP Address: <your additional public IP>" eingeben?
kannst Du mir da vielleicht auf die Sprünge helfen?
Grüsse
Jan
Du schreibst:
Was denn nun ?? Einmal schreibst du das andere NICHT den PPTP Server erreichen können dann geht es wieder... Du verwirrst jetzt nur als das deine Aussage hilft...sorry.
Ich glaube zwar nicht, dass ich mich unklar ausgedrückt habe, wiederhole es aber gerne für Dich:
Von unseren Büroräumlichkeiten aus haben wir Probleme den PPTP-Tunnel zu dem externen VPN-Server aufzubauen, andere Firmen von anderen Räumlichkeiten aus gelingt es problemlos, den PPTP-VPN-Tunnel zu öffnen...
Du schreibst:
Ums noch al zu wiederholen.... Du hast eine pfsense Firewall in der Lokation und dort kann keiner ? Der Clients hinter der Firewall einen externen PPTP Server erreichen ??
Ist das so richtig ??
genau, wir haben eine pfsense Firewall, und ja, am WAN-Port der pfsense ist ein VDSL-Modem im Brigde-Modus angeschlossen.
Ich habe das gestern Abend nochmals ausgiebig getestet.
Dabei habe ich folgendes festgestellt:
Wir können von unseren PPTP-Clients (Win XP, Win7) im internen LAN Verbindungen zu externen PPTP-Servern aufbauen, nur zu dem einen PPTP-VPN-Server geht es nicht, obwohl das früher jeweils problemlos möglich war. Und andere Standorte können mit den gleichen PPTP-Zugangsdaten wie wir haben problemlos den VPN-Tunnel aufbauen, das Problem muss also auf unserer Seite liegen.
Als ich mich gestern Abend mit dem Thema beschäftigt habe, ist mir eingefallen, das wir vor nicht allzu langer Zeit unsererseits auf der pfsense Firewall ebenfalls den PPTP-VPN-Server aktiviert haben, um unseren Servicetechnikern Zugang zu unserem Netzwerk zu ermöglichen.
Nun habe ich gestern Abend einen Artikel gefunden, der einen Workaround beschreibt, da es scheinbar ein bekanntes Problem ist, dass es Schwierigkeiten geben kann einen VPN-Server zu kontaktieren, wenn der VPN-Server auf der eigenen pfsense ebenfalls aktiviert ist.
siehe:
https://doc.pfsense.org/index.php/Connect_to_a_remote_PPTP_server_when_y ...
Ich glaube inzwischen, dass genau das unser Problem beschreibt.
Leider bin ich nicht sicher, was genau unter einer VIP (virtuellen IP) zu verstehen ist, die Anleitung lautet ja:
Add Virtual IP for your additional public IP to use for outbound PPTP
Click Firewall > Virtual IP
Click "+" to add
Choose Type: Proxy ARP
Interface: WAN
IP Address Type: Single Address
IP Address: <your additional public IP>
Description: Whatever you want, something like "VIP for outbound PPTP"
Click Save
Click Apply
die Frage ist nun, was muss ich bei "IP Address: <your additional public IP>" eingeben?
kannst Du mir da vielleicht auf die Sprünge helfen?
Grüsse
Jan
Von unseren Büroräumlichkeiten aus haben wir Probleme den PPTP-Tunnel zu dem externen VPN-Server aufzubauen, andere Firmen von anderen Räumlichkeiten aus gelingt es problemlos, den PPTP-VPN-Tunnel zu öffnen...
Und gennau HIER sind die Unklarheiten. Wie sollen wir hier im Forum wissen ob diese "anderen Räumlichkeiten" hinter dem selben Router/Firewall liegen oder völlig andere Lokationen mit getrennter Technik und Zugang sind ???Genau DAS war nicht klar ! Also die Frage: Betrifft es alle Clients an einer Lokation oder nur bestimmte Clients an dieser einen Lokation ?
Interessant wäre noch zu wissen wenn die "anderen Räumlichkeiten" getrennt andere Lokationen mit anderer Technik ist WAS dort ggf. anders ist.
Hier warst du also etwas unklar....!
Weitere Punkte...
VDSL-Modem im Brigde-Modus...
Ganz sicher ?? Hast du eine öffentliche IP Adresse am WAN Port der pfSense oder eine private RFC 1918 IP Adresse ??Das ist ganz wichtig zu wissen denn sonst müsstest du ggf. 2mal Port Forwarding machen !
Wir können von unseren PPTP-Clients (Win XP, Win7) im internen LAN Verbindungen zu externen PPTP-Servern aufbauen, nur zu dem einen PPTP-VPN-Server geht es nicht, obwohl das früher jeweils problemlos möglich war.
OK, das sagt schon fast alles....Das Problem ist dann ganz sicher dieser remote Server, denn PPTP ist ein weltweit standartisiertes protokoll. Da kann es nicht sein das es bei 9 Servern geht und bei einem nicht ?!
Kann es sein das du einen IP Adresskonflikt hast, also das das lokale Netz des VPN Servers identisch ist mit eurem ??
Dann kommt das VPN nicht zustande ! Siehe hier im Kapitel VPN IP Adressdesign Tips
Wenn andere remote PPTP VPN Server aus eurem lokalen LAN erreichbar sind, dann ist auch eure FW Konfig OK. Auf alle Fälle muss GRE auf dem WAN Port erlaubt sein, was aber schon der Fall zu sein scheint sonst würden andere Verbindungen nicht funktionieren.
Das Kardinalsproblem ist aber in der Tat das ihr selber PPTP auf der Firewall aktiviert habt. Dadurch kann die Firewall PPTP nicht mehr forwarden und interpretiert allen PPTP Traffic für sich selber, das ist klar ! Keine Firewall kann sowas....
Das ist kein "bekanntes Problem" sondern ein Missdesign. Gleiches Problem hätte man auch bei allen anderen UDP oder TCP basierten Protokollen in so einer Konstellation.
Der von dir oben zitierte Workaround fixt das natürlich problemlos, da er eine alternative IP Adresse auf dem WAN Port erzeugt und man so den eigenen und Passthrough PPTP Traffic sauber trennen kann. Klassische Lösung für sowas...
Knackpunkt für dich ist aber der Punkt 4 IP Address: <your additional public IP> wobei die Betonung hier auf "additional" und "public" liegt. denn damit ist eine 2te öffentliche IP gemeint.
Das gilt für User die ein kleines öffentliches Subnetz haben also mehrere öffentliche IPs.
Das hast du aber mit deinem VDSL Anschluss vermutlich nicht, wenn das ein klasssicher simpler Standard VDSL Zugang mit PPPoE ist, denn da bekommst du mal gerade eine einzige Adresse zugeteilt dynamisch.
Die Lösung ist also vermutlich (wenn du nicht mehrere öffentliche provider IPs hast ?) nicht umsetzbar für dich !
Bleiben dann nur 2 Optionen:
- Vom Provider weitere öffentliche IPs beantragen
- Für die internen Kollegen das VPN auf IPsec, L2TP oder OpenVPN umstellen
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
und hier:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Hallo aqui
danke für deine ausführliche Antwort.
Wir haben 2 öffentliche IP's, über die eine public IP ist unser Mailserver ans Internet angeschlossen, über die andere IP wird der gesamte restliche Traffic ins Internet abgewickelt.
Das VDSL-Modem ist im Bridge-Modus.
Ich werde über das Wochenende mal versuchen, den ausgehenden PPTP-Traffic über die IP-Adresse des Mailservers abzuwickeln anhand der Beschreibung, mal schauen, ob das funktioniert...
Ich werde danach posten, ob ich Erfolg hatte oder nicht, bis denne, Gruss Jan
https://doc.pfsense.org/index.php/Connect_to_a_remote_PPTP_server_when_y ...
danke für deine ausführliche Antwort.
Wir haben 2 öffentliche IP's, über die eine public IP ist unser Mailserver ans Internet angeschlossen, über die andere IP wird der gesamte restliche Traffic ins Internet abgewickelt.
Das VDSL-Modem ist im Bridge-Modus.
Ich werde über das Wochenende mal versuchen, den ausgehenden PPTP-Traffic über die IP-Adresse des Mailservers abzuwickeln anhand der Beschreibung, mal schauen, ob das funktioniert...
Ich werde danach posten, ob ich Erfolg hatte oder nicht, bis denne, Gruss Jan
https://doc.pfsense.org/index.php/Connect_to_a_remote_PPTP_server_when_y ...
Das hört sich doch schon mal gut an wenn du 2 Adressen hast. Allerdings würde das ne Umstellung bedeuten. Den Mailserver kannst du dann in eine DMZ stellen was so oder so besser wäre und nimmst dann die 2te IP für den Workaround oder....du beantragst noch ne 3te iP.
Für den Test ist das dann erstmal OK, das wird das Problem fixen...
Für den Test ist das dann erstmal OK, das wird das Problem fixen...
