kaioshin
Goto Top

PfSense - Verbindung zu PPTP VPN Server

Hallo

Ich habe folgendes Problem und hoffe dass mir hierbei jemand einen hilfreichen Tipp geben könnte.
Am Standort A läuft ein PPTP VPN Server auf Basis von pfSense. Dieser läuft soweit ganz gut. Verbindungen sind dorthin mit den entsprechenden Logins problemlos möglich.

Üblicherweise ist es so, dass diese Verbindungen von einzelnen Rechnern eines weiteren Standortes (Standort B) aufgebaut werden. Am Standort B war bis letzte Woche ein anderer Router im Einsatz. Dieser wurde nun durch pfSense auf Basis von Alix2d13 ersetzt.

Der Fehler ist nun folgender: Vom Standort B kann nun nur ein einziger Rechner eine PPTP VPN Verbindung nach Standort A aufbauen, alle anderen kriegen den Fehlercode 619. Zunächst dachte ich das sei ein Fehler beim VPN Server (Standort A) und habe diesen neugestartet. Auch den Router in Standort B habe ich neugestartet. Das Problem besteht weiterhin.

An einem weiteren Standort (C) wurde auch ein Router mit derselben Konfiguration wie in Standort B eingerichtet (pfSense, Alix 2d13), und auch dort das gleiche Phänomen.

Übrigens, der Rechner der zuerst die Verbindung zum VPN Server initialisiert hat - kann sich jedes Mal tadellos verbinden. Alle anderen kriegen den Fehlercode 619.

Ich bin für jede Hilfe sehr dankbar.

Kaioshin

Content-ID: 203937

Url: https://administrator.de/contentid/203937

Ausgedruckt am: 24.11.2024 um 19:11 Uhr

aqui
aqui 25.03.2013 aktualisiert um 18:00:37 Uhr
Goto Top
Das hier hast du gelesen:
http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...

Du willst ja alle 3 Standorte sinnvollerweise mit einer Lan zu LAN Kopplung verbinden, ist das richtig ? Also das sich nicht mehr sinnloserweise alle Clients von remote einzeln einwählen, sondern das die LAN Netze aller 3 Standorte transparent über ein VPN geroutet werden ?! Ist das so richtg ?? Wäre auch das Sinnvollste...
Aufgrund dieser Tatsache oben mit PPTP vergiss besser PPTP für eine Site do Site Kopplung die du ja vermutlich machen willst !
Mach das mit einem IPsec Tunnel ! pfSense supportet das problemlos und ist am einfachsten da du ja nun an allen 3 Standorten einen pfSense stehen hast ! Besser kanns nicht sein... face-wink
Das ist mit 3 Mausklicks eingerichtet und funktioniert wenigstens abhörsicher !
Mit PPTP kannst du denn mobile Mitarbeiter abfackeln, dafür reicht das.
108012
108012 25.03.2013 aktualisiert um 19:42:01 Uhr
Goto Top
Hallo Kaioshin,

zu dem Fehlercode 619 habe ich folgendes gefunden:

Error 619 is almost always a problem with a firewall on the client machine, or the firewall the client is behind breaking PPTP. Since it works from ...

Heißt übersetzt:
Fehler 619 weißt immer wieder auf ein Problem mit der Klient seitigen Firewall (interne Firewall, z.B. Windows Firewall) hin oder auf die Firewall (Hardware) hinter der der Klient sich aufhält stört den PPTP Tunnel.

- Also mal flux an den Klienten PCs nachschauen was dort an der Firewall nicht freigegeben oder geöffnet wurde.
- Dem IPSec Tipp von aqui stimme ich aber auch voll und ganz zu und falls, wie so oft, die Bandbreite, das
Problem darstellt, hinsichtlich der Nutzeranzahl würde ich einmal mit dem Kauf von drei VPN Karten spielen!

Soekris vpn1411 mini PCI läuft tadellos unter pfSense!
Der Durchsatz lässt sich oft von ~14 MBit/s auf ~42 MBit/s steigern, wobei das natürlich auch von der
WAN Schnittstelle (Geschwindigkeit) der Klienten und der pfSense Firewalls abhängt!

Gruß
Dobby


P.S.

An einem weiteren Standort (C) wurde auch ein Router mit derselben Konfiguration wie in Standort B eingerichtet....
Ich hoffe aber das es nicht die selben Subnetze (CIDR) sind, denn das funktioniert nicht

z.B. 192.168.1.0/24 ------vpn-tunnel------ 192.168.1.0/24

es sollte so aussehen;

192.168.1.0/24 ------vpn-tunnel------- 192.168.2.0/24
Kaioshin
Kaioshin 25.03.2013 aktualisiert um 22:14:41 Uhr
Goto Top
Hallo aqui und Dobby

Erstmal danke für eure Bemühungen.

@aqui
Drei Fragen und drei Mal ja. Das ist korrekt dass das nötig und das einzig sinnvolle ist. Es ist jedoch so dass heute ganz viel Umverkabelung stattfand und ich eine schnelle Lösung wollte (damit einige Mitarbeiter über einen anderen Standort ausweichen konnten (für bestimmte Anwendungen)).

Ich werde morgen damit anfangen die Site-to-Site Verbindung aufzubauen (jedoch per OpenVPN - wobei das in meinem Fall keine Rolle spielt).

@ Dobby
Ich scheine nicht der einzige mit diesem Problem zu sein. Ich habe schon recht viel ausprobiert und gerade auch (einfach weil es mich wunder nimmt) das Ganze (mehr oder weniger) virtuell mit VMware nachgebaut. Und auch hier dasselbe Problem.
PPTP VPN usually get Error 619

Ich hoffe aber das es nicht die selben Subnetze (CIDR) sind, denn das funktioniert nicht
Ja. Das habe ich natürlich bereits vorher bei der Netzplanung alles vorbedacht.


Und hier kommt die Lösung(?).
What are the limitations of PPTP in pfSense?

Punkt 2
2. Only one client can connect to a PPTP server on the Internet simultaneously. 10 clients can connect to 10 different servers, but only a single simultaneous connection can exist to a single server.

Diese Einschränkung hat mich ziemlich stark gewundert. Aber was soll‘s.

Vielen Dank nochmals und Gruss,
Kaioshin
108012
108012 25.03.2013 um 22:18:56 Uhr
Goto Top
wenn es das denn war bitte noch eine [Beitrag ist erledigt] und viel Erfolg.

Klar IPSEc "frisst" CPU Ressourcen aber ist sicherer und damit sollte pfSense auch keine Probleme haben.
aqui
aqui 26.03.2013 um 07:46:14 Uhr
Goto Top
Auf der ALIX Hardware aber nicht, denn diese besitzt im Geode Prozessor einen dedizierten Crypto Chip, der die gesamte Verschlüsselung in Hardware macht (sofern man das im Setup aktiviert hat was natürlich Sinn macht auf Alix HW !)
Die zusätzlich CPU Last ist damit wenigstens auf ALIX Hardware ziemlich marginal.