Strona 1 z 1
serwer pptpd i nieudane próby połączenia VPN
: 20 maja 2009, 09:28
autor: 0x11
Witam.
W pewnej firmie zaszła potrzeba postawienia serwera VPN. Nie zastanawiając się długo, postawiłem Debiana i serwer PPTP (pptpd). Wszystko działa jak należy, ale nie do końca...
Problem powstaje w przypadku próby nawiązania połączenia VPN z dwóch komputerów jednocześnie, z jednej sieci lan (za natem).
Postawiłem sprzętowy ruter 3com z funkcją serwera VPN z protokołem PPTP. Okazało się, że i tu jest taki sam problem.
Bardzo proszę o pomoc w tej sprawie,
pozdrawiam,
0x11
: 20 maja 2009, 10:22
autor: thomas.night
Wygląda na to, że firewall ma pozamykane porty.
Przydatne będą port 1723 (TCP), oraz odblokowanie protokołu GRE.
Jeżeli planujesz infrastrukturę site-to-site to potrzebne będą:
Protokół ESP
Port ISAKMP: 500 (UDP)
Dla
lepszego zrozumienia
zagadnienia:
http://www.clico.pl/b/t/no_4/vpn_crypto.pdf - strona 9
Pozdrawiam.
: 20 maja 2009, 10:59
autor: 0x11
Dzięki za odpowiedź.
Sprawa jest dość ciekawa, ponieważ podłączyłem inny router w sieci lokalnej, mianowicie linksysa rv082. Wszystko działa ok! Z dwóch komputerów za routerem ustanawiam połączenie VPN i działa to stabilnie. Zmieniając router na inny model (też linksysa) mam problem, który opisałem w poprzednim poscie.
Czy może to wynikać z innej implementacji translacji adresów? Wydaje mi się, że powodem problemów jest uszkadzanie pakietów GRE.
: 20 maja 2009, 16:07
autor: thomas.night
Kod: Zaznacz cały
Czy może to wynikać z innej implementacji translacji adresów?
Router musi co najmniej obsługiwać sprzętowo przepuszczanie pakietów VPNa
(ang. VPN pass through) + odpowiednie regułki na firewallu.
Jeżeli mówimy o sprzęcie Linksysa to w ofercie znajduje się całkiem niezły model: AG241 ze sprzętowym VPNem na 5 kanałów.
: 20 maja 2009, 17:32
autor: 0x11
thomas.night pisze:
Router musi co najmniej obsługiwać sprzętowo przepuszczanie pakietów VPNa (ang. VPN pass through) + odpowiednie regułki na firewallu.
Właśnie przez te regułki... Po kilku rozmowach telefonicznych z administratorem firmy w której był problem i przekonaniu go, że serwer pptp jest ok problem został rozwiązany. Jednak nie chciał dokładnie zdradzić do zrobił, powiedział jedynie, że była to wina firewalla.
pozdrawiam,
0x11
: 20 maja 2009, 21:43
autor: thomas.night
(jak mówiłęm wcześniej) Odblokował port TCP 1723, oraz włączył przepuszczanie danych na protokole nr 47 (czyli GRE).
: 20 maja 2009, 22:18
autor: 0x11
thomas.night pisze:(jak mówiłęm wcześniej) Odblokował port TCP 1723, oraz włączył przepuszczanie danych na protokole nr 47 (czyli GRE).
nie musiał odblokowywać portu 1723 ponieważ - jak pisałem wcześniej - można było nawiązać połączenie VPN z jednego (tylko jednego) komputera z sieci lokalnej.
miłego wieczoru..
0x11