:(
A problémáról egyébként a a pfSense dokumentációja is megemlékezik.
Az appliance gyártója szerint a megoldás:
- rávenni az ügyfelet, hogy használjon !PPTP-t (szerinted?)
vagy
- minden, az ügyfél PPTP szerveréhez kapcsolódni akaró klienshez publikus IP-t rendelni (ahahaha, majd akasztok szakajtószám publikus IP-t)
Szopattyú. Kár, hogy ez a fenti dolog már egy 6 ezer forintos, linuxos szappantartónak (ADSL router) sem probléma (PPTP pass through)...
- trey blogja
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Linux alatt az iptables conntrack-nak is van tudtommal egy hasonló limitációja.
pfSense alatt nem lehet csinálni passthrough-t az appliance-on?
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni
> Linux alatt az iptables conntrack-nak is van tudtommal egy hasonló limitációja.
Nincs. A conntrack képes minden kapcsolatnak egyedi connection ID-t adni, és ezek alapján a későbbiekben megkülönböztetni a GRE session-öket akkor is, ha ugyanazon forrás IP-ről mennek ugyanazon cél IP-re.
- A hozzászóláshoz be kell jelentkezni
Thx. Kicsit még jobban utána kellett volna olvasnom...
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni
Korrektül mondja a kollega, pont ilyennel szivtam openwrt-ben 1-2 hete, tulajdonképpen csak 1-2 kernel modult kell behúzni.
--
arch,xubuntu,debian,windows,android
dev: http://goo.gl/7Us0GN
BCI news: http://goo.gl/fvFM9C
- A hozzászóláshoz be kell jelentkezni
Hát ez nem a freebsd hibája, ezt csak így lehet. A firewall a GRE protokollt csak egy kliensnek tudja továbbítani.
--
The Community ENTerprise Operating System
- A hozzászóláshoz be kell jelentkezni
Nem, lásd az eggyel feljebb lévő hozzászólásomat.
- A hozzászóláshoz be kell jelentkezni
Tudsz erre példát mutatni? Érdekelne a megvalósítás...
--
The Community ENTerprise Operating System
- A hozzászóláshoz be kell jelentkezni
Engem még mélységében sosem érdekelt a megoldás, elég volt annyi, hogy működik. Az olvasgatást valószínűleg a /usr/src/linux/net/netfilter/nf_conntrack_pptp.c környékén kezdeném...
- A hozzászóláshoz be kell jelentkezni
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Kösz, egyszer ha lesz időm kipróbálom... Mindig tanul az ember. :)
--
The Community ENTerprise Operating System
- A hozzászóláshoz be kell jelentkezni
"Hát ez nem a freebsd hibája,"
Senki sem mondta, hogy a FreeBSD hibája. Ez a pf limitációja. A FreeBSD-s appliance gyártójának hibája, hogy nem írt egy proxy-t a limitáció feloldására. Ehelyett életszerűtlen kerülőmegoldásokat javasol.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
"Életszerűtlen kerülőmegoldás".
Sajnos vagy nem sajnos, a PPTP/MPPE valóban kényelmes (volt) az egyszerűsége miatt, viszont "jobb helyeken" már annyira sok évvel ezelőtt kihalt, hogy nem feltétlenül várnám el egyetlen $VENDOR-tól sem, hogy 2014-ben nyújtson hozzá támogatást.
Én pl. NetBSD-t használtam PPTP végződtetésre éveken keresztül, aztán valamikor ~10 évvel ezelőtt kissé megdöglött benne a PPTP támogatás. A session létrejön, de gigabit ethernet felett 160kByte/sec-et sikerül vele elérni. Azóta nem találtam rá fejlesztőt, aki hajlandó lenne megjavítani. Egyáltalán, azt sem tudom, hogy a kernel GRE támogatása döglődik, vagy csak a poptop nem szereti valamiért. (nyers tunnelnek IPIP-t szoktam használni, nem GRE-t.) Hasonlóképp, az MPPE korábbiakban kernel modul formájában volt jelen, aztán jött az új kernel modul API, és ezzel vége is lett a dalnak.
- A hozzászóláshoz be kell jelentkezni
A nevezett gyártó termékében alapfunkció a PPTP szerver támogatás. Vagyis a termékéből két kattintással tudsz PPTP szervert csinálni. Kicsit kettős ez így. Ha ennyire hanyagolandó, akkor minek támogatja a szerver oldalon?
A PPTP annyira nem kiveszett, hogy az iOS-ben benne van, a Windowsokban a mai napig benne van (Windows 8.1 Update-ig bezárólag). Talán nem véletlenül.
Igazad van, hogy szabadulni kéne tőle, de egyelőre eléggé esélytelen.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
"J"?
Egyébként én is a váltást javasolnám. Tud az vpn aggregátor lenni, csak lehet hogy licensefüggő.
Nevezett gyártó BSDre támaszkodása egyébként akkora hozadék is, mint deficit.
- A hozzászóláshoz be kell jelentkezni
uniper! :)
- A hozzászóláshoz be kell jelentkezni
Nem az :)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ja, tudtam én, hogy NETASQ, csak nem mondtam :))
- A hozzászóláshoz be kell jelentkezni
Az pedig nem arról híres, hogy annyira túlárazott lenne, legalább is a többihez képest. Azért gondoltam a Juniperre, mert az azért el tud szállni. Viszont gyanús volt a pf, mert a kanadai levélben nincs PF a fűzfalban, az egyedi cucc. ( próbáltam kiszedni a BSD shellből a tűzfalszabályokat, de nincs ott benne )
- A hozzászóláshoz be kell jelentkezni
A probléma még egyszer: a megbízó multi több országban levő telephelyein ezt használja és nem hajlandó váltani. Nincs rá jelenleg esély, hogy váltson.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Teoretikusan:
Informatika döntés, domaian group policy és előregyártott profillal install.
Valósan:
Az informatikai és céges oktatás tart olyan fokon, hogy ez sajnos jogos igény, meg kifogás. Meg persze, "már megint az informatikus kavarja a sz*rt" ha változik, jobbul valami.
Erre nincs is több szó.
- A hozzászóláshoz be kell jelentkezni
Egyébiránt nevezett telefon a pptp mellett csak a hidas termékhez tud kapcsolódni oob.
Ugyanakkor támogatja az összes ssl tunnellel dolgozó tűzfalat app szinten. OpenVPNt is.
- A hozzászóláshoz be kell jelentkezni
IPSec/L2TP megy vele PSK-val OOB. Én nem termesztek almát, másoktól hallottam pozitív visszajelzéseket.
- A hozzászóláshoz be kell jelentkezni
Most nem az a lényeg, hogy mihez tud. Hanem az, hogy a PPTP azért van még szinte mindenben benne, mert a világon még mindig csillió helyen használják. A Microsoft saját szara. Azoknál a kisebb-nagyobb cégeknél, ahol a VPN kapcsolatot egy Windows szerver terminálta, nagyon nagy az esély arra, hogy ott PPTP van. AD integráltan megoldható, vannak előnyei.
Az OpenVPN és társaival az a probléma, hogy nincs beépített Microsoft kliense. Ugyanez a probléma a mindenféle vendor IPsec szaraival. Saját kliens.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
.
- A hozzászóláshoz be kell jelentkezni
Tudom, hogy jelen esetben nem segít rajtad, de Windows 7 és Windows 2008r2 óta van rendes beépített szabványos ikev2 ipsec kliens a Windowsokban. Sőt a Windows Phone 8.1-ben is van/lesz. És a Blackberryben 10-ben is van. Android 4-re (root nélkül) létezik Strongswan kliens, illetve Mac Os X -re is. Én ezt használom. Strongswan-al tökéletesen megy, de még OpenBSD iked-vel is.
Egyedül az iOS nem megy ikev2-vel.
- A hozzászóláshoz be kell jelentkezni
"Tudom, hogy jelen esetben nem segít rajtad, de Windows 7 és Windows 2008r2 óta van rendes beépített szabványos ikev2 ipsec kliens a Windowsokban."
Ja, tudom. Ráadásul az az alapértelmezett, arra próbál rá először, hacsak át nem állítod a "Properties -> Security -> Type of VPN" fülön.
És ez valóban nem segít rajtam, aki a kliens oldalon ül és azt kénytelen használni, amit adnak.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Az nem lehet megoldas, hogy a kozponti firewall terminaljon egy, azaz egy darab PPTP connection-t, es onnet lehessen belatni minden haloba?
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Semmilyen megoldás nem játszik, amiben a másik oldalon bármit is át kellene állítani. 100%-ban rugalmatlanok. Az van, ami van. Felhasználóknak felhasználóneveik és jelszavaik, amikkel telephelyekre tudnak PPTP-vel bejelentkezni. Ezek a telephelyek nem állnak egymással kapcsolatban.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Sajnos ez így van. Natív FreeBSD-n lehet próbálkozni a GRE natolását az IPFW-re bízni (abban van GRE conntrack támogatás), vagy a PF mellett a Frickin PPTP Proxy segítségével tunnelezni az ilyen VPN kapcsolatokat (az viszont néha bugzik).
- A hozzászóláshoz be kell jelentkezni