Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Pfsense Firewall, wie konfiguriere ich PPTP-VPN-Passthrough?

Mitglied: dierussensindda

dierussensindda (Level 1) - Jetzt verbinden

15.01.2014 um 11:26 Uhr, 5679 Aufrufe, 7 Kommentare

Hallo zusammen

es geht um folgendes Problem:

Wir wollen von unserem Firmennetzwerk aus eine PPTP-VPN-Verbindung zu einem remoten Netzwerk aufbauen, am remoten Netzwerk ist eine Firewall mit integriertem PPTP-VPN-Server vorhanden.
Es handelt sich um eine End-to-Site VPN-Verbindung, d.h. bei uns im Büro verwenden wir Windows XP oder auch Windows 7 als PPTP-VPN-Client.
Als Firewall ist bei uns eine pfsense im Einsatz (FW-version 2.1.0).
Beim Versuch die VPN-Verbindung aufzubauen bekommen wir den Fehler 619, "A connection to the remote computer could not be established."
Der Netzwerkadministrator des remoten Netzwerkes hat mir nun den Tipp gegeben, ich müsse bei mir in der pfsense-Firewall das PPTP-VPN-Passthrough einschalten.

Frage: kann mir jemand einen Tipp geben, wie man das an der pfsense-Firewall macht?

vielen Dank für eure Hilfe

Grüsse
Jan


Mitglied: aqui
15.01.2014, aktualisiert um 11:36 Uhr
Guckst du hier:
https://www.administrator.de/contentid/117700
Kapitel: "PPTP hinter NAT Firewalls" Das gilt analog für dich !
Du musst bei Outgoing PPTP Verbindungen lediglich das GRE Protokoll (Nummer 47) in den NAT und Firewall Regeln der pfSense eintragen. PPTP nuzt TCP 1723 und für den VPN Tunnel das GRE Protokoll.
Damit klappt das dann problemlos.
Hättst du auch selber gesehen wenn du mal in das Firewall Log gesehen hättest bei deiner pfSense
Bitte warten ..
Mitglied: dierussensindda
15.01.2014 um 12:12 Uhr
Hallo aqui

Vielen Dank für deine schnelle Antwort.
Ich habe den von Dir angegebenen Beitrag gelesen, kann jedoch das Kapitel "PPTP hinter NAT-Firewalls" nicht finden.
Ich finde sehr wohl das Kapitel "Achtung mit PPTP VPN Servern hinter NAT Firewalls !", aber um das geht es ja bei meinem Problem nicht.
Andere PPTP-VPN-Clients können sich problemlos mit dem externen PPTP-VPN-Server verbinden, nur von unserem Standort (Büro) aus geht es nicht!

Kannst Du mir bitte nochmals ein bisschen nachhelfen, wo ich den Punkt "Outgoing PPTP Verbindungen" finden kann in der pfsense-Firewall?

Danke für deine Hilfe

Grüsse
Jan
Bitte warten ..
Mitglied: aqui
15.01.2014, aktualisiert um 13:57 Uhr
Was denn nun ?? Einmal schreibst du das andere NICHT den PPTP Server erreichen können dann geht es wieder... Du verwirrst jetzt nur als das deine Aussage hilft...sorry.
Ums noch al zu wiederholen.... Du hast eine pfsense Firewall in der Lokation und dort kann keiner ? Der Clients hinter der Firewall einen externen PPTP Server erreichen ??
Ist das so richtig ??
Wenn ja solltest du noch die Frage beantworten ob VOR der pfsense am WAN port ein einfaches modem ist oder aich ein NAT Router kaskadiert ??
Ist letzteres der Fall musst du 2 mal Port Forwarding machen logischerweise.
Ein lokaler VPN PPTP Client schickt einen Request los an der server und der versucht dann einen GRE tunnel aufzubauen. Du bekommst also eine eingehenden GRE Verbindung ohne das eine interne besteht und das blockt natürlich die NAT firewall wie sie soll.
In der pfsense musst du also zuerst GRE auf die WAn IP erluaben und dann ein Port forwarding auf die lokale Client IP machen, dann klappt das sofort.
Bitte warten ..
Mitglied: dierussensindda
16.01.2014 um 10:07 Uhr
Hallo aqui

Du schreibst:
Was denn nun ?? Einmal schreibst du das andere NICHT den PPTP Server erreichen können dann geht es wieder... Du verwirrst jetzt nur als das deine Aussage hilft...sorry.

Ich glaube zwar nicht, dass ich mich unklar ausgedrückt habe, wiederhole es aber gerne für Dich:
Von unseren Büroräumlichkeiten aus haben wir Probleme den PPTP-Tunnel zu dem externen VPN-Server aufzubauen, andere Firmen von anderen Räumlichkeiten aus gelingt es problemlos, den PPTP-VPN-Tunnel zu öffnen...

Du schreibst:
Ums noch al zu wiederholen.... Du hast eine pfsense Firewall in der Lokation und dort kann keiner ? Der Clients hinter der Firewall einen externen PPTP Server erreichen ??
Ist das so richtig ??

genau, wir haben eine pfsense Firewall, und ja, am WAN-Port der pfsense ist ein VDSL-Modem im Brigde-Modus angeschlossen.
Ich habe das gestern Abend nochmals ausgiebig getestet.
Dabei habe ich folgendes festgestellt:
Wir können von unseren PPTP-Clients (Win XP, Win7) im internen LAN Verbindungen zu externen PPTP-Servern aufbauen, nur zu dem einen PPTP-VPN-Server geht es nicht, obwohl das früher jeweils problemlos möglich war. Und andere Standorte können mit den gleichen PPTP-Zugangsdaten wie wir haben problemlos den VPN-Tunnel aufbauen, das Problem muss also auf unserer Seite liegen.

Als ich mich gestern Abend mit dem Thema beschäftigt habe, ist mir eingefallen, das wir vor nicht allzu langer Zeit unsererseits auf der pfsense Firewall ebenfalls den PPTP-VPN-Server aktiviert haben, um unseren Servicetechnikern Zugang zu unserem Netzwerk zu ermöglichen.
Nun habe ich gestern Abend einen Artikel gefunden, der einen Workaround beschreibt, da es scheinbar ein bekanntes Problem ist, dass es Schwierigkeiten geben kann einen VPN-Server zu kontaktieren, wenn der VPN-Server auf der eigenen pfsense ebenfalls aktiviert ist.
siehe:
https://doc.pfsense.org/index.php/Connect_to_a_remote_PPTP_server_when_y ...

Ich glaube inzwischen, dass genau das unser Problem beschreibt.
Leider bin ich nicht sicher, was genau unter einer VIP (virtuellen IP) zu verstehen ist, die Anleitung lautet ja:

Add Virtual IP for your additional public IP to use for outbound PPTP

Click Firewall > Virtual IP
Click "+" to add
Choose Type: Proxy ARP
Interface: WAN
IP Address Type: Single Address
IP Address: <your additional public IP>
Description: Whatever you want, something like "VIP for outbound PPTP"
Click Save
Click Apply

die Frage ist nun, was muss ich bei "IP Address: <your additional public IP>" eingeben?

kannst Du mir da vielleicht auf die Sprünge helfen?

Grüsse
Jan
Bitte warten ..
Mitglied: aqui
16.01.2014, aktualisiert um 14:15 Uhr
Von unseren Büroräumlichkeiten aus haben wir Probleme den PPTP-Tunnel zu dem externen VPN-Server aufzubauen, andere Firmen von anderen Räumlichkeiten aus gelingt es problemlos, den PPTP-VPN-Tunnel zu öffnen...
Und gennau HIER sind die Unklarheiten. Wie sollen wir hier im Forum wissen ob diese "anderen Räumlichkeiten" hinter dem selben Router/Firewall liegen oder völlig andere Lokationen mit getrennter Technik und Zugang sind ???
Genau DAS war nicht klar ! Also die Frage: Betrifft es alle Clients an einer Lokation oder nur bestimmte Clients an dieser einen Lokation ?
Interessant wäre noch zu wissen wenn die "anderen Räumlichkeiten" getrennt andere Lokationen mit anderer Technik ist WAS dort ggf. anders ist.
Hier warst du also etwas unklar....!
Weitere Punkte...
VDSL-Modem im Brigde-Modus...
Ganz sicher ?? Hast du eine öffentliche IP Adresse am WAN Port der pfSense oder eine private RFC 1918 IP Adresse ??
Das ist ganz wichtig zu wissen denn sonst müsstest du ggf. 2mal Port Forwarding machen !
Wir können von unseren PPTP-Clients (Win XP, Win7) im internen LAN Verbindungen zu externen PPTP-Servern aufbauen, nur zu dem einen PPTP-VPN-Server geht es nicht, obwohl das früher jeweils problemlos möglich war.
OK, das sagt schon fast alles....
Das Problem ist dann ganz sicher dieser remote Server, denn PPTP ist ein weltweit standartisiertes protokoll. Da kann es nicht sein das es bei 9 Servern geht und bei einem nicht ?!
Kann es sein das du einen IP Adresskonflikt hast, also das das lokale Netz des VPN Servers identisch ist mit eurem ??
Dann kommt das VPN nicht zustande ! Siehe hier im Kapitel VPN IP Adressdesign Tips
Wenn andere remote PPTP VPN Server aus eurem lokalen LAN erreichbar sind, dann ist auch eure FW Konfig OK. Auf alle Fälle muss GRE auf dem WAN Port erlaubt sein, was aber schon der Fall zu sein scheint sonst würden andere Verbindungen nicht funktionieren.

Das Kardinalsproblem ist aber in der Tat das ihr selber PPTP auf der Firewall aktiviert habt. Dadurch kann die Firewall PPTP nicht mehr forwarden und interpretiert allen PPTP Traffic für sich selber, das ist klar ! Keine Firewall kann sowas....
Das ist kein "bekanntes Problem" sondern ein Missdesign. Gleiches Problem hätte man auch bei allen anderen UDP oder TCP basierten Protokollen in so einer Konstellation.
Der von dir oben zitierte Workaround fixt das natürlich problemlos, da er eine alternative IP Adresse auf dem WAN Port erzeugt und man so den eigenen und Passthrough PPTP Traffic sauber trennen kann. Klassische Lösung für sowas...
Knackpunkt für dich ist aber der Punkt 4 IP Address: <your additional public IP> wobei die Betonung hier auf "additional" und "public" liegt. denn damit ist eine 2te öffentliche IP gemeint.
Das gilt für User die ein kleines öffentliches Subnetz haben also mehrere öffentliche IPs.
Das hast du aber mit deinem VDSL Anschluss vermutlich nicht, wenn das ein klasssicher simpler Standard VDSL Zugang mit PPPoE ist, denn da bekommst du mal gerade eine einzige Adresse zugeteilt dynamisch.
Die Lösung ist also vermutlich (wenn du nicht mehrere öffentliche provider IPs hast ?) nicht umsetzbar für dich !
Bleiben dann nur 2 Optionen:
  • Vom Provider weitere öffentliche IPs beantragen
  • Für die internen Kollegen das VPN auf IPsec, L2TP oder OpenVPN umstellen
Für die letztere Option findet du Tutorials hier:
https://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
und hier:
https://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Bitte warten ..
Mitglied: dierussensindda
17.01.2014 um 09:41 Uhr
Hallo aqui

danke für deine ausführliche Antwort.
Wir haben 2 öffentliche IP's, über die eine public IP ist unser Mailserver ans Internet angeschlossen, über die andere IP wird der gesamte restliche Traffic ins Internet abgewickelt.
Das VDSL-Modem ist im Bridge-Modus.
Ich werde über das Wochenende mal versuchen, den ausgehenden PPTP-Traffic über die IP-Adresse des Mailservers abzuwickeln anhand der Beschreibung, mal schauen, ob das funktioniert...
Ich werde danach posten, ob ich Erfolg hatte oder nicht, bis denne, Gruss Jan

https://doc.pfsense.org/index.php/Connect_to_a_remote_PPTP_server_when_y ...
Bitte warten ..
Mitglied: aqui
17.01.2014 um 09:50 Uhr
Das hört sich doch schon mal gut an wenn du 2 Adressen hast. Allerdings würde das ne Umstellung bedeuten. Den Mailserver kannst du dann in eine DMZ stellen was so oder so besser wäre und nimmst dann die 2te IP für den Workaround oder....du beantragst noch ne 3te iP.
Für den Test ist das dann erstmal OK, das wird das Problem fixen...
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Lancom PPTP Passthrough
gelöst Frage von ArnoNymousRouter & Routing19 Kommentare

Hallo, ein Kunde hat einen neuen Anschluß bekommen. Dazu einen LANCOM 1783VA. Dahinter steht eine TMG2010, die als RAS-Server ...

Router & Routing

Pfsense PPTP - IPsec VPN Server einrichten

gelöst Frage von Grave111Router & Routing7 Kommentare

Guten Tag, ich habe seit kurzem als Gateway und Firewall die Pfsense im Einsatz. Diese hängt jedoch noch hinter ...

Router & Routing

PfSense von LAN zum PPTP Client verbinden

Frage von icegetRouter & Routing4 Kommentare

Hallo liebe Community, folgendes Problem: Ich habe auf meiner pfSense (aktuelste Version) Firewall einen PPTP-Server installiert. Nun habe ich ...

LAN, WAN, Wireless

Pfsense - PPTP Modem Problem (kein Internet)

gelöst Frage von noizedeLAN, WAN, Wireless36 Kommentare

Liebes Forum! Nachdem ich nun umgezogen, habe ich nun das ganze Setup in real Betrieb. Alles läuft perfekt ) ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 3 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 10 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 13 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 1 TagWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...