Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Router & Routing

Pfsense Firewall, wie konfiguriere ich PPTP-VPN-Passthrough?

Mitglied: dierussensindda

dierussensindda (Level 1) - Jetzt verbinden

15.01.2014 um 11:26 Uhr, 5534 Aufrufe, 7 Kommentare

Hallo zusammen

es geht um folgendes Problem:

Wir wollen von unserem Firmennetzwerk aus eine PPTP-VPN-Verbindung zu einem remoten Netzwerk aufbauen, am remoten Netzwerk ist eine Firewall mit integriertem PPTP-VPN-Server vorhanden.
Es handelt sich um eine End-to-Site VPN-Verbindung, d.h. bei uns im Büro verwenden wir Windows XP oder auch Windows 7 als PPTP-VPN-Client.
Als Firewall ist bei uns eine pfsense im Einsatz (FW-version 2.1.0).
Beim Versuch die VPN-Verbindung aufzubauen bekommen wir den Fehler 619, "A connection to the remote computer could not be established."
Der Netzwerkadministrator des remoten Netzwerkes hat mir nun den Tipp gegeben, ich müsse bei mir in der pfsense-Firewall das PPTP-VPN-Passthrough einschalten.

Frage: kann mir jemand einen Tipp geben, wie man das an der pfsense-Firewall macht?

vielen Dank für eure Hilfe

Grüsse
Jan


Mitglied: aqui
15.01.2014, aktualisiert um 11:36 Uhr
Guckst du hier:
http://www.administrator.de/contentid/117700
Kapitel: "PPTP hinter NAT Firewalls" Das gilt analog für dich !
Du musst bei Outgoing PPTP Verbindungen lediglich das GRE Protokoll (Nummer 47) in den NAT und Firewall Regeln der pfSense eintragen. PPTP nuzt TCP 1723 und für den VPN Tunnel das GRE Protokoll.
Damit klappt das dann problemlos.
Hättst du auch selber gesehen wenn du mal in das Firewall Log gesehen hättest bei deiner pfSense
Bitte warten ..
Mitglied: dierussensindda
15.01.2014 um 12:12 Uhr
Hallo aqui

Vielen Dank für deine schnelle Antwort.
Ich habe den von Dir angegebenen Beitrag gelesen, kann jedoch das Kapitel "PPTP hinter NAT-Firewalls" nicht finden.
Ich finde sehr wohl das Kapitel "Achtung mit PPTP VPN Servern hinter NAT Firewalls !", aber um das geht es ja bei meinem Problem nicht.
Andere PPTP-VPN-Clients können sich problemlos mit dem externen PPTP-VPN-Server verbinden, nur von unserem Standort (Büro) aus geht es nicht!

Kannst Du mir bitte nochmals ein bisschen nachhelfen, wo ich den Punkt "Outgoing PPTP Verbindungen" finden kann in der pfsense-Firewall?

Danke für deine Hilfe

Grüsse
Jan
Bitte warten ..
Mitglied: aqui
15.01.2014, aktualisiert um 13:57 Uhr
Was denn nun ?? Einmal schreibst du das andere NICHT den PPTP Server erreichen können dann geht es wieder... Du verwirrst jetzt nur als das deine Aussage hilft...sorry.
Ums noch al zu wiederholen.... Du hast eine pfsense Firewall in der Lokation und dort kann keiner ? Der Clients hinter der Firewall einen externen PPTP Server erreichen ??
Ist das so richtig ??
Wenn ja solltest du noch die Frage beantworten ob VOR der pfsense am WAN port ein einfaches modem ist oder aich ein NAT Router kaskadiert ??
Ist letzteres der Fall musst du 2 mal Port Forwarding machen logischerweise.
Ein lokaler VPN PPTP Client schickt einen Request los an der server und der versucht dann einen GRE tunnel aufzubauen. Du bekommst also eine eingehenden GRE Verbindung ohne das eine interne besteht und das blockt natürlich die NAT firewall wie sie soll.
In der pfsense musst du also zuerst GRE auf die WAn IP erluaben und dann ein Port forwarding auf die lokale Client IP machen, dann klappt das sofort.
Bitte warten ..
Mitglied: dierussensindda
16.01.2014 um 10:07 Uhr
Hallo aqui

Du schreibst:
Was denn nun ?? Einmal schreibst du das andere NICHT den PPTP Server erreichen können dann geht es wieder... Du verwirrst jetzt nur als das deine Aussage hilft...sorry.

Ich glaube zwar nicht, dass ich mich unklar ausgedrückt habe, wiederhole es aber gerne für Dich:
Von unseren Büroräumlichkeiten aus haben wir Probleme den PPTP-Tunnel zu dem externen VPN-Server aufzubauen, andere Firmen von anderen Räumlichkeiten aus gelingt es problemlos, den PPTP-VPN-Tunnel zu öffnen...

Du schreibst:
Ums noch al zu wiederholen.... Du hast eine pfsense Firewall in der Lokation und dort kann keiner ? Der Clients hinter der Firewall einen externen PPTP Server erreichen ??
Ist das so richtig ??

genau, wir haben eine pfsense Firewall, und ja, am WAN-Port der pfsense ist ein VDSL-Modem im Brigde-Modus angeschlossen.
Ich habe das gestern Abend nochmals ausgiebig getestet.
Dabei habe ich folgendes festgestellt:
Wir können von unseren PPTP-Clients (Win XP, Win7) im internen LAN Verbindungen zu externen PPTP-Servern aufbauen, nur zu dem einen PPTP-VPN-Server geht es nicht, obwohl das früher jeweils problemlos möglich war. Und andere Standorte können mit den gleichen PPTP-Zugangsdaten wie wir haben problemlos den VPN-Tunnel aufbauen, das Problem muss also auf unserer Seite liegen.

Als ich mich gestern Abend mit dem Thema beschäftigt habe, ist mir eingefallen, das wir vor nicht allzu langer Zeit unsererseits auf der pfsense Firewall ebenfalls den PPTP-VPN-Server aktiviert haben, um unseren Servicetechnikern Zugang zu unserem Netzwerk zu ermöglichen.
Nun habe ich gestern Abend einen Artikel gefunden, der einen Workaround beschreibt, da es scheinbar ein bekanntes Problem ist, dass es Schwierigkeiten geben kann einen VPN-Server zu kontaktieren, wenn der VPN-Server auf der eigenen pfsense ebenfalls aktiviert ist.
siehe:
https://doc.pfsense.org/index.php/Connect_to_a_remote_PPTP_server_when_y ...

Ich glaube inzwischen, dass genau das unser Problem beschreibt.
Leider bin ich nicht sicher, was genau unter einer VIP (virtuellen IP) zu verstehen ist, die Anleitung lautet ja:

Add Virtual IP for your additional public IP to use for outbound PPTP

Click Firewall > Virtual IP
Click "+" to add
Choose Type: Proxy ARP
Interface: WAN
IP Address Type: Single Address
IP Address: <your additional public IP>
Description: Whatever you want, something like "VIP for outbound PPTP"
Click Save
Click Apply

die Frage ist nun, was muss ich bei "IP Address: <your additional public IP>" eingeben?

kannst Du mir da vielleicht auf die Sprünge helfen?

Grüsse
Jan
Bitte warten ..
Mitglied: aqui
16.01.2014, aktualisiert um 14:15 Uhr
Von unseren Büroräumlichkeiten aus haben wir Probleme den PPTP-Tunnel zu dem externen VPN-Server aufzubauen, andere Firmen von anderen Räumlichkeiten aus gelingt es problemlos, den PPTP-VPN-Tunnel zu öffnen...
Und gennau HIER sind die Unklarheiten. Wie sollen wir hier im Forum wissen ob diese "anderen Räumlichkeiten" hinter dem selben Router/Firewall liegen oder völlig andere Lokationen mit getrennter Technik und Zugang sind ???
Genau DAS war nicht klar ! Also die Frage: Betrifft es alle Clients an einer Lokation oder nur bestimmte Clients an dieser einen Lokation ?
Interessant wäre noch zu wissen wenn die "anderen Räumlichkeiten" getrennt andere Lokationen mit anderer Technik ist WAS dort ggf. anders ist.
Hier warst du also etwas unklar....!
Weitere Punkte...
VDSL-Modem im Brigde-Modus...
Ganz sicher ?? Hast du eine öffentliche IP Adresse am WAN Port der pfSense oder eine private RFC 1918 IP Adresse ??
Das ist ganz wichtig zu wissen denn sonst müsstest du ggf. 2mal Port Forwarding machen !
Wir können von unseren PPTP-Clients (Win XP, Win7) im internen LAN Verbindungen zu externen PPTP-Servern aufbauen, nur zu dem einen PPTP-VPN-Server geht es nicht, obwohl das früher jeweils problemlos möglich war.
OK, das sagt schon fast alles....
Das Problem ist dann ganz sicher dieser remote Server, denn PPTP ist ein weltweit standartisiertes protokoll. Da kann es nicht sein das es bei 9 Servern geht und bei einem nicht ?!
Kann es sein das du einen IP Adresskonflikt hast, also das das lokale Netz des VPN Servers identisch ist mit eurem ??
Dann kommt das VPN nicht zustande ! Siehe hier im Kapitel VPN IP Adressdesign Tips
Wenn andere remote PPTP VPN Server aus eurem lokalen LAN erreichbar sind, dann ist auch eure FW Konfig OK. Auf alle Fälle muss GRE auf dem WAN Port erlaubt sein, was aber schon der Fall zu sein scheint sonst würden andere Verbindungen nicht funktionieren.

Das Kardinalsproblem ist aber in der Tat das ihr selber PPTP auf der Firewall aktiviert habt. Dadurch kann die Firewall PPTP nicht mehr forwarden und interpretiert allen PPTP Traffic für sich selber, das ist klar ! Keine Firewall kann sowas....
Das ist kein "bekanntes Problem" sondern ein Missdesign. Gleiches Problem hätte man auch bei allen anderen UDP oder TCP basierten Protokollen in so einer Konstellation.
Der von dir oben zitierte Workaround fixt das natürlich problemlos, da er eine alternative IP Adresse auf dem WAN Port erzeugt und man so den eigenen und Passthrough PPTP Traffic sauber trennen kann. Klassische Lösung für sowas...
Knackpunkt für dich ist aber der Punkt 4 IP Address: <your additional public IP> wobei die Betonung hier auf "additional" und "public" liegt. denn damit ist eine 2te öffentliche IP gemeint.
Das gilt für User die ein kleines öffentliches Subnetz haben also mehrere öffentliche IPs.
Das hast du aber mit deinem VDSL Anschluss vermutlich nicht, wenn das ein klasssicher simpler Standard VDSL Zugang mit PPPoE ist, denn da bekommst du mal gerade eine einzige Adresse zugeteilt dynamisch.
Die Lösung ist also vermutlich (wenn du nicht mehrere öffentliche provider IPs hast ?) nicht umsetzbar für dich !
Bleiben dann nur 2 Optionen:
  • Vom Provider weitere öffentliche IPs beantragen
  • Für die internen Kollegen das VPN auf IPsec, L2TP oder OpenVPN umstellen
Für die letztere Option findet du Tutorials hier:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
und hier:
http://www.administrator.de/wissen/openvpn-server-installieren-auf-dd-w ...
Bitte warten ..
Mitglied: dierussensindda
17.01.2014 um 09:41 Uhr
Hallo aqui

danke für deine ausführliche Antwort.
Wir haben 2 öffentliche IP's, über die eine public IP ist unser Mailserver ans Internet angeschlossen, über die andere IP wird der gesamte restliche Traffic ins Internet abgewickelt.
Das VDSL-Modem ist im Bridge-Modus.
Ich werde über das Wochenende mal versuchen, den ausgehenden PPTP-Traffic über die IP-Adresse des Mailservers abzuwickeln anhand der Beschreibung, mal schauen, ob das funktioniert...
Ich werde danach posten, ob ich Erfolg hatte oder nicht, bis denne, Gruss Jan

https://doc.pfsense.org/index.php/Connect_to_a_remote_PPTP_server_when_y ...
Bitte warten ..
Mitglied: aqui
17.01.2014 um 09:50 Uhr
Das hört sich doch schon mal gut an wenn du 2 Adressen hast. Allerdings würde das ne Umstellung bedeuten. Den Mailserver kannst du dann in eine DMZ stellen was so oder so besser wäre und nimmst dann die 2te IP für den Workaround oder....du beantragst noch ne 3te iP.
Für den Test ist das dann erstmal OK, das wird das Problem fixen...
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Lancom PPTP Passthrough
gelöst Frage von ArnoNymousRouter & Routing19 Kommentare

Hallo, ein Kunde hat einen neuen Anschluß bekommen. Dazu einen LANCOM 1783VA. Dahinter steht eine TMG2010, die als RAS-Server ...

Router & Routing
Pfsense PPTP - IPsec VPN Server einrichten
gelöst Frage von Grave111Router & Routing7 Kommentare

Guten Tag, ich habe seit kurzem als Gateway und Firewall die Pfsense im Einsatz. Diese hängt jedoch noch hinter ...

Router & Routing
PfSense von LAN zum PPTP Client verbinden
Frage von icegetRouter & Routing4 Kommentare

Hallo liebe Community, folgendes Problem: Ich habe auf meiner pfSense (aktuelste Version) Firewall einen PPTP-Server installiert. Nun habe ich ...

LAN, WAN, Wireless
Pfsense - PPTP Modem Problem (kein Internet)
gelöst Frage von noizedeLAN, WAN, Wireless36 Kommentare

Liebes Forum! Nachdem ich nun umgezogen, habe ich nun das ganze Setup in real Betrieb. Alles läuft perfekt ) ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 18 StundenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit25 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Netzwerke
Packet loss bei "InternetLeitungsvollauslastung"
gelöst Frage von Freak-On-SiliconNetzwerke17 Kommentare

Servus; Ja der Titel klingt komisch, is aber so. Wenn die Internetleitung voll ausgelastet ist, hab ich extreme packet ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...

Windows 10
Automatische daten kopieren, USB zu USB unter Win10 im Hintergrund
Frage von DerEisigeWindows 1016 Kommentare

Hallo Leute, ich bin auf der Suche nach einem Skript, dass von einem USB Stick automatisch nach dem einstecken ...