Имя: Пароль:
IT
 
Кто знает Kerio, как "пробросить" pptp из интернета внутрь
, ,
0 smaharbA
 
22.10.13
08:30
Внутре сети есть впн сервер, дебиан, тесты внутри сети проходят, стенкой к инету стоит пресловутый Керио - пишу ему правило pptp с инет-фейса map -> 192.168.1.100, нмаплю - 1723 показывает открытым, пытаюсь подключиться со стороны инета, смотрю на дебиан в то же время, соединение pptp поднимается, но замирает на стадии проверки пользователя. Что еще нужно в Керио настроить ?
1 fmrlex
 
22.10.13
08:36
"Так как GRE является протоколом сетевого уровня и не использует порты (как протоколы TCP или UDP), а одним из необходимых условий работы механизма PAT является наличие «открытого» порта, то работа протокола GRE через межсетевой экран может быть затруднена"
2 fmrlex
 
22.10.13
08:37
"Частным случаем решения проблемы для протокола PPTP является технология PPTP Passthrough, в этом случае межсетевой экран «разрешает» исходящие (клиентские) подключения из защищённой сети."
3 zva
 
22.10.13
08:43
Что-нить вроде
NAT 192.168.1.100 - inet - GRE
firewall - inet - GRE разрешить
4 fmrlex
 
22.10.13
08:43
Короче GRE разреши.
5 smaharbA
 
22.10.13
09:38
те же, только в профиль

Не проходит VPN канал через Керио. что  надо разрешить?


нужно, что то типа пптпПрокси, может ли такое керио ?
6 smaharbA
 
22.10.13
09:52
Бред какой то
прописал lan -> inet GRE NAT, заработало

какой нат для гре, откудова ?
7 smaharbA
 
22.10.13
09:54
т.е в результате


lan -> inet GRE NAT

inet -> lan PPTP MAP -> 192.168.1.100

(конечно с ограничениями)
дурь, но работает
8 smaharbA
 
22.10.13
09:55
(1)(3) спасибо за наводку про 47-ой протокол
9 smaharbA
 
22.10.13
19:08
нифига, пару тройку раз поработало и перестало (
10 zva
 
22.10.13
19:29
Так вроде должно работать:
INET – Firewall GRE+PPTP MAP 192.168.1.100
192.168.1.100 - INET GRE NAT
http://routery.ru/izvechnyj-vopros-o-nastrojke-kerio-vpn/
11 ShoGUN
 
22.10.13
19:36
(9) Если хотя бы раз заработало - дело не в файрволе. Копни логи PPTP-сервера, может намудрил чего.
12 smaharbA
 
22.10.13
19:43
(10) именно так и сделал в (7) поработало и не стало
переодически торкался проверял раз в час/полчаса
(11) из локалки как работал так и работает
логи все на лице

Oct 22 21:42:39 emserver pptpd[30178]: CTRL: Client 195.58.15.177 control connection started
Oct 22 21:42:39 emserver pptpd[30178]: CTRL: Starting call (launching pppd, opening GRE)
Oct 22 21:42:39 emserver pppd[30180]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
Oct 22 21:42:39 emserver pptpd[30178]: GRE: Bad checksum from pppd.
Oct 22 21:43:09 emserver pptpd[30178]: GRE: read(fd=6,buffer=610d20,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
Oct 22 21:43:09 emserver pptpd[30178]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
Oct 22 21:43:09 emserver pptpd[30178]: CTRL: Reaping child PPP[30180]
Oct 22 21:43:09 emserver pptpd[30178]: CTRL: Client 195.58.15.177 control connection finished

можно и по подробнее конечно
13 smaharbA
 
22.10.13
19:44
бад чексум - это нормально
далее ненормально
14 smaharbA
 
22.10.13
20:00
+ при том, что на том же внутреннем хосте работает смтп + днс для инета
понятно, что им не нужен 47-ой, это для уверенности от вопросов о доступности извне в целом.
15 smaharbA
 
23.10.13
10:52
Все решилось, ладно - клиент не верно был настроен, он так же за натом (другим), сбивало, что то соединяется, то нет и к другим впн так же.


Вопрос не риторики - теперь есть ВПН за файрволом, к нему прекрасно подключаются клиенты, все его ресурсы с него можно получить - Как перенаправить к примеру rdp с этого ppp+ в сеть ? Пробовал как обычно маскарадинг + прероутинг - не работает.
16 smaharbA
 
23.10.13
10:53
pptp на том же интерфейсе, что и локалка, т.е. физически интерфейс один.
Требовать и эффективности, и гибкости от одной и той же программы — все равно, что искать очаровательную и скромную жену... по-видимому, нам следует остановиться на чем-то одном из двух. Фредерик Брукс-младший