Re: [Techinfo] pfSense + Debian + VPN
2019.01.08. 10:04 keltezéssel, Gyulai László írta: 2019.01.07. 11:56 keltezéssel, Horváth Péter írta: A PPTP nem titkosított de legalább egyszerű beállítani, és ha a sulinetnél kitiltják a GRE protokollt akkor annak annyi. A GRE tiltva van alapból, legalábbis régen az volt, még tán írták is valahol. Most az átállással változott-e azt nem tudom. Igen de lehetett engedélyeztetni. A gond az lesz, ha már globálisan tiltva lesz és nem is lehet engedélyeztetni. ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] pfSense + Debian + VPN
2019.01.07. 11:56 keltezéssel, Horváth Péter írta: A PPTP nem titkosított de legalább egyszerű beállítani, és ha a sulinetnél kitiltják a GRE protokollt akkor annak annyi. A GRE tiltva van alapból, legalábbis régen az volt, még tán írták is valahol. Most az átállással változott-e azt nem tudom. ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] pfSense + Debian + VPN
Sziasztok! Azt nem értem miért nem a pfsense a vpn gateway? ( nem ismerem, csak látásból a rendszert) Miért kell natolni a vpn servert? (én a publikusra tenném a vpn servert) Van valami speckó oka? Csak annyi, hogy semmilyen körülmények között nem sikerült működőképessé varázsolni. (Ráadásul várhatóan a végleges helyen sem lesz közvetlenül kinn a neten, hanem egy router mögött.) A mai napom is ráment, hagyom a csudába az egészet, felteszek egy OpenVPN-t, aminek 1 db port kell, semmi más, és atomstabil... (Igaz, kell külön kliens hozzá, mert a Windows nem támogatja natívan...) Köszi, üdv: TT ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] pfSense + Debian + VPN
>Ezeket a sulinet routerben is engedélyezni kell, nem csak a pfsense portforward-nál. Ha a pfsense publikus ip-n van csak a portokat kell engedni vagy mindent engedni is lehet és a pfsense-en szűrni. Azt nem értem miért nem a pfsense a vpn gateway? ( nem ismerem, csak látásból a rendszert) Miért kell natolni a vpn servert? (én a publikusra tenném a vpn servert) Van valami speckó oka? 2019. 01. 07. 11:56 keltezéssel, Horváth Péter írta: Itt van a mese, hogy melyik VPN-hez milyen portok kellenek: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd458955(v=ws.10) Ezeket a sulinet routerben is engedélyezni kell, nem csak a pfsense portforward-nál. Szerintem jobban járnál, ha más VPN protokollt használnál mert ehhez nagyon sok firewall szabály kell. Pl az SSTP -hez csak egy portot kell forwardolni, és engedélyezni, és még titkosított is a kapcsolat. A PPTP nem titkosított de legalább egyszerű beállítani, és ha a sulinetnél kitiltják a GRE protokollt akkor annak annyi. 2019.01.06. 20:25 keltezéssel, Takács Tibor írta: Sziasztok! Egyik ismerős sulitól megkértek, segítsek a szervertelepítésben. A végső lépésnél (VPN készítése) elakadtam. Korábban az OpenVPN-t használtam, de itt az egyszerű kliens oldali kezelhetőség miatt az L2TP+IPSec mellett döntöttem. Sikerült is összerakni Debian alatt, a Win10 és Win7 kliensek is rögtön felkapcsolódnak. A gond ott kezdődik, ha az egészet beteszem egy pfSense tűzfal mögé. Hiába állítottam be a portforwardokat (500, 4500, 1701, 1723, AH, ESP, GRE), a windowsos kliens nem tud csatlakozni. Próbáltam úgy is, hogy közvetlenül a pfSense-hez csatlakozik a Windows, de így se megy (lépésről lépésre megcsináltam mindent, de nem hajlandó működni a "dög".)... Lehet, az a baj, hogy még csak teszt-üzemben próbálom, így a "publikus IP" is egy privát IP a 192.168.1.0/24 tartományból? Van aki üzemeltet hasonlót? Mi a trükk? Köszi, üdv: TT ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] pfSense + Debian + VPN
Itt van a mese, hogy melyik VPN-hez milyen portok kellenek: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd458955(v=ws.10) Ezeket a sulinet routerben is engedélyezni kell, nem csak a pfsense portforward-nál. Szerintem jobban járnál, ha más VPN protokollt használnál mert ehhez nagyon sok firewall szabály kell. Pl az SSTP -hez csak egy portot kell forwardolni, és engedélyezni, és még titkosított is a kapcsolat. A PPTP nem titkosított de legalább egyszerű beállítani, és ha a sulinetnél kitiltják a GRE protokollt akkor annak annyi. 2019.01.06. 20:25 keltezéssel, Takács Tibor írta: Sziasztok! Egyik ismerős sulitól megkértek, segítsek a szervertelepítésben. A végső lépésnél (VPN készítése) elakadtam. Korábban az OpenVPN-t használtam, de itt az egyszerű kliens oldali kezelhetőség miatt az L2TP+IPSec mellett döntöttem. Sikerült is összerakni Debian alatt, a Win10 és Win7 kliensek is rögtön felkapcsolódnak. A gond ott kezdődik, ha az egészet beteszem egy pfSense tűzfal mögé. Hiába állítottam be a portforwardokat (500, 4500, 1701, 1723, AH, ESP, GRE), a windowsos kliens nem tud csatlakozni. Próbáltam úgy is, hogy közvetlenül a pfSense-hez csatlakozik a Windows, de így se megy (lépésről lépésre megcsináltam mindent, de nem hajlandó működni a "dög".)... Lehet, az a baj, hogy még csak teszt-üzemben próbálom, így a "publikus IP" is egy privát IP a 192.168.1.0/24 tartományból? Van aki üzemeltet hasonlót? Mi a trükk? Köszi, üdv: TT ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] pfSense + Debian + VPN
Sziasztok! > Üdv! > > Üzemeltetek ilyet, de mikrotikkel. > >"publikus IP" is egy privát IP a 192.168.1.0/24 tartományból? > Ezt hogyan kell értelmezni? > Topológia rajz van? Le tudod írni nagyjából? Egyelőre otthon próbáltam: Gépem: 192.168.1.168/24 pfSense "külső" lába: 192.168.1.100/24 OpenWRT router: 192.168.1.1/24 pfSense belső lába: 192.168.10.253/24 szerver: 192.168.10.254/24 Se közvetlen csatlakozással, se port forwarddal nem jött össze. Ha a kikapcsoltam a pfSense-t, és a szerver másik lábát rátettem a 192.168.1.100-as címre, már ment is... A leírásod alapján leellenőrzök még1x mindent, köszi a segítséget! Kösti, üdv: TT ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
Re: [Techinfo] pfSense + Debian + VPN
Üdv! Üzemeltetek ilyet, de mikrotikkel. >"publikus IP" is egy privát IP a 192.168.1.0/24 tartományból? Ezt hogyan kell értelmezni? Topológia rajz van? Le tudod írni nagyjából? A gre és a 1723 meg az AH nem kell az l2tp-ipsec-nek(ezek pptp szerverhez szükségesek kivéve AH). A többi meg udp port. Ezeket kell forwardolni: udp1701(l2tp) udp500(ike) udp4500(nat-traversal) protocol=ESP(encapsulated security payload, titkosított tartalom) esp-nél szokott probléma lenni a gagyi tűzfalak esetében. Próbálkozz valódi publikus ip-vel vagy hagyd ki a nat-ot és rakj össze egy labort a lan-on. FONTOS: Azonos CGNAT mögötti kliensekből egyszerre csak egy kliens tud ezzel a módszerrel csatlakozni. pl: mostanában a szolgáltatók "natolt" ip címet adnak. Ha azonos külső (natolt) ipcímről próbálsz becsatlakozni az l2tp serverre, csak az egyik kliens fog működni!! Ha fentiek miatt van gondod, akkor openvpn irányába gondolkozz, esetleg natív ipsec(utóbbi esetén probléma a dinamikus ip és a pfsense nem tudom ismeri e) 2019. 01. 06. 20:25 keltezéssel, Takács Tibor írta: Sziasztok! Egyik ismerős sulitól megkértek, segítsek a szervertelepítésben. A végső lépésnél (VPN készítése) elakadtam. Korábban az OpenVPN-t használtam, de itt az egyszerű kliens oldali kezelhetőség miatt az L2TP+IPSec mellett döntöttem. Sikerült is összerakni Debian alatt, a Win10 és Win7 kliensek is rögtön felkapcsolódnak. A gond ott kezdődik, ha az egészet beteszem egy pfSense tűzfal mögé. Hiába állítottam be a portforwardokat (500, 4500, 1701, 1723, AH, ESP, GRE), a windowsos kliens nem tud csatlakozni. Próbáltam úgy is, hogy közvetlenül a pfSense-hez csatlakozik a Windows, de így se megy (lépésről lépésre megcsináltam mindent, de nem hajlandó működni a "dög".)... Lehet, az a baj, hogy még csak teszt-üzemben próbálom, így a "publikus IP" is egy privát IP a 192.168.1.0/24 tartományból? Van aki üzemeltet hasonlót? Mi a trükk? Köszi, üdv: TT ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/ ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
[Techinfo] pfSense + Debian + VPN
Sziasztok! Egyik ismerős sulitól megkértek, segítsek a szervertelepítésben. A végső lépésnél (VPN készítése) elakadtam. Korábban az OpenVPN-t használtam, de itt az egyszerű kliens oldali kezelhetőség miatt az L2TP+IPSec mellett döntöttem. Sikerült is összerakni Debian alatt, a Win10 és Win7 kliensek is rögtön felkapcsolódnak. A gond ott kezdődik, ha az egészet beteszem egy pfSense tűzfal mögé. Hiába állítottam be a portforwardokat (500, 4500, 1701, 1723, AH, ESP, GRE), a windowsos kliens nem tud csatlakozni. Próbáltam úgy is, hogy közvetlenül a pfSense-hez csatlakozik a Windows, de így se megy (lépésről lépésre megcsináltam mindent, de nem hajlandó működni a "dög".)... Lehet, az a baj, hogy még csak teszt-üzemben próbálom, így a "publikus IP" is egy privát IP a 192.168.1.0/24 tartományból? Van aki üzemeltet hasonlót? Mi a trükk? Köszi, üdv: TT ___ Techinfo mailing list Techinfo@lista.sulinet.hu Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo Illemtan: http://www.szag.hu/illemtan.html Ügyfélszolgálat FAQ: http://sulinet.niif.hu/