Reti locali
 

VPN con windows 2012 e pfSense

simocs@gmail.com 7 Giu 2016 11:42
Ciao a tutti,
da un cliente ho un'esigenza un po' particolare per la quale non ho trovato
informazioni sufficienti per risolvere il problema.
Lo scenario è questo: un tot di pc client ed 1 server windows 2012 si collegano
a internet tramite un router/firewall pfSense.
Sui pc client è configurata una connessione vpn verso un server remoto a cui
gli utenti si collegano saltuariamente per scaricare dei report.
Il server remoto consente solo connessioni PPTP.
Il problema è che non posso far collegare più di un utente alla volta al
server remoto per una limitazione di sicurezza di pfSense:

https://doc.pfsense.org/index.php/What_are_the_limitations_of_PPTP_in_pfSense

Dice proprio che "Only one client can connect to a given PPTP server on the
Internet simultaneously. 10 clients can connect to 10 different servers, but
only a single simultaneous connection can exist to a single remote server."

Questo è il problema: come faccio a far connettere più di un client
contemporaneamente e di fatto aggirare questa limitazione?

Ho pensato di sfruttare il server windows 2012, connettendo lui al server remoto
"staticamente" tramite la vpn pptp e creando una route o qualcosa di simile per
i client, in modo che quando un client tenta di collegarsi all'ip del server
remoto il server locale (che è anche dns) instradi il traffico sulla
connessione vpn.
Ho pensato che in questo modo potrei "mascherare" i client della lan dietro un
unico "client" (ovvero il server) che si collega alla vpn e la limitazione di
pfSense viene rispettata.

Non so se sono stato chiaro, spero di si, vorrei solo sapere se secondo voi è
una possibile soluzione ed eventualmente se avete qualche consiglio e/o
indicazione su come fare tutto ciò.

Vi ringrazio molto, a presto
LC 8 Giu 2016 11:26
On 07/06/2016 11:42, simocs@gmail.com wrote:
> Ciao a tutti,
> da un cliente ho un'esigenza un po' particolare per la quale non ho trova
.....
> Vi ringrazio molto, a presto
>
Non conosco PFSense, ma non puoi far si che sia lui a tirare su il
tunnel (magari on demand non appena qualcuno dalla LAN manda un
pacchetto al target remoto)? Lui si prenderà l'IP che gli viene
assegnato dal VPN Server remoto e poi con qualche regola di nat fai in
modo che i client della rete interna "escano" da quel tunnel mascherati
con l'IP del tunnel.

Non credo che passando dal server la cosa sia più semplice, anzi...

Immagino che l'alternativa di chiedere a chi è dall'altra parte di
tirare su un tunnel site-2-site non sia fattibile..

P.S.
Secondo me la limitazione di pfsense riguarda il GRE usato dal PPTP.
Ricordo qualcosa di simile quando dovevo far uscire il GRE dai pix/asa
--
Luca
http://www.civinini.net

"Unix is simple. It just takes a genius to understand its simplicity." -
Dennis Ritchie
simocs@gmail.com 8 Giu 2016 16:59
Il giorno mercoledì 8 giugno 2016 11:26:49 UTC+2, LC ha scritto:
> On 07/06/2016 11:42, simo@gmail.com wrote:
>> Ciao a tutti,
>> da un cliente ho un'esigenza un po' particolare per la quale non ho trova
> .....
>> Vi ringrazio molto, a presto
>>
> Non conosco PFSense, ma non puoi far si che sia lui a tirare su il
> tunnel (magari on demand non appena qualcuno dalla LAN manda un
> pacchetto al target remoto)? Lui si prenderà l'IP che gli viene
> assegnato dal VPN Server remoto e poi con qualche regola di nat fai in
> modo che i client della rete interna "escano" da quel tunnel mascherati
> con l'IP del tunnel.
>
> Non credo che passando dal server la cosa sia più semplice, anzi...
>
> Immagino che l'alternativa di chiedere a chi è dall'altra parte di
> tirare su un tunnel site-2-site non sia fattibile..
>
> P.S.
> Secondo me la limitazione di pfsense riguarda il GRE usato dal PPTP.
> Ricordo qualcosa di simile quando dovevo far uscire il GRE dai pix/asa
> --
> Luca
> http://www.civinini.net
>
> "Unix is simple. It just takes a genius to understand its simplicity." -
> Dennis Ritchie

Purtroppo pfSense non permette l'utilizzo come client vpn ma solo come server.
Come hai giustamente detto una site-to-site non è neanche immaginabile...
Per il momento ho fatto cosi: ho creato sul server windows 2012 nella sezione
routing e accesso remoto una "nuova interfaccia di connessione a richiesta" ed
ho impostato la vpn.
Nel wizard mi ha chiesto di creare una route statica per far attivare la
connessione ed ho impostato la rete remota.
Su pfSense ho inoltre impostato una route statica in cui ho indicato che tutto
il traffico verso quella rete remota deve essere reindirizzato al server windows
2012.
Il risultato è che se da un client provo a pingare o ad accedere alla rete
remota la connessione vpn sul server win 2012 si attiva e si collega
regolarmente ma il server remoto non è accessibile, ne pingabile, dai client.
Con la connessione attiva riesco però a collegarmi e/o a pingarlo dal server
win2012.
Qualche idea sul perchè ??

Ancora grazie mille
LC 9 Giu 2016 20:13
> Purtroppo pfSense non permette l'utilizzo come client vpn ma solo come server.
> Come hai giustamente detto una site-to-site non è neanche immaginabile...
> Per il momento ho fatto cosi: ho creato sul server windows 2012 nella sezione
routing

e accesso remoto una "nuova interfaccia di connessione a richiesta" ed
ho impostato la vpn.
> Nel wizard mi ha chiesto di creare una route statica per far attivare la
connessione ed ho

impostato la rete remota.
> Su pfSense ho inoltre impostato una route statica in cui ho indicato che tutto
il traffico

verso quella rete remota deve essere reindirizzato al server windows 2012.
> Il risultato è che se da un client provo a pingare o ad accedere alla rete
remota la

connessione vpn sul server win 2012 si attiva e si collega regolarmente
ma il server remoto

non è accessibile, ne pingabile, dai client.
> Con la connessione attiva riesco però a collegarmi e/o a pingarlo dal server
win2012.
> Qualche idea sul perchè ??
>
> Ancora grazie mille
>
Beh, torna.. Il RRAS di win ti crea una VPN che per lui è una site to
site. Pertanto la connessione va su perchè è triggerata dal ping verso
la sede remota (gli hai messo una rotta). Per Windows quella che hai
creato è una site to site di tipo dial-up.

I pacchetti successivi vengono ruotati dentro il tunnel senza cambiarne
il source IP: chi è dall'altra parte si vede arrivare dei pacchetti con
sorgente l'indirizzo IP del tuo PC client e ovviamente lui non sa come
fare a farli tornare indietro, visto che conosce solo l'IP che ha
assegnato alla vpn (e quindi all'interfaccia "virtuale" del server win2012)

Dovresti dire alla sezione NAT dell'RRAS: quando vedi un pacchetto per
questa destinazione, fai source nat usando l'ip dell'interfaccia del
tunnel VPN. Non so se Win ti fa fare questi giochetti, ma un tentativo
lo farei..

Piuttosto, mi sembra strano che pfsense non lo possa fare: magari tu lo
hai cercato come client, ma in realtà (come hai fatto su win) devi
creare una site to site di tipo PPTP (gli dici che una certa rotta è
dietro il tunnel ******* e poi nattare il source della rete interna.

Ciao

P.S.
per caso il target del PPTP è un qualcosa di pubblica amministrazione?
Ho una 3/4 di ricordo di un servizio del genere accessibile solo in PPTP
e quando lo vidi rimasi un po' perplesso perchè il PPTP non è proprio il
sistema VPN più diffuso in ambito enterprise..

--
Luca
http://www.civinini.net

"Unix is simple. It just takes a genius to understand its simplicity." -
Dennis Ritchie
simocs@gmail.com 14 Giu 2016 14:18
>
> Dovresti dire alla sezione NAT dell'RRAS: quando vedi un pacchetto per
> questa destinazione, fai source nat usando l'ip dell'interfaccia del
> tunnel VPN. Non so se Win ti fa fare questi giochetti, ma un tentativo
> lo farei..
>

Sono arrivato anche io a questa conclusione, l'unico problema è che non ho la
più pallida idea di come farlo :-P
LC 16 Giu 2016 21:00
On 14/06/2016 14:18, simocs@gmail.com wrote:
>
>>
>> Dovresti dire alla sezione NAT dell'RRAS: quando vedi un pacchetto per
>> questa destinazione, fai source nat usando l'ip dell'interfaccia del
>> tunnel VPN. Non so se Win ti fa fare questi giochetti, ma un tentativo
>> lo farei..
>>
>
> Sono arrivato anche io a questa conclusione, l'unico problema è che non ho la
più pallida idea di come farlo :-P
>
E' un po' che non faccio di questi lavori (ricordo di quando usai RRAS
su NT4 per fare una delle prime VPN site2site ... troppi anni fa..)
Ma credo che con un po' di sano pasticciamento qualcosa si potrebbe fare..
Sennò: metti una qualunque macchinetta (fisica o virtuale dentro il tuo
server 2012 sul quale metterai il ruolo di hyperV) con una delle tante
distribuzioni che fanno firewalling ed usa quella.

--
Luca
http://www.civinini.net

"Unix is simple. It just takes a genius to understand its simplicity." -
Dennis Ritchie
simocs@gmail.com 17 Giu 2016 09:48
Alla fine siamo riusciti a risolvere il problema semplicemente creando sul
server di destinazione una route statica verso la subnet della rete di origine
nella sezione Routing e accesso remoto.
In questo modo i pacchetti sanno come tornare indietro e funziona tutto
regolarmente.
Grazie mille per l'aiuto ed i suggerimenti, alla prossima ;-)
LC 17 Giu 2016 19:08
On 17/06/2016 09:48, simocs@gmail.com wrote:
> Alla fine siamo riusciti a risolvere il problema semplicemente creando sul
server di destinazione una route

statica verso la subnet della rete di origine nella sezione Routing e
accesso remoto.
> In questo modo i pacchetti sanno come tornare indietro e funziona tutto
regolarmente.
> Grazie mille per l'aiuto ed i suggerimenti, alla prossima ;-)
>
Ah, beh..
Ma non avevi detto che non potevi lavorare sulla destinazione?
Comunque in questo caso hai fatto (+ o -) un site2site

L'importante è che funzioni.
Ciao


--
Luca
http://www.civinini.net

"Unix is simple. It just takes a genius to understand its simplicity." -
Dennis Ritchie
simocs@gmail.com 20 Giu 2016 09:04
> Ma non avevi detto che non potevi lavorare sulla destinazione?

Per fortuna alla fine siamo riusciti a trovare un accordo ;-)

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Reti locali | Tutti i gruppi | it.comp.reti.locali | Notizie e discussioni reti locali | Reti locali Mobile | Servizio di consultazione news.