PF und PPTP VPN-Passthrough

[Mr. BBQ]

Kann mir bitte jemand erklären was ich da in meiner pf.conf eingeben müsst damit ich mich mit einer PPTP-VPN Verbindung in mein Firmennetzwerk einklinken könnte. Wirklich viel findet man da ja leider nicht per google. Was ich da so gelesen hab braucht man dazu GRE, aber das musste ich ja eigentlich rauskompilieren damit ich überhaupt ins internet kann, da ich mich mit pptp (inode) einwähle. bin für jeden tipp dankbar.

 

[walt]

[...]
Wirklich viel findet man da ja leider nicht per google.
[...]

Ach.

http://freshmeat.net/projects/frickin/

 

[volker68]

frickin hilft (wenn auch nicht gut dokumentiert), wenn mehr als ein Client aus einem LAN (durch ein NAT-Gateway) zu einem PPTP-Server verbinden wollen.

Bei PPTP muss im pf GRE-Traffic durchgelassen werden und auch udp/1723 muss offen sein.

sowas wie:

pass on $ext_if proto udp from <localnet> to any port 1723 keep-state
pass on $ext_if proto gre from <localnet> to any keep-state

Natürlich darauf achten, daß man sich die Firewall nicht zu weit öffnet (deswegen sollten die zwei genannten Regeln nicht blind übernommen werden - sie kamen aus dem Gedächtnis und nicht von einem Produktivsystem).

 

[Mr. BBQ]

das mit frickin hab ich mir mal ein bißchen durchgelesen und ich möchts mal mit dem ausprobieren - klingt interessant auch für spätere anwendungen

danke mal für die tipps

 

[volker68]

bbq,

Du mußt, auch wenn Du frickin benutzt, dennoch die Firewall wie oben beschrieben öffnen, damit der Verkehr rausgeht.

Frickin ist wirklich tricky mit der Einrichtung und die Doku ist schlecht. Wenn Du Probleme hast, solltest Du eher hier ins Forum posten. Frickin hilft Dir auch nur bei _einem_ Server, der vorher fest konfiguriert wird. Außerdem läuft frickin nicht stabil - heißt: Er schmiert durchschnittlich alle 3 Monate mal ab. Ich habe das auf einem Gateway mit einem cron-Skript abgefangen, was überprüft, ob frickin noch läuft und ihn ggf. wieder neu anstartet.