[FUG-BR] PPTP atraz de nat
Giovanni P. Tirloni
gpt em tirloni.org
Qui Jul 21 14:13:16 BRT 2005
Christopher Giese - iRapida Telecom wrote:
> Tarde ae pessoal
>
>
> seguinte.... estou montando uma vpn entre Windows e FreeBSD
>
> como preciso que rode em windows 9x tb..... nao pude utilizar openvpn :)
>
> entao utilizei o pptp do windows mesmo (e no freebsd mpd)
>
> ok... funciona 200% .... uma maravilha........ quando o windows esta na
> mesma rede do freebsd ou entao quando o windows possui ip publico
>
>
> o problema esta quando o windows possui ip PRIVADO.......
>
> se for apenas 1 windows na rede privada blz.... o gw deste windows eh um
> FreeBSD com PF... o PF faz o nat e sai tranquilo.........
> masquando + de 1 windows da rede privada vai sair..... o gw que faz o
> NAT (freebsd com PF) nao consegue fazer o nat de + de 1 pptp
>
> Fiz testes com iptables como gw... ai piorou... que o iptables nao se
> propoe a fazer nat de pptp/gre e para fazer precisa de um patch........
>
> Nao testei ainda com ipfw... mas acredito que tenha o mesmo problema.....
>
> Entao estou querendo acreditar que pptp do windows mesmo nao seja a
> solucao (imagine meu chefe ir numa lanhouse para usar o pptp e a lan
> ter um linux como gw.... ai nao vai conectar e meu chefe nunca vai
> entender que o problema eh o gw dele e nao o MPD server aki.....)
>
> Alguem conhece outras formas de vpn Windows - freebsd que funcionem
> 100%...... para windows 9x...... com criptografia e tudo mais ????
PPTP é encapsulado em cima de GRE e este não possui "portas" ou
qualquer outra identificação no cabeçalho para fazer (de)multiplexação
da comunicação. Então GRE só funciona 1 cliente atrás de NAT mesmo.
O PPTP possui um identificador de conexão no cabeçalho e isso
teoricamente permite ao firewall distinguir entre dois clientes PPTP
atrás de NAT. _Dizem_ que existe alguns firewalls que conseguem
inspecionar o cabeçho do PPTP e fazer essa distinção. Até onde eu sei
isso não existe no natd, pf ou ipfilter.
Se alguém souber de algum tipo de VPN para Win98, que não seja PPTP, e
funcione atrás de NAT para multiplas conexões eu gostaria de saber também :)
--
Giovanni P. Tirloni / gpt em tirloni.org / PGP: 0xD0315C26
_______________________________________________
Freebsd mailing list
Freebsd em fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Mais detalhes sobre a lista de discussão freebsd