IP público único para vários usuários de VPN?

Navegue suas respostas
1

Eu gostaria de perguntar se estou olhando na direção certa. Nós temos:

  • 1 servidor VPN (Windows SBS 2003)
  • 5 x usuários VPN ( Um IP público)

Atualmente, em nosso escritório remoto, apenas um usuário por vez é capaz de conectar a VPN, como quando outras pessoas tentam se conectar simultaneamente e as conexões falham.

Eu não sou um cara de rede, mas estou assumindo que isso ocorre porque o servidor VPN fica confuso sobre para onde enviar pacotes ou coisas do tipo.

Eu vi mencionado em outros lugares pfSense .. e isso pareceu indicar que eu poderia usá-lo para rotear conexões VPN , em vez do Windows - e irá lidar com vários usuários do mesmo IP externo.

Está correto? PfSense é uma solução para este problema? (isto é: abandonando a VPN do Windows e usando o pfSense).

    
por pierre 19.07.2013 / 09:33

1 resposta

2

TL; DR : Se você usar o IPsec: tente desativar "IPsec passthrough", no roteador NAT no escritório remoto . Ou seja a caixa que os clientes VPN estão por trás e que possui o único IP público.

Eu acho que esse é o seu verdadeiro problema. Mudar para o pfsense com o mesmo protocolo VPN não ajudaria.

Você deve dizer qual protocolo VPN está usando no momento (IPsec?). Eu suponho que você esteja usando todo o software embutido no Windows, ou você teria mencionado isso ...

Você está certo em sinalizar "um IP público" como um problema. O NAPT (NAT) precisa lidar com cada protocolo IP sendo usado. Se o protocolo VPN for executado diretamente sobre IP, ele estará sujeito a limitações da caixa NAPT no escritório remoto. Limitações como o máximo de uma conexão a qualquer momento - tenho certeza que já vi isso em roteadores domésticos.

Some Passthroughs are limited to one VPN tunnel at a time; other implementations use fields like IPsec SPI to multiplex several tunnels through one NAT-ing device. VPN Passthrough isn't a standard and behavior varies by product. Cite - quote is not really paywalled - just scroll down.

Nesse caso, você deseja executar seu protocolo VPN por meio de UDP / IP, em vez de diretamente por IP. Isto é frequentemente rotulado NAT-T, para "NAT Traversal". (E, ao contrário da passagem de VPN, é um padrão).

Para forçar o NAT-T, tente configurar sua caixa do NAPT para bloquear VPN sobre IP. Em outras palavras, desative o recurso "VPN passthrough". Os clientes VPN terão que usar o NAT-T. IPsec do Windows cliente e server 2003 deve suportar isso imediatamente. De acordo com o link do cliente acima, talvez seja necessário garantir que o servidor VPN tenha um endereço IP público próprio. ("NAT-T ... foi desativado por padrão para o caso quando o servidor VPN também está atrás de um dispositivo NAT").

Alternativamente, substitua sua caixa NAT, por uma que ofereça suporte a passagem de seu protocolo VPN com tantas conexões quantas forem necessárias:

.

O mesmo problema se aplica ao PPTP, mas pior porque você não pode executá-lo sobre o UDP. (Por favor, não use o PPTP, ele é não seguro ).

    
por 19.07.2013 / 10:52

Tags

Iniciando uma sessão de tela em segundo plano a partir do ssh. / var / run / saslauthd alterando as permissões no reinício