Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 1023 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Limiting and extending VPN access in PPTP mode

friscom
Lets suppose I have a three ports firewall:
- one interface for the internal LAN network,
- one for the WAN or (internet) router,
- one for DMZ or other sort of access.

Setting up a PPTP roadwarrior configuration allows me to define the network type and requires to setup a Packet filter rule.

Is any way  available to establish that one, and only one accessinterface  is reserved for PPTP access? 
 mean,  limiting  access only through the third interface for a PPTP connection and not through the WAN instead?

Regards,
Friscom   


This thread was automatically locked due to age.
Parents
  • 0
    Try blocking PPTP (port 1723) traffic from the networks that you do not wish to receive PPTP traffic from. 

    Personally, I like having PPTP available on all my interfaces.
    When  I do local testing, I run it on the Internal LAN.
    When I am a roadwarrior, I run it against the External interface.
    When I'm on a WiFi connection, I run PPTP against my DMZ interface, since that's where I placed my WiFi access point.

    What benefit is there in making a passworded and encrypted PPTP VPN tunnel unavailable on any of the ASL interfaces?
      
Reply
  • 0
    Try blocking PPTP (port 1723) traffic from the networks that you do not wish to receive PPTP traffic from. 

    Personally, I like having PPTP available on all my interfaces.
    When  I do local testing, I run it on the Internal LAN.
    When I am a roadwarrior, I run it against the External interface.
    When I'm on a WiFi connection, I run PPTP against my DMZ interface, since that's where I placed my WiFi access point.

    What benefit is there in making a passworded and encrypted PPTP VPN tunnel unavailable on any of the ASL interfaces?
      
Children
  • 0 in reply to VelvetFog
    Thanks for your reply and suggestions.

    I agree with you that allowing the PPT on all interfaces is a commodity, but it sometimes occurs somebody here connects an AP to the "DMZ" and that could allow third parties to access our internal network, that is not exactly what I want.

    BTW, how to setup a rule (or a masquerading rule?) in order to allow a PPTP connection from the third interface to access the Internet?
    The standard PPTP packet filter rule that allows the PPTP to access any connection is not enough.

    friscom  
  • 0 in reply to friscom
    Try defining a masquerading rule like this:

    PPTP-Pool -> All / All  MASQ__External  None

    That should let the PPTP 10.x.x.0 net access the outside.


    I keep my WiFi access point on my DMZ network, so that anyone who succeeds in breaking the rather poor WiFi security will not get much further. From my DMZ network, they can only access my web server, FTP server, PPTP and the Internet.  This is no more than what they would be able to access from outside my External interface, so there is no security risk. There  is no direct access to the Internal network from the DMZ network. I use PPTP over WiFi to get in to my Internal network.
Cookie Information Banner