- Rota VPN
+ Responder ao Tópico
-
Rota VPN
Pessoal já fechei o tunel vpn e eles ja trocar dados porem eu so consigo pingar o servidor da vpn as maquinas da rede não
Ex rede 192.168.0.3 é meu tunel vpn
Rede 1 - ip do tunel 192.168.3.250
Rede 2 - ip do tunel 192.168.3.20
Ping entre eles ok
bells:/# ping 192.168.3.20
PING 192.168.3.20 (192.168.3.20) 56(84) bytes of data.
64 bytes from 192.168.3.20: icmp_seq=1 ttl=64 time=0.599 ms
64 bytes from 192.168.3.20: icmp_seq=2 ttl=64 time=0.394 ms
Lan da Rede 1 - 192.168.1.250
Lan da Rede 2 - 192.168.2.250
Eu consigo pingar apenas o ip da placa rede dos servidor, qualquer outra estação qualquer não pinga, segue meu firewall, vlw pela força
iptables -A FORWARD -i ppp+ -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
iptables -A INPUT -p udp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p udp --sport 1723 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.3.0/24 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.3.0/24 -j ACCEPT
Vlw !!!
Última edição por GuE; 25-06-2009 às 15:42.
-
Aqui eu uso uma maquina na rede interna com VPN
$IPTABLES -I INPUT -p 47 -j ACCEPT
$IPTABLES -I FORWARD -p 47 -d 192.168.0.3 -j ACCEPT
$IPTABLES -t nat -I PREROUTING -p 47 -j DNAT --to-dest 192.168.0.3
$IPTABLES -I FORWARD -p tcp --dport 1701 -j ACCEPT
$IPTABLES -t nat -I PREROUTING -i eth2 -p udp --dport 1701 -j DNAT --to-dest 192.168.0.3
$IPTABLES -t mangle -A PREROUTING -p tcp -s 192.168.0.3 --sport 1701 -j ACCEPT
$IPTABLES -I FORWARD -p tcp --dport 1723 -j ACCEPT
$IPTABLES -t nat -I PREROUTING -i eth2 -p tcp --dport 1723 -j DNAT --to-dest 192.168.0.3
$IPTABLES -t mangle -A PREROUTING -p tcp -s 192.168.0.3 --sport 1723 -j ACCEPT
1 - Verifica se não esta com a proteção contra ping.
2 - Não teria que ter uma FORWARD para essas portas 47, 1701, 1723 ?
-
Rede interna ta blz, agora foda é o tunel que vem da internet !!!
acho que preciso de um POSTROUTING mais não sei como.
-
Segue me firewall oque ta errado ?
#Ativando Nat
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack_pptp
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#iptables -t nat -A POSTROUTING -s 192.168.1.0 -d 192.168.3.0 -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
#Rota rede Warehouse
ip route add 192.168.2.0/24 via 192.168.1.251
ip route add 192.168.3.0/24 via 192.168.3.250
#Portas de INPUT Free
#loopback
iptables -A INPUT -i lo -j ACCEPT
#SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#TS RDP WEB
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 8080 -j DNAT --to 192.168.1.249:8080
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
#FTP
#FTP
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --dport 60000:61000 -j ACCEPT
#DNS
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --sport 53 -j ACCEPT
#SAMBA
iptables -A INPUT -p udp --dport 137 -j ACCEPT
iptables -A INPUT -p udp --dport 138 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 445 -j ACCEPT
#VPNs
iptables -A INPUT -i ppp+ -j ACCEPT
iptables -A FORWARD -i ppp+ -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p udp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p udp --sport 1723 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT
#iptables -A FORWARD -p tcp -s 192.168.3.0/24 -d 192.168.3.250 --dport 1723 -j ACCEPT
#iptables -A FORWARD -p 47 -s 192.168.3.0/24 -d 192.168.3.250 -j ACCEPT
#Rede Local Free
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.3.0/24 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.3.0/24 -j ACCEPT
#Fecha o resto
-
Cara, fica difícil te ajudar sem saber por quais interfaces saem a VPN, que tipo de VPN foi feita, quem está fazendo a VPN entre outras coisas.
Faz um diagrama ai identificando o FW e suas interfaces, os servers de VPN e as interfaces internas pra gente tentar te ajudar.
Até mais...
-
VPN PPTP
Linux 1
Wan - 200.x.x.x
Lan - 192.168.1.250
IP PPP - 192.168.3.250
Linux 2
Wan - 200.x.x.x
Lan - 192.168.2.250
IP PPP - 192.168.3.60
Tunel ppp ja esta ok, porem so consigo pingar as interfaces de lan dos server, as outras maquinas das redes não pingam, sera que preciso dar um prerouting dos protocolos da vpn que chegam na WAN das duas pontas p/ Lan das duas redes ? tipo vpn chego na WAN PREROUTING p/ LAN do server ?
Vlw !!!
Segue Firewall
#Ativando Nat
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack_pptp
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#iptables -t nat -A POSTROUTING -s 192.168.1.0 -d 192.168.3.0 -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
#Rota rede Warehouse
ip route add 192.168.2.0/24 via 192.168.1.251
ip route add 192.168.3.0/24 via 192.168.3.250
#Portas de INPUT Free
#loopback
iptables -A INPUT -i lo -j ACCEPT
#SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#TS RDP WEB
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 8080 -j DNAT --to 192.168.1.249:8080
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
#FTP
#FTP
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --dport 60000:61000 -j ACCEPT
#DNS
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --sport 53 -j ACCEPT
#SAMBA
iptables -A INPUT -p udp --dport 137 -j ACCEPT
iptables -A INPUT -p udp --dport 138 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 445 -j ACCEPT
#VPNs
iptables -A INPUT -i ppp+ -j ACCEPT
iptables -A FORWARD -i ppp+ -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p udp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p udp --sport 1723 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT
#iptables -A FORWARD -p tcp -s 192.168.3.0/24 -d 192.168.3.250 --dport 1723 -j ACCEPT
#iptables -A FORWARD -p 47 -s 192.168.3.0/24 -d 192.168.3.250 -j ACCEPT
#Rede Local Free
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.3.0/24 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.3.0/24 -j ACCEPT
#Fecha o resto
-
Cara, como você não explicou o problema direito novamente, vou tentar te ajudar com o que você me passou. Presumo que essas configurações estão rodando no Linux 1...
Acho que essa rota, ip route add 192.168.2.0/24 via 192.168.1.251, está incorreta. Ela não deveria apontar pro gateway??? Quem é 192.168.1.251??? Fica difícil te ajudar assim...
Eu acho que essa rota deveria ser para a outra ponta do Tunel
Ex: ip route add 192.168.2.0/24 via 192.168.3.60
Essa correção (com algumas alterações) deverá ser feita também no Linux 2. Estude um pouco mais sobre roteamento...
Pelo que entendi esse seu Firewall não está servindo para muita coisa, uma vez que a política padrão não foi alterada para DROP. Então com certeza o problema não é de bloqueio. Estude sobre iptables também...
Até mais...