+ Responder ao Tópico



  1. #1

    Padrão Rota VPN

    Pessoal já fechei o tunel vpn e eles ja trocar dados porem eu so consigo pingar o servidor da vpn as maquinas da rede não

    Ex rede 192.168.0.3 é meu tunel vpn

    Rede 1 - ip do tunel 192.168.3.250
    Rede 2 - ip do tunel 192.168.3.20

    Ping entre eles ok
    bells:/# ping 192.168.3.20
    PING 192.168.3.20 (192.168.3.20) 56(84) bytes of data.
    64 bytes from 192.168.3.20: icmp_seq=1 ttl=64 time=0.599 ms
    64 bytes from 192.168.3.20: icmp_seq=2 ttl=64 time=0.394 ms

    Lan da Rede 1 - 192.168.1.250
    Lan da Rede 2 - 192.168.2.250

    Eu consigo pingar apenas o ip da placa rede dos servidor, qualquer outra estação qualquer não pinga, segue meu firewall, vlw pela força

    iptables -A FORWARD -i ppp+ -j ACCEPT
    iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
    iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
    iptables -A INPUT -p udp --dport 1723 -j ACCEPT
    iptables -A OUTPUT -p udp --sport 1723 -j ACCEPT
    iptables -A INPUT -p 47 -j ACCEPT

    iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.1.0/24 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.1.0/24 -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.3.0/24 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.3.0/24 -j ACCEPT

    Vlw !!!
    Última edição por GuE; 25-06-2009 às 15:42.

  2. #2

    Padrão

    Aqui eu uso uma maquina na rede interna com VPN

    $IPTABLES -I INPUT -p 47 -j ACCEPT
    $IPTABLES -I FORWARD -p 47 -d 192.168.0.3 -j ACCEPT
    $IPTABLES -t nat -I PREROUTING -p 47 -j DNAT --to-dest 192.168.0.3

    $IPTABLES -I FORWARD -p tcp --dport 1701 -j ACCEPT
    $IPTABLES -t nat -I PREROUTING -i eth2 -p udp --dport 1701 -j DNAT --to-dest 192.168.0.3
    $IPTABLES -t mangle -A PREROUTING -p tcp -s 192.168.0.3 --sport 1701 -j ACCEPT

    $IPTABLES -I FORWARD -p tcp --dport 1723 -j ACCEPT
    $IPTABLES -t nat -I PREROUTING -i eth2 -p tcp --dport 1723 -j DNAT --to-dest 192.168.0.3
    $IPTABLES -t mangle -A PREROUTING -p tcp -s 192.168.0.3 --sport 1723 -j ACCEPT

    1 - Verifica se não esta com a proteção contra ping.
    2 - Não teria que ter uma FORWARD para essas portas 47, 1701, 1723 ?



  3. #3

    Padrão

    Rede interna ta blz, agora foda é o tunel que vem da internet !!!

    acho que preciso de um POSTROUTING mais não sei como.

  4. #4

    Padrão

    Segue me firewall oque ta errado ?

    #Ativando Nat
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
    modprobe ip_conntrack_pptp
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    #iptables -t nat -A POSTROUTING -s 192.168.1.0 -d 192.168.3.0 -o eth0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward


    #Rota rede Warehouse
    ip route add 192.168.2.0/24 via 192.168.1.251
    ip route add 192.168.3.0/24 via 192.168.3.250

    #Portas de INPUT Free
    #loopback
    iptables -A INPUT -i lo -j ACCEPT
    #SSH
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    #TS RDP WEB
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 8080 -j DNAT --to 192.168.1.249:8080
    iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
    #FTP
    #FTP
    iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
    iptables -A INPUT -p tcp --dport 60000:61000 -j ACCEPT
    #DNS
    iptables -A INPUT -p udp --dport 53 -j ACCEPT
    iptables -A INPUT -p udp --sport 53 -j ACCEPT
    iptables -A INPUT -p tcp --dport 53 -j ACCEPT
    iptables -A INPUT -p tcp --sport 53 -j ACCEPT
    #SAMBA
    iptables -A INPUT -p udp --dport 137 -j ACCEPT
    iptables -A INPUT -p udp --dport 138 -j ACCEPT
    iptables -A INPUT -p tcp --dport 139 -j ACCEPT
    iptables -A INPUT -p tcp --dport 445 -j ACCEPT

    #VPNs
    iptables -A INPUT -i ppp+ -j ACCEPT
    iptables -A FORWARD -i ppp+ -j ACCEPT
    iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
    iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
    iptables -A INPUT -p udp --dport 1723 -j ACCEPT
    iptables -A OUTPUT -p udp --sport 1723 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
    iptables -A INPUT -p 47 -j ACCEPT
    iptables -A FORWARD -p 47 -j ACCEPT

    #iptables -A FORWARD -p tcp -s 192.168.3.0/24 -d 192.168.3.250 --dport 1723 -j ACCEPT
    #iptables -A FORWARD -p 47 -s 192.168.3.0/24 -d 192.168.3.250 -j ACCEPT

    #Rede Local Free
    iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.1.0/24 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.1.0/24 -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.3.0/24 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.3.0/24 -j ACCEPT

    #Fecha o resto



  5. #5

    Padrão

    Cara, fica difícil te ajudar sem saber por quais interfaces saem a VPN, que tipo de VPN foi feita, quem está fazendo a VPN entre outras coisas.

    Faz um diagrama ai identificando o FW e suas interfaces, os servers de VPN e as interfaces internas pra gente tentar te ajudar.

    Até mais...

  6. #6

    Padrão

    VPN PPTP

    Linux 1
    Wan - 200.x.x.x
    Lan - 192.168.1.250
    IP PPP - 192.168.3.250

    Linux 2
    Wan - 200.x.x.x
    Lan - 192.168.2.250
    IP PPP - 192.168.3.60

    Tunel ppp ja esta ok, porem so consigo pingar as interfaces de lan dos server, as outras maquinas das redes não pingam, sera que preciso dar um prerouting dos protocolos da vpn que chegam na WAN das duas pontas p/ Lan das duas redes ? tipo vpn chego na WAN PREROUTING p/ LAN do server ?

    Vlw !!!

    Segue Firewall

    #Ativando Nat
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
    modprobe ip_conntrack_pptp
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    #iptables -t nat -A POSTROUTING -s 192.168.1.0 -d 192.168.3.0 -o eth0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward


    #Rota rede Warehouse
    ip route add 192.168.2.0/24 via 192.168.1.251
    ip route add 192.168.3.0/24 via 192.168.3.250

    #Portas de INPUT Free
    #loopback
    iptables -A INPUT -i lo -j ACCEPT
    #SSH
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    #TS RDP WEB
    iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 8080 -j DNAT --to 192.168.1.249:8080
    iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
    #FTP
    #FTP
    iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
    iptables -A INPUT -p tcp --dport 60000:61000 -j ACCEPT
    #DNS
    iptables -A INPUT -p udp --dport 53 -j ACCEPT
    iptables -A INPUT -p udp --sport 53 -j ACCEPT
    iptables -A INPUT -p tcp --dport 53 -j ACCEPT
    iptables -A INPUT -p tcp --sport 53 -j ACCEPT
    #SAMBA
    iptables -A INPUT -p udp --dport 137 -j ACCEPT
    iptables -A INPUT -p udp --dport 138 -j ACCEPT
    iptables -A INPUT -p tcp --dport 139 -j ACCEPT
    iptables -A INPUT -p tcp --dport 445 -j ACCEPT

    #VPNs
    iptables -A INPUT -i ppp+ -j ACCEPT
    iptables -A FORWARD -i ppp+ -j ACCEPT
    iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
    iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
    iptables -A INPUT -p udp --dport 1723 -j ACCEPT
    iptables -A OUTPUT -p udp --sport 1723 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
    iptables -A INPUT -p 47 -j ACCEPT
    iptables -A FORWARD -p 47 -j ACCEPT

    #iptables -A FORWARD -p tcp -s 192.168.3.0/24 -d 192.168.3.250 --dport 1723 -j ACCEPT
    #iptables -A FORWARD -p 47 -s 192.168.3.0/24 -d 192.168.3.250 -j ACCEPT

    #Rede Local Free
    iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.1.0/24 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.1.0/24 -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.3.0/24 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.3.0/24 -j ACCEPT

    #Fecha o resto



  7. #7

    Padrão

    Cara, como você não explicou o problema direito novamente, vou tentar te ajudar com o que você me passou. Presumo que essas configurações estão rodando no Linux 1...

    Acho que essa rota, ip route add 192.168.2.0/24 via 192.168.1.251, está incorreta. Ela não deveria apontar pro gateway??? Quem é 192.168.1.251??? Fica difícil te ajudar assim...

    Eu acho que essa rota deveria ser para a outra ponta do Tunel
    Ex: ip route add 192.168.2.0/24 via 192.168.3.60

    Essa correção (com algumas alterações) deverá ser feita também no Linux 2. Estude um pouco mais sobre roteamento...

    Pelo que entendi esse seu Firewall não está servindo para muita coisa, uma vez que a política padrão não foi alterada para DROP. Então com certeza o problema não é de bloqueio. Estude sobre iptables também...

    Até mais...