+ Responder ao Tópico



  1. #1
    mmarinho
    Visitante

    Padrão VPN pptp iptables

    Ola pessoal ,

    Tenho lido bastante coisa sobre VPN em PPTP pois tenho vários clientes que só permitem a conexão via este tipo de VPN.

    Problema , de uns tempos pra cá a conexão com alguns clientes tá dando erro 628.

    Coloquei as regras de bloqueio no meu firewall (Kurumin- Debian like) .

    iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
    iptables -A INPUT -p 47 -j ACCEPT

    # Forward VPN PPTP
    iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
    iptables -A FORWARD -p 47 -j ACCEPT

    Minhas regras para input e foward são drop e para output é accept

    Será que tá faltando alguma regra ?
    Será que tá faltando levantar alguma coisa ? tipo MPPE , mas como funcionava ?

    Como faço pra saber se este mppe tá instalado. Preciso dele pra habilitar a passagem de pptp pelo firewall ? Lembrando que meus usuários de rede interna é que vão se conectar pontualmente nos meus clientes que possuem servidores pptp .

    Obrigado

  2. #2

    Padrão VPN pptp iptables

    Com certeza você deve estar fazendo NAT para que sua rede interna saia para a Internet certo? Então, você precisa dos módulos conntrack_pptp e conntrack_gre (ai só recompilando o iptables e o kernel, "patcheando" com o patcho-o-matic)...

    Mas pra você não precisar ter tanta dor de cabeça com recompilação, dá pra você usar um proxy de pptp (hehehe)...o nome desse cara é: pptpproxy.

    Procura sobre ele no freshmeat.net. Ele é muito simples e fácil de usar. No site tem tudo explicadinho como fazer pra botar ele rodando. Eu uso ele aqui 100%, funciona que é uma beleza.



  3. #3
    mmarinho
    Visitante

    Padrão Obrigado

    Infelizmente tenho dentro da minha rede local várias conexões a VPN com clientes a maioria em pptp .

    O manual do pptpproxy coloca que devo reconfigurar isso uma para cada acesso o que me deixaria muito preocupado.

    Eu estou com uma vpn pptp com a matriz funcionando bem , e inclusive algumas outras ( umas quatro ) também funcionando sem problemas. O meu problema é com a configuração de tres empresas que alegam que seu pptp server está funcionando bem mas que só minha empresa tem problema de acesso.

    Qual seria a recomedação para verificar se este funcionando bem a comunicação , tipo trace , dump , ou outra posssibilidade ?

  4. #4
    Visitante

    Padrão VPN pptp iptables

    O meu problema é :

    Clientes interno<------>Meu Firewall Linux<------->Internet<------->PPTP Server de meus clientes.

    Não vejo como o pptproxy possa me ajudar neste caso.


    Mas obrigado pela força



  5. #5

    Padrão VPN pptp iptables

    vou criar uma situação hipotética pra você:

    Cliente -----------> Firewall ---------> Remote pptp Server
    10.0.0.x 10.0.0.1 200.211.211.1

    Bom, nessa situação, para a rede interna do cliente, seu firewall é o IP 10.0.0.1, certo? Ai o que acontece, você compila o ppptpproxy para escutar na porta 1723...ai você fala assim pro seu cliente: "ao invés de mandar a requisição pro server 200.211.211.1, você vai mandar para o IP 10.0.0.1". Ai depois disso o ppptpproxy se encarrega do resto.

    Depois que compilar o pptpproxy (tipo, só make & make install), você inicia ele da seguinte maneira:

    pptpproxy 10.0.0.1:1723,200.211.211.1:1723

    Ou seja, ele vai escutar na porta 1723 no IP 10.0.0.1 e vai redirecionar para o servidor remoto 200.211.211.1, também na porta 1723.

    Se seu cliente precisar logar num outro servidor VPN, você cria um alias na mesma placa do Seu firewall com um IP, digamos, 10.0.0.2, ai você redireciona (com uma outra instância do pptpproxy) os acessos que chegam nesse IP para outro servidor remoto. Exemplo:

    pptpproxy 10.0.0.2:1723,200.222.222.2:1723

    Sacou? Tipo, eu agarantiu essa parada, pq já uso aqui e dá certo!

  6. #6
    Ericson
    Visitante

    Padrão VPN PPTP

    Meu ambiente é o seguinte, tenho um server com W2k que é o meu PDC e tem apenas 1 placa de rede que é para a rede interna (192.168.0.1) e tenho um server de Internet com o Conectiva 10 e o firewall IPTABLES, o server de Internet tem 2 placas de rede (interna e pública com ip válido).

    Gostaria de configurar uma VPN com o RRAS, só que eu fiz a configuração do RRAS para VPN e internamente eu conecto na "VPN", fiz as regras no IPTABLES para redirecionar o protocolo PPTP para o meu server W2k mas quando tento conectar de fora não consigo.



  7. #7

    Padrão VPN pptp iptables

    Justamente pq para você fazer isso, você estará fazendo NAT...Ai pra ter suporte à NAT de pptp, você tem que recompilar seu kernel e o iptables, aplicando os patches do pom (patch o matic).

    Para não precisar fazer isso, você usa o pptpproxy da seguinte maneira:

    Cliente Remoto -----------> Firewall ---------> pptp Server Interno
    200.xxx.yyy.zzz 200.111.222.1 192.168.0.1

    pptpproxy 200.111.222.1:1723,192.168.0.1:1723

    Sacou, o IP "quente" do seu firewal é 200.111.222.1. Então, você coloca o pptpproxy pra escutar no IP quente do seu firewall, que ai ele redireciona para seu servidor interno. Portanto, você fala pro seu cliente remoto: olha, você se conecta no seguinte servidor: 200.111.222.1. À partir dai o pptpproxy faz o resto do serviço.