+ Responder ao Tópico



  1. #1
    worldwide
    Visitante

    Padrão VPN do Windows atrás de firewall Linux

    Boa tarde Srs.

    Tenho um firewall linux, porém preciso utilizar o recurso de conectar-me a rede de um cliente utilizando a VPN do windows XP, já tentei várias dicas porém nenhuma delas funcionou, alguém tem uma luz?
    somente uma máquina se conectaria a esta vpn.
    Alguém pode me ajudar?

    obrigado

  2. #2

    Padrão VPN do Windows atrás de firewall Linux

    Basta apenas liberar a porta destino e origem no firwall linux !

    É necessario também especificar a regra de retorno.

    Agora... vc sabe trabalhar com netfilter / iptables?

    mtec



  3. #3
    worldwide
    Visitante

    Padrão VPN do Windows atrás de firewall Linux

    as regras que usei foram :

    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1723 -j DNAT --to 200.189.76.194:1723

    # VPN PPTPD

    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1723 -j DNAT --to 200.189.76.194
    iptables -t nat -D PREROUTING -i eth1 -p tcp --dport 1723 -j DNAT --to 200.189.76.194
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1723 -j DNAT --to 200.189.76.194
    iptables -t nat -A PREROUTING -i eth1 -p gre -j DNAT --to 200.189.76.194
    iptables -A INPUT -i eth1 -p tcp -d 10.31.0.0/8 --dport 1723 -j ACCEPT
    iptables -A INPUT -i eth1 -p gre -j ACCEPT
    iptables -A FORWARD -p TCP --dport 1723 -j ACCEPT
    iptables -A FORWARD -p 47 -j ACCEPT

  4. #4

    Padrão VPN do Windows atrás de firewall Linux

    Pergunta: Você é o cliente e quer se conectar a um servidor externo ?? Ou você mantem este servidor e quer que o cliente se conecte a sua rede ??

    mtec



  5. #5
    worldwide
    Visitante

    Padrão VPN do Windows atrás de firewall Linux

    eu sou o cliente e quero me conectar externamente

  6. #6

    Padrão VPN do Windows atrás de firewall Linux

    Kara ...então não precisa efetuar DNAT. Apenas libere a porta que quer conectar passado pelo firewall!!

    Seu PREROUTING está DROP ?

    mtec



  7. #7
    worldwide
    Visitante

    Padrão VPN do Windows atrás de firewall Linux

    Seria algo como:

    iptables -A OUTPUT -p TCP --dport 1723 -j ACCEPT
    iptables -A OUTPUT -p 47 -j ACCEPT

    ????

  8. #8

    Padrão VPN do Windows atrás de firewall Linux

    Citação Postado originalmente por worldwide
    Seria algo como:

    iptables -A OUTPUT -p TCP --dport 1723 -j ACCEPT
    iptables -A OUTPUT -p 47 -j ACCEPT

    ????
    Seu OUTPUT está fechado por padrão (iptables - P OUTPUT DROP)?

    O que quero dizer é que basta apenas vc liberar um FORWARD para porta destino e uma regra para retorno utilizando o mesmo FORAWARD:

    Ex:

    iptables -A FORWARD -p tcp --sport 1024:65535 -d 200.189.76.194 --dport 1723 -j ACCEPT

    e o retorno:

    iptables -A FORWARD -p tcp --dport 1024:65535 -s 200.189.76.194 --sport 1723 -j ACCEPT

    o que for diferente da regra acima:

    iptables -A FORWARD -p tcp --dport 1723 -j DROP

    Até

    mtec :good: :good: :good:



  9. #9

    Padrão VPN do Windows atrás de firewall Linux

    Tem um detalhe importante ai pessoal: Para o PPTP passar por NAT, é preciso carregar os seguintes módulos do iptables: ip_nat_pptp, ip_nat_gre, ip_conntrack_pptp e ip_conntrack_gre.

    Para ter esses módulos é preciso aplicar o patch-o-matic (ai tem que ver se o admin já fez isso ou se sua distro já vem por padrão - o que eu acho quase impossível).

    Agora se não quiser bater cabeça com recompilação e aplicação de patches, você pode usar o pptpproxy. Bem simples e fácil! Basta pesquisar por ele ou no google, ou no freshmeat.net

  10. #10

    Padrão VPN do Windows atrás de firewall Linux

    Citação Postado originalmente por roneyeduardo
    Tem um detalhe importante ai pessoal: Para o PPTP passar por NAT, é preciso carregar os seguintes módulos do iptables: ip_nat_pptp, ip_nat_gre, ip_conntrack_pptp e ip_conntrack_gre.

    Para ter esses módulos é preciso aplicar o patch-o-matic (ai tem que ver se o admin já fez isso ou se sua distro já vem por padrão - o que eu acho quase impossível).

    Agora se não quiser bater cabeça com recompilação e aplicação de patches, você pode usar o pptpproxy. Bem simples e fácil! Basta pesquisar por ele ou no google, ou no freshmeat.net
    Estranho roneyeduardo... uso pptp para conexão com meus clientes e estes modulos são levantados automaticamente !!

    até !!



  11. #11
    worldwide
    Visitante

    Padrão VPN do Windows atrás de firewall Linux

    O meu output esta como accept !

    fiz as regras que vc me passou e mesmo assim nao consegui conectar. :s

    estranho hehehe

  12. #12

    Padrão VPN do Windows atrás de firewall Linux

    Citação Postado originalmente por mtec
    Estranho roneyeduardo... uso pptp para conexão com meus clientes e estes modulos são levantados automaticamente !!

    até !!
    Pow, bacana...qual distro você usa? Já veio por padrão será?



  13. #13

    Padrão VPN do Windows atrás de firewall Linux

    Citação Postado originalmente por worldwide
    O meu output esta como accept !

    fiz as regras que vc me passou e mesmo assim nao consegui conectar. :s

    estranho hehehe
    e o PREROUTNG + POSTROUTING... Como estão?? Fez tam bem o teste dos modulos como mencionado acima??

    Dê um tcpdump na interface para ver o que está acontecendo !!

    mtec :good:

  14. #14

    Padrão VPN do Windows atrás de firewall Linux

    Citação Postado originalmente por roneyeduardo
    Citação Postado originalmente por mtec
    Estranho roneyeduardo... uso pptp para conexão com meus clientes e estes modulos são levantados automaticamente !!

    até !!
    Pow, bacana...qual distro você usa? Já veio por padrão será?
    Uso Slackware 10.2 !!

    Até :good:



  15. #15

    Padrão Redirecionamento de VPN

    Cara vc ta esquecendo so de fazer o DNAT com o protocolo gre no meu fica mais ou menos assim.

    vc libera o forward pra o ip q vai ser o destino da VPN:
    iptables -A FORWARD -d 192.168.0.2 -j ACCEPT

    e depois coloca as regras pra redirecionar a VPN:

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1723 -j DNAT --to-dest 192.168.0.2
    iptables -t nat -A PREROUTING -i eth0 -p gre -j DNAT --to-dest 192.168.0.2

    e funfa !