Versão Imprimível
Boa tarde Srs.
Tenho um firewall linux, porém preciso utilizar o recurso de conectar-me a rede de um cliente utilizando a VPN do windows XP, já tentei várias dicas porém nenhuma delas funcionou, alguém tem uma luz?
somente uma máquina se conectaria a esta vpn.
Alguém pode me ajudar?
obrigado
Basta apenas liberar a porta destino e origem no firwall linux !
É necessario também especificar a regra de retorno.
Agora... vc sabe trabalhar com netfilter / iptables?
mtec
as regras que usei foram :
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1723 -j DNAT --to 200.189.76.194:1723
# VPN PPTPD
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1723 -j DNAT --to 200.189.76.194
iptables -t nat -D PREROUTING -i eth1 -p tcp --dport 1723 -j DNAT --to 200.189.76.194
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1723 -j DNAT --to 200.189.76.194
iptables -t nat -A PREROUTING -i eth1 -p gre -j DNAT --to 200.189.76.194
iptables -A INPUT -i eth1 -p tcp -d 10.31.0.0/8 --dport 1723 -j ACCEPT
iptables -A INPUT -i eth1 -p gre -j ACCEPT
iptables -A FORWARD -p TCP --dport 1723 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT
Pergunta: Você é o cliente e quer se conectar a um servidor externo ?? Ou você mantem este servidor e quer que o cliente se conecte a sua rede ??
mtec
eu sou o cliente e quero me conectar externamente
Kara ...então não precisa efetuar DNAT. Apenas libere a porta que quer conectar passado pelo firewall!!
Seu PREROUTING está DROP ?
mtec
Seria algo como:
iptables -A OUTPUT -p TCP --dport 1723 -j ACCEPT
iptables -A OUTPUT -p 47 -j ACCEPT
????
Seu OUTPUT está fechado por padrão (iptables - P OUTPUT DROP)?Citação:
Postado originalmente por worldwide
O que quero dizer é que basta apenas vc liberar um FORWARD para porta destino e uma regra para retorno utilizando o mesmo FORAWARD:
Ex:
iptables -A FORWARD -p tcp --sport 1024:65535 -d 200.189.76.194 --dport 1723 -j ACCEPT
e o retorno:
iptables -A FORWARD -p tcp --dport 1024:65535 -s 200.189.76.194 --sport 1723 -j ACCEPT
o que for diferente da regra acima:
iptables -A FORWARD -p tcp --dport 1723 -j DROP
Até
mtec :good: :good: :good:
Tem um detalhe importante ai pessoal: Para o PPTP passar por NAT, é preciso carregar os seguintes módulos do iptables: ip_nat_pptp, ip_nat_gre, ip_conntrack_pptp e ip_conntrack_gre.
Para ter esses módulos é preciso aplicar o patch-o-matic (ai tem que ver se o admin já fez isso ou se sua distro já vem por padrão - o que eu acho quase impossível).
Agora se não quiser bater cabeça com recompilação e aplicação de patches, você pode usar o pptpproxy. Bem simples e fácil! Basta pesquisar por ele ou no google, ou no freshmeat.net
Estranho roneyeduardo... uso pptp para conexão com meus clientes e estes modulos são levantados automaticamente !!Citação:
Postado originalmente por roneyeduardo
até !!
O meu output esta como accept !
fiz as regras que vc me passou e mesmo assim nao consegui conectar. :s
estranho hehehe
Pow, bacana...qual distro você usa? Já veio por padrão será?Citação:
Postado originalmente por mtec
e o PREROUTNG + POSTROUTING... Como estão?? Fez tam bem o teste dos modulos como mencionado acima??Citação:
Postado originalmente por worldwide
Dê um tcpdump na interface para ver o que está acontecendo !!
mtec :good:
Uso Slackware 10.2 !!Citação:
Postado originalmente por roneyeduardo
Até :good:
Cara vc ta esquecendo so de fazer o DNAT com o protocolo gre no meu fica mais ou menos assim.
vc libera o forward pra o ip q vai ser o destino da VPN:
iptables -A FORWARD -d 192.168.0.2 -j ACCEPT
e depois coloca as regras pra redirecionar a VPN:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1723 -j DNAT --to-dest 192.168.0.2
iptables -t nat -A PREROUTING -i eth0 -p gre -j DNAT --to-dest 192.168.0.2
e funfa !