+ Responder ao Tópico



  1. #1

    Padrão Problema para conectar VPN com internet compartilhada

    Roteio uma conexão com a internet para toda a rede com o seguinte script:

    #!/bin/sh
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp

    echo 1 > /proc/sys/net/ipv4/ip_forward

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    Tudo funciona super bem, mas está acontecendo uma coisinha que tá me deixando maluco e eu já procurei entender o porquê disso e até agora nada. Tem um estação WINDOWS XP (mas pode ser qualquer uma outra) que faz um conexão VPN (pptp) para um servidor, só que a conexão fica tentando autenticar o usuário, mas não consegue. Se eu pegar o minha conexão e configura-la direta na estação a conexão é autenticada sem problemas no servidor VPN. O que será que pode está acontecendo com o roteamento?

    Obrigado e aguardo qualquer ajuda (URGENTE).

  2. #2

    Padrão

    existem algumas VPNs que não aceitam NAT

  3. #3

    Padrão

    tmb acontece comigo... o estranho é que funcionava perfeitamente, e parou !!!

    mtec

  4. #4

    Padrão

    Citação Postado originalmente por mtec Ver Post
    funcionava perfeitamente, e parou !!!
    o cenário é igual o descrito acima?

  5. #5

    Cool Vpn - Pptp

    Sim!!

    mtec

  6. #6

    Padrão

    uhmm...

    só pra sanar algumas dúvidas...

    você tem seu link ADSL, seu firewall que também é gateway, e com um micro cliente você conectava a uma VPN externa, após algum tempo não conseguiu mais conectar passando pelo fire/gw, somente se estivesse com o link diretamente no micro??

  7. #7

    Padrão

    Tenho aqui no meu firewall a politica de INPUT e FORWARD como DROP, eu libero apenas as portas necessárias. Tive um problema com VPN um tempo atrás, depois de algumas googladas e uns neurônios a menos, cheguei a solução usando a regra abaixo:

    ### Liberar ecesso a VPN
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p udp --dports 500,4500 -j MASQUERADE
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -p gre -j MASQUERADE

    Faça os testes aí, abraço.

  8. #8

    Padrão

    E no caso do PPTP, na porta 1723/tcp?! Uso as mesmas regras?!

    mtec

  9. #9

    Padrão

    Citação Postado originalmente por mtec Ver Post
    E no caso do PPTP, na porta 1723/tcp?! Uso as mesmas regras?!
    Sim, faça igual as regras acima:
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -p tcp --dport 1723 -j MASQUERADE

  10. #10

    Padrão

    Amigo... infelizmente não funcionou!!

  11. #11

    Padrão

    Com nenhuma das regras não "fechou" a VPN?
    Teria que repassar as regras, você usa um link dedicado ou é uma ADSL?

    Zera as regras antes de aplicar essas novas, faça um script pro firewall que antes de aplicar suas regras, limpam as pré-existentes. Veja se você está carregando todos os módulos necessários, defina suas políticas padrão, INPUT, FORWARD e OUTPUT.

    O início do meu script está ssim:
    #!/bin/sh
    #Carrega módulos de connection tracking
    /sbin/modprobe ip_conntrack
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_conntrack_irc
    /sbin/modprobe ip_nat_ftp

    #Define políticas de acesso padrão
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P FORWARD DROP
    /sbin/iptables -P OUTPUT ACCEPT

    #Limpa regras e cadeias de usuário prévias
    /sbin/iptables -X
    /sbin/iptables -F
    /sbin/iptables -t nat -F


    Veja o que melhor de adapta ao seu firewall, de uma googlada também.
    Mas qualquer coisa pergunte aí.

    Abraço,

  12. #12

    Padrão

    Sim... é um link adsl!

    E estão liberadas as portas necessárias do firewall, bem como os modulos carregados!

    mtec

  13. #13

    Padrão

    O software não tem nenhuma configuração?
    Você teria que monitorar a conexão com nmap para tirar as dúvidas, se a comunicação está sendo feita.

    Mas na parte do firewall me parece está ok.

  14. #14

    Padrão

    Amigo, tenho um script que funciona entre dois servidores linux, 1 em cada estado.

    Tipo:

    #Definiçao das redes
    ####################
    #REDES VPN RJ E BH #
    ####################
    #NETWORKVPN1=10.50.9.0/24
    #NETWORKVPN2=10.50.11.0/24

    #Regra do OpenVpn
    iptables -A INPUT -p udp --dport 1194 -j ACCEPT

    Regras para acessar as Redes VPN
    ####################################################################
    # REGRAS PARA ACESSAR AS REDES DE VPN A PARTIR DO FIREWALL
    ####################################################################
    for if in $NETWORKVPN1 $NETWORKVPN2
    do
    iptables -A INPUT -s $if -j ACCEPT
    iptables -A INPUT -d $if -j ACCEPT
    done


    Regra para acessar as Redes
    ##################################
    # REGRAS PARA ACESSAR AS REDES DE VPN
    ##################################
    for if in $NETWORKVPN1 $NETWORKVPN2
    do
    iptables -A FORWARD -s $if -j ACCEPT
    iptables -A FORWARD -d $if -j ACCEPT
    done


    Regra para acesso do outro lado
    ###################
    # VPN do outro lado #
    ###################
    #iptables -A FORWARD -p tcp -s $INTERNAL -d $MTIESCRITORIO --dport 1723 -j ACCEPT
    #iptables -A FORWARD -p gre -s $INTERNAL -d $MTIESCRITORIO -j ACCEPT
    #iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
    #iptables -A FORWARD -p gre -j ACCEPT

    Espero ter ajudado.

  15. #15

    Padrão

    Citação Postado originalmente por mtec Ver Post
    Amigo... infelizmente não funcionou!!
    mtec,

    Qual a distro que você está usando e qual o Kernel?

    Esse meu problemas está ocorrendo em um CL10 com Kernel 2.6.5. E já estou certo que o problema é o Kernel, alguma tipo de BUGS o algo que não foi ativa na compilação do mesmo e que é necessario para o nós queremos fazer.

    Bom sorte!