Архив форумов ЦИТФорума

botinok · Зарегистрирован: 09.02.2004 Сообщения: 86

Доброе всем.
настраиваю ВПН.
у меня вин 2000 шлюз RH9
на фаерволе следуущее

-A FORWARD -s 192.168.1.214 -j ACCEPT
-A FORWARD -d 192.168.1.214 -j ACCEPT
-A POSTROUTING -s 192.168.1.214 -o eth0 -j MASQUERADE

это в одной сети из которой я подключаюсь.

с другой стороны стоит freeBSD 5.3
и там сервер, и если я конекчусь туда через ВИНДОЗ напрямую, то поключаюсь.

подскажите что нужно ещё разковырять у себя на линуксе.
а ..
при конекте через шлюз ВПН - подключение говорит что проверят пароль и пользователя. мониторинг проказывает что пакеты уходят по 1723, и приходят туда.
но потом через сек 10 у меня говорит ошибка 619 вроде, указанный порт не подключен.
помогите кто сталкивался.
много инфы. но справится не могу.
что то ещё говорили про GRE 47/
и как его прописать в iptables/
как его грамотно замаскировать и проNATить.
спасибо

botinok · Зарегистрирован: 09.02.2004 Сообщения: 86

да, во время этих экспериментов, перед тоесть ними, таблицы сбрасываю, и пишу правила те что выше, тоесть ограничений нет

DmitriyS

Политика цепочек INPUT и OUTPUT какая?
нужно что бы на серваке линуксовом был для клиента открыт не только порт авторизации vpn 1723, но и ещё протокол 47 (gre) (на инпуте и на аутпуте сервака).
т.е. добавить
iptables -I INPUT -s <ip_клиента> -p 47 -j ACCEPT
iptables -I OUTPUT -d <ip_клиента> -p 47 -j ACCEPT

botinok · Зарегистрирован: 09.02.2004 Сообщения: 86

iptables -L

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 192.168.1.214 anywhere
ACCEPT all -- anywhere 192.168.1.214

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

iptables -L -n

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 192.168.1.214 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 192.168.1.214

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

ничего не понимаю что ещё нужно написать.
ну хоть просто в упор ткните ))))
gre и 47 уже всё писал
я так понимаю вот в таком конфиге всё правильно, тоесть прозрачно ??

botinok · Зарегистрирован: 09.02.2004 Сообщения: 86

-A PREROUTING -s 192.168.1.214 -d ext_ip_linux -p gre -j DNAT --to-dastination ext_ip_vpn

так грамотно или я вообще тормоз ???

DmitriyS

короче я немного пропарил....
разрешение на 47 протокол в твоём случае надо делать именно на форвард т.к. сервак vpn не на линуксе.
твои правила
ACCEPT all -- 192.168.1.214 anywhere
ACCEPT all -- anywhere 192.168.1.214
и так разрешают всё - значит дело не в этом.
DNAT делать не надо, vpn нормально работает из-под ната - проверено.
а почему у тебя правило ната сделано маскарадом, а не SNAT?
Попробуй поменять политику FORWARD на ACCEPT и попробовать.
И ещё бы желательно увидеть iptables -L -t nat -n и ifconfig (не сами ip, а mtu и т.д.)

Что пишется в логах vpn сервера? Какой демон там стоит mpd или pptpd?

botinok · Зарегистрирован: 09.02.2004 Сообщения: 86

сервак на mpd.
к сожалению пока логи не доступны.

мне непонятен сам принцип.
почему из винды нормально работает.
через шлюз как то хреново.

но поставал мониторинг, я туда ломлюсь всё же по 1723 и 47

loc_ip - машина в сети с которой
vpn_ser - сервер на free

IN=eth1 OUT=eth0 SRC=loc_ip DST=vpn_ser LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=687 DF PROTO=TCP SPT=4840 DPT=1723 WINDOW=65535 RES=0x00 SYN URGP=0
IN=eth0 OUT=eth1 SRC=vpn_ser DST=loc_ip LEN=48 TOS=0x00 PREC=0x00 TTL=55 ID=8332 DF PROTO=TCP SPT=1723 DPT=4840 WINDOW=65535 RES=0x00 ACK SYN URGP=0
IN=eth1 OUT=eth0 SRC=loc_ip DST=vpn_ser LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=688 DF PROTO=TCP SPT=4840 DPT=1723 WINDOW=65535 RES=0x00 ACK URGP=0
IN=eth1 OUT=eth0 SRC=loc_ip DST=vpn_ser LEN=196 TOS=0x00 PREC=0x00 TTL=127 ID=689 DF PROTO=TCP SPT=4840 DPT=1723 WINDOW=65535 RES=0x00 ACK PSH URGP=0
IN=eth0 OUT=eth1 SRC=vpn_ser DST=loc_ip LEN=196 TOS=0x00 PREC=0x00 TTL=55 ID=8333 DF PROTO=TCP SPT=1723 DPT=4840 WINDOW=65535 RES=0x00 ACK PSH URGP=0
IN=eth1 OUT=eth0 SRC=loc_ip DST=vpn_ser LEN=208 TOS=0x00 PREC=0x00 TTL=127 ID=690 DF PROTO=TCP SPT=4840 DPT=1723 WINDOW=65379 RES=0x00 ACK PSH URGP=0
IN=eth0 OUT=eth1 SRC=vpn_ser DST=loc_ip LEN=72 TOS=0x00 PREC=0x00 TTL=55 ID=8334 DF PROTO=TCP SPT=1723 DPT=4840 WINDOW=65535 RES=0x00 ACK PSH URGP=0
IN=eth1 OUT=eth0 SRC=loc_ip DST=vpn_ser LEN=64 TOS=0x00 PREC=0x00 TTL=127 ID=691 DF PROTO=TCP SPT=4840 DPT=1723 WINDOW=65347 RES=0x00 ACK PSH URGP=0
IN=eth1 OUT=eth0 SRC=loc_ip DST=vpn_ser LEN=66 TOS=0x00 PREC=0x00 TTL=127 ID=692 PROTO=47
IN=eth0 OUT=eth1 SRC=vpn_ser DST=loc_ip LEN=40 TOS=0x00 PREC=0x00 TTL=55 ID=8336 DF PROTO=TCP SPT=1723 DPT=4840 WINDOW=65535 RES=0x00 ACK URGP=0
IN=eth1 OUT=eth0 SRC=loc_ip DST=vpn_ser LEN=66 TOS=0x00 PREC=0x00 TTL=127 ID=693 PROTO=47
IN=eth1 OUT=eth0 SRC=loc_ip DST=vpn_ser LEN=66 TOS=0x00 PREC=0x00 TTL=127 ID=722 PROTO=47
IN=eth1 OUT=eth0 SRC=loc_ip DST=vpn_ser LEN=66 TOS=0x00 PREC=0x00 TTL=127 ID=723 PROTO=47
IN=eth1 OUT=eth0 SRC=loc_ip DST=vpn_ser LEN=66 TOS=0x00 PREC=0x00 TTL=127 ID=724 PROTO=47
IN=eth1 OUT=eth0 SRC=loc_ip DST=vpn_ser LEN=66 TOS=0x00 PREC=0x00 TTL=127 ID=725 PROTO=47
IN=eth0 OUT=eth1 SRC=vpn_ser DST=loc_ip LEN=56 TOS=0x00 PREC=0x00 TTL=55 ID=8344 DF PROTO=TCP SPT=1723 DPT=4840 WINDOW=65535 RES=0x00 ACK PSH URGP=0
IN=eth1 OUT=eth0 SRC=loc_ip DST=vpn_ser LEN=56 TOS=0x00 PREC=0x00 TTL=127 ID=726 DF PROTO=TCP SPT=4840 DPT=1723 WINDOW=65331 RES=0x00 ACK PSH URGP=0
IN=eth0 OUT=eth1 SRC=vpn_ser DST=loc_ip LEN=188 TOS=0x00 PREC=0x00 TTL=55 ID=8345 DF PROTO=TCP SPT=1723 DPT=4840 WINDOW=65535 RES=0x00 ACK PSH URGP=0
IN=eth0 OUT=eth1 SRC=vpn_ser DST=loc_ip LEN=40 TOS=0x00 PREC=0x00 TTL=55 ID=8346 DF PROTO=TCP SPT=1723 DPT=4840 WINDOW=65535 RES=0x00 ACK FIN URGP=0
IN=eth1 OUT=eth0 SRC=loc_ip DST=vpn_ser LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=727 DF PROTO=TCP SPT=4840 DPT=1723 WINDOW=65183 RES=0x00 ACK FIN URGP=0
IN=eth0 OUT=eth1 SRC=vpn_ser DST=loc_ip LEN=40 TOS=0x00 PREC=0x00 TTL=55 ID=8347 DF PROTO=TCP SPT=1723 DPT=4840 WINDOW=65534 RES=0x00 ACK URGP=0

DmitriyS

логи iptables'а тут не помогут. вот логи сервака или клиента бы помогли, но винда не ведёт их.

попробуй сделать всё прозрачно на линуксе
iptables -P FORWARD ACCEPT
iptables -F
iptables -F -t nat
iptables -A POSTROUTING -t nat -s 192.168.1.214 -o eth0 -j SNAT --to-source <внешний_ip_сервака>

если при такой схеме не заработает помогут только логи и жетельно при включенном debug...

botinok · Зарегистрирован: 09.02.2004 Сообщения: 86

слух Дмитрий, я уже не в состоянии ничгео грамотно воспринимать.
я это типа напился, так что только с 8,00 смогу что то ответить.
спасибо.
в iptables я как то слабо
а тут сказали это, типа.. ну надо.
иначе ты завтра не работаешь.
а вот мне кажется что это блин на том конце что то не так настроенно, но, как бы там нибыло я должен выстроить что бы у меня заработало.
и это правильно.
учпехов.
я ACCESS DENY

and3008

INET_IFACE=195.195.195.1

$IPTABLES -t nat -A POSTROUTING -p gre -o $INET_IFACE -s 10.1.1.0/255.255.255.0
-d 0/0 -j MASQUERADE
$IPTABLES -t nat -A PREROUTING -i eth2 -p tcp --dport 1723 -j DNAT --to 10.1.1.6
$IPTABLES -t nat -A PREROUTING -i eth2 -p gre -j DNAT --to 10.1.1.6

Работает месяца 2 уже.

В переменной INET_IFACE записан адрес реального VPN-сервера. Здесь я его изменил на лабуду. Думаю понятно зачем. Smile

Рассказываю про грабли.

Проблема в том, что запрос на соединение посылается клиентом по порту 1723. После этого сервер пытается открыть с клиентом GRE-канал. Если клиент находится за NAT, то на роутере надо делать операцию перенаправления трафика от VPN-сервера к клиенту.
Иначе соединение по GRE не состоится и авторизация не пройдет.

Вот за это PPTP и не любят.

botinok · Зарегистрирован: 09.02.2004 Сообщения: 86

and, привет.
я тут уже и так и так твои цепочки применял.
уже совсем запутался )))
неполучается никак

задача.

я из локалки через линуксовый шлюз как клиент пытаюсь подсоеденится к фревому серваку на котором mpd.

-A FORWARD -s 172,16,1,10 -j ACCEPT
-A FORWARD -d 172,16,1,10 -j ACCEPT
-A POSTROUTING -s 172,16,1,10 -o eth0 -j MASQUERADE

с такими правилами у меня хоть паветами бросается ))
в моём случае прероутинг это должно быть

-A PREROUTING -i eth1 -p tcp --dport 1723 -j DNAT --to 172,16,1,10
-A PREROUTING -i eth1 -p gre -j DNAT --to 172,16,1,10

172,16,1,10 - локальная машина в сети перед линухом
eth1 - внутренний

botinok · Зарегистрирован: 09.02.2004 Сообщения: 86

-A POSTROUTING -s 172.16.1.10 -o eth0 -j MASQUERADE
-A PREROUTING -p tcp -i eth0 --dport 1723 -j DNAT --to 172.16.1.10
-A PREROUTING -p gre -i eth0 -j DNAT --to 172.16.1.10
-A FORWARD -s 172.16.1.10 -d 172.16.1.10 -j LOG
-A FORWARD -s 172.16.1.10 -j ACCEPT
-A FORWARD -d 172.16.1.10 -j ACCEPT

вот так уже вроде работает
но не всё, при попытке зарегистрится там пишет
735 запрошенный адресс отвергнут сервером.

буду копать дальше.
но если кто то что может посоветовать ещё то с меня спасибо
да и так всем спасибо

botinok · Зарегистрирован: 09.02.2004 Сообщения: 86

всё всем спасибо, заработало.

в дополнение хочу сказать что кроме как на шлюзе настройка iptables не заканчивается.

мне пришлось в файле windows/system32/drivers/etc/protocol

прописать gre 47 GRE

and3008

Удивительно.
У меня GRE там нет, а пишу сейчас "через VPN". Что я делаю не так?
Smile

botinok · Зарегистрирован: 09.02.2004 Сообщения: 86

чешу репу

botinok · Зарегистрирован: 09.02.2004 Сообщения: 86

и ещё вопрос, ))) вот я подключаюсь из своей сети через RH9 к другой сети там FREE . но только может одновременно подключатся одна машина. (разные ip)/
спасибо.

может блин фрю поставить ??

and3008

А может, блин, лучше поговорить с админом Фри? Может у него так специально сделано?

botinok · Зарегистрирован: 09.02.2004 Сообщения: 86

вот я смотрю конфы там и не понимаю

тема тут
http://forum.citforum.ru/viewtopic.php?t=38148

	Список форумов Архив форумов ЦИТФорума -> Unix	Часовой пояс: GMT + 3
Страница 1 из 1