URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 75334
[ Назад ]

Исходное сообщение
"правила iptables для доступа к vpn"
Отправлено konst , 25-Июл-07 00:07

Чего-то совсем запарился... Подскажите, пожалуйста, правила для iptables...
Задача - соединиться с машины лок.сети (cisco-клиент) через шлюз с удален. vpn.
Если запустить cisco-клиент на самом шлюзе - все OK.
Надо добавить на шлюзе в iptables какие-то волшебные строчки, чтобы и с локал.машины пускало...
адрес лок. машины:192.168.0.1. При запуске клиента устанавливается соединение. Появляется адрес:192.168.1.1. Устанавливается новый роутинг:
..
192.168.0.0 <- 192.168.1.1
..
но коннекта с 192.168.0.5 из удал.vpn сети не происходит
делал:
открывал:500 порт на шлюзе делал nat:
SNAT tcp -- 192.168.0.0/24 anywhere multiport dports isakmp,...:to внеш.IP

Содержание

правила iptables для доступа к vpn,ALex_hha, 12:54 , 26-Июл-07
- правила iptables для доступа к vpn,kvk5yandex.ru, 16:58 , 26-Июл-07
  - правила iptables для доступа к vpn,konst, 13:47 , 27-Июл-07
    - правила iptables для доступа к vpn,HappyS, 17:07 , 06-Ноя-07

Сообщения в этом обсуждении

"правила iptables для доступа к vpn"
Отправлено ALex_hha , 26-Июл-07 12:54

>[оверквотинг удален]
>но коннекта с 192.168.0.5 из удал.vpn сети не происходит
>
>делал:
>открывал:500 порт на шлюзе делал nat:
>
>SNAT       tcp  --  192.168.0.0/24
>      anywhere
>       multiport dports isakmp,...:to внеш.IP
>
>
нарисуйте схему всего этого, 192.168.0.5 - что это за адрес?

"правила iptables для доступа к vpn"
Отправлено kvk5yandex.ru , 26-Июл-07 16:58

>[оверквотинг удален]
>>делал:
>>открывал:500 порт на шлюзе делал nat:
>>
>>SNAT       tcp  --  192.168.0.0/24
>>      anywhere
>>       multiport dports isakmp,...:to внеш.IP
>>
>>
>
>нарисуйте схему всего этого, 192.168.0.5 - что это за адрес?
удаленный VPN (внеш.ip)  --- ШЛЮЗ(iptables) -- локальная машина (ip=192.168.2.1)
(моя сеть:= ШЛЮЗ и локальная машина)
(в VPN есть нужная мне машинка: 192.168.0.5)
при использовании cisco клиента на лок.машине соединение устанавливается. поднимается новый интерфейс: 192.168.1.1, автоматически прописывается роутинг:
в частности 192.168.0.0 <- 192.168.1.1
но достучатся до 192.168.0.5 нельзя. Не видит ее.
PS. 1. Если использовать cisco-клиента на шлюзе - все OK.
    2. Раньше все работало и с локал.машины. Но постоянно меняются правила iptables - и я не могу вспомнить, что там надо сделать...
Делал:
iptables -A INPUT -s  192.168.2.1 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.2.1 -p tcp  -j SNAT --to-source внеш_IP_шлюза

"правила iptables для доступа к vpn"
Отправлено konst , 27-Июл-07 13:47

>Делал:
>iptables -A INPUT -s 192.168.2.1 -j ACCEPT
>iptables -t nat -A POSTROUTING -o eth1 -s 192.168.2.1 -p tcp
>-j SNAT --to-source внеш_IP_шлюза
Все! Вспомнил...
цитата:
При работе через firewall важно не забыть настроить фильтры, чтобы пропускать пакеты с ID AH и/или ESP протокола. Для AH номер ID - 51, а ESP имеет ID протокола равный 50. При создании правила не забывайте, что ID протокола не то же самое, что номер порта.
Все заработало.

"правила iptables для доступа к vpn"
Отправлено HappyS , 06-Ноя-07 17:07

Хотел бы спросить о своем случае. В iptables на шлюзе все окрыто
INPUT ACCEPT
FORWARD ACCEPT
OUTPUT ACCEPT
но кроме этого я еще добавляю правила
-A INPUT -p esp -j ACCEPT
-A FORWARD -p esp -j ACCEPT
-A OUTPUT -p esp -j ACCEPT
аналогично для utp,icmp,udp,ah прописаны правила
tcpdump выдает ошибку
remote_host > inside_host : isakmp bla-bla-bla - admin prohibited filter
VPN неровный , соскакивает, отрывается-подключается, нестабильный
Может нужны какие-т о дополнительные модули - в чем может быть дело?