URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 81284
[ Назад ]

Исходное сообщение
"проброс портов на Microsoft VPN server"
Отправлено asidko , 22-Июл-08 19:14

Есть гей под slackware
У него два интерфейса eth0 - в глобальную сеть xxx.xxx.xxx.xxx
eth1 - в локалку (192.168.0.0/24).
В локалке стоит windows server (192.168.0.201) который авторизирует удаленных пользователей. VPN.
На фаерволе входящие запросы на порт 1723/tcp разрешены.
Прокидываю входящие запросы на порт 1723 с помощью iptables вот так:
/usr/sbin/iptables -t nat -A PREROUTING --dst xxx.xxx.xxx.xxx -p tcp --dport 1723 -j DNAT --to-destination 192.168.0.201:1723
/usr/sbin/iptables -A FORWARD -i eth1 --dst 192.168.0.201 -p tcp --dport 1723 -j ACCEPT
Соединение устанавливается, но на этапе проверки пимя пользователя и пароля "отваливается" по таймауту с ошибкой 790 (Удаленный сервер больше не доступен). По логам фервола вижу, что запросы пробрасываюся,
Jul 21 23:22:13 hydra kernel: firewall: IN=eth0 OUT=eth1 SRC=yyy.yyy.yyy.yyy DST=192.168.0.201 LEN=52 TOS=0x00 PREC=0x00 TTL=117 ID=5064 PROTO=TCP SPT=12133 DPT=1723 WINDOW=65535 RES=0x00 SYN URGP=0
но соединение на этапе проверки имени/пароля завершается.
Порылся в инете, прочитал, что в VPN задействован 47/GRE но как в iptables "заставить работать" с GRE.
Буду благодарен за любую помощь.
Спасибо. Андрей.

Содержание

проброс портов на Microsoft VPN server,pavel_simple, 20:13 , 22-Июл-08
- проброс портов на Microsoft VPN server,asidko, 02:28 , 23-Июл-08
  - проброс портов на Microsoft VPN server,asidko, 04:47 , 23-Июл-08
    - проброс портов на Microsoft VPN server,rakis, 09:43 , 23-Июл-08

Сообщения в этом обсуждении

"проброс портов на Microsoft VPN server"
Отправлено pavel_simple , 22-Июл-08 20:13

RE:>Есть гей под slackware
незнай какой у вас там гей
но для того чтобы nat'ить pptp VPN
нужно подгрузить
nf_nat_proto_gre.ko
nf_nat_pptp.ko
и разрешить FORWARD по протоколу GRE

"проброс портов на Microsoft VPN server"
Отправлено asidko , 23-Июл-08 02:28

>RE:>Есть гей под slackware
>незнай какой у вас там гей
>
>но для того чтобы nat'ить pptp VPN
>нужно подгрузить
>
>nf_nat_proto_gre.ko
>nf_nat_pptp.ko
>
>и разрешить FORWARD по протоколу GRE
В том то и дело, что эти модули подгружены
root@hydra:/etc/rc.d# lsmod | grep pptp
nf_nat_pptp             6784  0
nf_conntrack_pptp       9344  1 nf_nat_pptp
nf_conntrack_proto_gre     8192  1 nf_conntrack_pptp
nf_nat_proto_gre        6148  1 nf_nat_pptp
nf_nat                 19500  4 ipt_MASQUERADE,iptable_nat,nf_nat_pptp,nf_nat_proto_gre
nf_conntrack           53440  8 ipt_MASQUERADE,iptable_nat,nf_nat_pptp,nf_conntrack_pptp,nf_conntrack_proto_gre,xt_state,nf_nat,nf_conntrack_ipv4
и вот такие правила я пищу для iptables:
/usr/sbin/iptables -t nat -A PREROUTING --dst xxx.xxx.xxx.xxx -p tcp --dport 1723 -j DNAT --to-destination 192.168.0.201:1723
/usr/sbin/iptables -A FORWARD -i eth1 --dst 192.168.0.201 -p tcp --dport 1723 -j ACCEPT
/usr/sbin/iptables -t nat -A PREROUTING -i eth1 -p 47 -j ACCEPT
-------------------
Подскажи где ошибка. Совсем замучался.

"проброс портов на Microsoft VPN server"
Отправлено asidko , 23-Июл-08 04:47

>[оверквотинг удален]
>и вот такие правила я пищу для iptables:
>/usr/sbin/iptables -t nat -A PREROUTING --dst xxx.xxx.xxx.xxx -p tcp --dport 1723 -j
>DNAT --to-destination 192.168.0.201:1723
>/usr/sbin/iptables -A FORWARD -i eth1 --dst 192.168.0.201 -p tcp --dport http://lp.slackwaresupport.com/Slackware/Slackware-12.1/Cons...
>ACCEPT
>/usr/sbin/iptables -t nat -A PREROUTING -i eth1 -p 47 -j ACCEPT
>
>-------------------
>
>Подскажи где ошибка. Совсем замучался.
Причем, если поднимаю VPN из локалки, все работает.
Из глобальной сети firewall режет порт 1723/tcp
У тебя есть пример реально работающего скрита для iptable

"проброс портов на Microsoft VPN server"
Отправлено rakis , 23-Июл-08 09:43

>и разрешить FORWARD по протоколу GRE
человек дело говорит. не будет работать без этого.
+ чтение логов фаервола сильно помогает при диагностике