forum.opennet.ru - "проброс портов на Microsoft VPN server" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"проброс портов на Microsoft VPN server"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"проброс портов на Microsoft VPN server"
Сообщение от asidko (ok) on 22-Июл-08, 19:14
Есть гей под slackware У него два интерфейса eth0 - в глобальную сеть xxx.xxx.xxx.xxx eth1 - в локалку (192.168.0.0/24). В локалке стоит windows server (192.168.0.201) который авторизирует удаленных пользователей. VPN. На фаерволе входящие запросы на порт 1723/tcp разрешены. Прокидываю входящие запросы на порт 1723 с помощью iptables вот так: /usr/sbin/iptables -t nat -A PREROUTING --dst xxx.xxx.xxx.xxx -p tcp --dport 1723 -j DNAT --to-destination 192.168.0.201:1723 /usr/sbin/iptables -A FORWARD -i eth1 --dst 192.168.0.201 -p tcp --dport 1723 -j ACCEPT Соединение устанавливается, но на этапе проверки пимя пользователя и пароля "отваливается" по таймауту с ошибкой 790 (Удаленный сервер больше не доступен). По логам фервола вижу, что запросы пробрасываюся, Jul 21 23:22:13 hydra kernel: firewall: IN=eth0 OUT=eth1 SRC=yyy.yyy.yyy.yyy DST=192.168.0.201 LEN=52 TOS=0x00 PREC=0x00 TTL=117 ID=5064 PROTO=TCP SPT=12133 DPT=1723 WINDOW=65535 RES=0x00 SYN URGP=0 но соединение на этапе проверки имени/пароля завершается. Порылся в инете, прочитал, что в VPN задействован 47/GRE но как в iptables "заставить работать" с GRE. Буду благодарен за любую помощь. Спасибо. Андрей.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

проброс портов на Microsoft VPN server, pavel_simple, 20:13 , 22-Июл-08, (1)

проброс портов на Microsoft VPN server, asidko, 02:28 , 23-Июл-08, (2)

проброс портов на Microsoft VPN server, asidko, 04:47 , 23-Июл-08, (3)

проброс портов на Microsoft VPN server, rakis, 09:43 , 23-Июл-08, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "проброс портов на Microsoft VPN server"

Сообщение от pavel_simple (??) on 22-Июл-08, 20:13

RE:>Есть гей под slackware
незнай какой у вас там гей
но для того чтобы nat'ить pptp VPN
нужно подгрузить
nf_nat_proto_gre.ko
nf_nat_pptp.ko
и разрешить FORWARD по протоколу GRE

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "проброс портов на Microsoft VPN server"

Сообщение от asidko (ok) on 23-Июл-08, 02:28

>RE:>Есть гей под slackware
>незнай какой у вас там гей
>
>но для того чтобы nat'ить pptp VPN
>нужно подгрузить
>
>nf_nat_proto_gre.ko
>nf_nat_pptp.ko
>
>и разрешить FORWARD по протоколу GRE
В том то и дело, что эти модули подгружены
root@hydra:/etc/rc.d# lsmod | grep pptp
nf_nat_pptp             6784  0
nf_conntrack_pptp       9344  1 nf_nat_pptp
nf_conntrack_proto_gre     8192  1 nf_conntrack_pptp
nf_nat_proto_gre        6148  1 nf_nat_pptp
nf_nat                 19500  4 ipt_MASQUERADE,iptable_nat,nf_nat_pptp,nf_nat_proto_gre
nf_conntrack           53440  8 ipt_MASQUERADE,iptable_nat,nf_nat_pptp,nf_conntrack_pptp,nf_conntrack_proto_gre,xt_state,nf_nat,nf_conntrack_ipv4
и вот такие правила я пищу для iptables:
/usr/sbin/iptables -t nat -A PREROUTING --dst xxx.xxx.xxx.xxx -p tcp --dport 1723 -j DNAT --to-destination 192.168.0.201:1723
/usr/sbin/iptables -A FORWARD -i eth1 --dst 192.168.0.201 -p tcp --dport 1723 -j ACCEPT
/usr/sbin/iptables -t nat -A PREROUTING -i eth1 -p 47 -j ACCEPT
-------------------
Подскажи где ошибка. Совсем замучался.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "проброс портов на Microsoft VPN server"

Сообщение от asidko (ok) on 23-Июл-08, 04:47

>[оверквотинг удален]
>и вот такие правила я пищу для iptables:
>/usr/sbin/iptables -t nat -A PREROUTING --dst xxx.xxx.xxx.xxx -p tcp --dport 1723 -j
>DNAT --to-destination 192.168.0.201:1723
>/usr/sbin/iptables -A FORWARD -i eth1 --dst 192.168.0.201 -p tcp --dport http://lp.slackwaresupport.com/Slackware/Slackware-12.1/Cons...
>ACCEPT
>/usr/sbin/iptables -t nat -A PREROUTING -i eth1 -p 47 -j ACCEPT
>
>-------------------
>
>Подскажи где ошибка. Совсем замучался.
Причем, если поднимаю VPN из локалки, все работает.
Из глобальной сети firewall режет порт 1723/tcp
У тебя есть пример реально работающего скрита для iptable

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "проброс портов на Microsoft VPN server"

Сообщение от rakis (ok) on 23-Июл-08, 09:43

>и разрешить FORWARD по протоколу GRE
человек дело говорит. не будет работать без этого.
+ чтение логов фаервола сильно помогает при диагностике

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "проброс портов на Microsoft VPN server"
Сообщение от pavel_simple (??) on 22-Июл-08, 20:13
RE:>Есть гей под slackware незнай какой у вас там гей но для того чтобы nat'ить pptp VPN нужно подгрузить nf_nat_proto_gre.ko nf_nat_pptp.ko и разрешить FORWARD по протоколу GRE
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "проброс портов на Microsoft VPN server"
	Сообщение от asidko (ok) on 23-Июл-08, 02:28
	>RE:>Есть гей под slackware >незнай какой у вас там гей > >но для того чтобы nat'ить pptp VPN >нужно подгрузить > >nf_nat_proto_gre.ko >nf_nat_pptp.ko > >и разрешить FORWARD по протоколу GRE В том то и дело, что эти модули подгружены root@hydra:/etc/rc.d# lsmod \| grep pptp nf_nat_pptp 6784 0 nf_conntrack_pptp 9344 1 nf_nat_pptp nf_conntrack_proto_gre 8192 1 nf_conntrack_pptp nf_nat_proto_gre 6148 1 nf_nat_pptp nf_nat 19500 4 ipt_MASQUERADE,iptable_nat,nf_nat_pptp,nf_nat_proto_gre nf_conntrack 53440 8 ipt_MASQUERADE,iptable_nat,nf_nat_pptp,nf_conntrack_pptp,nf_conntrack_proto_gre,xt_state,nf_nat,nf_conntrack_ipv4 и вот такие правила я пищу для iptables: /usr/sbin/iptables -t nat -A PREROUTING --dst xxx.xxx.xxx.xxx -p tcp --dport 1723 -j DNAT --to-destination 192.168.0.201:1723 /usr/sbin/iptables -A FORWARD -i eth1 --dst 192.168.0.201 -p tcp --dport 1723 -j ACCEPT /usr/sbin/iptables -t nat -A PREROUTING -i eth1 -p 47 -j ACCEPT ------------------- Подскажи где ошибка. Совсем замучался.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "проброс портов на Microsoft VPN server"
	Сообщение от asidko (ok) on 23-Июл-08, 04:47
	>[оверквотинг удален] >и вот такие правила я пищу для iptables: >/usr/sbin/iptables -t nat -A PREROUTING --dst xxx.xxx.xxx.xxx -p tcp --dport 1723 -j >DNAT --to-destination 192.168.0.201:1723 >/usr/sbin/iptables -A FORWARD -i eth1 --dst 192.168.0.201 -p tcp --dport http://lp.slackwaresupport.com/Slackware/Slackware-12.1/Cons... >ACCEPT >/usr/sbin/iptables -t nat -A PREROUTING -i eth1 -p 47 -j ACCEPT > >------------------- > >Подскажи где ошибка. Совсем замучался. Причем, если поднимаю VPN из локалки, все работает. Из глобальной сети firewall режет порт 1723/tcp У тебя есть пример реально работающего скрита для iptable
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "проброс портов на Microsoft VPN server"
	Сообщение от rakis (ok) on 23-Июл-08, 09:43
	>и разрешить FORWARD по протоколу GRE человек дело говорит. не будет работать без этого. + чтение логов фаервола сильно помогает при диагностике
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]