Hi,
ich muss für einen Kunden einen MS VPN Server durch eine iptables Firewall erreichbar machen.
Nach etwas suchen habe ich hier im Forum einen Beitrag gefunden der dazu ein Script angeboten hat.
"
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1723 -j DNAT --to-destination 192.168.200.99
iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d 192.168.200.99 --dport 1723 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state NEW -p 47 -d 192.168.200.99 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p 47 -j DNAT --to-destination 192.168.200.99
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
"
Es läuft auch fast, dei Verbindung zum VPN Server wird aufgebaut, und die Benutzerdaten werden verifiziert.
Doch danach passiert lange nichts, und dann kommt die Fehlermeldung das der VPN Server nicht antwortet.
Im lokalen LAN gehts problemlos, also muss es an der Firewall liegen.
Was muss nocht an Ports aufgemacht werden?
Gruss Peter
MS VPN Server durch iptables Firewall erreichbar machen
-
BlackSword
- Beiträge: 25
- Registriert: 14.01.2004 16:29:58
- Wohnort: Südliches Münsterland
Ich habe das FW Script nun wie folgt abgeändert:BlackSword hat geschrieben:Guten Morgen!
richte mal für die andere Richtung erlaubenden Verkehr mit state related,established ein.
MfG
BSO
---SNIP---
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1723 -j DNAT --to-destination 192.168.200.99
iptables -A FORWARD -i eth0 -m state --state NEW,ESTABLISHED,RELATED -p tcp -d 192.168.200.99 --dport 1723 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state NEW,ESTABLISHED,RELATED -p 47 -d 192.168.200.99 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p 47 -j DNAT --to-destination 192.168.200.99
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
---SNAP---
Doch der fehler bleibt!
Gruss Peter
Hallo!
Welche VPN-Sprache spricht denn Dein MS-VPN. Ist es PPTP oder die neuere L2TP?
Beides kan man unter Linux ansprechen. Schau mal unter http://poptop.org hier findet mal alles zu den beiden Sprachen.
nesnu
Welche VPN-Sprache spricht denn Dein MS-VPN. Ist es PPTP oder die neuere L2TP?
Beides kan man unter Linux ansprechen. Schau mal unter http://poptop.org hier findet mal alles zu den beiden Sprachen.
nesnu
-
BlackSword
- Beiträge: 25
- Registriert: 14.01.2004 16:29:58
- Wohnort: Südliches Münsterland
Hallo!
Meinte eigentlich du solltest eine Regel hinzufügen, damit auch die Pakete zurückfinden und nicht Pakete zum VPN Server.
---SNIP---
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1723 -j DNAT --to-destination 192.168.200.99
iptables -A FORWARD -i eth0 -m state --state NEW,ESTABLISHED,RELATED -p tcp -d 192.168.200.99 --dport 1723 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state NEW,ESTABLISHED,RELATED -p 47 -d 192.168.200.99 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p 47 -j DNAT --to-destination 192.168.200.99
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
---SNAP---
sondern so:
iptables -A FORWARD -i eth? -m state ESTABLISHED,RELATED -p tcp -s 192.168.200.99 --sport 1723 -j ACCEPT
eth? müßtest du die Netzwerkkarte von der Firewall angeben, die zum VPN führt.
MfG
BSO
TIP:
Ich würde immer input und output Device in den Regeln verwenden.
Gruß
BS
Meinte eigentlich du solltest eine Regel hinzufügen, damit auch die Pakete zurückfinden und nicht Pakete zum VPN Server.
---SNIP---
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1723 -j DNAT --to-destination 192.168.200.99
iptables -A FORWARD -i eth0 -m state --state NEW,ESTABLISHED,RELATED -p tcp -d 192.168.200.99 --dport 1723 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state NEW,ESTABLISHED,RELATED -p 47 -d 192.168.200.99 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p 47 -j DNAT --to-destination 192.168.200.99
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
---SNAP---
sondern so:
iptables -A FORWARD -i eth? -m state ESTABLISHED,RELATED -p tcp -s 192.168.200.99 --sport 1723 -j ACCEPT
eth? müßtest du die Netzwerkkarte von der Firewall angeben, die zum VPN führt.
MfG
BSO
TIP:
Ich würde immer input und output Device in den Regeln verwenden.
Gruß
BS
Es klappt immernoch nicht, mit netstat bekomme ich folgendes zu sehen:BlackSword hat geschrieben:Hallo!
sondern so:
iptables -A FORWARD -i eth? -m state ESTABLISHED,RELATED -p tcp -s 192.168.200.99 --sport 1723 -j ACCEPT
eth? müßtest du die Netzwerkkarte von der Firewall angeben, die zum VPN führt.
Gruß
BS
# netstat-nat -d 192.168.x.x
Proto NATed Address Foreign Address State
tcp p42821a5e.dip.t-dialin.ne:4394 192.168.x.x:1723 ESTABLISHED
tcp p42821a5e.dip.t-dialin.ne:4392 192.168.x.x:1723 TIME_WAIT
Gruss Peter
-
BlackSword
- Beiträge: 25
- Registriert: 14.01.2004 16:29:58
- Wohnort: Südliches Münsterland
-
el_cattivo
- Beiträge: 177
- Registriert: 25.09.2003 02:36:16
- Wohnort: Bonn
-
Kontaktdaten:
Habe ähnliches Problem, will mich vot einer Win2K WS hinter einem Debian Router auf einen FLI4L VPN Server einwählen, direkt klappt es, mit Router sagt er jedoch immer 619, Ports habe ich gernerell weitergeleitet, meine Fraga damals im Forum blieb unbeantwortet, wenn das hier was bringt wäre es schön 
Die Module findet er übrigens alle nicht, habe bei der Kernel Konfiguration alles was mit GRE zu tun hat aktiviert...
Die Module findet er übrigens alle nicht, habe bei der Kernel Konfiguration alles was mit GRE zu tun hat aktiviert...
-
BlackSword
- Beiträge: 25
- Registriert: 14.01.2004 16:29:58
- Wohnort: Südliches Münsterland
-
el_cattivo
- Beiträge: 177
- Registriert: 25.09.2003 02:36:16
- Wohnort: Bonn
-
Kontaktdaten:
OK mein Problem besser in dem alten Thread wo bis jetzt keiner geantwortet hat, passt nicht so ganz hierher weils nicht das selbe Problem ist
Wollt mich nur mal melden wenn einmal VPN Profis am Werk sind
http://www.debianforum.de/forum/viewtopic.php?t=8968
Wollt mich nur mal melden wenn einmal VPN Profis am Werk sind
http://www.debianforum.de/forum/viewtopic.php?t=8968
-
BlackSword
- Beiträge: 25
- Registriert: 14.01.2004 16:29:58
- Wohnort: Südliches Münsterland
Guten Morgen!
Also Problem ist ja, dass die Verbindung zum VPN funzt.
Aber nicht zurück.
@arzie
da ja PPTP über TCP läuft, sind auch alle eigenschaften von TCP vorhanden.
Oder irre ich mich?!
die state Option bei Iptables analysiert die pakete nach dem Status.
Versuch mal, dass du alle Pakete mit dem state ESTABLISHED,RELATED vom VPN durch die Firewall zuläßt.
iptables -A FORWARD -i eth1 -o eth2 --state ESTABLISHED,RELATED -j ACCEPT
(eth anpassen)
Sonst schau mal im RFC 2637 http://www.ietf.org/rfc/rfc2637.txt?number=2637 nach, dort wird PPTP beschrieben. Vielleicht ist dort noch etwas beschrieben.
Gruß
BS
Also Problem ist ja, dass die Verbindung zum VPN funzt.
Aber nicht zurück.
@arzie
da ja PPTP über TCP läuft, sind auch alle eigenschaften von TCP vorhanden.
Oder irre ich mich?!
die state Option bei Iptables analysiert die pakete nach dem Status.
Versuch mal, dass du alle Pakete mit dem state ESTABLISHED,RELATED vom VPN durch die Firewall zuläßt.
iptables -A FORWARD -i eth1 -o eth2 --state ESTABLISHED,RELATED -j ACCEPT
(eth anpassen)
Sonst schau mal im RFC 2637 http://www.ietf.org/rfc/rfc2637.txt?number=2637 nach, dort wird PPTP beschrieben. Vielleicht ist dort noch etwas beschrieben.
Gruß
BS
Du irrst, der Tunnel selbst läuft nicht über TCP sondern über GRE.BlackSword hat geschrieben: @arzie
da ja PPTP über TCP läuft, sind auch alle eigenschaften von TCP vorhanden.
Oder irre ich mich?!
GRE ist das IP Protokoll 47.
Was dachtest Du was das -p 47 in "iptables -A INPUT -p 47 -j ACCEPT" bedeutet?
Arzie
-
BlackSword
- Beiträge: 25
- Registriert: 14.01.2004 16:29:58
- Wohnort: Südliches Münsterland