Router mögött PPTP vagy IPSEC szerver (Protocol GRE, ESP, AH)

Hálózati eszközök

Sziasztok!

Szeretnék egy router mögött DMZ nélkül VPN szervert csinálni. Sajnos a mostani router nem támogatja a protocoll forwardingot, a port forward nem elég, GRE protokollt is forwardolni kell, legalábbis PPTP-nél.

Az lenne a kérdésem, hogy milyen olcsóbb (< 30k bruttó) routert vegyek, amin ezt be lehet állítani. A WRT54GL-esen gondolkodom, valamelyik egyedi firmware csak tudja ezt a funkciót, de megerősítésre lenne szükségem. A routerbe integrált VPN szerver nem megoldás, mert ilyen olcsó kategóriában nagyon gyenge chipek vannak, lassú lenne az adatátvitel.

Aki tehát már próbálkozott hasonlóval, szívesen fogadom a tanácsát!

Köszi

  • 3262 megtekintés

( akoscomp | 2009. 11. 17., k – 13:34 )

Szia,
szerintem openvpn esetén elég a port forward, talán az 1195-ös udp-t kell forwardolnod befele. WRT54GL-nél a routeren egy linux fut (tomato, dd-wrt), amelyre ssh-n be tudsz lépni, szerintem biztos tud mindent ami neked kell. Az iptables és minden más tűzfal illetve routolási segédprogram megvan rajta.

( Higi v | 2009. 11. 17., k – 14:23 )

A wrt54gl alapból nem engedi át a gre 47-et. Én dd-wrt-vel oldottam meg abból is a VPN-es verzióval. Ugyan, így kapsz a routerbe egy VPN szervert, de az kikapcsolható (meg is tettem), és ekkor már lehet forwardolni a gre 47-et is. A lényeg, hogy a VPN-es dd-wrt-t kell feltenni, mert csak az engedi át a gre-t.

( godot v | 2009. 11. 17., k – 14:37 )

Ha NAT-olni is kell (a DMZ-ben privát címek vannak?) akkor a pptp protokoll helperre van szükség, ami a GRE CALL ID alapján hozza létre a conntrack bejegyzést. nf_conntrack_pptp a modul neve azt hiszem. 2.6-os kernellel telepített openwrt WRT54GL-el biztosan tudja ezt a modult de azt hiszem csomagból kell feltenni.
IPSEC esetében pedig NAT-T -t kell használod, ami UDP csomagokba (alapból UDP4500,de az IKE fázishoz kell az UDP500 is) enkapszulálja az ESP csomagokat, csak így tudod átverni NAT-on, ekkor az UDP500 és 4500 portokat kell csak simán átengedni, plussz nem árt forceolni a NAT-T-t a VPN szerveren.