VPN elérése NAT mögül

Hálózatok általános

Sziasztok!

A problémám a következő, amivel nem jutok előre. Van egy Linux tűzfalam a belső hálóban lévő kliensek nagyon meg vannak fogva. A netet csak proxy-n keresztül érik el. A belső kliensekről el kellene érni egy weboldalt ami egy másik cég belső hálójában van és VPN kliens segítségével érhető el. A tűzfal szkriptbe a következő van:

modprobe nf_conntrack_pptp
modprobe nf_conntrack_proto_gre
modprobe nf_nat_pptp
modprobe nf_nat_proto_gre
iptables -t nat -A PREROUTING -p 47 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 1723 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT

A kernel a szerveren: 2.6.22.19-0.4 és az iptables verzió száma: 1.3.8-28 .

Ha jól sejtem ennyivel működni kellene, de nem megy, 800-as hibával visszadob a kliens. A VPN jól működik, mert kívülről, és itthonról is router mögül elérem. Kérlek javasoljatok valamit merre léphetek tovább?

  • 1682 megtekintés

( colos | 2011. 01. 06., cs – 19:45 )

tuzfal piszkalasnal nekem a tcpdump/wireshark paros szokott segiteni, csak ajanlani tudom. erdemes kulon a tuzfal belso es kulso interfacet is megnezni mert lehet hogy a csomagok kijutnak az internetre csak vissza nem talaljak meg a celallomast

udv Zoli

( stra | 2011. 01. 06., cs – 20:39 )

"és VPN kliens segítségével érhető el."
Ez valóban PPTP VPN, ahogy a tűzfalszabályokból sejtetni engeded?

Ez gondolom, csak egy részlete az erre a VPN kapcsolatra vonatkozó tűzfalszabályoknak. Bemásolnád a teljes VPN-t szabályozó részt?
Addig is kérdések:
- a FORWARD láncon a visszirány is meg van engedve?
- leggyakrabban a PREROUTING láncra az alapértelmezett ACCEPT a default policy. Nem natolni szerettél volna? A nf_nat_pptp modul betöltéséből erre lehet következtetni. Nézd meg a MASQUERADE targetet.

Igen ez egy PPTP szerver amit el szeretnék érni. Ennyi konfig fájlba az össz szabály, ennyit találtam a neten a témában. Nem a FORWARD láncba nem raktam be a visszirányt. Azt, hogy tudom megadni, és miért van rá szükség? Igazából lehet, hogy a modulok nem vagy nem mind kellenek, de azt találtam neten, hogy azért van rájuk szükség, hogy egynél több kliens is tudjon egyszerre kifelé csatlakozni a VPN szerverre.