Maquina Cliente + VPN

luivilella
(usa Debian)

Enviado em 27/02/2012 - 18:24h

Pessoal desculpe voltar a um assunto tão batido como este, mas que puder me ajudar eu agradeço!

Estou com a seguinte estrutura Server Debian - rodando squid3, maquina cliente que esta conectando a internet por este server!
Estou apenas fazendo testes então não tenho muitas regras de firewall apenas as seguintes regras:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
/sbin/iptables -t nat -A PREROUTING -i eth1 -p udp --dport 80 -j REDIRECT --to-port 3128
 

Squid - Modo transparet.

Meu problema é o seguinte as maquinas clientes precisam conectar-se a uma VPN externa, porem quando tento conectar da o seguinte erro:
Erro: 800: A conexão remota não foi feita devido à falha nos túneis...

Esta questão da VPN eu dei uma olhada em diversos post mais não achei uma resolução clara do problema, claro por minha inexperiência no assunto, esta testando a partir destes posts:
http://www.vivaolinux.com.br/topico/Squid-Iptables/VPN-Windows-2003-Server-com-Firewall-iptables-em-...
http://www.vivaolinux.com.br/topico/Redes/Limite-de-conexoes-VPN

Desde já agradeço!!

renato_pacheco
(usa Debian)

Enviado em 28/02/2012 - 09:21h

Kra, isso vai depender q tipo d VPN vc tá usando. É VPN da camada 2, 3 ou 4? D mais detalhes...

luivilella
(usa Debian)

Enviado em 28/02/2012 - 13:19h

cara vou pesquisar mais, porque não sei te dar esta informação... desculpe...
Na verdade só sei que as maquinas clientes não conseguem conectar a esta VPN..
só uma duvida isso eu tenho que ver no meu server ou com o pessoal do server VPN?

renato_pacheco
(usa Debian)

Enviado em 28/02/2012 - 13:55h

Vc tem q v com o server VPN. O Linux é compatível com todos os tipos d VPN. Vou t dar alguns exemplos d aplicativos q fazem VPN em suas respectivas camadas:

Camada 2: L2TP (xl2tpd)
Camada 3: IPSec (Strongswan, Openswan)
Camada 4: SSL/TLS (OpenVPN)

luivilella
(usa Debian)

Enviado em 01/03/2012 - 16:46h

Não to conseguindo falar com o pessoal la não sei se ajuda mas peguei com o nmap:
______________________________________________
Port | Protocol | State | Service | Version
1723 | tcp | open | pptp | Microsoft
______________________________________________

renato_pacheco
(usa Debian)

Enviado em 01/03/2012 - 21:44h

Já resolveu a metade do problema. É só liberar a porta 1723 TCP (PPTP - VPN camada 2 da Microsoft) para o pessoal conectar (o proxy não interfere nessa parte):

iptables -I FORWARD -p tcp --dport 1723 -j ACCEPT
 

luivilella
(usa Debian)

Enviado em 02/03/2012 - 10:42h

renato_pacheco, só uma duvida!
Como estou fazendo apenas testes agora, eu não tenho uma regra do firewall que bloqueia tudo e ai vou colocando outras para liberar, está quase sem nada, apenas com:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
/sbin/iptables -t nat -A PREROUTING -i eth1 -p udp --dport 80 -j REDIRECT --to-port 3128
 

O que eu quero saber é, por padrão está porta 1723, vem bloqueada?? Digo isto pela necessidade de fazer o que você me passou.

iptables -I FORWARD -p tcp --dport 1723 -j ACCEPT
 

Ah eu tinha pensado mesmo que o proxy não ia interferir, agora você confirmou pra mim.

renato_pacheco
(usa Debian)

Enviado em 02/03/2012 - 10:54h

Kra, o acesso é d dentro pra fora, correto? Se for isso, só a minha regra já valida, mas se vc diz q tá tudo liberado, então tem algo a mais ae. Tem q sniffar a máquina pra saber como ele tá tentando se conectar na rede ou algo similar. Tem como vc me dizer d q forma vc tá tentando se conectar e q erro dá?

luivilella
(usa Debian)

Enviado em 02/03/2012 - 11:04h

Renato, sim o acesso é de dentro para fora, não testei sua regra ainda mas chegando no serviço vou testar, e também snifar o server.
A questão da conexão, são os clientes que estão acessando a internet através do meu server, eles não conseguem conectar a VPN externa, ou seja são clientes W7, XP configuram localmente para conectar a VPN, ai na discagem da o seguinte erro: | Erro: 800: A conexão remota não foi feita devido à falha nos túneis...|, porem se eu desligo o server e os clientes acessam a internet direto do moden, ai não ocorre o problema, desta maneira eles conseguem logar normalmente na VPN.

renato_pacheco
(usa Debian)

Enviado em 02/03/2012 - 11:43h

Faça outro teste. Veja, com o nmap, varrer as portas UDP pra termos alguma pista:

nmap -sU IP_VPN
 

luivilella
(usa Debian)

Enviado em 02/03/2012 - 14:29h

Renato, testei e não funcionou o:

iptables -I FORWARD -p tcp --dport 1723 -j ACCEPT
 

Estou snifando a rede agora e segue o nmap das portas udp:

Starting Nmap 5.21 ( http://nmap.org ) at 2012-03-02 14:08 Hora oficial do Brasil

NSE: Loaded 36 scripts for scanning.

Initiating Ping Scan at 14:08

Scanning IP_VPN_EXTERNA [8 ports]

Completed Ping Scan at 14:08, 0.69s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 14:08

Completed Parallel DNS resolution of 1 host. at 14:08, 0.29s elapsed

Initiating SYN Stealth Scan at 14:08

Scanning IP_VPN_EXTERNA.static.gvt.net.br (IP_VPN_EXTERNA) [1000 ports]

Discovered open port 3389/tcp on IP_VPN_EXTERNA

Discovered open port 1723/tcp on IP_VPN_EXTERNA

Completed SYN Stealth Scan at 14:09, 18.11s elapsed (1000 total ports)

Initiating UDP Scan at 14:09

Scanning IP_VPN_EXTERNA.static.gvt.net.br (IP_VPN_EXTERNA) [1000 ports]

Completed UDP Scan at 14:09, 10.16s elapsed (1000 total ports)

Initiating Service scan at 14:09

Scanning 1001 services on IP_VPN_EXTERNA.static.gvt.net.br (IP_VPN_EXTERNA)

Service scan Timing: About 0.40% done

Service scan Timing: About 3.20% done; ETC: 15:11 (1:00:34 remaining)

Service scan Timing: About 3.30% done; ETC: 15:27 (1:15:47 remaining)

Service scan Timing: About 6.19% done; ETC: 15:02 (0:49:59 remaining)

Service scan Timing: About 6.29% done; ETC: 15:10 (0:57:49 remaining)

Service scan Timing: About 9.19% done; ETC: 14:59 (0:45:17 remaining)

Service scan Timing: About 9.29% done; ETC: 15:04 (0:50:27 remaining)

Service scan Timing: About 12.19% done; ETC: 14:57 (0:42:23 remaining)

Service scan Timing: About 12.29% done; ETC: 15:01 (0:46:10 remaining)

Service scan Timing: About 15.18% done; ETC: 14:56 (0:40:02 remaining)

Service scan Timing: About 15.28% done; ETC: 14:59 (0:42:57 remaining)

Service scan Timing: About 18.18% done; ETC: 14:55 (0:38:06 remaining)

Service scan Timing: About 18.28% done; ETC: 14:58 (0:40:27 remaining)

Service scan Timing: About 21.18% done; ETC: 14:55 (0:36:17 remaining)

Service scan Timing: About 23.98% done; ETC: 14:52 (0:33:05 remaining)

Service scan Timing: About 24.28% done; ETC: 14:57 (0:36:17 remaining)

Service scan Timing: About 27.17% done; ETC: 14:54 (0:33:03 remaining)

Service scan Timing: About 29.97% done; ETC: 14:52 (0:30:25 remaining)

Service scan Timing: About 30.27% done; ETC: 14:56 (0:32:45 remaining)

Service scan Timing: About 33.17% done; ETC: 14:54 (0:30:03 remaining)

Service scan Timing: About 35.96% done; ETC: 14:52 (0:27:47 remaining)
 

renato_pacheco
(usa Debian)

Enviado em 02/03/2012 - 14:48h

Pelo visto vai ser inútil essa varredura... analise os pacotes sniffados e veja como é feita a conexão, ou seja, se utiliza uma outra porta ou até q ponto ele tenta estabelecer a conexão.