Maquina Cliente + VPN

luivilella
(usa Debian)

Enviado em 02/03/2012 - 15:27h

Renato você vai rir, mas aguenta ai to procurando como uso o wireshark em modo texto, porque acesso o server pelo putty.
E o server é o Debian netinst, eu nem baixo os pacotes de ambiente gráfico.. hehe

renato_pacheco
(usa Debian)

Enviado em 02/03/2012 - 15:42h

Não, maluco! Acessa via tcpdump (sniffer em modo texto) q é muito mais fácil. Ae vc joga a saída dele pra um arquivo pra análise posterior.

luivilella
(usa Debian)

Enviado em 02/03/2012 - 16:15h

Renato da um help por favor, nunca usei o tcpdump:

Usage: tcpdump [-aAbdDefIKlLnNOpqRStuUvxX] [ -B size ] [ -c count ]

                [ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]

                [ -i interface ] [ -M secret ] [ -r file ]

                [ -s snaplen ] [ -T type ] [ -w file ] [ -W filecount ]

                [ -y datalinktype ] [ -z command ] [ -Z user ]

                [ expression ]

 

Tipo to fazendo assim:

tcpdump -i eth1

 

eth1 - interface que os usuários conectam ao server

Porem assim pega muita coisa tem como especificar o ip do usuario? ou protocolo..

renato_pacheco
(usa Debian)

Enviado em 02/03/2012 - 16:27h

Filtre os dados:

tcpdump -i eth0 ip src 10.1.1.54 or ip dst 10.1.1.54

 

andrecanhadas
(usa Debian)

Enviado em 02/03/2012 - 16:31h

Ja usei a VPN do windows 2008 as regras para liberar são:

iptables -A INPUT -p tcp -i eth1 --dport 1723 -j ACCEPT
iptables -A INPUT -p 47 -i eth1 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 --dport 1723 -j ACCEPT
iptables -A FORWARD -p 47 -i eth1 -j ACCEPT
iptables -A PREROUTING -t nat -p tcp -i eth1 --dport 1723 -j DNAT --to 192.168.0.3:1723
iptables -A PREROUTING -t nat -p 47 -i eth1 -j DNAT --to 192.168.0.3

onde:
eth1= internet
192.168.0.3= maquina windows com vpn

luivilella
(usa Debian)

Enviado em 02/03/2012 - 17:00h

Renato segue o sniffer do cliente do momento que ele tenta conectar até o momento do erro 800.

16:51:18.696111 IP 10.1.1.248.49914 > IP_VPN_EXT.static.gvt.net.br.1723: Flags [S], seq 3089445624, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0

16:51:21.700622 IP 10.1.1.248.49914 > IP_VPN_EXT.static.gvt.net.br.1723: Flags [S], seq 3089445624, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0

16:51:27.704533 IP 10.1.1.248.49914 > IP_VPN_EXT.static.gvt.net.br.1723: Flags [S], seq 3089445624, win 8192, options [mss 1460,nop,nop,sackOK], length 0

16:51:39.809347 IP 10.1.1.248.isakmp > IP_VPN_EXT.static.gvt.net.br.isakmp: isakmp: parent_sa ikev2_init[I]

16:51:41.809093 IP 10.1.1.248.isakmp > IP_VPN_EXT.static.gvt.net.br.isakmp: isakmp: parent_sa ikev2_init[I]

16:51:44.810055 IP 10.1.1.248.isakmp > IP_VPN_EXT.static.gvt.net.br.isakmp: isakmp: parent_sa ikev2_init[I]

16:51:48.859641 IP 10.1.1.248.49915 > IP_VPN_EXT.static.gvt.net.br.https: Flags [S], seq 1224027737, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0

16:51:51.873991 IP 10.1.1.248.49915 > IP_VPN_EXT.static.gvt.net.br.https: Flags [S], seq 1224027737, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0

16:51:57.875337 IP 10.1.1.248.49915 > IP_VPN_EXT.static.gvt.net.br.https: Flags [S], seq 1224027737, win 8192, options [mss 1460,nop,nop,sackOK], length 0

 

luivilella
(usa Debian)

Enviado em 02/03/2012 - 17:04h

Amigo andrecanhadas, não funcionou, testei aqui sendo que:
eth0 - interface de acesso internet
10.1.1.248 - cliente tentando conectar VPN

iptables -A INPUT -p tcp -i eth0 --dport 1723 -j ACCEPT

iptables -A INPUT -p 47 -i eth0 -j ACCEPT

iptables -A FORWARD -p tcp -i eth0 --dport 1723 -j ACCEPT

iptables -A FORWARD -p 47 -i eth0 -j ACCEPT

iptables -A PREROUTING -t nat -p tcp -i eth0 --dport 1723 -j DNAT --to 10.1.1.248:1723

iptables -A PREROUTING -t nat -p 47 -i eth0 -j DNAT --to 10.1.1.248

 

renato_pacheco
(usa Debian)

Enviado em 02/03/2012 - 17:42h

Agora entendi. Tá rolando um IPSec junto ae. O andrecarenhas tá falando q fez um DNAT com a máquina interna. Pra mim DNAT serve quando a conexão vem d fora pra dentro e não ao contrário. Outra coisa é no momento da discagem (config do Windows). Vc tem q olhar em propriedades da conexão d q forma ele tenta estabelecer (se é só PPTP ou PPTP+IPSec etc.).

luivilella
(usa Debian)

Enviado em 02/03/2012 - 18:02h

Aqui está como:

WAN Miniport(PPTP)

Para criar a conexão VPN é normal, add VPN, coloca o ip depois usuário e senha. Só isso!

andrecanhadas
(usa Debian)

Enviado em 02/03/2012 - 18:05h

Realmente o que postei serviria se essa VPN estive em uma maquina windows na sua rede.

O seu problema esta em conectar a uma vpn externa. (Client)

Se tiver um tempo vou fazer uns testes em casa hoje a noite que posso simular o ambiente.

luivilella
(usa Debian)

Enviado em 02/03/2012 - 18:25h

Renato, andrecanhadas ... muito obrigado pelo apoio!!!

andrecanhadas
(usa Debian)

Enviado em 02/03/2012 - 18:35h

Pode tentar este tutorial:
http://www.vivaolinux.com.br/dica/Linux-como-cliente-VPN-de-servidor-Windows