Acesso VPN Windows Server [RESOLVIDO]

Galdino_tec
(usa Ubuntu)

Enviado em 18/04/2019 - 12:31h

Olá Senhores, tudo bem?
Na rede da possuo o iptables configurado e funcionando tranquilamente. A empresa possui uma filial na Bahia e o TI de lá configurou uma VPN no Windows Server. Me enviaram os dados de conexão e de todos os locais fora da empresa a conexão ocorre sem problemas.
Já dentro da empresa, que está atrás do Iptables, essa conexão não é realizada, aparentemente por bloqueio do firewall. Estou fazendo algumas pesquisas na net e sei que a vpn windows trabalha com as portas 1723 e com o protocolo GRE 47, mas não estou conseguindo fazer com que as maquinas internas saiam pra internet e se conectem a essa VPN.
Segue abaixo meu firewall que roda atualmente. Estou fazendo algumas modificações para ver se funciona, mas sem sucesso.
Se alguém já tiver passado por esta situação e puder ajudar ficarei muito grato.

#!/bin/bash

### Carregando módulos do iptables ###
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

case $1 in

stop)
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -X
iptables -Z
iptables -P FORWARD ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT

echo -e "...Firewall Iptables [\e[31m STOP \e[0m]"
echo""
;;

start)
echo "Carregando Firewall Iptables..."
### DECLARAÇÃO DAS VARIÁVIES ###
LAN="eth0"
WAN1="eth1"
WAN2="eth2"
REDE="192.168.0.0/24"

### Limpando as tabelas e marcando o padrão DROP para o FORWARD ###
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -X
iptables -Z
iptables -P FORWARD DROP
iptables -P INPUT DROP

### Configuração de redirecionamento de portas ###
iptables -t nat -A PREROUTING -s $REDE -p tcp --dport 80 -j REDIRECT --to-port 3128 # Proxy Squid

### Liberando e bloqueando portas FORWARD ###
iptables -A FORWARD -s $REDE -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p udp --dport 55820 -j ACCEPT #### Liberando saida do trafego OpenVPN
iptables -A FORWARD -p tcp --dport 444 -j ACCEPT ### Liberando porta par acessos externos

### FORWARD de saída ###
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $LAN -s $REDE -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i $LAN -s $REDE -p udp --dport 53 -j ACCEPT

### FORWARD de entrada ###
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 2/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-reply -m limit --limit 2/s -j ACCEPT
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -i $WAN1 -p tcp --sport 53 -j ACCEPT
iptables -A FORWARD -i $WAN1 -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -i $WAN1 -p tcp --sport 443 -j ACCEPT
iptables -A FORWARD -i $WAN2 -p tcp --sport 53 -j ACCEPT
iptables -A FORWARD -i $WAN2 -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -i $WAN2 -p tcp --sport 443 -j ACCEPT
iptables -A FORWARD -p tcp --dport : -j DROP
iptables -A FORWARD -p udp --dport : -j DROP

### Liberando e bloqueando portas INPUT ###
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $LAN -s $REDE -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --dport 33480 -j ACCEPT ### Acesso SSH
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -i $WAN1 -p tcp --dport 3128 -j DROP
iptables -A INPUT -i $WAN2 -p tcp --dport 3128 -j DROP
iptables -A INPUT -p tcp --dport : -j DROP
iptables -A INPUT -p udp --dport : -j DROP

#### Configurando o NAT ###
iptables -t nat -A POSTROUTING -s $REDE -o $WAN1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s $REDE -o $WAN2 -j MASQUERADE

### Habilitando repasse de pacotes entre interfaces ###
echo "1" > /proc/sys/net/ipv4/ip_forward

### Progresso ###
echo -e "...Firewall Iptables carregado [\e[32m OK \e[0m]"
echo""
;;

restart)
$0 stop
sleep 0.5
$0 start
;;
*)
echo "Use start | stop | restart"
echo""

;;
esac

removido
(usa Nenhuma)

Enviado em 23/04/2019 - 22:58h

Adicione a regra abaixo e verifique se funciona...
iptables -A FORWARD -s $REDE -p tcp --dport 1723 -j ACCEPT

Galdino_tec
(usa Ubuntu)

Enviado em 24/04/2019 - 10:25h

Olá DebUser, tudo bem?
Obrigado pela dica, vou tentar e posto o resultado ok.

Galdino_tec
(usa Ubuntu)

Enviado em 24/04/2019 - 13:05h

Olá.
Depois de muito garimpar pela internet, encontrei um link de 2012 do Filipeks. Segui sua dica e funcionou na hora.
Segue link, creio q possa ser útil para muitos...

http://filipebarreto-ti.blogspot.com/2012/08/regra-firewall-para-liberar-trafego-vpn.html

Abraço!