Problemas com VPN [RESOLVIDO]

gek09
(usa Debian)

Enviado em 20/12/2010 - 13:56h

Boa tarde, estou tendo problemas com a liberação das portas para efetuar acesso VPN em meu servidor Windows 2003, já configurei utilizando o RAS. Sou iniciante em linux, pesquisei e fiz varios testes e não obtive resultado, alguem pode me dar uma ajuda?! Minha placa de rede com acesso a internet(WAN) é eth4, com endereço de ip: 192.168.0.1 e a placa de rede local eth2 (LAN) utiliza o seguinte ip: 192.168.254.1. Estou encaminhando abaixo o meu iptables, aceito criticas e sugestões para melhorar. Verifiquei o GRE e está com a porta 47.

#Limpa e inicializa os modulos
#******************************
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
modprobe iptable_nat
#
#Proxy transparente (Redireciona para o squid) - eth2 -> Placa de rede da intranet
#********************************************************
#
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
#
iptables -A FORWARD -p udp -s 192.168.254.0/24 -d 200.175.5.139 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 200.175.5.139 --sport 53 -d 192.168.254.0/24 -j ACCEPT
#
#Regra para liberacao do POP e SMTP
********************************************************
#
iptables -A FORWARD -p TCP -s 192.168.254.0/24 --dport 25 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.254.0/24 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
#
#Regra para liberacao da VPN
#********************************************************
#
iptables -A FORWARD -p TCP -m multiport --dport 1723,1701 -j ACCEPT
iptables -A FORWARD -p UDP -m multiport --dport 1723,1701 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT
iptables -A OUTPUT -p 47 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT
iptables -A INPUT -i eth4 -p tcp -d eth2 --dport 1723 -j ACCEPT
iptables -A INPUT -i eth2 -p gre -j ACCEPT
iptables -A FORWARD -p TCP --dport 1723 -j ACCEPT
iptables -A FORWARD -p 47 -j ACCEPT
#
#Compartilha Internet - eth2 -> Placa de rede da internet
#********************************************************
#
iptables -t nat -A POSTROUTING -o eth4 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Agradeço a atenção e a ajuda, qualquer dúvida é só perguntar, assim que possível irei responder.

alan-souza
(usa Slackware)

Enviado em 20/12/2010 - 14:07h

Você precisa indicar onde está a sua máquina Win2003 que vai receber a conexão!

gek09
(usa Debian)

Enviado em 20/12/2010 - 14:09h

Alan, você tem algum exemplo para me dizer?! Sou leigo em iptables, procurei mas as informações não localizei um tutorial ou algo parecido.

Atenciosamente,
Gustavo Souza

alan-souza
(usa Slackware)

Enviado em 20/12/2010 - 14:17h

Não estou no Slackware agora, mas veja este tuto e compare com suas regras:

http://www.htmlstaff.org/ver.php?id=22033

alan-souza
(usa Slackware)

Enviado em 20/12/2010 - 14:20h

Olhe seu Firewall no Win2003 ele também tem horas que dá dores de cabeça quanto a receber a conexão!

gek09
(usa Debian)

Enviado em 20/12/2010 - 17:24h

Esqueci de informar que meu endereço de ip não é fixo, é dinamico, utilizo para minha VPN o dyndns.

alan-souza
(usa Slackware)

Enviado em 20/12/2010 - 20:23h

Qual a topologia de sua rede?

gek09
(usa Debian)

Enviado em 21/12/2010 - 09:27h

Então minha topologia está da segunte forma, internet (com endereço de IP: 192.168.0.1 | eth4) entra no firewall "Squid", sai na segunda placa de rede (LAN com o endereço de IP: 192.168.254.1 |eth2). Meu servidor possui o endereço de IP fixo em xxx.xxx.254.101 e as minhas estações estão
com ip dinâmico.

------------
INTERNET
------------
LINUX | ETH4: 192.168.0.1 (WAN)
| ETH2: 192.168.254.1 (LAN)
------------
SWITCH
------------
SERVIDOR W2003 | IP: xxx.xxx.254.101 e ESTAÇÕES COM IPs DINÂMICOS


Atenciosamente,
Gustavo Souza

alan-souza
(usa Slackware)

Enviado em 22/12/2010 - 14:23h

iptables -t nat -A PREROUTING -p tcp -m tcp -i eth4 --dport 1723 -j DNAT --to-destination xxx.xxx.254.101:1723
iptables -t nat -A PREROUTING -p 47 -i eth4 -j DNAT --to-destination xxx.xxx.254.101

*Seu modem, se estiver em bridge beleza, senão, você também tem que fazer trabalho de redirecionamento nele!
*Você tem um Swithc, as regras também devem ser implementadas nele!

Experimente também redirecionar o protocolo gre:

iptables -t nat -A PREROUTING -p gre -j DNAT --to xxx.xxx.254.101

lejoso
(usa Debian)

Enviado em 29/12/2010 - 09:26h

Essas duas regras acima que o alan-souza estão corretas, porém para funcionar tem de ser verificado mais 2 itens:


1- Se o gateway do servidor windows 2003 está apontado para seu firewall

2- Se seu firewall está configurado como statefull

iptables -t filter -I INPUT -m state --state NEW,ESTABLISHED,RELATED,INVALID -j ACCEPT
iptables -t filter -I OUTPUT -m state --state NEW,ESTABLISHED,RELATED,INVALID -j ACCEPT
iptables -t filter -I FORWARD -m state --state NEW,ESTABLISHED,RELATED,INVALID -j ACCEPT

gek09
(usa Debian)

Enviado em 17/02/2011 - 12:56h

Então criei uma VPN com o RRAS no Windows 2008 e está funcionando, provavelmente o que está acontecendo seja um problema com o meu Windows 2003, obrigado pelas dicas.