---

Hej

Jeg skal have klienter udefra ind på en W2K server med VPN.

Jeg har en linux firewall hvor jeg har tilføjet følgende til firewall
scriptet

#eth0 = internet
iptables -A -m state --protocol tcp --state NEW --destination-port 1723 -i
eth0 -j ACCEPT

iptables -A -m state --protocol 47 --state NEW -i eth0 -j ACCEPT

iptables -t nat -A PREROUTING --protocol tcp --destination-port 1723 -i
eth0 -j DNAT --to xxx.xxx.xxx.xxx

iptables -t nat -A PREROUTING --protocol 47 -i eth0 -j DNAT --to
xxx.xxx.xxx.xxx

Det virker ikke, er der nogen der kan hjælpe.

--
/ Peter

---

Peter Larsen wrote:

> Jeg skal have klienter udefra ind på en W2K server med VPN.
>
> Jeg har en linux firewall hvor jeg har tilføjet følgende til firewall
> scriptet

.....

> Det virker ikke, er der nogen der kan hjælpe.

Så vidt jeg ved, virker VPN ikke over NAT.


--
Mvh. Bo
Linux! The choice of a GNU generation!

---

Bo Simonsen wrote:
> Så vidt jeg ved, virker VPN ikke over NAT.

Hvis NAT virker og kan transportere IPSec trafikken, bør der ikke være
noget galt.

Nogle implementation har det dog dårligt med adresse oversat IPSec
headers, andre bruger blot IKE phase 1 id nøglen og SPI nøglen til at
identificere de enkelte noder.


--
Christian E. Lysel, http://www.spindelnet.dk/

---

Peter Larsen wrote:

> Jeg skal have klienter udefra ind på en W2K server med VPN.

Jeg mener Microsofts VPN bruger PPTP (ret mig, hvis jeg tager fejl), som
ikke er NAT-venlig.

> Jeg har en linux firewall hvor jeg har tilføjet følgende til firewall
> scriptet

Du skal sandsynligvis have en conntrack-helper. Der findes en i
patch-o-matic (se http://www.iptables.org/), som skulle kunne klare det for
dig; så burde du kunne klare dig med nedenstående:

iptables -A FORWARD -m state --protocol tcp --state NEW --destination-port
1723 -i eth0 -j ACCEPT
iptables -t nat -A PREROUTING --protocol tcp --destination-port 1723 -i eth0
-j DNAT --to xxx.xxx.xxx.xxx
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT


Lige et par detaljer: Det kræver patchning og dermed genoversættelse af
kernen. Og så skulle jeg måske lige nævne, at jeg aldrig fik det til at
fungere (al DNAT/SNAT gav 'invalid argument' efter jeg havde tilføjet
PPTP-patchen).

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Beware of bugs in the above code;
I have only proved it correct, not tried it.
- Donald Knuth
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Hej

Jeg har ikke brugt patch-o-matic, men jeg kan komme i kontakt med serveren
nu, men den svarer ikke tilbage.

Jeg tror det er GRE 47

Kan du lave et script ala det du lavede til 1723

--
/ Peter




"Rasmus Bøg Hansen" <moffe47@hotmail.com> skrev i en meddelelse
news:ape71q$vt6$1@carlsberg.amagerkollegiet.dk...
> Peter Larsen wrote:
>
> > Jeg skal have klienter udefra ind på en W2K server med VPN.
>
> Jeg mener Microsofts VPN bruger PPTP (ret mig, hvis jeg tager fejl), som
> ikke er NAT-venlig.
>
> > Jeg har en linux firewall hvor jeg har tilføjet følgende til firewall
> > scriptet
>
> Du skal sandsynligvis have en conntrack-helper. Der findes en i
> patch-o-matic (se http://www.iptables.org/), som skulle kunne klare det
for
> dig; så burde du kunne klare dig med nedenstående:
>
> iptables -A FORWARD -m state --protocol tcp --state NEW --destination-port
> 1723 -i eth0 -j ACCEPT
> iptables -t nat -A PREROUTING --protocol tcp --destination-port 1723 -i
eth0
> -j DNAT --to xxx.xxx.xxx.xxx
> iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
>
>
> Lige et par detaljer: Det kræver patchning og dermed genoversættelse af
> kernen. Og så skulle jeg måske lige nævne, at jeg aldrig fik det til at
> fungere (al DNAT/SNAT gav 'invalid argument' efter jeg havde tilføjet
> PPTP-patchen).
>
> /Rasmus
>
> --
> -- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
> Beware of bugs in the above code;
> I have only proved it correct, not tried it.
> - Donald Knuth
> ----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Peter Larsen wrote:

> Hej
>
> Jeg har ikke brugt patch-o-matic, men jeg kan komme i kontakt med serveren
> nu, men den svarer ikke tilbage.
>
> Jeg tror det er GRE 47
>
> Kan du lave et script ala det du lavede til 1723

Mine regler *burde* virke med PPTP - hvis du patcher PPTP-understøttelse ind
i kernen, oversætter en ny kerne og indlæser modulerne ip_conntrack_pptp og
ip_nat_pptp. Efter sigende skulle PPTP være så godt som umuligt at få til
at fungere gennem NAT uden at firewallen har kendskab til protokollen.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Expect the unexpected.
- HitchHikers Guide to the Galaxy, Douglas Adams
----------------------------------[ moffe at amagerkollegiet dot dk ] --

---

Hej

Jeg har fået det til at virke, jeg tilføjede dette:

#eth0=internet
#xxx.xxx.xxx.xxx=VPN server
iptables -A FORWARD -m state -p 47 --state NEW -i eth0 -j ACCEPT

iptables -t nat -A PREROUTING -p 47 -i eth0 -j DNAT --to xxx.xxx.xxx.xxx

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT


--
/ Peter




"Rasmus Bøg Hansen" <moffe47@hotmail.com> skrev i en meddelelse
news:aphq1e$588$1@carlsberg.amagerkollegiet.dk...
> Peter Larsen wrote:
>
> > Hej
> >
> > Jeg har ikke brugt patch-o-matic, men jeg kan komme i kontakt med
serveren
> > nu, men den svarer ikke tilbage.
> >
> > Jeg tror det er GRE 47
> >
> > Kan du lave et script ala det du lavede til 1723
>
> Mine regler *burde* virke med PPTP - hvis du patcher PPTP-understøttelse
ind
> i kernen, oversætter en ny kerne og indlæser modulerne ip_conntrack_pptp
og
> ip_nat_pptp. Efter sigende skulle PPTP være så godt som umuligt at få til
> at fungere gennem NAT uden at firewallen har kendskab til protokollen.
>
> /Rasmus
>
> --
> -- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
> Expect the unexpected.
> - HitchHikers Guide to the Galaxy, Douglas Adams
> ----------------------------------[ moffe at amagerkollegiet dot dk ] --