/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Iptables MS VPN
Fra : Peter Larsen


Dato : 26-10-02 14:42

Hej

Jeg skal have klienter udefra ind på en W2K server med VPN.

Jeg har en linux firewall hvor jeg har tilføjet følgende til firewall
scriptet

#eth0 = internet
iptables -A -m state --protocol tcp --state NEW --destination-port 1723 -i
eth0 -j ACCEPT

iptables -A -m state --protocol 47 --state NEW -i eth0 -j ACCEPT

iptables -t nat -A PREROUTING --protocol tcp --destination-port 1723 -i
eth0 -j DNAT --to xxx.xxx.xxx.xxx

iptables -t nat -A PREROUTING --protocol 47 -i eth0 -j DNAT --to
xxx.xxx.xxx.xxx

Det virker ikke, er der nogen der kan hjælpe.

--
/ Peter






 
 
Bo Simonsen (26-10-2002)
Kommentar
Fra : Bo Simonsen


Dato : 26-10-02 14:45

Peter Larsen wrote:

> Jeg skal have klienter udefra ind på en W2K server med VPN.
>
> Jeg har en linux firewall hvor jeg har tilføjet følgende til firewall
> scriptet

.....

> Det virker ikke, er der nogen der kan hjælpe.

Så vidt jeg ved, virker VPN ikke over NAT.


--
Mvh. Bo
Linux! The choice of a GNU generation!


Christian E. Lysel (26-10-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 26-10-02 15:13

Bo Simonsen wrote:
> Så vidt jeg ved, virker VPN ikke over NAT.

Hvis NAT virker og kan transportere IPSec trafikken, bør der ikke være
noget galt.

Nogle implementation har det dog dårligt med adresse oversat IPSec
headers, andre bruger blot IKE phase 1 id nøglen og SPI nøglen til at
identificere de enkelte noder.


--
Christian E. Lysel, http://www.spindelnet.dk/


Rasmus Bøg Hansen (26-10-2002)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 26-10-02 14:58

Peter Larsen wrote:

> Jeg skal have klienter udefra ind på en W2K server med VPN.

Jeg mener Microsofts VPN bruger PPTP (ret mig, hvis jeg tager fejl), som
ikke er NAT-venlig.

> Jeg har en linux firewall hvor jeg har tilføjet følgende til firewall
> scriptet

Du skal sandsynligvis have en conntrack-helper. Der findes en i
patch-o-matic (se http://www.iptables.org/), som skulle kunne klare det for
dig; så burde du kunne klare dig med nedenstående:

iptables -A FORWARD -m state --protocol tcp --state NEW --destination-port
1723 -i eth0 -j ACCEPT
iptables -t nat -A PREROUTING --protocol tcp --destination-port 1723 -i eth0
-j DNAT --to xxx.xxx.xxx.xxx
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT


Lige et par detaljer: Det kræver patchning og dermed genoversættelse af
kernen. Og så skulle jeg måske lige nævne, at jeg aldrig fik det til at
fungere (al DNAT/SNAT gav 'invalid argument' efter jeg havde tilføjet
PPTP-patchen).

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Beware of bugs in the above code;
I have only proved it correct, not tried it.
- Donald Knuth
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Peter Larsen (26-10-2002)
Kommentar
Fra : Peter Larsen


Dato : 26-10-02 16:25

Hej

Jeg har ikke brugt patch-o-matic, men jeg kan komme i kontakt med serveren
nu, men den svarer ikke tilbage.

Jeg tror det er GRE 47

Kan du lave et script ala det du lavede til 1723

--
/ Peter




"Rasmus Bøg Hansen" <moffe47@hotmail.com> skrev i en meddelelse
news:ape71q$vt6$1@carlsberg.amagerkollegiet.dk...
> Peter Larsen wrote:
>
> > Jeg skal have klienter udefra ind på en W2K server med VPN.
>
> Jeg mener Microsofts VPN bruger PPTP (ret mig, hvis jeg tager fejl), som
> ikke er NAT-venlig.
>
> > Jeg har en linux firewall hvor jeg har tilføjet følgende til firewall
> > scriptet
>
> Du skal sandsynligvis have en conntrack-helper. Der findes en i
> patch-o-matic (se http://www.iptables.org/), som skulle kunne klare det
for
> dig; så burde du kunne klare dig med nedenstående:
>
> iptables -A FORWARD -m state --protocol tcp --state NEW --destination-port
> 1723 -i eth0 -j ACCEPT
> iptables -t nat -A PREROUTING --protocol tcp --destination-port 1723 -i
eth0
> -j DNAT --to xxx.xxx.xxx.xxx
> iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
>
>
> Lige et par detaljer: Det kræver patchning og dermed genoversættelse af
> kernen. Og så skulle jeg måske lige nævne, at jeg aldrig fik det til at
> fungere (al DNAT/SNAT gav 'invalid argument' efter jeg havde tilføjet
> PPTP-patchen).
>
> /Rasmus
>
> --
> -- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
> Beware of bugs in the above code;
> I have only proved it correct, not tried it.
> - Donald Knuth
> ----------------------------------[ moffe at amagerkollegiet dot dk ] --



Rasmus Bøg Hansen (27-10-2002)
Kommentar
Fra : Rasmus Bøg Hansen


Dato : 27-10-02 23:41

Peter Larsen wrote:

> Hej
>
> Jeg har ikke brugt patch-o-matic, men jeg kan komme i kontakt med serveren
> nu, men den svarer ikke tilbage.
>
> Jeg tror det er GRE 47
>
> Kan du lave et script ala det du lavede til 1723

Mine regler *burde* virke med PPTP - hvis du patcher PPTP-understøttelse ind
i kernen, oversætter en ny kerne og indlæser modulerne ip_conntrack_pptp og
ip_nat_pptp. Efter sigende skulle PPTP være så godt som umuligt at få til
at fungere gennem NAT uden at firewallen har kendskab til protokollen.

/Rasmus

--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
Expect the unexpected.
- HitchHikers Guide to the Galaxy, Douglas Adams
----------------------------------[ moffe at amagerkollegiet dot dk ] --

Peter Larsen (28-10-2002)
Kommentar
Fra : Peter Larsen


Dato : 28-10-02 06:53

Hej

Jeg har fået det til at virke, jeg tilføjede dette:

#eth0=internet
#xxx.xxx.xxx.xxx=VPN server
iptables -A FORWARD -m state -p 47 --state NEW -i eth0 -j ACCEPT

iptables -t nat -A PREROUTING -p 47 -i eth0 -j DNAT --to xxx.xxx.xxx.xxx

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT


--
/ Peter




"Rasmus Bøg Hansen" <moffe47@hotmail.com> skrev i en meddelelse
news:aphq1e$588$1@carlsberg.amagerkollegiet.dk...
> Peter Larsen wrote:
>
> > Hej
> >
> > Jeg har ikke brugt patch-o-matic, men jeg kan komme i kontakt med
serveren
> > nu, men den svarer ikke tilbage.
> >
> > Jeg tror det er GRE 47
> >
> > Kan du lave et script ala det du lavede til 1723
>
> Mine regler *burde* virke med PPTP - hvis du patcher PPTP-understøttelse
ind
> i kernen, oversætter en ny kerne og indlæser modulerne ip_conntrack_pptp
og
> ip_nat_pptp. Efter sigende skulle PPTP være så godt som umuligt at få til
> at fungere gennem NAT uden at firewallen har kendskab til protokollen.
>
> /Rasmus
>
> --
> -- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
> Expect the unexpected.
> - HitchHikers Guide to the Galaxy, Douglas Adams
> ----------------------------------[ moffe at amagerkollegiet dot dk ] --



Søg
Reklame
Statistik
Spørgsmål : 177577
Tips : 31968
Nyheder : 719565
Indlæg : 6409068
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste