---

Hej

Jeg har ladet mig fortælle at nedenstående er nødvendigt for at etablerer en
VPN forbindelse bag en ipchains firewall til en VPN server på Internettet.
> Du skal forwarde 1723/tcp og protocol 47 (GRE).

Hvordan forwarder man en protokol, er det på samme måde som en port eller..

Skal siges at jeg forsøger at komme på en vpn forbindelse men har endnu ikke
lykkes. Jeg har prøvet med at forwarde port 1723/tcp men gre ved jeg ikke
hvordan skal gøres.. please advice

Mvh. Kasper

#########################################################################
# Purpose: Direct vpn requests to vpn client
#
# Revision 1.00 (08.08.2000, Kasper)
#########################################################################
/usr/sbin/ipmasqadm portfw -a -P tcp -L 10.1.1.2 1723 -R 192.168.1.22 1723

---

> lykkes. Jeg har prøvet med at forwarde port 1723/tcp men gre ved jeg ikke
> hvordan skal gøres.. please advice

/usr/sbin/ipmasqadm portfw -a -P tcp -L 10.1.1.2 1723 -R 192.168.1.22 1723
/usr/sbin/ipmasqadm portfw -a -P 47 -L 10.1.1.2 1723 -R 192.168.1.22 1723
~~ -P angiver protokollen...
Jeg har set de fleste steder at IPCHAINS burde slå protokollens alias op i /etc/protocols, men ikke gør det ordentligt...
Derfor skriver jeg 47 istedet for gre...
Hvis du også skal bruge IPIP skal du tilføje en linie med protokollen 4 (ipip) altså:
/usr/sbin/ipmasqadm portfw -a -P 4 -L 10.1.1.2 1723 -R 192.168.1.22 1723
mvh
Dennis

---

> /usr/sbin/ipmasqadm portfw -a -P tcp -L 10.1.1.2 1723 -R 192.168.1.22 1723
> /usr/sbin/ipmasqadm portfw -a -P 47 -L 10.1.1.2 1723 -R 192.168.1.22 1723
> /usr/sbin/ipmasqadm portfw -a -P 4 -L 10.1.1.2 1723 -R 192.168.1.22 1723

for at forwarde disse skal jeg vel også åbne for dem på selve firewallen..
eller er der noget smartere man kan gøre.

Dette var hvad jeg havde tænkt mig at åbne for fra internettet til
firewallen:
/sbin/ipchains -A bad-if -p tcp --dport 1723 -j ACCEPT
/sbin/ipchains -A bad-if -p 47 --dport 1723 -j ACCEPT
/sbin/ipchains -A bad-if -p 4 --dport 1723 -j ACCEPT

Mvh. Kasper

---

> /usr/sbin/ipmasqadm portfw -a -P 47 -L 10.1.1.2 1723 -R 192.168.1.22 1723

Jeg får meddelse nedenfor når jeg prøver at kører ovenstående.. har du en
ide om hvad jeg gør galt.. eller hvad der skal til får at få det til at
fungerer.

portfw: invalid protocol specified

Mvh. Kasper

---

Sorry for den lange ventetid... jeg har fået mig en gang lungebetændelse.. så jeg er ikke så aktiv lige nu...
Men jeg har kigget lidt nærmere på det, og kan konstatere at portfw ikke understøtter andet end tcp og udp....
Sorry... jeg tror jeg engang fandt en ukurant version.... men ok...
Jeg har gravet lidt dybere... og kommet frem til at der ikke er tale om protokollen gre, men porten til gre tunnelling... altså
port 47

Jeg har også fundet et script der skulle kunne klare det?
Jeg har på nuværende tidspunkt en 2.2.14-5.0 kerne... og den virker det ikke på... men 2.2.16+ skulle virke

ipchains -F
ipmasqadm portfw -f
echo 1 > /proc/sys/net/ipv4/ip_forward
insmod ip_masq_pptp
insmod ip_masq_ftp
ipchains -P input ACCEPT
ipchains -P output ACCEPT
ipchains -P forward REJECT
ipchains -A forward -s $internetVPNServer/24 -j MASQ
ipmasqadm portfw -a -P tcp -L $internalNetcard 1723 -R $internetVPNServer 1723
ipfwd $internetVPNServer 47 &

Man skal bruge ipfwd ... og hvis ikke du har den skal du nok finde den her...
http://www.cag.lcs.mit.edu/~cananian/Projects/IPfwd/
Man skal også bruge ip_masq_pptp.o som kan findes igennem "linux_pptp" linket på siden...
Du skal også bruge ip_masq_ftp.o hvis du vil bruge den som i scriptet herover, men den kunne jeg ikke lige umiddelbart finde...

Jeg kigger lidt videre på det, men jeg håber at du kan bruge dette til noget...

Dette her er nok helt sikkert noget du kan bruge
http://www.linuxdoc.org/HOWTO/VPN-Masquerade-HOWTO.html

mvh
Dennis

---

Microsoft bruger GRE ID på IP protokollen... så den er god nok...
Det lykkedes mig ikke igennem min RH6.2 med standard kerne, men jeg håber du kunne bruge forrige indslag til noget... (Jeg har i
min router Cisco 677 lavet følgende NAT entry hvis det skulle hjælpe lidt...:)
set nat entry add 10.0.0.3 1723
Jeg har med vilje undladt at bruge protokol... så den NAT'er alle protokoller.... (10.0.0.3 er min maskine der er klient til VPN
inde på arbejdet...)
mvh
Dennis

---

jeg kører med denne på min 677:
IP NAT Entry = 10.10.10.2, 1723, *, 1723, *; 10.10.10.1, 23023, 0.0.0.0,
23023, *; 10.10.10.2, *, *, *, tcp; 10.10.10.2, *, *, *, udp

10.10.10.2 er firewallen..

tror du den er ok..

---

kan du ikke lige lave en "show nat" istedet...
Det ser umiddelbart rigtigt ud, men det er nemmere at læse den i kolonneform...

---

> kan du ikke lige lave en "show nat" istedet...
> Det ser umiddelbart rigtigt ud, men det er nemmere at læse den i
kolonneform...

Local IP : Port Global IP : Port Timer Flags Proto Interface
10.10.10.2:***** *****:***** 180 0x3041 *** eth0

Mvh. Kasper

---

> Local IP : Port Global IP : Port Timer Flags Proto Interface
> 10.10.10.2:***** *****:***** 180 0x3041 *** eth0

Ok... ALT er piv åbent... det er fint !...

---

har du åbnet for noget på din ipchains firewall for at kunne forwarde GRE
det står sikkert i howto'en men vil gerne høre af dine erfaring.

Mvh. Kasper

---

"Kasper Baas" <baas@post1.tele.dk> skrev i en meddelelse news:9ce03l$2m2u$1@news.cybercity.dk...
> har du åbnet for noget på din ipchains firewall for at kunne forwarde GRE
> det står sikkert i howto'en men vil gerne høre af dine erfaring.
>

Det er det der er problemet... min nuværende kerne kan slet ikke dette her på kerne niveau...
Jeg havde engang en Portforwarder som program der klarede det, men den vil heller ikke køre på min kerne...
Hvad kører du med? (prøv evt. at skrive "uname -a")
mvh
Dennis

---

kerne 2.2.19 med en patch der får vpn/gre til at fungere.. den akcepterer da
protokol efter at have kompileret kernen med punkt 3.4 fra
http://www.linuxdoc.org/HOWTO/VPN-Masquerade-HOWTO-3.html#ss3.4

firewall: ipchains
portforward: ipmasqadm portfw

Jeg er nu igang med at få connection og er kommet lidt videre men hænger på
nedenstående:
Apr 28 17:58:00 xx kernel: ip_masq_pptp_tcp(): OUT_CALL_REQUEST
192.168.1.10 -> "x.x.x.x" CID=8000 MCID=F290
Apr 28 17:58:00 xx kernel: ip_demasq_pptp_tcp(): OUT_CALL_REPLY
192.168.1.10 -> "x.x.x.x" CID=8000 MCID=F290

pt. tror jeg det har noget med min firewall og masq jeg skal holde dig
underrettet.. hvis der sker noget nyt giv mig evt. din email

Jeg er meget spændt på at høre om du har fundet frem til noget.. jeg sadte
min egen vpn-server op og det gik fint.. men det var også internt.. nu det
firewallen der mangler..

Mvh. Kasper

---

> Jeg er nu igang med at få connection og er kommet lidt videre men hænger på
> nedenstående:
> Apr 28 17:58:00 xx kernel: ip_masq_pptp_tcp(): OUT_CALL_REQUEST
> 192.168.1.10 -> "x.x.x.x" CID=8000 MCID=F290
> Apr 28 17:58:00 xx kernel: ip_demasq_pptp_tcp(): OUT_CALL_REPLY
> 192.168.1.10 -> "x.x.x.x" CID=8000 MCID=F290

Argh... hvad i alverden er det... ja ja.. masqerade og demasqerade... men er det en fejlmeddelelse?

> pt. tror jeg det har noget med min firewall og masq jeg skal holde dig
> underrettet.. hvis der sker noget nyt giv mig evt. din email
>
> Jeg er meget spændt på at høre om du har fundet frem til noget.. jeg sadte
> min egen vpn-server op og det gik fint.. men det var også internt.. nu det
> firewallen der mangler..

Jeg er ikke rigtigt kommet videre... jeg besluttede bare at nøjes med at køre den uden om firewallen... og så lave NAT på Cisco
677'eren... kun på port 1723 til den maskine... og det virker fint (Man kan så heller ikke få fat i andet på den... men det er
vist også det bedste...)

Min e-mail?`?? Den kunne du da bare snuppe fra headerne (I outlook express vælger du bare egenskaber på inlægget.. højreklikker
på "Dennis Petersen" og vælger egenskaber igen... og voila....
fessor@software.dk