форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Настройка iptables для VPN поднятом на w2ks"
Сообщение от sergey on 26-Дек-03, 08:43  (MSK)
После долгих мучений с поднятием VPN на линухе подял его на w2ks. теперь ни как не могу настроить iptables для того чтоб он пропускал пакеты к VPNсерверу который находиться в локалке. Ситуация следующая: в инет смотрит киска которая мапит 1723 порт на линух (Cisco)  (спутниковая тарелка)    |           |    |--(Linux)--|          |          |     (коммутатор)          |          |---(VPN-сервер под W2KS)      необходимо чтобы подключаясь к киске из нета пользователи могли получить VPN соединение с w2ks для получения локального  IP адреса и как следствие доступ к локальной сети компании. Есть ли какое-нить разумное решение? Заранее благодарен.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Настройка iptables для VPN поднятом на w2ks"
Сообщение от mAdDuke on 26-Дек-03, 09:08  (MSK)
если можно, то еще и в варианте для freebsd и ipfw...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Настройка iptables для VPN поднятом на w2ks"
	Сообщение от sergey on 26-Дек-03, 09:55  (MSK)
	Гуру !!!! Где вы !!! Отзовитесь....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Настройка iptables для VPN поднятом на w2ks"
Сообщение от Mikhail on 26-Дек-03, 10:03  (MSK)
VPN как реализован? Причем тут порт 1723? Что и в какой момент не происходит?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Настройка iptables для VPN поднятом на w2ks"
	Сообщение от sergey on 26-Дек-03, 10:23  (MSK)
	>VPN как реализован? Причем тут порт 1723? Что и в какой момент >не происходит? на w2ks на локальный ифейс поднят VPN. порт 1723, как я понял из статьи https://www.opennet.ru/docs/RUS/vpn_pptp/ в самом конце расписываеться настройка iptables на 1723 порт и какой-то 47 протокол. Локально по сетке подключаюсь без проблем к VPN серверу, а вот из нета обращаясь на внещний айпи киски не получаеться. Соединение какбы устонавливаеться, но авторизация не проходит, ссылаеться на ошибку 721. Мол сервер не знает что такое ppp.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Настройка iptables для VPN поднятом на w2ks"
	Сообщение от Mikhail on 26-Дек-03, 10:42  (MSK)
	>>VPN как реализован? Причем тут порт 1723? Что и в какой момент >>не происходит? > >на w2ks на локальный ифейс поднят VPN. Какая программная реализация - pptp, l2tp, ipsec, other? Как при этом настраиваются клиенты? Какая ОС на клиентах? >порт 1723, как я понял из статьи https://www.opennet.ru/docs/RUS/vpn_pptp/ >в самом конце расписываеться настройка iptables на 1723 порт и какой-то 47 >протокол. В зависимости от этого - разные порты и протоколы используются. Включи logging на iptables - увидишь, что именно не пропускается. >Локально по сетке подключаюсь без проблем к VPN серверу, а вот из >нета обращаясь на внещний айпи киски не получаеться. Соединение какбы устонавливаеться, >но авторизация не проходит, ссылаеться на ошибку 721. >Мол сервер не знает что такое ppp. Ошибка возникает где - на win2ks?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Настройка iptables для VPN поднятом на w2ks"
	Сообщение от sergey on 26-Дек-03, 11:19  (MSK)
	pptp и l2tp клиенты на w2k настраиваю виртуальное соединение VPN серверу с айпи 195.5.3.52 (cisco) ошибка возникает на клиентах.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Настройка iptables для VPN поднятом на w2ks"
	Сообщение от Mikhail on 26-Дек-03, 11:26  (MSK)
	>pptp и l2tp >клиенты на w2k настраиваю виртуальное соединение VPN серверу с айпи 195.5.3.52 (cisco) > >ошибка возникает на клиентах. Там одним портом не обойдешься, тем более 1723 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/deployguide/dnsbf_vpn_uzuu.asp
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Настройка iptables для VPN поднятом на w2ks"
	Сообщение от sergey on 26-Дек-03, 11:43  (MSK)
	Спасибо за ссылку, то что нужно. Вот только как реализовать прохождение пакетиков через циску и линух?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Настройка iptables для VPN поднятом на w2ks"
	Сообщение от sergey on 26-Дек-03, 11:47  (MSK)
	вот часть файрвола отвечающего за прохождение этих пакетиков: $IPTABLES -A INPUT -p 47 -s 192.168.0.0/20 -j ACCEPT $IPTABLES -A INPUT -p 47 -d 192.168.0.0/20 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 1723 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 1723 -j ACCEPT $IPTABLES -A FORWARD -p 47 -s 192.168.0.0/20 -j ACCEPT $IPTABLES -A FORWARD -p 47 -d 192.168.0.0/20 -j ACCEPT $IPTABLES -A FORWARD -p tcp --sport 1723 -j ACCEPT $IPTABLES -A FORWARD -p tcp --dport 1723 -j ACCEPT На киске сделал только это: ip nat inside source static tcp 192.168.1.7 1723 195.5.3.52 1723 extendable no-alias Может что еще нужно?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Настройка iptables для VPN поднятом на w2ks"
	Сообщение от Mikhail on 26-Дек-03, 12:17  (MSK)
	>вот часть файрвола отвечающего за прохождение этих пакетиков: > >$IPTABLES -A INPUT -p 47 -s 192.168.0.0/20 -j ACCEPT >$IPTABLES -A INPUT -p 47 -d 192.168.0.0/20 -j ACCEPT >$IPTABLES -A INPUT -p tcp --dport 1723 -j ACCEPT >$IPTABLES -A INPUT -p tcp --dport 1723 -j ACCEPT >$IPTABLES -A FORWARD -p 47 -s 192.168.0.0/20 -j ACCEPT >$IPTABLES -A FORWARD -p 47 -d 192.168.0.0/20 -j ACCEPT >$IPTABLES -A FORWARD -p tcp --sport 1723 -j ACCEPT >$IPTABLES -A FORWARD -p tcp --dport 1723 -j ACCEPT > >На киске сделал только это: > >ip nat inside source static tcp 192.168.1.7 1723 195.5.3.52 1723 extendable no-alias > > >Может что еще нужно? Конечно, нужно. На циске - еще и пропустить нужный траффик ip access-list extended ... permit <proto> any <gt 1024> host <int_ip> eq <int_port> reflect <access_list> - подробности в документации по циске; Где делается NAT - тоже непонятно. Получается, нужно сразу несколько разных вопросов решить. Вряд ли кто-нибудь согласится сделать за тебя всю работу - этим народ деньги зарабатывает. Максимум - сами шаги + конкретные вопросы. Так делай step by step - сначала с циской разберись, потом с линуксом... Ничего личного, ладно? Спрашивай, только не вали все в кучу. Если подпирает по времени - давай в почту larin AT bdo DOT ru
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Настройка iptables для VPN поднятом на w2ks"
	Сообщение от Mikhail on 26-Дек-03, 12:00  (MSK)
	А в чем проблема? На циске ip nat inside source static tcp <int_addr> <inr_port> <ext_addr> <ext_port> extendable no-alias - маппинг нужного на внутренний адрес; на linux-машине пропускаем дальше; не забываем про nat. Далее все зависит от конкретных настроек. Дебаг есть и на циске, и в линуксе. Смотришь, что куда идет, куда проходит/не проходит, выясняешь, почему. На RAS включаешь дебаг, на win2k клиенте включаешь. И так до тех пор, пока не заработает.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Настройка iptables для VPN поднятом на w2ks"
Сообщение от sergey on 26-Дек-03, 10:31  (MSK)
Да еще один момент. Мапирую я 1723 порт не не линух а на w2ks. Сорри за опечатку.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.