Liberar VPN no firewall

renanalem
(usa Debian)

Enviado em 14/05/2009 - 09:56h

Bom dia todos... Seguinte configurei um server VPN no Win 2003 e os cliente na filial seram todos Win XP, porem na minha rede tem um firewall, e o servidor vpn vai ficar atras do meu firewall. O servidor VPN esta configurado para trabalhar com PPTP. Quais são as regras do firewall para liberar a conexão, por que estou tentando conectar e ta dando mensagem de erro 678 "Computador Remoto não responde". Urgente.

pogo
(usa Fedora)

Enviado em 14/05/2009 - 11:31h

Cara,

Libera as portas 47 e 1723 no seu firewall. O GRE e o PPTP utiliza estas portas para a comunicação.

[]'s

Pedro
www.pedropereira.net

renanalem
(usa Debian)

Enviado em 14/05/2009 - 12:57h

Mais quais são as regras para liberar no firewall iptables?

richardandrade
(usa Debian)

Enviado em 14/05/2009 - 13:29h

supondo que a ponta da sua VPN seja 10.0.0.1

#iptables -t INPUT -s 10.0.0.1 -m multiport -p protocolo --port 47,1723 -j ACCEPT
#iptables -t FORWARD -s 10.0.0.1 -m multiport -p protocolo --port 47,1723 -j ACCEPT


no caso essas 2 regras permitirão que qualquer acesso vindo do ip 10.0.0.1 pela porta 47 ou 1723 sejao que tenham como destion o firewall seja aceita e continuem sendo aceitas pela regra de FORWARD.


valeu e abraço.

renanalem
(usa Debian)

Enviado em 14/05/2009 - 14:04h

A minha configuração atual hoje é:

Servidor Firewall
eth3 200.x.x.x
eth1 192.168.0.1

Sevidor VPN
Rede Local 192.168.0.71

Na verdade o que eu quero é que tudo que chegue pela eth3 do meu servidor Firewall com destino a porta 1723 e 47 seja encaminhadas para o Servidor VPN, que esta em 192.168.0.71. Com seria a regra no firewall?

matheus.silva
(usa Debian)

Enviado em 14/05/2009 - 14:32h

tenho o mesmo cenario que voce...

Segue regra que funciona comigo no meu firewall:

iptables -t nat -A PREROUTING -p tcp -d IP_EXTERNO --dport 1723 -j DNAT --to IP_INTERNO
iptables -t nat -A PREROUTING -p 47 -d IP_EXTERNO -j DNAT --to IP_INTERNO
iptables -A FORWARD -i ppp0 -p tcp -d IP_INTERNO --dport 1723 -j ACCEPT
iptables -A FORWARD -o ppp0 -p tcp -s IP_INTERNO --sport 1723 -j ACCEPT
iptables -A FORWARD -i ppp0 -p 47 -d IP_INTERNO -j ACCEPT
iptables -A FORWARD -o ppp0 -p 47 -s IP_INTERNO -j ACCEPT

renanalem
(usa Debian)

Enviado em 14/05/2009 - 15:34h

Pois é tentei da forma que o Mateus colocou ai, mais não funciona, ele fica verificando o nome e a senha, depois da um erro 721. Engraçado que internamente na minha rede a vpn ta funcionando blz.. Socorro gente, precisando de ajuda.

richardandrade
(usa Debian)

Enviado em 14/05/2009 - 18:03h

ta ae as regras:

#iptables -t nat -A PREROUTING -i eth3 -m multiport --port 1723,47 -j DNAT --to-destination ip:porta
#iptables -A FORWARD -m multiport --port 1723,47 -j ACCEPT

todo acesso que chegue pela interface eth3 pela porta 1723 ou 47 será redirecionado para ip:porta

valeu e abraço.

renanalem
(usa Debian)

Enviado em 15/05/2009 - 10:05h

Infelizmente não funcionou de jeito nenhum. Fica verificando o usuário e a senha e depois da erro 721, computador remoto não responde. Ja fiz de tudo, mais não da certo. vou postar meu firewall

renanalem
(usa Debian)

Enviado em 15/05/2009 - 10:19h

#Declaração das variaveis
LAN=eth0
WAN=eth3
REDE=192.168.0.0/24
.
.
.

iptables -t nat -A PREROUTING -i $WAN -m multiport -p tcp --port 1723,47 -j DNAT --to-destination 192.168.0.71:1723
iptables -A FORWARD -m multiport -p tcp --port 1723,47 -j ACCEPT


iptables -A INPUT -p tcp --dport 47 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p tcp --dport 127 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 47 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 127 -j ACCEPT

iptables -A FORWARD -p tcp --dport 47 -i $WAN -j ACCEPT
iptables -A FORWARD -p tcp --dport 1723 -i $WAN -j ACCEPT
iptables -A FORWARD -p tcp --dport 127 -i $WAN -j ACCEPT

iptables -A OUTPUT -p tcp -s 192.168.0.71/24 --dport 47 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.0.71/24 --dport 1723 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.0.71/24 --dport 127 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp --dport 47 -j DNAT --to 192.168.0.71:47
iptables -t nat -A PREROUTING -p tcp --dport 1723 -j DNAT --to 192.168.0.71:1723
iptables -t nat -A PREROUTING -p tcp --dport 127 -j DNAT --to 192.168.0.71:127

ESSAS SÃO AS MINHAS CONFIGURAÇÕES ATUAIS NO FIREWALL

matheus.silva
(usa Debian)

Enviado em 15/05/2009 - 11:22h

Cara não é porta 47 (--dport 47) e sim protocolo 47 (-p 47)....

As regras que te passei eu uso no meu firewall e funciona normalmente... tenho um VPN Server windows por tras dele...

Esse é todo o seu arquivo de firewall???

Att,

Matheus

renanalem
(usa Debian)

Enviado em 15/05/2009 - 12:34h

Então Matheu, modifiquei da forma que vc me falow tirei --dport 47 e coloquei só -p 47, e fiz igual a sua configuração, só que de cara da mensagem de erro 678, ele nem tenta ferificar o usuário e senha como estava funcionando do outro jeito que estava o meu firewall. Meu firewall completo segue abaixo.

#!/bin/bash

iniciar(){

#Inicialização de modulos
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

#Declaração das variaveis
LAN=eth0
WAN=eth3
REDE=192.168.0.0/24
#Abre para a faixa de endereço de rede local:
iptables -A INPUT -s $REDE -j ACCEPT
iptables -A INPUT -i $LAN -j ACCEPT

###################################Protecao################################
#Ignora ping
#iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

#Protege contra ping spoofing
echo > 1 /proc/sys/net/ipv4/conf/default/rp_filter

#Descarta pacotes mal formados
iptables -A INPUT -m state --state INVALID -j DROP



##################################Compartilhamento de Conexao##############
#Compartilhar a conexao
modprobe iptable_nat
echo > 1 /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $WAN -j MASQUERADE

#Abre para a interface de loopback
iptables -A INPUT -p tcp -i lo -j ACCEPT

#Conectividade Social

iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -A FORWARD -p tcp -d $REDE --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -d $REDE --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp -d $REDE --dport 2631 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.15 --dport 80 -d 200.201.174.0/24 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.15 --dport 443 -d 200.201.174.0/24 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.15 --dport 2631 -d 200.201.174.0/24 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.15 -d 200.201.174.0/24 --dport 80 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.15 -d 200.201.174.0/24 --dport 443 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.15 -d 200.201.174.0/24 --dport 2631 -j MASQUERADE

#Libera porta para outlook
iptables -A FORWARD -p TCP -s $REDE --dport 25 -j ACCEPT
iptables -A FORWARD -p TCP -s $REDE --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT

#FTP no server 192.168.0.2

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#iptables -A FORWARD -p tcp --dport 21 -i eth1 -j ACCEPT
#iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to 192.168.0.2:21
#iptables -A OUTPUT -p tcp -s 192.168.0.0/24 --dport 21 -j ACCEPT

#VPN

#iptables -i INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.71 --dport 47 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.71 --dport 1723 -j MASQUERADE

iptables -A INPUT -p tcp --dport 47 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
#iptables -A INPUT -p tcp --dport 127 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 47 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT
#iptables -A OUTPUT -p tcp --dport 127 -j ACCEPT

iptables -A FORWARD -p tcp --dport 47 -i $WAN -j ACCEPT
iptables -A FORWARD -p tcp --dport 1723 -i $WAN -j ACCEPT
#iptables -A FORWARD -p tcp --dport 127 -i $WAN -j ACCEPT

iptables -A OUTPUT -p tcp -s 192.168.0.71/24 --dport 47 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.0.71/24 --dport 1723 -j ACCEPT
#iptables -A OUTPUT -p tcp -s 192.168.0.71/24 --dport 127 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp --dport 47 -j DNAT --to 192.168.0.71:47
iptables -t nat -A PREROUTING -p tcp --dport 1723 -j DNAT --to 192.168.0.71:1723
#iptables -t nat -A PREROUTING -p tcp --dport 127 -j DNAT --to 192.168.0.71:127

#Webserver
iptables -A OUTPUT -p tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8080 -i $WAN -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.0.1/24 --dport 8080 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to 192.168.0.1:8080

#Bloquear msn
iptables -A FORWARD -s $REDE -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s $REDE -p tcp --dport 1080 -j REJECT
iptables -A FORWARD -s $REDE -p tcp --dport 5190 -j REJECT

#Proxy Transparente
iptables -t nat -A PREROUTING -i $REDE -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128

#Bloqueia as portas UDP de 0 a 1023:
iptables -A INPUT -p udp --dport 0:1023 -j DROP

####################################################################################


echo "REGRAS DO FIREWALL ATIVADAS"

}

parar() {
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo > 0 /proc/sys/net/ipv4/ip_forward

echo "REGRAS DO FIREWALL DESATIVADAS"
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
esac