VPN não funciona

1. VPN não funciona

Moisés Augusto
jr.jorro

(usa Debian)

Enviado em 20/05/2010 - 08:44h

Pessoal, estou querendo acessar a vpn de um cliente e tou tentando liberar a porta 1723 e protocolo 47 (gre)...

mas as regras aparecem no chain INPUT mas eu não consigo listar as portas com o netstat -a -n e nem a vpn conecta. Alguém pode me ajudar? ja busquei as soluções aqui, mas não funcionaram.

segue meu firewall pra alguém achar um vacilo:

# FIREWALL PARA FUNCIONAMENTO DE PROXY

iptables -F
iptables -X
iptables -Z
iptables -t nat -F

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

# ==========================================================
# DEFINIÇÃO DE REDES
# ==========================================================

EXTERNAL_INT="eth0" # Interface Externa
INTERNAL_INT="eth1" # Interface Interna Desktops
INTERNAL_INT_SERVERS="eth2" # Interface Interna Servidores

LAN_ADDRESS="192.168.2.0/24" # Rede Interna Desktops
LAN_ADDRESS_SERVERS="192.168.1.0/24" # Rede Interna Servers

INTERNAL_IP="192.168.2.1" # IP Interno rede Desktops
INTERNAL_IP_SERVERS="192.168.1.1" # IP Interno rede Servidores
EXTERNAL_IP="189.55.55.4" # IP Externo

DNS_EXTERNO="200.55.55.4" # DNS Externo do ISP
DNS_EXTERNO2="200.55.55.20" # DNS Externo secundario ISP

WEB_SERVER_IP="192.168.1.2" # IP do webserver
SFTP_IP="192.168.2.2" # IP do SFTP


# ROUTING PARA PROXY

# Tudo desde a Rede Interna, fazer NAT (incluindo o web server)
iptables -t nat -A POSTROUTING -s $LAN_ADDRESS -o $EXTERNAL_INT -j MASQUERADE
iptables -t nat -A POSTROUTING -s $LAN_ADDRESS_SERVERS -o $EXTERNAL_INT -j MASQUERADE

# Tudo o que chegar ao porto 80 desde a rede interna e tiver como destino outra rede,
# redirigir ao porto 3128 (Proxy Transparente)
iptables -t nat -A PREROUTING -s $LAN_ADDRESS -d ! $LAN_ADDRESS -p tcp --dport 80 -j REDIRECT --to-port 3128

# Todo lo que venga por el exterior y vaya al puerto 80 lo redirigimos al Web Server
iptables -t nat -A PREROUTING -i $EXTERNAL_INT -p tcp -d 189.55.55.4 --dport 80 -j DNAT --to 192.168.1.2:80

# Todo lo que venga por el exterior y vaya al puerto 443 lo redirigimos al Web Server
iptables -t nat -A PREROUTING -i $EXTERNAL_INT -p tcp -d 189.55.55.4 --dport 443 -j DNAT --to 192.168.1.2:443

# Todo lo que venga por el exterior y vaya al puerto 22 lo redirigimos al Web Server
iptables -t nat -A PREROUTING -i $EXTERNAL_INT -p tcp -d 189.55.55.4 --dport 22 -j DNAT --to 192.168.1.2:22

# Todo lo que venga por el exterior y vaya al puerto 21 lo redirigimos al Web Server
iptables -t nat -A PREROUTING -i $EXTERNAL_INT -p tcp -d 189.55.55.4 --dport 3306 -j DNAT --to 192.168.1.2:3306

# Faltam regras para impedir serviços desde fora da LAN

# Todo lo que venga por el exterior y vaya al puerto 22 lo redirigimos al Web Server
iptables -t nat -A PREROUTING -i $EXTERNAL_INT -p tcp -d 189.55.55.4 --dport 2222 -j DNAT --to $SFTP_IP:2222


# INPUT
# Permitimos tudo o que chegar no Firewall e tem como destino final o Firewall
# desde a rede interna

#/sbin/iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s $LAN_ADDRESS -i $INTERNAL_INT -j ACCEPT

# FORWARD

# Forward do trafego para web server (HTTP)
iptables -A FORWARD -p tcp -i $INTERNAL_INT_SERVERS -d 192.168.1.2 --dport 80 -j ACCEPT

# Forward do trafego para web server (HTTPS)
iptables -A FORWARD -p tcp -i $INTERNAL_INT_SERVERS -d 192.168.1.2 --dport 443 -j ACCEPT


--state ESTABLISHED,RELATED -j ACCEPT


#POP 110 e SMTP 25
iptables -A FORWARD -p UDP -s 192.168.2.0/24 -d 200.55.55.4 --dport 53 -j ACCEEPT
iptables -A FORWARD -p UDP -s 200.55.55.4 --sport 53 -d 192.168.2.0/24 -j ACCeEPT

iptables -A FORWARD -p TCP -s 192.168.2.0/24 --dport 110 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.2.0/24 --dport 25 -j ACCEPT
iptables -A FORWARD -p TCP --sport 110 -j ACCEPT
iptables -A FORWARD -p TCP --sport 25 -j ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE

# Regras de Forward para os que trabalham nos Desktops
#iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p tcp --dport 993 -j ACCEPT
#iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p tcp --dport 110 -j ACCEPT
#iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p tcp --dport 465 -j ACCEPT
#iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p udp --dport 53 -j ACCEPT
#iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p tcp --dport 23 -j ACCEPT
#iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p udp --dport 23 -j ACCEPT
#iptables -A FORWARD -s $LAN_ADDRESS -i $INTERNAL_INT -p tcp --dport 1863 -j REJECT


# Todo lo que venga por el exterior y vaya al puerto 21 lo redirigimos al Web Server
#iptables -t nat -A PREROUTING -i $EXTERNAL_INT -p tcp -d 189.55.55.4 --dport 21 -j DNAT --to 192.168.1.2:21
#iptables -t nat -A PREROUTING -i $EXTERNAL_INT -p tcp -d 189.55.55.4 --dport 20 -j DNAT --to 192.168.1.2:20
#iptables -t nat -A POSTROUTING -p tcp --dport 20 -j DNAT --to 192.168.1.1:20

#HABILITAR VPN
iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A INPUT -p 50 -j ACCEPT
iptables -A OUTPUT -p 50 -j ACCEPT
iptables -A INPUT -p 51 -j ACCEPT
iptables -A OUTPUT -p 51 -j ACCEPT
iptables -A INPUT -p tcp --sport 2020 --dport 2020 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 2020 --dport 2020 -j ACCEPT

iptables -I INPUT -s $LAN_ADDRESS -d 200.55.55.12 -j ACCEPT
iptables -I INPUT -i eth1 -p 47 -j ACCEPT
iptables -I INPUT -i eth1 --dport 1723 -j ACCEPT
iptables -I FORWARD -i eth1 -p 47 -j ACCEPT
iptables -I FORWARD -i eth1 -p tcp --dport 1723 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p 47 -j DNAT --to 200.55.55.12
iptables -t nat -A PREROUTING -i eth1 --dport 1723 -j DNAT --to 200.55.55.12

#Enrotamento
echo 1> /proc/sys/net/ipv4/ip_forward
iptables -L -n




  


2. mas que festa!!!!

irado furioso com tudo
irado

(usa XUbuntu)

Enviado em 20/05/2010 - 09:17h

uma vez que suas politicas são ACCEPT pra tudo, seu firewall é uma verdadeira festa do kaki :) consequentemente qualquer ACCEPT posterior é inútil, por redundante. A sugestão FORTE é DROP nas politicas e DEPOIS aceitar apenas o que deve ser aceito.

o mais importante aqui vc NÃO colocou (para fins de VPN): qual o aplicativo utilizado, quais as informações do log, se o dispositivo virtual está ativado (e funcionando), se vc tem rota para o "outro lado"../



3. Re: VPN não funciona

Moisés Augusto
jr.jorro

(usa Debian)

Enviado em 20/05/2010 - 09:25h

nossa!

pois é.. pra fazer uma conexão como client preciso add rota ? Ele me passou o ip, a senha, o domínio e pediu pra liberar a porta 1723 e o protocolo gre.

Estou usando aquele client do windows pra testar e na outra ponta tem um cisco asa5540

Irado, um detalhe importante... pq quando tento listar com o netstat -a -t não mostra que a porta que eu pedi está aberta ? pq tá tudo aberto, ai ele ignora as regras abaixo?

Eu não sei como fazer pra gerar esses logs. Log de tentativa de acessos ?


4. Re: VPN não funciona

irado furioso com tudo
irado

(usa XUbuntu)

Enviado em 20/05/2010 - 10:14h

vc faz uma NOVA pergunta, mas não respondeu aquelas que fiz.. se quer ajuda, SIGA as instruções.


5. Re: VPN não funciona

Moisés Augusto
jr.jorro

(usa Debian)

Enviado em 20/05/2010 - 13:47h

ok.

Segue:
aplicativo utilizado cliente: conexão vpn do win
aplicativo utilizado no servidor: cisco asa5540
log: ainda não tenho log do iptables
servidor virtual: funcionando. Já tenho o ip wan deles, user, pass e domínio
se eu tenho rota: não sei como se aplica no meu caso.

Obrigado Irado, inclusive pelas críticas. Ontem fiquei até tarde estudando iptables e squid pra entender as coisas. Isso pq em uma outra pergunta, vc me deu um puxão de orelhas.


6. putzgrillo..

irado furioso com tudo
irado

(usa XUbuntu)

Enviado em 20/05/2010 - 14:06h

agora ferrou tudo, mano.. ferrou de vez mesmo. Eu não uso (nem conheço, na verdade) as funções e aplicativos do (r)windows. Agora nós dois vamos ter que esperar do pacheco. Em todo caso, sugiro que vc faça novo post (em outro lugar que NÃO iptables/squid) especificando SO, aplicativos, dispositivos, enfim, tudo o que possa ajudar, e esclarecer que precisa gerar a conexão, etc.




7. Re: VPN não funciona

Moisés Augusto
jr.jorro

(usa Debian)

Enviado em 20/05/2010 - 14:54h

ok.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts