LINUX.ORG.RU
ФорумAdmin

PPTPD клиенты не видят друг друга.

 


0

1

Есть след. проблема при подключение к VPN серверу, клиенты не видят друг друга...

Конфиг pptpd

localip 10.0.0.1
remoteip 10.0.0.100-102
auth
proxyarp
option /etc/ppp/options.pptpd

конфиг: IPTABLES pptpd server

-A INPUT -s 37.190.111.1 -p tcp -m tcp --dport 1723 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -j fail2ban-SSH 
-A INPUT -p tcp -m tcp --dport 21 -j fail2ban-pureftpd 
-A INPUT -m state --state INVALID -j DROP 
-A INPUT -i lo -j ACCEPT 
-A INPUT -d 127.0.0.0/8 -j REJECT --reject-with icmp-port-unreachable 

-A INPUT -p icmp -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 25 --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec --limit-burst 10 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 25 --tcp-flags FIN,SYN,RST,ACK SYN -j DROP 
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 465 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 587 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT 
-A INPUT -p udp -m udp --dport 53 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 995 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 113 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 993 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT 
-A INPUT -p udp -m udp --dport 3306 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 1433 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: MSSQL " 
-A INPUT -p tcp -m tcp --dport 1433 -j DROP 
-A INPUT -p tcp -m tcp --dport 6670 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Deepthrt " 
-A INPUT -p tcp -m tcp --dport 6670 -j DROP 
-A INPUT -p tcp -m tcp --dport 6711 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Sub7 " 
-A INPUT -p tcp -m tcp --dport 6711 -j DROP 
-A INPUT -p tcp -m tcp --dport 6712 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Sub7 " 
-A INPUT -p tcp -m tcp --dport 6712 -j DROP 
-A INPUT -p tcp -m tcp --dport 6713 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Sub7 " 
-A INPUT -p tcp -m tcp --dport 6713 -j DROP 
-A INPUT -p tcp -m tcp --dport 12345 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Netbus " 
-A INPUT -p tcp -m tcp --dport 12345 -j DROP 
-A INPUT -p tcp -m tcp --dport 12346 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Netbus " 
-A INPUT -p tcp -m tcp --dport 12346 -j DROP 
-A INPUT -p tcp -m tcp --dport 20034 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Netbus " 
-A INPUT -p tcp -m tcp --dport 20034 -j DROP 
-A INPUT -p tcp -m tcp --dport 31337 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: BO " 
-A INPUT -p tcp -m tcp --dport 31337 -j DROP 
-A INPUT -p tcp -m tcp --dport 6000 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: XWin " 
-A INPUT -p tcp -m tcp --dport 6000 -j DROP 
-A INPUT -p udp -m udp --dport 33434:33523 -j DROP 
-A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p igmp -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m tcp --dport 443 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 5/min -j LOG --log-prefix "Firewalled packet:" 
-A INPUT -p tcp -j REJECT --reject-with tcp-reset 
-A INPUT -j DROP 
-A INPUT -s 89.35.160.61/32 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -s 188.143.232.37/32 -j REJECT --reject-with icmp-port-unreachable 
-A INPUT -p tcp -m tcp --dport 4949 -j ACCEPT 
-A INPUT -s 192.168.1.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 3129 -j DROP 
-A FORWARD -m state --state INVALID -j DROP 
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 5/min -j LOG --log-prefix "Firewalled packet:" 
-A FORWARD -p tcp -j REJECT --reject-with tcp-reset 
-A FORWARD -i ppp+ -o eth0 -j ACCEPT 
-A FORWARD -i eth0 -o ppp+ -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 3128 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 6660:6669 -j DROP 
-A OUTPUT -p tcp -m tcp --dport 7000 -j DROP 
-A OUTPUT -p tcp -m owner --uid-owner mail -m tcp --dport 25 -j ACCEPT 
-A OUTPUT -p tcp -m owner --uid-owner root -m tcp --dport 25 -j ACCEPT 
-A OUTPUT -d 127.0.0.1/32 -p tcp -m tcp --dport 25 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable 
-A OUTPUT -j ACCEPT 
COMMIT

у клиента

pptp-pptp_clien Link encap:Point-to-Point Protocol
          inet addr:10.0.0.101  P-t-P:10.0.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:1218 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1252 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:64
          RX bytes:8904 (8.6 KiB)  TX bytes:11474 (11.2 KiB)

есть интернет, он видит сервер 10.0.0.1 но вот другого клиента 10.0.0.100 он не видит, даже пинг не проходит... Маршрут чтобы трафик шёл через PPTP прописал, он судя по traceroute идёт... Но всё равно 0 внимания

Вот маршрут какой вписал route add -net 10.0.0.100 netmask 255.255.255.255 dev pptp-pptp_clien

После него если сделать traceroute видим что трафик идёт как надо

traceroute to 10.0.0.100 (10.0.0.100), 30 hops max, 38 byte packets 1 10.0.0.1 (10.0.0.1) 0.000 ms 0.000 ms 10.000 ms 2^C

Помогите, как сделать чтобы были видны клиенты друг другу, чтобы пинговать можно было...

Сервер сам видит всех и пинги проходят и порты открыты к ним...

Я не понял, как у вас клиент видит интернет, если на сервере в FORWARD стоит REJECT на всё tcp?

Прописывате на сервере в FORWARD ″-i ppp+ -o ppp+ -j ACCEPT″ и пинги пойдут (если маршруты прописаны на обоих клиентах и на них разрешены icmp-пакеты).

mky ★★★★★
()
Ответ на: комментарий от mky

Спасибо добрый человек. Всё заработало!

bart212k
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.