LINUX.ORG.RU
ФорумAdmin

xl2tpd и iptables


0

1

Всем добрый вечер. Нужна помощь в настойке севера l2tp для дальнейшего использование как VPN-Server'a только по протоколу l2tp. Проблема состоит в том что когда клиент подключается получает адрес здесь все нормально, но когда с него пытаюсь зайти куда не будь, пакеты с флагом syn уходят и назад не приходят. В Iptables порт udp 1701 открыт как бы что еще надо открыть...? Интерфейс ppp0 создается. IP сервера пингуется, а пакеты наружу не ходят (см tcpdump)

Вот конфиг:

xl2tpd.conf

;
; This is a minimal sample xl2tpd configuration file for use
; with L2TP over IPsec.
;
; The idea is to provide an L2TP daemon to which remote Windows L2TP/IPsec
; clients connect. In this example, the internal (protected) network 
; is 192.168.1.0/24.  A special IP range within this network is reserved
; for the remote clients: 192.168.1.128/25
; (i.e. 192.168.1.128 ... 192.168.1.254)
;
; The listen-addr parameter can be used if you want to bind the L2TP daemon
; to a specific IP address instead of to all interfaces. For instance,
; you could bind it to the interface of the internal LAN (e.g. 192.168.1.98
; in the example below). Yet another IP address (local ip, e.g. 192.168.1.99)
; will be used by xl2tpd as its address on pppX interfaces.

[global]
; listen-addr = 192.168.1.98
;
; requires openswan-2.5.18 or higher - Also does not yet work in combination
; with kernel mode l2tp as present in linux 2.6.23+
; ipsec saref = yes
; forceuserspace = yes
;
; debug tunnel = yes

[lns default]
ip range = 172.16.99.1-172.16.99.14
local ip = 172.16.99.14
require chap = yes
refuse pap = yes
require authentication = yes
name = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
exclusive = yes

options.xl2tpd

ipcp-accept-local
ipcp-accept-remote
ms-dns  192.168.10.8
noccp
auth
mtu 1460
mru 1460
nodefaultroute
debug
lock

Вот вывод tcpdump 

 tcpdump -i ppp0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ppp0, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
16:34:40.376403 IP 172.16.99.1.dkmessenger > hb-in-f99.1e100.net.http: Flags [s], seq 1845365273, win 64240, options [mss 1360,nop,nop,sackOK], length 0
16:34:40.376449 IP 172.16.99.14 > 172.16.99.1: ICMP host hb-in-f99.1e100.net unreachable - admin prohibited, length 56
16:34:44.937402 IP 172.16.99.1.skkserv > hb-in-f99.1e100.net.http: Flags [s], seq 3124551113, win 64240, options [mss 1360,nop,nop,sackOK], length 0
16:34:44.937449 IP 172.16.99.14 > 172.16.99.1: ICMP host hb-in-f99.1e100.net unreachable - admin prohibited, length 56
16:34:47.814403 IP 172.16.99.1.skkserv > hb-in-f99.1e100.net.http: Flags [s], seq 3124551113, win 64240, options [mss 1360,nop,nop,sackOK], length 0

Ответ на: комментарий от anton_jugatsu

Ну вывод сам-знаешь-чего дай же :)

я так понимаю iptables :), если их то вот. Если я правильно понимаю то надо разрешить обмен между интерфейсами ррр0 и eth0 но это так мысли вслух....

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
#
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A OUTPUT -m conntrack --ctstate  ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
#
#
#	Allow ICMP!
-A INPUT -p icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -p icmp --icmp-type 0 -j ACCEPT
-A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
#
#
#	Allow local host!
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo  -j ACCEPT
#
#
#	SSH, Block SSH bots!
-A INPUT -m conntrack --ctstate NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -m tcp -p tcp --dport 22 -m recent --set --name SSH-Bots-Block
-A INPUT -m conntrack --ctstate NEW -m tcp -p tcp --dport 22 -m recent --update --seconds 2400 --hitcount 1 --rttl --name SSH-Bots-Block -j REJECT
#
#
#	NTP update time!
-A INPUT -m conntrack --ctstate NEW -m udp -p udp --sport 123 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m udp -p udp --dport 123 -j ACCEPT
#
#
#	Open access for munin!
-A INPUT -m conntrack --ctstate NEW -s 192.168.10.0/24  -m tcp -p tcp --dport 80 --sport 1024:65535 -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -s 192.168.10.0/24  -m udp -p udp --dport 80 --sport 1024:65535 -j ACCEPT
#	Open access to port 8080!
-A INPUT -m conntrack --ctstate NEW -s 192.168.10.0/24  -m tcp -p tcp --dport 8080 --sport 1024:65535 -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -s 192.168.10.0/24  -m udp -p udp --dport 8080 --sport 1024:65535 -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -s 192.168.10.0/24  -m tcp -p tcp --dport 3128 --sport 1024:65535 -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -s 192.168.10.0/24  -m udp -p udp --dport 3128 --sport 1024:65535 -j ACCEPT
#
#
#	Open update for local machines DNS!
-A INPUT -m conntrack --ctstate NEW -m tcp -p tcp --sport 53 --dport 1024:65535 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m tcp -p tcp --sport 1024:65535 --dport 53 -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -m udp -p udp --sport 53 --dport 1024:65535 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m udp -p udp --sport 1024:65535 --dport 53 -j ACCEPT
#
#
#	Open DNS for local subnet!
-A INPUT -m conntrack --ctstate NEW -m udp -p udp -s 192.168.10.0/24 --sport 1024:65535 -d 192.168.10.8 --dport 53 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m udp -p udp -s 192.168.10.8 --sport 53 -d 192.168.10.0/24 --dport 1024:65535 -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -m tcp -p tcp -s 192.168.10.0/24 --sport 1024:65535 -d 192.168.10.8 --dport 53 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m tcp -p tcp -s 192.168.10.8 --sport 53 -d 192.168.10.0/24 --dport 1024:65535 -j ACCEPT
#
#
#	Open 80, 443 ports!
-A INPUT -m conntrack --ctstate NEW -m tcp -p tcp --sport 1024:65535  --dport 80 -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -m udp -p udp --sport 1024:65535 --dport 80 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m tcp -p tcp --sport 1024:65535 --dport 80 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m udp -p udp --sport 1024:65535 --dport 80 -j ACCEPT
#
#
#	Open site arturk.com.ua for certificate
-A OUTPUT -m conntrack --ctstate NEW -m tcp -p tcp --sport 1024:65535 --dport 8088 -j ACCEPT
#
#
#
#-A INPUT -m state --state NEW,ESTABLISHED -m tcp -p tcp --sport 1024:65535  --dport 443 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m tcp -p tcp --sport 1024:65535  --dport 443 -j ACCEPT
#
#
#	Open FTP Active,Passive!
-A INPUT -m conntrack --ctstate NEW -m tcp -p tcp --sport 21 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m tcp -p tcp --dport 21 -j ACCEPT
#
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -m tcp -p tcp --sport 20 -j ACCEPT
-A OUTPUT -m conntrack --ctstate NEW -m tcp -p tcp --sport 20 -j ACCEPT
#
-A INPUT -m conntrack --ctstate ESTABLISHED -m tcp -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
-A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -m tcp -p tcp --sport 1024:65535 --dport 1024:65535 -j ACCEPT
#
#
#
#	Open l2tpd!
-A INPUT -m conntrack --ctstate NEW -m tcp -p tcp --dport 1701 -j ACCEPT
-A INPUT -m conntrack --ctstate NEW -m udp -p udp --dport 1701 -j ACCEPT
#
#
#
-A INPUT -j REJECT --reject-with icmp-host-prohibited
#
#
#	Allow ftp and http,https for local subnet!
-A FORWARD -m conntrack --ctstate NEW -m tcp -p tcp -s 192.168.10.0/24 --sport 1024:65535 -d 0/0 --dport 21 -j ACCEPT
-A FORWARD -m conntrack --ctstate NEW -m tcp -p tcp -s 192.168.10.0/24 --sport 1024:65535 -d 0/0 --dport 80 -j ACCEPT
-A FORWARD -m conntrack --ctstate NEW -m tcp -p tcp -s 192.168.10.0/24 --sport 1024:65535 -d 0/0 --dport 443 -j ACCEPT
#
#
#
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
#
*nat
-A POSTROUTING -o eth1 -s 192.168.10.0/24 -j SNAT --to 89.28.205.*
#
#
COMMIT

vip71541
() автор топика
Ответ на: комментарий от vip71541
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

вот это удали, во-первых. Это-то и срабатывает, зачем допольнительный запрет, если POLICY DROP в цепочки FORWARD.

Потом что-то типа такого, там дальше сам прикинь

iptables -I FORWARD -s 172.16.99.0/28 -j ACCEPT
anton_jugatsu ★★★★
()
Ответ на: комментарий от anton_jugatsu

iptables -I FORWARD -s 172.16.99.0/28 -j ACCEPT добавил но эффекта нет

Опять syn`ы уходят ответов не приходит, может надо еще правило в нат прописать что-то типа:

вот > -A POSTROUTING -o ppp+ -s 172.16.99.0/27 -j SNAT --to 89.28.205.*

vip71541
() автор топика
Ответ на: комментарий от vip71541

anton_jugatsu Точно покрутил помогло !!! Спасибо На предыдущий пост можешь не обращать внимание!!

vip71541
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.