vpn

0

1

Здравствуйте. Подскажите как настроить фаервол, чтобы из впна был доступ к локальной сети за сервером и обратно (те клиенты лок. сети видели клиентов впн и наоборот), если есть удаленный сервер ( с ипом к примеру 84.92.35.36) и интернет идущий через роутер 192.168.0.50. Впн выдает ипы 192.168.100.0/24, в локальной сети за впном сеть 192.168.1.0/24

Ссылка

←	Обратить патч

openfire3.6 jid 1login 1connect

→

без файрвола работает ? если да,то надобно порт открыть

~~alikhantara~~ ★
(11.02.11 08:38:54 MSK)

Ответ на: комментарий от alikhantara 11.02.11 08:38:54 MSK

да впн то работает нормально, просто хочу сделать чего то типа корп. сети, те чтобы можно было бы подключиться с любой точки планеты и смотреть ресурсы сети или объединить 2 удаленные сетки

kote ★
(11.02.11 08:58:39 MSK) автор топика

Ответ на: комментарий от kote 11.02.11 08:58:39 MSK

то есть у тебя впн коннектится,но «впнщики» не видят локалку ? route add

~~alikhantara~~ ★
(11.02.11 09:00:46 MSK)

Ответ на: комментарий от alikhantara 11.02.11 09:00:46 MSK

да.

насколько правильно это будет?

route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.100.1

route add -net 192.168.100.0 netmask 255.255.255.0 gw 192.168.1.1

kote ★
(11.02.11 09:51:34 MSK) автор топика

Ответ на: комментарий от kote 11.02.11 09:51:34 MSK

по другому они друг друга не увидят.

~~alikhantara~~ ★
(11.02.11 10:03:52 MSK)

Ответ на: комментарий от alikhantara 11.02.11 10:03:52 MSK

Прописал это. Сетевуху 192.168.1.1 из впна видно, а роутер 192.168.1.2 уже нет

kote ★
(11.02.11 10:21:12 MSK) автор топика

Ответ на: комментарий от kote 11.02.11 09:51:34 MSK

Включи динамическую маршрутизацию и не трахайся.

anonymous
(11.02.11 10:29:37 MSK)

Ответ на: комментарий от kote 11.02.11 10:21:12 MSK

трасировка кстати при этом не идет

kote ★
(11.02.11 10:29:55 MSK) автор топика

Ответ на: комментарий от kote 11.02.11 10:29:55 MSK

Впнщики друг друга оказалось что тоже не видят. хотя proxyarp прописано

kote ★
(11.02.11 10:53:20 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 11.02.11 10:29:37 MSK

прописал сюда /proc/sys/net/ipv4/ip_dynaddr «1» не помогло

kote ★
(11.02.11 11:20:18 MSK) автор топика

Ссылка

впн разные бывают, какой у тебя.

anton_jugatsu ★★★★
(11.02.11 18:49:06 MSK)

Если маршруты прописали и маршрутизацию включили, то надо разрешить эти пакеты в цепочке FORWARD, можно по ip-адресам, можно по интерфейсам. А дальше смотрите tcpdump'ом, приходят ли пакеты на инерфейс, уходят ли с другого. А то может у вас nat всё портит.

mky ★★★★★
(11.02.11 23:57:38 MSK)

Ссылка

Как вариант - net.ipv4.ip_forward проверь.

anonymous
(12.02.11 20:59:20 MSK)

Ссылка

Ответ на: комментарий от anton_jugatsu 11.02.11 18:49:06 MSK

pptp. /proc/sys/net/ipv4/ip_forward прописано 1. Пробывал прописывать на клиенте route add -net 192.168.100.0 netmask 255.255.255.0 gw 192.168.100.1 route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.110.1 на сервере route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.100.1 route add -net 192.168.100.0 netmask 255.255.255.0 gw 192.168.1.1

не помогает. если сделать трасировку до 192.168.1.2 с клиента все упирается в 192.168.110.1. если до 192.168.1.1 то вообще не идет. хотя пинги идут.

kote ★
(13.02.11 22:58:25 MSK) автор топика

Ответ на: комментарий от kote 13.02.11 22:58:25 MSK

Предлагаю выложить всё же конфиги:

pptpd и iptables-save

anton_jugatsu ★★★★
(13.02.11 23:54:04 MSK)

Ответ на: комментарий от anton_jugatsu 13.02.11 23:54:04 MSK

обнаружил, что из локала который за впном клиенты видны. пинг и трасировка идет. а вот в обратном направлении ни в какую. клиенты друг друга тоже не видят. pptp.options:

lock
auth
name pptpd
refuse-chap
require-mppe-128
require-mschap-v2
require-eap
nobsdcomp
nodeflate
mtu 1400
mru 1400
lcp-echo-failure 5
lcp-echo-interval 30
proxyarp

kote ★
(14.02.11 14:29:40 MSK) автор топика

Ссылка

Ответ на: комментарий от anton_jugatsu 13.02.11 23:54:04 MSK

iptables-save:

# Generated by iptables-save v1.4.0 on Mon Feb 14 14:28:17 2011
*mangle
:PREROUTING ACCEPT [4328592:3370059028]
:INPUT ACCEPT [177904:14755326]
:FORWARD ACCEPT [4143820:3354762857]
:OUTPUT ACCEPT [20664:6006559]
:POSTROUTING ACCEPT [4164226:3360742767]
COMMIT
# Completed on Mon Feb 14 14:28:17 2011
# Generated by iptables-save v1.4.0 on Mon Feb 14 14:28:17 2011
*nat
:PREROUTING ACCEPT [273330:19412665]
:POSTROUTING ACCEPT [82:6398]
:OUTPUT ACCEPT [1291:95186]
-A POSTROUTING -o dsl0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o ppp2 -j MASQUERADE
COMMIT
# Completed on Mon Feb 14 14:28:17 2011
# Generated by iptables-save v1.4.0 on Mon Feb 14 14:28:17 2011
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:forward_ext - [0:0]
:forward_int - [0:0]
:input_ext - [0:0]
:input_int - [0:0]
:reject_func - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m state --state RELATED -j ACCEPT
-A INPUT -i eth1 -j input_int
-A INPUT -i dsl0 -j input_ext
-A INPUT -i eth0 -j input_ext
-A INPUT -i ppp2 -j input_ext
-A INPUT -j input_ext
-A INPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-IN-ILL-TARGET " --log-tcp-options --log-ip-options
-A INPUT -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth1 -j forward_int
-A FORWARD -i dsl0 -j forward_ext
-A FORWARD -i eth0 -j forward_ext
-A FORWARD -i ppp2 -j forward_ext
-A FORWARD -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWD-ILL-ROUTING " --log-tcp-options --log-ip-options
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m limit --limit 3/min -j LOG --log-prefix "SFW2-OUT-ERROR " --log-tcp-options --log-ip-options
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3/2 -j ACCEPT
-A forward_ext -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 5 -j ACCEPT
-A forward_ext -i dsl0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -i ppp2 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A forward_ext -m limit --limit 3/min -m pkttype --pkt-type multicast -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options

kote ★
(14.02.11 14:30:13 MSK) автор топика

Ссылка

Ответ на: комментарий от anton_jugatsu 13.02.11 23:54:04 MSK

-A forward_ext -m pkttype --pkt-type multicast -j DROP
-A forward_ext -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -p udp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_ext -m limit --limit 3/min -m state --state INVALID -j LOG --log-prefix "SFW2-FWDext-DROP-DEFLT-INV " --log-tcp-options --log-ip-options
-A forward_ext -j DROP
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 0 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 11 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 12 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 14 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 18 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 3/2 -j ACCEPT
-A forward_int -p icmp -m state --state RELATED,ESTABLISHED -m icmp --icmp-type 5 -j ACCEPT
-A forward_int -i eth1 -o dsl0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_int -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_int -i eth1 -o ppp2 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A forward_int -m limit --limit 3/min -m pkttype --pkt-type multicast -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -m pkttype --pkt-type multicast -j DROP
-A forward_int -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -p udp -m limit --limit 3/min -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT " --log-tcp-options --log-ip-options
-A forward_int -m limit --limit 3/min -m state --state INVALID -j LOG --log-prefix "SFW2-FWDint-DROP-DEFLT-INV " --log-tcp-options --log-ip-options
-A forward_int -j reject_func
-A input_ext -m pkttype --pkt-type broadcast -j DROP
-A input_ext -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A input_ext -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A input_ext -p gre -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 1723 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 1723 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 22 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 27015 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 27015 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 47 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 47 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 53 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 53 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 80 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 443 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 443 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 22 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 22 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 21 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 21 -j ACCEPT
-A input_ext -p tcp -m limit --limit 3/min -m tcp --dport 40000:40500 --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-ACC-TCP " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 40000:40500 -j ACCEPT
-A input_ext -p udp -m udp --dport 1723 -j ACCEPT
-A input_ext -p udp -m udp --dport 22 -j ACCEPT
-A input_ext -p udp -m udp --dport 27015 -j ACCEPT
-A input_ext -p udp -m udp --dport 47 -j ACCEPT
-A input_ext -p udp -m udp --dport 53 -j ACCEPT
-A input_ext -p udp -m udp --dport 443 -j ACCEPT
-A input_ext -p udp -m udp --dport 20 -j ACCEPT
-A input_ext -p tcp -m tcp --dport 81 -m state --state NEW -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-ACC " --log-tcp-options --log-ip-options
-A input_ext -p tcp -m tcp --dport 81 -j ACCEPT
-A input_ext -m limit --limit 3/min -m pkttype --pkt-type multicast -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -m pkttype --pkt-type multicast -j DROP
-A input_ext -p tcp -m limit --limit 3/min -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -p icmp -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -p udp -m limit --limit 3/min -j LOG --log-prefix "SFW2-INext-DROP-DEFLT " --log-tcp-options --log-ip-options
-A input_ext -m limit --limit 3/min -m state --state INVALID -j LOG --log-prefix "SFW2-INext-DROP-DEFLT-INV " --log-tcp-options --log-ip-options
-A input_ext -j DROP
-A input_int -j ACCEPT
-A reject_func -p tcp -j REJECT --reject-with tcp-reset
-A reject_func -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject_func -j REJECT --reject-with icmp-proto-unreachable
COMMIT
# Completed on Mon Feb 14 14:28:17 2011

kote ★
(14.02.11 14:31:14 MSK) автор топика