[Lug-bg] iptables, NAT and PPTP
Здравейте, Имам проблем с подкарването на PPTP през Linux рутер (самоделка). В офиса имаме Интернет доставчик (192.168.6.1) и Linux рутер, който прави NAT и дава интернет на вътрешните мрежи (192.168.0.0/24, 192.168.2.0/24, 192.168.3.0/24). Искам от вътрешната мрежа да се свържа към PPTP базиран VPN, който както всички знаем ползва TCP порт 1723 и протокол GRE. Обаче по някаква причина GRE протокола не може да премине успешно през Linux машината. Ако извадя кабела на Интернет доставчика, няма проблем със свързването към PPTP сървъра, но през NAT услугата на Linux машината не става. Зависва веднага след ватентикацията, когато се превключва на протокол GRE. Ползвам Red Hat Linux 3.2.2-5 с kernel 2.4.20-8. За NAT и firewall ползвам iptables. Това са ми е iptables правилата: # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *nat :PREROUTING ACCEPT [3826028:450721308] :POSTROUTING ACCEPT [489166:30731077] :OUTPUT ACCEPT [501461:32049378] # DEV port forward -A PREROUTING -i eth2 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443 -A PREROUTING -i eth3 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443 # Perform NAT for the internal networks -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.2.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.3.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.6.0/24 COMMIT # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *mangle :PREROUTING ACCEPT [36497804:22370690460] :INPUT ACCEPT [10012719:4687680109] :FORWARD ACCEPT [26410023:17675681338] :OUTPUT ACCEPT [10461124:5342939882] :POSTROUTING ACCEPT [36825304:23005473811] COMMIT # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *filter :INPUT ACCEPT [10647040:4805420467] :FORWARD ACCEPT [26911698:17913658231] :OUTPUT ACCEPT [10530480:5353253885] # DEV port forward -A FORWARD -p tcp -i eth0 -d 192.168.0.24 --dport 443 -j ACCEPT COMMIT Някой имал ли е такъв проблем и знае ли как се оправя? В Интернет четох, че май трябвало да си сложа специален kernel driver за NAT на GRE пакети, обаче ме съмнява това да не се поддържа стандартно. Всякакви идеи ще са ми полезни. Svetlin Nakov Director Training and Consulting Activities National Academy for Software Development http://academy.devbg.org http://academy.devbg.org ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Здрасти, не съм много в час за това как точно кернела транслира GRE пакетите (със сигурност не прави стандарното маскиране/транслиране, тъй като това не е TCP/UDP протокол и той няма src/dst port), но имаш ли този модул зареден |ip_masq_pptp.o| (или в ядрото)? Svetlin Nakov wrote: Здравейте, Имам проблем с подкарването на PPTP през Linux рутер (самоделка). В офиса имаме Интернет доставчик (192.168.6.1) и Linux рутер, който прави NAT и дава интернет на вътрешните мрежи (192.168.0.0/24, 192.168.2.0/24, 192.168.3.0/24). Искам от вътрешната мрежа да се свържа към PPTP базиран VPN, който както всички знаем ползва TCP порт 1723 и протокол GRE. Обаче по някаква причина GRE протокола не може да премине успешно през Linux машината. Ако извадя кабела на Интернет доставчика, няма проблем със свързването към PPTP сървъра, но през NAT услугата на Linux машината не става. Зависва веднага след ватентикацията, когато се превключва на протокол GRE. Ползвам Red Hat Linux 3.2.2-5 с kernel 2.4.20-8. За NAT и firewall ползвам iptables. Това са ми е iptables правилата: # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *nat :PREROUTING ACCEPT [3826028:450721308] :POSTROUTING ACCEPT [489166:30731077] :OUTPUT ACCEPT [501461:32049378] # DEV port forward -A PREROUTING -i eth2 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443 -A PREROUTING -i eth3 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443 # Perform NAT for the internal networks -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.2.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.3.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.6.0/24 COMMIT # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *mangle :PREROUTING ACCEPT [36497804:22370690460] :INPUT ACCEPT [10012719:4687680109] :FORWARD ACCEPT [26410023:17675681338] :OUTPUT ACCEPT [10461124:5342939882] :POSTROUTING ACCEPT [36825304:23005473811] COMMIT # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *filter :INPUT ACCEPT [10647040:4805420467] :FORWARD ACCEPT [26911698:17913658231] :OUTPUT ACCEPT [10530480:5353253885] # DEV port forward -A FORWARD -p tcp -i eth0 -d 192.168.0.24 --dport 443 -j ACCEPT COMMIT Някой имал ли е такъв проблем и знае ли как се оправя? В Интернет четох, че май трябвало да си сложа специален kernel driver за NAT на GRE пакети, обаче ме съмнява това да не се поддържа стандартно. Всякакви идеи ще са ми полезни. *Svetlin Nakov* Director Training and Consulting Activities National Academy for Software Development http://academy.devbg.org ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Здрасти, Пробвай с едно: lsmod | grep ip_nat_pptp Ако няма такъв модул, зареди го с: modprobe ip_nat_pptp И виж какво се случва. On Mon, 2 Feb 2009 20:32:42 +0200 Svetlin Nakov svet...@nakov.com wrote: Здравейте, [ cut ] Някой имал ли е такъв проблем и знае ли как се оправя? В Интернет четох, че май трябвало да си сложа специален kernel driver за NAT на GRE пакети, обаче ме съмнява това да не се поддържа стандартно. Всякакви идеи ще са ми полезни. Svetlin Nakov Director Training and Consulting Activities National Academy for Software Development http://academy.devbg.org http://academy.devbg.org -- Nickola Kolev ni...@mnet.bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
