Re: [FUG-BR] PPTP atraz de nat
O Tirloni esta CERTISSIMO afinal de contas... nao estamos preocupados quando NOS fazemos o NAT pois existem patchs... xunxos... etc o problema eh quando o usuario da VPN vai para uma lanhouse por exemplo e tenta usar a vpn ai a LANHOUSE nao vai ter os patchs para nat ... etc por isso estou acreditando que pptp nao seja solucao para 100% das coisas. e estou a procura de alguma outra vpn windows--posix que rode como client em windows 9x alguem conhece ??? Giovanni P. Tirloni wrote: Felipe Kellermann wrote: On Thu, 21 Jul 2005 2:13pm -0300, Giovanni P. Tirloni wrote: O PPTP possui um identificador de conexão no cabeçalho e isso teoricamente permite ao firewall distinguir entre dois clientes PPTP atrás de NAT. _Dizem_ que existe alguns firewalls que conseguem inspecionar o cabeçho do PPTP e fazer essa distinção. Até onde eu sei isso não existe no natd, pf ou ipfilter. Se alguém souber de algum tipo de VPN para Win98, que não seja PPTP, e funcione atrás de NAT para multiplas conexões eu gostaria de saber também :) Netfilter funciona. A Astaro pagou o Harald para desenvolver um patch de tracking de EGRE. E se eu lembro bem, ipf tem suporte nativo. O patch do Harald está no SVN do Patch-o-Matic. Funciona bem. E tem uns dois ou três daemons que fazem "proxy" de PPTP (pptp-proxy e um outro que eu já usei e esqueci o nome -- freshmeat). O protocolo é bastante simples. Eu procurei esse suporte do ipfilter mas não achei, tem alguma URL ? Sobre o proxy funcionaria pois ele tem como rastrear a conexão PPTP (não a GRE) através do identificador no cabeçalho PPTP. Mas se você tem um servidor PPTP na empresa vai sair instalando proxy PPTP em todo lugar que seus usuários estiverem para o gateway que eles estiverem usando aceitar mais de uma conexão PPTP atrás de NAT ? Eu não entendo como isso ajuda nessa situação em que dois usuarios atrás do mesmo gateway estam tentando abrir uma VPN PPTP para a empresa. Por exemplo, em uma conferência onde estam lá 3-4 diretores. Teriam que revezar ? Ou então pedir para ativarem um proxy PPTP pra eles ? Talvez eu estou muito cansado para entender o problema mas não vejo solução. ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] PPTP atraz de nat
Felipe Kellermann wrote: On Thu, 21 Jul 2005 2:13pm -0300, Giovanni P. Tirloni wrote: O PPTP possui um identificador de conexão no cabeçalho e isso teoricamente permite ao firewall distinguir entre dois clientes PPTP atrás de NAT. _Dizem_ que existe alguns firewalls que conseguem inspecionar o cabeçho do PPTP e fazer essa distinção. Até onde eu sei isso não existe no natd, pf ou ipfilter. Se alguém souber de algum tipo de VPN para Win98, que não seja PPTP, e funcione atrás de NAT para multiplas conexões eu gostaria de saber também :) Netfilter funciona. A Astaro pagou o Harald para desenvolver um patch de tracking de EGRE. E se eu lembro bem, ipf tem suporte nativo. O patch do Harald está no SVN do Patch-o-Matic. Funciona bem. E tem uns dois ou três daemons que fazem "proxy" de PPTP (pptp-proxy e um outro que eu já usei e esqueci o nome -- freshmeat). O protocolo é bastante simples. Eu procurei esse suporte do ipfilter mas não achei, tem alguma URL ? Sobre o proxy funcionaria pois ele tem como rastrear a conexão PPTP (não a GRE) através do identificador no cabeçalho PPTP. Mas se você tem um servidor PPTP na empresa vai sair instalando proxy PPTP em todo lugar que seus usuários estiverem para o gateway que eles estiverem usando aceitar mais de uma conexão PPTP atrás de NAT ? Eu não entendo como isso ajuda nessa situação em que dois usuarios atrás do mesmo gateway estam tentando abrir uma VPN PPTP para a empresa. Por exemplo, em uma conferência onde estam lá 3-4 diretores. Teriam que revezar ? Ou então pedir para ativarem um proxy PPTP pra eles ? Talvez eu estou muito cansado para entender o problema mas não vejo solução. -- Giovanni P. Tirloni / [EMAIL PROTECTED] / PGP: 0xD0315C26 ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] PPTP atraz de nat
On Thu, 21 Jul 2005 2:13pm -0300, Giovanni P. Tirloni wrote: > O PPTP possui um identificador de conexão no cabeçalho e isso teoricamente > permite ao firewall distinguir entre dois clientes PPTP atrás de NAT. _Dizem_ > que existe alguns firewalls que conseguem inspecionar o cabeçho do PPTP e > fazer essa distinção. Até onde eu sei isso não existe no natd, pf ou ipfilter. > > Se alguém souber de algum tipo de VPN para Win98, que não seja PPTP, e > funcione atrás de NAT para multiplas conexões eu gostaria de saber também :) Netfilter funciona. A Astaro pagou o Harald para desenvolver um patch de tracking de EGRE. E se eu lembro bem, ipf tem suporte nativo. O patch do Harald está no SVN do Patch-o-Matic. Funciona bem. E tem uns dois ou três daemons que fazem "proxy" de PPTP (pptp-proxy e um outro que eu já usei e esqueci o nome -- freshmeat). O protocolo é bastante simples. -- Felipe Kellermann ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] PPTP atraz de nat
Opa blz isto talvez ate seria solucao mas veja bem... imagine que um cliente desta VPN va para um LANHOUSE... e de la nao vai ter a GAMBIARRA para funcionar atraz do nat por isto estou atraz de uma VPN Windows--FreeBSD que nao tenha os problemas do pptp e que possa ser usada em windows 9x compreende ? Rodrigo Graeff wrote: Giovanni P. Tirloni wrote: Christopher Giese - iRapida Telecom wrote: Tarde ae pessoal seguinte estou montando uma vpn entre Windows e FreeBSD como preciso que rode em windows 9x tb. nao pude utilizar openvpn :) entao utilizei o pptp do windows mesmo (e no freebsd mpd) ok... funciona 200% uma maravilha quando o windows esta na mesma rede do freebsd ou entao quando o windows possui ip publico o problema esta quando o windows possui ip PRIVADO... se for apenas 1 windows na rede privada blz o gw deste windows eh um FreeBSD com PF... o PF faz o nat e sai tranquilo. masquando + de 1 windows da rede privada vai sair. o gw que faz o NAT (freebsd com PF) nao consegue fazer o nat de + de 1 pptp Fiz testes com iptables como gw... ai piorou... que o iptables nao se propoe a fazer nat de pptp/gre e para fazer precisa de um patch Nao testei ainda com ipfw... mas acredito que tenha o mesmo problema. Entao estou querendo acreditar que pptp do windows mesmo nao seja a solucao (imagine meu chefe ir numa lanhouse para usar o pptp e a lan ter um linux como gw ai nao vai conectar e meu chefe nunca vai entender que o problema eh o gw dele e nao o MPD server aki.) Alguem conhece outras formas de vpn Windows - freebsd que funcionem 100%.. para windows 9x.. com criptografia e tudo mais Bom, quantos IPs externos tu tem ? Dependendo do numero de estacoes da pra fazer cada um sair por um IP. Eh meio porco mas funcionaria, outra coisa, eu nao entendo porque teria problemas com mais uma maquina atras do nat acessando um server pptp externo.. o protocolo GRE usa o numero 47 como identificador, faca com que este protocolo possa passar e sair de dentro da tua rede interna, nas rules do pf ou ipfw. e nao mantenha state para este protocolo, udp tao pouco. PPTP é encapsulado em cima de GRE e este não possui "portas" ou qualquer outra identificação no cabeçalho para fazer (de)multiplexação da comunicação. Então GRE só funciona 1 cliente atrás de NAT mesmo. O PPTP possui um identificador de conexão no cabeçalho e isso teoricamente permite ao firewall distinguir entre dois clientes PPTP atrás de NAT. _Dizem_ que existe alguns firewalls que conseguem inspecionar o cabeçho do PPTP e fazer essa distinção. Até onde eu sei isso não existe no natd, pf ou ipfilter. Se alguém souber de algum tipo de VPN para Win98, que não seja PPTP, e funcione atrás de NAT para multiplas conexões eu gostaria de saber também :) Eu tambem. O OpenVPN eh muito bom, porem tem esse problema, sem bem que, convenhamos, windows 95/98/me nao se pode chamar de OS e sim de gambiarra, um dia eu queria debugar ele pra saber o que ele esta fazendo realmente quando te mostra a mensagem (Aguarde enquanto o Windows compila um banco de dados).. Abracos ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] PPTP atraz de nat
Sobre a gui realmente existe uma muito boa, talvez não seja justamente este que estou falando mais, um amigo meu Everaldo Canuto desenvolveu um client OpenVPN em .NET que tambem roda em mono totalmente OpenSource quem estiver disposto a colaborar com o código pode postar erros para ele, ou para mim, o site é: http://www.simios.org/projetos/ovpnadmin Abraço -- Atenciosamente, Rafael Floriano Sousa Sales -- Rafael Floriano Sousa Sales : [EMAIL PROTECTED] (Office) 55 11 4051-2204: (Mobile) 55 11 8433-2281 [System Administration][IT Consulting][Computer Sales/Repair] ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] PPTP atraz de nat
Giovanni P. Tirloni wrote: Christopher Giese - iRapida Telecom wrote: Tarde ae pessoal seguinte estou montando uma vpn entre Windows e FreeBSD como preciso que rode em windows 9x tb. nao pude utilizar openvpn :) entao utilizei o pptp do windows mesmo (e no freebsd mpd) ok... funciona 200% uma maravilha quando o windows esta na mesma rede do freebsd ou entao quando o windows possui ip publico o problema esta quando o windows possui ip PRIVADO... se for apenas 1 windows na rede privada blz o gw deste windows eh um FreeBSD com PF... o PF faz o nat e sai tranquilo. masquando + de 1 windows da rede privada vai sair. o gw que faz o NAT (freebsd com PF) nao consegue fazer o nat de + de 1 pptp Fiz testes com iptables como gw... ai piorou... que o iptables nao se propoe a fazer nat de pptp/gre e para fazer precisa de um patch Nao testei ainda com ipfw... mas acredito que tenha o mesmo problema. Entao estou querendo acreditar que pptp do windows mesmo nao seja a solucao (imagine meu chefe ir numa lanhouse para usar o pptp e a lan ter um linux como gw ai nao vai conectar e meu chefe nunca vai entender que o problema eh o gw dele e nao o MPD server aki.) Alguem conhece outras formas de vpn Windows - freebsd que funcionem 100%.. para windows 9x.. com criptografia e tudo mais Bom, quantos IPs externos tu tem ? Dependendo do numero de estacoes da pra fazer cada um sair por um IP. Eh meio porco mas funcionaria, outra coisa, eu nao entendo porque teria problemas com mais uma maquina atras do nat acessando um server pptp externo.. o protocolo GRE usa o numero 47 como identificador, faca com que este protocolo possa passar e sair de dentro da tua rede interna, nas rules do pf ou ipfw. e nao mantenha state para este protocolo, udp tao pouco. PPTP é encapsulado em cima de GRE e este não possui "portas" ou qualquer outra identificação no cabeçalho para fazer (de)multiplexação da comunicação. Então GRE só funciona 1 cliente atrás de NAT mesmo. O PPTP possui um identificador de conexão no cabeçalho e isso teoricamente permite ao firewall distinguir entre dois clientes PPTP atrás de NAT. _Dizem_ que existe alguns firewalls que conseguem inspecionar o cabeçho do PPTP e fazer essa distinção. Até onde eu sei isso não existe no natd, pf ou ipfilter. Se alguém souber de algum tipo de VPN para Win98, que não seja PPTP, e funcione atrás de NAT para multiplas conexões eu gostaria de saber também :) Eu tambem. O OpenVPN eh muito bom, porem tem esse problema, sem bem que, convenhamos, windows 95/98/me nao se pode chamar de OS e sim de gambiarra, um dia eu queria debugar ele pra saber o que ele esta fazendo realmente quando te mostra a mensagem (Aguarde enquanto o Windows compila um banco de dados).. Abracos -- Rodrigo Graeff [EMAIL PROTECTED] icq: 9636816 ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] PPTP atraz de nat
Olá, tenho em alguns clientes este processo em funcionamento tente
adicionar coisas como:
tcp_options = "flags S/SAFRUP keep state"
tcp_options_2 = "keep state"
nat on $external_if inet from $internal_network to any -> $ip_externo_2
rdr on $external_if proto gre from any to $ip_externo_2 -> $ip_interno_2
rdr on $external_if proto tcp from any to $ip_externo_2 port { 1723}
-> $ip_interno_2
rdr on $external_if proto udp from any to $ip_externo_2 port {1723 }
-> $ip_interno_2
pass quick proto gre all $tcp_options_2
pass quick proto tcp from any to any port = pptp $tcp_options_2
pass in quick on $external_if inet proto tcp from any to any port { 1723 }
Tive alguns problemas com a optmização agressiva de pacotes, pois
qualquer conexao ociosa o pf ja descartava.
Abraços
--
Atenciosamente,
Rafael Floriano Sousa Sales
--
Rafael Floriano Sousa Sales : [EMAIL PROTECTED]
(Office) 55 11 4051-2204: (Mobile) 55 11 8433-2281
[System Administration][IT Consulting][Computer Sales/Repair]
___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] PPTP atraz de nat
Diego Linke wrote: Tirloni, Se alguém souber de algum tipo de VPN para Win98, que não seja PPTP, e funcione atrás de NAT para multiplas conexões eu gostaria de saber também :) Já testou o OpenVPN ? (Eu nunca testei, mas eu sei que tem inclusive GUI). Att. Olá Diego, Ele é limitado ao Win2000/XP. []'s -- Giovanni P. Tirloni / [EMAIL PROTECTED] / PGP: 0xD0315C26 ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] PPTP atraz de nat
Tirloni, Se alguém souber de algum tipo de VPN para Win98, que não seja PPTP, e funcione atrás de NAT para multiplas conexões eu gostaria de saber também :) Já testou o OpenVPN ? (Eu nunca testei, mas eu sei que tem inclusive GUI). Att. -- Diego Linke Public Key: http://www.gamk.com.br/gamk.asc ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] PPTP atraz de nat
Christopher Giese - iRapida Telecom wrote: Tarde ae pessoal seguinte estou montando uma vpn entre Windows e FreeBSD como preciso que rode em windows 9x tb. nao pude utilizar openvpn :) entao utilizei o pptp do windows mesmo (e no freebsd mpd) ok... funciona 200% uma maravilha quando o windows esta na mesma rede do freebsd ou entao quando o windows possui ip publico o problema esta quando o windows possui ip PRIVADO... se for apenas 1 windows na rede privada blz o gw deste windows eh um FreeBSD com PF... o PF faz o nat e sai tranquilo. masquando + de 1 windows da rede privada vai sair. o gw que faz o NAT (freebsd com PF) nao consegue fazer o nat de + de 1 pptp Fiz testes com iptables como gw... ai piorou... que o iptables nao se propoe a fazer nat de pptp/gre e para fazer precisa de um patch Nao testei ainda com ipfw... mas acredito que tenha o mesmo problema. Entao estou querendo acreditar que pptp do windows mesmo nao seja a solucao (imagine meu chefe ir numa lanhouse para usar o pptp e a lan ter um linux como gw ai nao vai conectar e meu chefe nunca vai entender que o problema eh o gw dele e nao o MPD server aki.) Alguem conhece outras formas de vpn Windows - freebsd que funcionem 100%.. para windows 9x.. com criptografia e tudo mais PPTP é encapsulado em cima de GRE e este não possui "portas" ou qualquer outra identificação no cabeçalho para fazer (de)multiplexação da comunicação. Então GRE só funciona 1 cliente atrás de NAT mesmo. O PPTP possui um identificador de conexão no cabeçalho e isso teoricamente permite ao firewall distinguir entre dois clientes PPTP atrás de NAT. _Dizem_ que existe alguns firewalls que conseguem inspecionar o cabeçho do PPTP e fazer essa distinção. Até onde eu sei isso não existe no natd, pf ou ipfilter. Se alguém souber de algum tipo de VPN para Win98, que não seja PPTP, e funcione atrás de NAT para multiplas conexões eu gostaria de saber também :) -- Giovanni P. Tirloni / [EMAIL PROTECTED] / PGP: 0xD0315C26 ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] PPTP atraz de nat
Em Thu, 21 Jul 2005 11:47:14 -0300 Christopher Giese - iRapida Telecom <[EMAIL PROTECTED]> escreveu: > como preciso que rode em windows 9x tb. nao pude utilizar openvpn :) engraçado.. hoje mesmo vi referências, em uma lista qualquer (securityfocus? não sei) em que um colega mencionava que havia montado mais de 100 canais com OpenVPN, que (segundo êle) tinha client/server para o err... aquilo lá (êsse treco aí que vc menciona). Por curiosidade, fui procurar, e achei um monte de referências. Aparentemente, o carinha tem razão. http://www.google.com.br/search?hl=pt-BR&q=windows+openvpn&btnG=Pesquisar&meta= divirta-se. flames > /dev/null --- saudações, Irado Furioso com Tudo Linux User 179402/FreeBSD BSD50853 "Deus e o Diabo oferecem a mesma mercadoria: a felicidade. A diferença é que Deus cobra adiantado". [Anônimo] ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
[FUG-BR] PPTP atraz de nat
Tarde ae pessoal seguinte estou montando uma vpn entre Windows e FreeBSD como preciso que rode em windows 9x tb. nao pude utilizar openvpn :) entao utilizei o pptp do windows mesmo (e no freebsd mpd) ok... funciona 200% uma maravilha quando o windows esta na mesma rede do freebsd ou entao quando o windows possui ip publico o problema esta quando o windows possui ip PRIVADO... se for apenas 1 windows na rede privada blz o gw deste windows eh um FreeBSD com PF... o PF faz o nat e sai tranquilo. masquando + de 1 windows da rede privada vai sair. o gw que faz o NAT (freebsd com PF) nao consegue fazer o nat de + de 1 pptp Fiz testes com iptables como gw... ai piorou... que o iptables nao se propoe a fazer nat de pptp/gre e para fazer precisa de um patch Nao testei ainda com ipfw... mas acredito que tenha o mesmo problema. Entao estou querendo acreditar que pptp do windows mesmo nao seja a solucao (imagine meu chefe ir numa lanhouse para usar o pptp e a lan ter um linux como gw ai nao vai conectar e meu chefe nunca vai entender que o problema eh o gw dele e nao o MPD server aki.) Alguem conhece outras formas de vpn Windows - freebsd que funcionem 100%.. para windows 9x.. com criptografia e tudo mais muito Grato Christopher Giese [EMAIL PROTECTED] ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
