Re: [Lug-bg] iptables, NAT and PPTP
И аз да вметна нещо. Имплементирайки IPSec не е най лесното нещо, наистина работи чудесно, но стигайки до рутинг полиците човек се хваща за главата. Необходимо е доста четене и не е от най-приятните неща за конфигуриране. Спомням си за още един проблем, надявам се да са го оправили, но той е че не се създава дъми устройство през което лесно може да се насочва определен сегмент от адреси. http://www.unix-ag.uni-kl.de/~massar/vpnc/ http://www.longren.org/2007/05/17/how-to-cisco-vpn-client-on-ubuntu-704-feisty-fawn/ Поразгледай двете неща, не са много конкретни за твоята ситуация, но биха могли да ти свършат работа.Препоръчвам циско впн клиента, тъй като той не е зависим от модули в ядрото а билдва свой и ползва него. (Ако въпросите за сигурноста на подобен тип конфигурация не те засягат много) Успех! 2009/2/4 Svetlin Nakov svet...@nakov.com: Доколкото четох, този IPSec се пуска отгоре върху вече изграден тунел от UDP пакети. Това означава, че моят Linux firewall няма да знае за IPSec и ще знае само за тунела, изграден от L2TP протокола. Не е ли така? В такъв случай няма да има нужда от маскиране на IPSec пакети, защото те ще се движат по UDP базиран тунел. Иначе аз са моя офис си ползвам OpenVPN и никога не съм имал проблеми. Това нещо просто работи безотказно и безпроблемно. Обаче VPN сървъра на моите клиенти е хардуерен и не поддържа OpenVPN. Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Tuesday, February 03, 2009 9:38 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здравей, L2TP наистина иска порт 1701, но не съм сигурен какво се получава при NAT/маскиране. IPSec от своя страна, иска отворени порт 500/udp и типове протоколи ah/esp. Маскирането на IPSec не е много по-цветущо в ядрата 2.4, отколкото PPTP - едва наскоро състоянието на NAT-T стандартите се стабилизира и подобри. Жоро Чорбаджийски съвсем правилно предложи обновяването на системата до нещо по-съвременно - гарантирано така ще имаш по-малко проблеми в бъдеще. Иначе се поразтърси за (остарели) документации като за твоята платформа/среда. On Tue, 3 Feb 2009 21:04:53 +0200 Svetlin Nakov svet...@nakov.com wrote: Благодаря за насоките, Никола. Мисля, че ще е по-лесно да накарам отсрещната страна да минем на L2TP/IPSec VPN. Той иска единствено UDP порт 1701, нали? Не би трябвало да имаме проблеми със сегашните настройки и преминаване през NAT базиран на iptables, или бъркам нещо? Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Tuesday, February 03, 2009 2:49 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здрасти, Можеш да прочетеш отговорите ми по-долу. На Tue, 3 Feb 2009 14:03:42 +0200 Svetlin Nakov svet...@nakov.com написа: Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и всички настройки: dns settings, routing, firewall rules, openvpn settings, etc. Това не е невъзможно, но изисква внимателно планиране. Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен reinstall? Не, няма лесен начин. В документацията на всички Red Hat базирани дистрибуции се казва, че препоръчваното решение е пълна преинсталация, а не обновяване и надграждане до по-нова версия. Не казвам, че не е възможно, просто има голям шанс да се счупи нещо. А, и единственият _поддържан_ upgrade path е от версия до версия - т.е. примерно от redhat7.1 до 7.2, после до 7.3, после до 8, 9 и т.н. Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва да пачвам кърнела? Лесно е относително определение. Трябва да решиш как ще си оторизираш потребителите, дали в играта ще влезе някакъв сложен рутинг, и т.н. Но за закърпване на ядрото - не, не е необходимо при съвременните ядра 2.6. Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Georgi Chorbadzhiyski Sent: Tuesday, February 03, 2009 11:18 AM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Това ядро дето го ползваш е толкова старо, че се води праисторическо (на повече от шест години) :) Ако не минеш на 2.6 едва ли ще можеш да се справиш. Спести си услията, които ще хвърлиш в подкарването на pptp на 2.4, метни се една федора 10 (или там която е последната
Re: [Lug-bg] iptables, NAT and PPTP
Доколкото четох, този IPSec се пуска отгоре върху вече изграден тунел от UDP пакети. Това означава, че моят Linux firewall няма да знае за IPSec и ще знае само за тунела, изграден от L2TP протокола. Не е ли така? В такъв случай няма да има нужда от маскиране на IPSec пакети, защото те ще се движат по UDP базиран тунел. Иначе аз са моя офис си ползвам OpenVPN и никога не съм имал проблеми. Това нещо просто работи безотказно и безпроблемно. Обаче VPN сървъра на моите клиенти е хардуерен и не поддържа OpenVPN. Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Tuesday, February 03, 2009 9:38 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здравей, L2TP наистина иска порт 1701, но не съм сигурен какво се получава при NAT/маскиране. IPSec от своя страна, иска отворени порт 500/udp и типове протоколи ah/esp. Маскирането на IPSec не е много по-цветущо в ядрата 2.4, отколкото PPTP - едва наскоро състоянието на NAT-T стандартите се стабилизира и подобри. Жоро Чорбаджийски съвсем правилно предложи обновяването на системата до нещо по-съвременно - гарантирано така ще имаш по-малко проблеми в бъдеще. Иначе се поразтърси за (остарели) документации като за твоята платформа/среда. On Tue, 3 Feb 2009 21:04:53 +0200 Svetlin Nakov svet...@nakov.com wrote: Благодаря за насоките, Никола. Мисля, че ще е по-лесно да накарам отсрещната страна да минем на L2TP/IPSec VPN. Той иска единствено UDP порт 1701, нали? Не би трябвало да имаме проблеми със сегашните настройки и преминаване през NAT базиран на iptables, или бъркам нещо? Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Tuesday, February 03, 2009 2:49 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здрасти, Можеш да прочетеш отговорите ми по-долу. На Tue, 3 Feb 2009 14:03:42 +0200 Svetlin Nakov svet...@nakov.com написа: Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и всички настройки: dns settings, routing, firewall rules, openvpn settings, etc. Това не е невъзможно, но изисква внимателно планиране. Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен reinstall? Не, няма лесен начин. В документацията на всички Red Hat базирани дистрибуции се казва, че препоръчваното решение е пълна преинсталация, а не обновяване и надграждане до по-нова версия. Не казвам, че не е възможно, просто има голям шанс да се счупи нещо. А, и единственият _поддържан_ upgrade path е от версия до версия - т.е. примерно от redhat7.1 до 7.2, после до 7.3, после до 8, 9 и т.н. Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва да пачвам кърнела? Лесно е относително определение. Трябва да решиш как ще си оторизираш потребителите, дали в играта ще влезе някакъв сложен рутинг, и т.н. Но за закърпване на ядрото - не, не е необходимо при съвременните ядра 2.6. Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Georgi Chorbadzhiyski Sent: Tuesday, February 03, 2009 11:18 AM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Това ядро дето го ползваш е толкова старо, че се води праисторическо (на повече от шест години) :) Ако не минеш на 2.6 едва ли ще можеш да се справиш. Спести си услията, които ще хвърлиш в подкарването на pptp на 2.4, метни се една федора 10 (или там която е последната версия, тъй като ползваш redhat) едва ли ще ти отнеме повече от час. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Поздрави, Никола ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Nickola Kolev ni...@mnet.bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Нямам този модул и не е наличен. Ползвам стар kernal 2.4.20. Не знам как да добавя този модул в този kernel. Четох, че kernel 2.6 поддържа NAT за PPTP by default: http://lists.netfilter.org/pipermail/netfilter/2005-November/063566.html. Svetlin Nakov Director Training and Consulting Activities National Academy for Software Development http://academy.devbg.org _ From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Danail Petrov Sent: Monday, February 02, 2009 9:47 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здрасти, не съм много в час за това как точно кернела транслира GRE пакетите (със сигурност не прави стандарното маскиране/транслиране, тъй като това не е TCP/UDP протокол и той няма src/dst port), но имаш ли този модул зареден ip_masq_pptp.o (или в ядрото)? Svetlin Nakov wrote: Здравейте, Имам проблем с подкарването на PPTP през Linux рутер (самоделка). В офиса имаме Интернет доставчик (192.168.6.1) и Linux рутер, който прави NAT и дава интернет на вътрешните мрежи (192.168.0.0/24, 192.168.2.0/24, 192.168.3.0/24). Искам от вътрешната мрежа да се свържа към PPTP базиран VPN, който както всички знаем ползва TCP порт 1723 и протокол GRE. Обаче по някаква причина GRE протокола не може да премине успешно през Linux машината. Ако извадя кабела на Интернет доставчика, няма проблем със свързването към PPTP сървъра, но през NAT услугата на Linux машината не става. Зависва веднага след ватентикацията, когато се превключва на протокол GRE. Ползвам Red Hat Linux 3.2.2-5 с kernel 2.4.20-8. За NAT и firewall ползвам iptables. Това са ми е iptables правилата: # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *nat :PREROUTING ACCEPT [3826028:450721308] :POSTROUTING ACCEPT [489166:30731077] :OUTPUT ACCEPT [501461:32049378] # DEV port forward -A PREROUTING -i eth2 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443 -A PREROUTING -i eth3 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443 # Perform NAT for the internal networks -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.2.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.3.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.6.0/24 COMMIT # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *mangle :PREROUTING ACCEPT [36497804:22370690460] :INPUT ACCEPT [10012719:4687680109] :FORWARD ACCEPT [26410023:17675681338] :OUTPUT ACCEPT [10461124:5342939882] :POSTROUTING ACCEPT [36825304:23005473811] COMMIT # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *filter :INPUT ACCEPT [10647040:4805420467] :FORWARD ACCEPT [26911698:17913658231] :OUTPUT ACCEPT [10530480:5353253885] # DEV port forward -A FORWARD -p tcp -i eth0 -d 192.168.0.24 --dport 443 -j ACCEPT COMMIT Някой имал ли е такъв проблем и знае ли как се оправя? В Интернет четох, че май трябвало да си сложа специален kernel driver за NAT на GRE пакети, обаче ме съмнява това да не се поддържа стандартно. Всякакви идеи ще са ми полезни. Svetlin Nakov Director Training and Consulting Activities National Academy for Software Development http://academy.devbg.org http://academy.devbg.org _ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Monday, February 02, 2009 10:17 PM To: lug-bg@linux-bulgaria.org Subject: Re: [Lug-bg] iptables, NAT and PPTP Здрасти, Пробвай с едно: lsmod | grep ip_nat_pptp Ако няма такъв модул, зареди го с: modprobe ip_nat_pptp И виж какво се случва. On Mon, 2 Feb 2009 20:32:42 +0200 Svetlin Nakov svet...@nakov.com wrote: Здравейте, [ cut ] Някой имал ли е такъв проблем и знае ли как се оправя? В Интернет четох, че май трябвало да си сложа специален kernel driver за NAT на GRE пакети, обаче ме съмнява това да не се поддържа стандартно. Всякакви идеи ще са ми полезни. Svetlin Nakov Director Training and Consulting Activities National Academy for Software Development http://academy.devbg.org http://academy.devbg.org -- Nickola Kolev ni...@mnet.bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Здрасти, Тогава работата става доста по-сложна. По мои спомени по него време още беше необходимо да се използва patch-o-matic, за да се приложат кръпки към ядрото и iptables. Имаш нужда от някои неща в 'extras' на POM, и по- специално модулите ip_conntrack_pptp, ip_conntrack_proto_gre, ip_nat_pptp и ip_nat_proto_gre. Както се казва - now you're on your own. :) На Tue, 3 Feb 2009 10:57:03 +0200 Svetlin Nakov svet...@nakov.com написа: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Monday, February 02, 2009 10:17 PM To: lug-bg@linux-bulgaria.org Subject: Re: [Lug-bg] iptables, NAT and PPTP Здрасти, Пробвай с едно: lsmod | grep ip_nat_pptp Ако няма такъв модул, зареди го с: modprobe ip_nat_pptp И виж какво се случва. On Mon, 2 Feb 2009 20:32:42 +0200 Svetlin Nakov svet...@nakov.com wrote: Здравейте, [ cut ] Някой имал ли е такъв проблем и знае ли как се оправя? В Интернет четох, че май трябвало да си сложа специален kernel driver за NAT на GRE пакети, обаче ме съмнява това да не се поддържа стандартно. Всякакви идеи ще са ми полезни. Svetlin Nakov Director Training and Consulting Activities National Academy for Software Development http://academy.devbg.org http://academy.devbg.org -- Nickola Kolev ni...@mnet.bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Поздрави, Никола pgp0mMS7ss7Eo.pgp Description: PGP signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Това ядро дето го ползваш е толкова старо, че се води праисторическо (на повече от шест години) :) Ако не минеш на 2.6 едва ли ще можеш да се справиш. Спести си услията, които ще хвърлиш в подкарването на pptp на 2.4, метни се една федора 10 (или там която е последната версия, тъй като ползваш redhat) едва ли ще ти отнеме повече от час. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и всички настройки: dns settings, routing, firewall rules, openvpn settings, etc. Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен reinstall? Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва да пачвам кърнела? Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Georgi Chorbadzhiyski Sent: Tuesday, February 03, 2009 11:18 AM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Това ядро дето го ползваш е толкова старо, че се води праисторическо (на повече от шест години) :) Ако не минеш на 2.6 едва ли ще можеш да се справиш. Спести си услията, които ще хвърлиш в подкарването на pptp на 2.4, метни се една федора 10 (или там която е последната версия, тъй като ползваш redhat) едва ли ще ти отнеме повече от час. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Здрасти, Можеш да прочетеш отговорите ми по-долу. На Tue, 3 Feb 2009 14:03:42 +0200 Svetlin Nakov svet...@nakov.com написа: Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и всички настройки: dns settings, routing, firewall rules, openvpn settings, etc. Това не е невъзможно, но изисква внимателно планиране. Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен reinstall? Не, няма лесен начин. В документацията на всички Red Hat базирани дистрибуции се казва, че препоръчваното решение е пълна преинсталация, а не обновяване и надграждане до по-нова версия. Не казвам, че не е възможно, просто има голям шанс да се счупи нещо. А, и единственият _поддържан_ upgrade path е от версия до версия - т.е. примерно от redhat7.1 до 7.2, после до 7.3, после до 8, 9 и т.н. Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва да пачвам кърнела? Лесно е относително определение. Трябва да решиш как ще си оторизираш потребителите, дали в играта ще влезе някакъв сложен рутинг, и т.н. Но за закърпване на ядрото - не, не е необходимо при съвременните ядра 2.6. Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Georgi Chorbadzhiyski Sent: Tuesday, February 03, 2009 11:18 AM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Това ядро дето го ползваш е толкова старо, че се води праисторическо (на повече от шест години) :) Ако не минеш на 2.6 едва ли ще можеш да се справиш. Спести си услията, които ще хвърлиш в подкарването на pptp на 2.4, метни се една федора 10 (или там която е последната версия, тъй като ползваш redhat) едва ли ще ти отнеме повече от час. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Поздрави, Никола pgpsBIAjfD5Kx.pgp Description: PGP signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Здрасти, Svetlin Nakov wrote: Благодаря за насоките, Никола. Мисля, че ще е по-лесно да накарам отсрещната страна да минем на L2TP/IPSec VPN. Той иска единствено UDP порт 1701, нали? Не би трябвало да имаме проблеми със сегашните настройки и преминаване през NAT базиран на iptables, или бъркам нещо? Виж дали kernel-а ти подържа IPSec NatT (Nat Traversal) . Иначе пак си в същата ситуация Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Tuesday, February 03, 2009 2:49 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здрасти, Можеш да прочетеш отговорите ми по-долу. На Tue, 3 Feb 2009 14:03:42 +0200 Svetlin Nakov svet...@nakov.com написа: Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и всички настройки: dns settings, routing, firewall rules, openvpn settings, etc. Това не е невъзможно, но изисква внимателно планиране. Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен reinstall? Не, няма лесен начин. В документацията на всички Red Hat базирани дистрибуции се казва, че препоръчваното решение е пълна преинсталация, а не обновяване и надграждане до по-нова версия. Не казвам, че не е възможно, просто има голям шанс да се счупи нещо. А, и единственият _поддържан_ upgrade path е от версия до версия - т.е. примерно от redhat7.1 до 7.2, после до 7.3, после до 8, 9 и т.н. Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва да пачвам кърнела? Лесно е относително определение. Трябва да решиш как ще си оторизираш потребителите, дали в играта ще влезе някакъв сложен рутинг, и т.н. Но за закърпване на ядрото - не, не е необходимо при съвременните ядра 2.6. Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Georgi Chorbadzhiyski Sent: Tuesday, February 03, 2009 11:18 AM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Това ядро дето го ползваш е толкова старо, че се води праисторическо (на повече от шест години) :) Ако не минеш на 2.6 едва ли ще можеш да се справиш. Спести си услията, които ще хвърлиш в подкарването на pptp на 2.4, метни се една федора 10 (или там която е последната версия, тъй като ползваш redhat) едва ли ще ти отнеме повече от час. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
А защо направо не си сложите един openvpn от двете страни и да си спестите мъките с IPSec-а? Мариян On Tuesday 03 February 2009 21:04:53 Svetlin Nakov wrote: Благодаря за насоките, Никола. Мисля, че ще е по-лесно да накарам отсрещната страна да минем на L2TP/IPSec VPN. Той иска единствено UDP порт 1701, нали? Не би трябвало да имаме проблеми със сегашните настройки и преминаване през NAT базиран на iptables, или бъркам нещо? Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Tuesday, February 03, 2009 2:49 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здрасти, Можеш да прочетеш отговорите ми по-долу. На Tue, 3 Feb 2009 14:03:42 +0200 Svetlin Nakov svet...@nakov.com написа: Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и всички настройки: dns settings, routing, firewall rules, openvpn settings, etc. Това не е невъзможно, но изисква внимателно планиране. Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен reinstall? Не, няма лесен начин. В документацията на всички Red Hat базирани дистрибуции се казва, че препоръчваното решение е пълна преинсталация, а не обновяване и надграждане до по-нова версия. Не казвам, че не е възможно, просто има голям шанс да се счупи нещо. А, и единственият _поддържан_ upgrade path е от версия до версия - т.е. примерно от redhat7.1 до 7.2, после до 7.3, после до 8, 9 и т.н. Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва да пачвам кърнела? Лесно е относително определение. Трябва да решиш как ще си оторизираш потребителите, дали в играта ще влезе някакъв сложен рутинг, и т.н. Но за закърпване на ядрото - не, не е необходимо при съвременните ядра 2.6. Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Georgi Chorbadzhiyski Sent: Tuesday, February 03, 2009 11:18 AM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Това ядро дето го ползваш е толкова старо, че се води праисторическо (на повече от шест години) :) Ако не минеш на 2.6 едва ли ще можеш да се справиш. Спести си услията, които ще хвърлиш в подкарването на pptp на 2.4, метни се една федора 10 (или там която е последната версия, тъй като ползваш redhat) едва ли ще ти отнеме повече от час. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Явно проблемът не е в site-to-site имплементацията . По-скоро краен потребител трябва да може да направи VPN към точка в публичната мрежа. Иначе в ситуацията със двете страни, няма да има проблем и с PPTP/GRE варианта Marian Marinov wrote: А защо направо не си сложите един openvpn от двете страни и да си спестите мъките с IPSec-а? Мариян On Tuesday 03 February 2009 21:04:53 Svetlin Nakov wrote: Благодаря за насоките, Никола. Мисля, че ще е по-лесно да накарам отсрещната страна да минем на L2TP/IPSec VPN. Той иска единствено UDP порт 1701, нали? Не би трябвало да имаме проблеми със сегашните настройки и преминаване през NAT базиран на iptables, или бъркам нещо? Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Tuesday, February 03, 2009 2:49 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здрасти, Можеш да прочетеш отговорите ми по-долу. На Tue, 3 Feb 2009 14:03:42 +0200 Svetlin Nakov svet...@nakov.com написа: Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и всички настройки: dns settings, routing, firewall rules, openvpn settings, etc. Това не е невъзможно, но изисква внимателно планиране. Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен reinstall? Не, няма лесен начин. В документацията на всички Red Hat базирани дистрибуции се казва, че препоръчваното решение е пълна преинсталация, а не обновяване и надграждане до по-нова версия. Не казвам, че не е възможно, просто има голям шанс да се счупи нещо. А, и единственият _поддържан_ upgrade path е от версия до версия - т.е. примерно от redhat7.1 до 7.2, после до 7.3, после до 8, 9 и т.н. Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва да пачвам кърнела? Лесно е относително определение. Трябва да решиш как ще си оторизираш потребителите, дали в играта ще влезе някакъв сложен рутинг, и т.н. Но за закърпване на ядрото - не, не е необходимо при съвременните ядра 2.6. Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Georgi Chorbadzhiyski Sent: Tuesday, February 03, 2009 11:18 AM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Това ядро дето го ползваш е толкова старо, че се води праисторическо (на повече от шест години) :) Ако не минеш на 2.6 едва ли ще можеш да се справиш. Спести си услията, които ще хвърлиш в подкарването на pptp на 2.4, метни се една федора 10 (или там която е последната версия, тъй като ползваш redhat) едва ли ще ти отнеме повече от час. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Благодаря за насоките, Никола. Мисля, че ще е по-лесно да накарам отсрещната страна да минем на L2TP/IPSec VPN. Той иска единствено UDP порт 1701, нали? Не би трябвало да имаме проблеми със сегашните настройки и преминаване през NAT базиран на iptables, или бъркам нещо? Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Nickola Kolev Sent: Tuesday, February 03, 2009 2:49 PM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Здрасти, Можеш да прочетеш отговорите ми по-долу. На Tue, 3 Feb 2009 14:03:42 +0200 Svetlin Nakov svet...@nakov.com написа: Ами да, наистина и аз стигнах до тази идея. Обаче трябва да мигрирам и всички настройки: dns settings, routing, firewall rules, openvpn settings, etc. Това не е невъзможно, но изисква внимателно планиране. Има ли лесен начин да направя upgrade към Fedora 10 вместо пълен reinstall? Не, няма лесен начин. В документацията на всички Red Hat базирани дистрибуции се казва, че препоръчваното решение е пълна преинсталация, а не обновяване и надграждане до по-нова версия. Не казвам, че не е възможно, просто има голям шанс да се счупи нещо. А, и единственият _поддържан_ upgrade path е от версия до версия - т.е. примерно от redhat7.1 до 7.2, после до 7.3, после до 8, 9 и т.н. Освен това в kernel 2.6 лесно ли се пуска това pptp или пак ще трябва да пачвам кърнела? Лесно е относително определение. Трябва да решиш как ще си оторизираш потребителите, дали в играта ще влезе някакъв сложен рутинг, и т.н. Но за закърпване на ядрото - не, не е необходимо при съвременните ядра 2.6. Наков -Original Message- From: lug-bg-boun...@linux-bulgaria.org [mailto:lug-bg-boun...@linux-bulgaria.org] On Behalf Of Georgi Chorbadzhiyski Sent: Tuesday, February 03, 2009 11:18 AM To: Linux Users Group - Bulgaria Subject: Re: [Lug-bg] iptables, NAT and PPTP Svetlin Nakov wrote ... , On 2/3/09 10:57 AM: Ами въпросният модул го няма: [r...@border-router tmp]# lsmod | grep ip_nat_pptp [r...@border-router tmp]# modprobe ip_nat_pptp modprobe: Can't locate module ip_nat_pptp Аз съм с kernel 2.4.20 (Red Hat Linux 3). Как мога да добавя този модул? Тук намерих някакъв patch, но е за kernel 2.4.19: http://www.impsec.org/linux/masquerade/ip_masq_vpn.html Някакви идеи? Това ядро дето го ползваш е толкова старо, че се води праисторическо (на повече от шест години) :) Ако не минеш на 2.6 едва ли ще можеш да се справиш. Спести си услията, които ще хвърлиш в подкарването на pptp на 2.4, метни се една федора 10 (или там която е последната версия, тъй като ползваш redhat) едва ли ще ти отнеме повече от час. -- Georgi Chorbadzhiyski http://georgi.unixsol.org/ ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Поздрави, Никола ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
On Tue, Feb 03, 2009 at 10:05:02PM +0200, Danail Petrov wrote: Marian Marinov wrote: Мариян On Tuesday 03 February 2009 21:04:53 Svetlin Nakov wrote: Благодаря за насоките, Никола. Мисля, че ще е по-лесно да накарам отсрещната страна да минем на L2TP/IPSec VPN. Той иска единствено UDP порт 1701, нали? Не би трябвало да имаме проблеми със сегашните настройки и преминаване през NAT базиран на iptables, или бъркам нещо? А защо направо не си сложите един openvpn от двете страни и да си спестите мъките с IPSec-а? Явно проблемът не е в site-to-site имплементацията . По-скоро краен потребител трябва да може да направи VPN към точка в публичната мрежа. Иначе в ситуацията със двете страни, няма да има проблем и с PPTP/GRE варианта Ми всъщност OpenVPN може да работи прекрасно и в режим на сървър за множество клиенти. И така, и в нормалния си режим за връзка между конкретни две точки, OpenVPN няма да има проблеми с firewall-ите по средата, стига поне едната страна да е на публичен / реален IP адрес. Поздрави, Петър -- Peter Pentchev r...@ringlet.netr...@space.bgr...@freebsd.org PGP key:http://people.FreeBSD.org/~roam/roam.key.asc Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 This sentence contradicts itself - or rather - well, no, actually it doesn't! pgpRceYRVi4Kd.pgp Description: PGP signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Здрасти, не съм много в час за това как точно кернела транслира GRE пакетите (със сигурност не прави стандарното маскиране/транслиране, тъй като това не е TCP/UDP протокол и той няма src/dst port), но имаш ли този модул зареден |ip_masq_pptp.o| (или в ядрото)? Svetlin Nakov wrote: Здравейте, Имам проблем с подкарването на PPTP през Linux рутер (самоделка). В офиса имаме Интернет доставчик (192.168.6.1) и Linux рутер, който прави NAT и дава интернет на вътрешните мрежи (192.168.0.0/24, 192.168.2.0/24, 192.168.3.0/24). Искам от вътрешната мрежа да се свържа към PPTP базиран VPN, който както всички знаем ползва TCP порт 1723 и протокол GRE. Обаче по някаква причина GRE протокола не може да премине успешно през Linux машината. Ако извадя кабела на Интернет доставчика, няма проблем със свързването към PPTP сървъра, но през NAT услугата на Linux машината не става. Зависва веднага след ватентикацията, когато се превключва на протокол GRE. Ползвам Red Hat Linux 3.2.2-5 с kernel 2.4.20-8. За NAT и firewall ползвам iptables. Това са ми е iptables правилата: # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *nat :PREROUTING ACCEPT [3826028:450721308] :POSTROUTING ACCEPT [489166:30731077] :OUTPUT ACCEPT [501461:32049378] # DEV port forward -A PREROUTING -i eth2 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443 -A PREROUTING -i eth3 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443 # Perform NAT for the internal networks -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.2.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.3.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.6.0/24 COMMIT # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *mangle :PREROUTING ACCEPT [36497804:22370690460] :INPUT ACCEPT [10012719:4687680109] :FORWARD ACCEPT [26410023:17675681338] :OUTPUT ACCEPT [10461124:5342939882] :POSTROUTING ACCEPT [36825304:23005473811] COMMIT # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *filter :INPUT ACCEPT [10647040:4805420467] :FORWARD ACCEPT [26911698:17913658231] :OUTPUT ACCEPT [10530480:5353253885] # DEV port forward -A FORWARD -p tcp -i eth0 -d 192.168.0.24 --dport 443 -j ACCEPT COMMIT Някой имал ли е такъв проблем и знае ли как се оправя? В Интернет четох, че май трябвало да си сложа специален kernel driver за NAT на GRE пакети, обаче ме съмнява това да не се поддържа стандартно. Всякакви идеи ще са ми полезни. *Svetlin Nakov* Director Training and Consulting Activities National Academy for Software Development http://academy.devbg.org ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg -- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com smime.p7s Description: S/MIME Cryptographic Signature ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg
Re: [Lug-bg] iptables, NAT and PPTP
Здрасти, Пробвай с едно: lsmod | grep ip_nat_pptp Ако няма такъв модул, зареди го с: modprobe ip_nat_pptp И виж какво се случва. On Mon, 2 Feb 2009 20:32:42 +0200 Svetlin Nakov svet...@nakov.com wrote: Здравейте, [ cut ] Някой имал ли е такъв проблем и знае ли как се оправя? В Интернет четох, че май трябвало да си сложа специален kernel driver за NAT на GRE пакети, обаче ме съмнява това да не се поддържа стандартно. Всякакви идеи ще са ми полезни. Svetlin Nakov Director Training and Consulting Activities National Academy for Software Development http://academy.devbg.org http://academy.devbg.org -- Nickola Kolev ni...@mnet.bg ___ Lug-bg mailing list Lug-bg@linux-bulgaria.org http://linux-bulgaria.org/mailman/listinfo/lug-bg