Olá..

então no firewall coloquei esta regra mas, também, não funcionou...

o erro do log continua o mesmo:

==
May  2 17:21:30 localhost pptpd[32357]: CTRL: Client 201.69.10.251 control connection started
May  2 17:21:31 localhost pptpd[32357]: CTRL: Starting call (launching pppd, opening GRE)
May  2 17:21:31 localhost pppd[32359]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded.
May  2 17:21:31 localhost pppd[32359]: pptpd-logwtmp: $Version$
May  2 17:21:31 localhost pppd[32359]: pppd 2.4.3 started by root, uid 0
May  2 17:21:31 localhost pppd[32359]: Using interface ppp0
May  2 17:21:31 localhost pppd[32359]: Connect: ppp0 <--> /dev/pts/1
May  2 17:22:01 localhost pppd[32359]: LCP: timeout sending Config-Requests
May  2 17:22:01 localhost pppd[32359]: Connection terminated.
May  2 17:22:01 localhost pppd[32359]: Using interface ppp0
May  2 17:22:01 localhost pppd[32359]: Connect: ppp0 <--> /dev/pts/1
May  2 17:22:01 localhost pppd[32359]: tcflush failed: Bad file descriptor
May  2 17:22:01 localhost pppd[32359]: tcsetattr: Invalid argument (line 1016)
May  2 17:22:01 localhost pppd[32359]: Exit.
May  2 17:22:01 localhost pptpd[32357]: GRE: read(fd=6,buffer=804e560,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
May  2 17:22:01 localhost pptpd[32357]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7)
May  2 17:22:01 localhost pptpd[32357]: CTRL: Client 201.69.10.251 control connection finished
==

no script do meu firewall tem as seguintes regras:
==
  $MODPROBE ip_gre
  echo 1 > /proc/sys/net/ipv4/ip_forward
  echo 1 > /proc/sys/net/ipv4/ip_dynaddr

  # Politicas padroes
  $IPT -t filter -P INPUT       DROP
  $IPT -t filter -P FORWARD     DROP
  $IPT -t filter -P OUTPUT      ACCEPT
  $IPT -t nat    -P PREROUTING  ACCEPT
  $IPT -t nat    -P POSTROUTING ACCEPT
  $IPT -t nat    -P OUTPUT      ACCEPT
  $IPT -t filter -F
  $IPT -t nat    -F
  $IPT -t mangle -F
  $IPT -t filter -Z
  $IPT -t nat    -Z
  $IPT -t mangle -Z

  ########
  # FILTER
  ########
  $IPT -A INPUT -i lo -j ACCEPT
  $IPT -A INPUT -i ppp+ -j ACCEPT
  $IPT -A INPUT -s $REDE_BLUEEYE -j ACCEPT
  $IPT -A INPUT -s $REDE_MIRANTE -j ACCEPT
  $IPT -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT
  $IPT -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT
  $IPT -A INPUT -s 0/0 -p tcp --dport 3000 -j ACCEPT
  $IPT -A INPUT -p 47 -j ACCEPT
  $IPT -A INPUT -p tcp --dport 1723 -j ACCEPT
  $IPT -A INPUT -p tcp --sport 1723 -j ACCEPT
  $IPT -A INPUT -s $REDE_BLUEEYE -p tcp --dport 53 -j ACCEPT
  $IPT -A INPUT -s $REDE_BLUEEYE -p udp --dport 53 -j ACCEPT UDP
  $IPT -A INPUT -s $REDE_MIRANTE -p tcp --dport 53 -j ACCEPT
  $IPT -A INPUT -s $REDE_MIRANTE -p udp --dport 53 -j ACCEPT
  $IPT -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
  $IPT -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j RETURN
  $IPT -A INPUT -m state --state ESTABLISHED,RELATED  -j ACCEPT
  $IPT -A FORWARD -p tcp -m tcp --dport 1723 -j ACCEPT
  $IPT -A FORWARD -p tcp -m tcp --sport 1723 -j ACCEPT
  $IPT -A FORWARD -p 47 -j ACCEPT
  $IPT -A FORWARD -o eth1 -m state --state NEW,INVALID -j DROP
  $IPT -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT       
  $IPT -A FORWARD -o eth2 -m state --state NEW,INVALID -j DROP
  $IPT -A FORWARD -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT       
  $IPT -A FORWARD -s $REDE_BLUEEYE -p tcp --dport 80 -j DROP
  $IPT -A FORWARD -s $REDE_BLUEEYE -p tcp --dport 1863 -j DROP
  $IPT -A FORWARD -i eth1 -s $REDE_BLUEEYE -j ACCEPT
  $IPT -A FORWARD -i eth2 -s $REDE_MIRANTE -j ACCEPT
  $IPT -A FORWARD -j DROP
  $IPT -A INPUT -j DROP

  $IPT -t nat -A POSTROUTING -s $REDE_BLUEEYE -o eth0 -j MASQUERADE            
  $IPT -t nat -A POSTROUTING -s $REDE_MIRANTE -o eth0 -j MASQUERADE            
  #$IPT -t nat -A POSTROUTING -o ppp+ -j MASQUERADE
  $IPT -t nat -A PREROUTING -s $REDE_BLUEEYE -p tcp --dport 80 -j REDIRECT --to-port 3128
  $IPT -t nat -A PREROUTING -d $SERV_FIREWALL -p tcp --dport 1723 -j DNAT --to 192.168.1.5:1723
  $IPT -t nat -A PREROUTING -p 47 -j DNAT --to 192.168.1.5
==


O computador ond está o servidor VPN não tem nenhuma regra de bloqueio (firewall aberto)

==
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[root@localhost ~]# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
==

[]s


On 5/2/07, Robert Pereira <robertjs@gmail.com> wrote:
Observe esta linha de erro:

Apr 27 13:25:14 localhost pptpd[30130]: GRE:
read(fd=6,buffer=804e560,len=8196) from PTY failed: status = -1 error
= Input/output error, usually caused by unexpected termination of
pppd, check option syntax and pppd logs

Ficou faltando acrescentar a seguinte linha nas regras do iptables:

iptables -A INPUT  -p gre -j ACCEPT

O protocolo GRE é usado em conjunto com o protocolo PPTP para criar VPNs.

Teste e nos dê o feedback.

Em 02/05/07, Renato de Oliveira Diogo<rdiogo01@yahoo.com.br> escreveu:
> Olá pessoal
>
> seguinte.. estou tentando configurar um VPN porém creio que estou com
> problemas com o firewall (iptables ou roteamento).
>
> Primeiramente eu configurei uma vpn no mesmo servidor do firewall, me
> conectava normal mas não navegava... em ping/traceroute parava no servidor
> do vpn/firewall e não saia dali.
>
> Agora, como as maiorias dos tutoriais de VPN utilizando o poptop (pptpd) é
> instalado ou em maquinas sem firewall ou atrás de um firewall (sem ser o
> proprio servidor firewall) estou tentando fazer isto.
>
> Porém o meu problema de conectar de um computador externo é o seguinte, ele
> começa a se conectar porém me parece que quando vai redirecionar os pacotes
> do protocolo GRE ele não consegue. Abaixo as regras que coloquei no
> firewall:
>
> ==
> $IPT -A FORWARD -p tcp -m tcp --dport 1723 -j ACCEPT
>  $IPT -A FORWARD -p tcp -m tcp --sport 1723 -j ACCEPT
>  $IPT -A FORWARD -p 47 -j ACCEPT
>  [...]
>  $IPT -t nat -A PREROUTING -d
> 220.239.23.12 -p tcp --dport 1723 -j DNAT --to 192.168.1.5:1723
>  $IPT -t nat -A PREROUTING -p 47 -j DNAT --to 192.168.1.5
> ==
>
> e no log do servidor de VPN:
> ==
> Apr 27 13:24:43 localhost pptpd[30130]: CTRL: Client 200.169.124.136 control
> connection started
> Apr 27 13:24:44 localhost pptpd[30130]: CTRL: Starting call (launching pppd,
> opening GRE)
> Apr 27 13:24:44 localhost pppd[30131]: Plugin
> /usr/lib/pptpd/pptpd-logwtmp.so loaded.
> Apr 27 13:24:44 localhost pppd[30131]: pptpd-logwtmp: $Version$
> Apr 27 13:24:44 localhost pppd[30131]: pppd 2.4.3 started by root, uid 0
> Apr 27 13:24:44 localhost pppd[30131]: Using interface ppp0
> Apr 27 13:24:44 localhost pppd[30131]: Connect: ppp0 <--> /dev/pts/1
> Apr 27 13:25:14 localhost pppd[30131]: LCP: timeout sending Config-Requests
>  Apr 27 13:25:14 localhost pppd[30131]: Connection terminated.
> Apr 27 13:25:14 localhost pppd[30131]: Using interface ppp0
> Apr 27 13:25:14 localhost pppd[30131]: Connect: ppp0 <--> /dev/pts/1
> Apr 27 13:25:14 localhost pppd[30131]: tcflush failed: Bad file descriptor
> Apr 27 13:25:14 localhost pppd[30131]: tcsetattr: Invalid argument (line
> 1016)
> Apr 27 13:25:14 localhost pppd[30131]: Exit.
> Apr 27 13:25:14 localhost pptpd[30130]: GRE:
> read(fd=6,buffer=804e560,len=8196) from PTY failed: status
> = -1 error = Input/output error, usually caused by unexpected termination of
> pppd, check option syntax and pppd logs
> Apr 27 13:25:14 localhost pptpd[30130]: CTRL: PTY read or GRE write failed
> (pty,gre)=(6,7)
> Apr 27 13:25:14 localhost pptpd[30130]: CTRL: Client 200.169.124.136 control
> connection finished
> ==
>
>
> Quando eu me conecto de dentro da rede interna (sem passar pelo firewall) a
> conexão é normal.
>
> alguém sabe o que pode ser isto?
> --
> ________________________________________________
> Renato de Oliveira Diogo
>
> Bacharel em Ciência da Computação
> UNESP - Bauru
> Mestrando em Ciência da Computação
> UNESP
>
> renato.diogo@gmail.com
>  rdiogo01@yahoo.com.br
> --
> Fedora-users-br mailing list
> Fedora-users-br@redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
>
>

--
Fedora-users-br mailing list
Fedora-users-br@redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br



--
________________________________________________
Renato de Oliveira Diogo

Bacharel em Ciência da Computação
UNESP - Bauru
Mestrando em Ciência da Computação
UNESP

renato.diogo@gmail.com
rdiogo01@yahoo.com.br