[Fedora-users-br] VPN - poptop X iptables
Renato de Oliveira Diogo
rdiogo01 em yahoo.com.br
Quarta Maio 2 20:32:51 UTC 2007
Olá..
então no firewall coloquei esta regra mas, também, não funcionou...
o erro do log continua o mesmo:
==
May 2 17:21:30 localhost pptpd[32357]: CTRL: Client 201.69.10.251 control
connection started
May 2 17:21:31 localhost pptpd[32357]: CTRL: Starting call (launching pppd,
opening GRE)
May 2 17:21:31 localhost pppd[32359]: Plugin /usr/lib/pptpd/pptpd-
logwtmp.so loaded.
May 2 17:21:31 localhost pppd[32359]: pptpd-logwtmp: $Version$
May 2 17:21:31 localhost pppd[32359]: pppd 2.4.3 started by root, uid 0
May 2 17:21:31 localhost pppd[32359]: Using interface ppp0
May 2 17:21:31 localhost pppd[32359]: Connect: ppp0 <--> /dev/pts/1
May 2 17:22:01 localhost pppd[32359]: LCP: timeout sending Config-Requests
May 2 17:22:01 localhost pppd[32359]: Connection terminated.
May 2 17:22:01 localhost pppd[32359]: Using interface ppp0
May 2 17:22:01 localhost pppd[32359]: Connect: ppp0 <--> /dev/pts/1
May 2 17:22:01 localhost pppd[32359]: tcflush failed: Bad file descriptor
May 2 17:22:01 localhost pppd[32359]: tcsetattr: Invalid argument (line
1016)
May 2 17:22:01 localhost pppd[32359]: Exit.
May 2 17:22:01 localhost pptpd[32357]: GRE:
read(fd=6,buffer=804e560,len=8196) from PTY failed: status = -1 error =
Input/output error, usually caused by unexpected termination of pppd, check
option syntax and pppd logs
May 2 17:22:01 localhost pptpd[32357]: CTRL: PTY read or GRE write failed
(pty,gre)=(6,7)
May 2 17:22:01 localhost pptpd[32357]: CTRL: Client 201.69.10.251 control
connection finished
==
no script do meu firewall tem as seguintes regras:
==
$MODPROBE ip_gre
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
# Politicas padroes
$IPT -t filter -P INPUT DROP
$IPT -t filter -P FORWARD DROP
$IPT -t filter -P OUTPUT ACCEPT
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t filter -F
$IPT -t nat -F
$IPT -t mangle -F
$IPT -t filter -Z
$IPT -t nat -Z
$IPT -t mangle -Z
########
# FILTER
########
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i ppp+ -j ACCEPT
$IPT -A INPUT -s $REDE_BLUEEYE -j ACCEPT
$IPT -A INPUT -s $REDE_MIRANTE -j ACCEPT
$IPT -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT
$IPT -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -s 0/0 -p tcp --dport 3000 -j ACCEPT
$IPT -A INPUT -p 47 -j ACCEPT
$IPT -A INPUT -p tcp --dport 1723 -j ACCEPT
$IPT -A INPUT -p tcp --sport 1723 -j ACCEPT
$IPT -A INPUT -s $REDE_BLUEEYE -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -s $REDE_BLUEEYE -p udp --dport 53 -j ACCEPT UDP
$IPT -A INPUT -s $REDE_MIRANTE -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -s $REDE_MIRANTE -p udp --dport 53 -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j
ACCEPT
$IPT -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j
RETURN
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p tcp -m tcp --dport 1723 -j ACCEPT
$IPT -A FORWARD -p tcp -m tcp --sport 1723 -j ACCEPT
$IPT -A FORWARD -p 47 -j ACCEPT
$IPT -A FORWARD -o eth1 -m state --state NEW,INVALID -j DROP
$IPT -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j
ACCEPT
$IPT -A FORWARD -o eth2 -m state --state NEW,INVALID -j DROP
$IPT -A FORWARD -o eth2 -m state --state ESTABLISHED,RELATED -j
ACCEPT
$IPT -A FORWARD -s $REDE_BLUEEYE -p tcp --dport 80 -j DROP
$IPT -A FORWARD -s $REDE_BLUEEYE -p tcp --dport 1863 -j DROP
$IPT -A FORWARD -i eth1 -s $REDE_BLUEEYE -j ACCEPT
$IPT -A FORWARD -i eth2 -s $REDE_MIRANTE -j ACCEPT
$IPT -A FORWARD -j DROP
$IPT -A INPUT -j DROP
$IPT -t nat -A POSTROUTING -s $REDE_BLUEEYE -o eth0 -j
MASQUERADE
$IPT -t nat -A POSTROUTING -s $REDE_MIRANTE -o eth0 -j
MASQUERADE
#$IPT -t nat -A POSTROUTING -o ppp+ -j MASQUERADE
$IPT -t nat -A PREROUTING -s $REDE_BLUEEYE -p tcp --dport 80 -j REDIRECT
--to-port 3128
$IPT -t nat -A PREROUTING -d $SERV_FIREWALL -p tcp --dport 1723 -j DNAT
--to 192.168.1.5:1723
$IPT -t nat -A PREROUTING -p 47 -j DNAT --to 192.168.1.5
==
O computador ond está o servidor VPN não tem nenhuma regra de bloqueio
(firewall aberto)
==
[root em localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root em localhost ~]# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
==
[]s
On 5/2/07, Robert Pereira <robertjs em gmail.com> wrote:
>
> Observe esta linha de erro:
>
> Apr 27 13:25:14 localhost pptpd[30130]: GRE:
> read(fd=6,buffer=804e560,len=8196) from PTY failed: status = -1 error
> = Input/output error, usually caused by unexpected termination of
> pppd, check option syntax and pppd logs
>
> Ficou faltando acrescentar a seguinte linha nas regras do iptables:
>
> iptables -A INPUT -p gre -j ACCEPT
>
> O protocolo GRE é usado em conjunto com o protocolo PPTP para criar VPNs.
>
> Teste e nos dê o feedback.
>
> Em 02/05/07, Renato de Oliveira Diogo<rdiogo01 em yahoo.com.br> escreveu:
> > Olá pessoal
> >
> > seguinte.. estou tentando configurar um VPN porém creio que estou com
> > problemas com o firewall (iptables ou roteamento).
> >
> > Primeiramente eu configurei uma vpn no mesmo servidor do firewall, me
> > conectava normal mas não navegava... em ping/traceroute parava no
> servidor
> > do vpn/firewall e não saia dali.
> >
> > Agora, como as maiorias dos tutoriais de VPN utilizando o poptop (pptpd)
> é
> > instalado ou em maquinas sem firewall ou atrás de um firewall (sem ser o
> > proprio servidor firewall) estou tentando fazer isto.
> >
> > Porém o meu problema de conectar de um computador externo é o seguinte,
> ele
> > começa a se conectar porém me parece que quando vai redirecionar os
> pacotes
> > do protocolo GRE ele não consegue. Abaixo as regras que coloquei no
> > firewall:
> >
> > ==
> > $IPT -A FORWARD -p tcp -m tcp --dport 1723 -j ACCEPT
> > $IPT -A FORWARD -p tcp -m tcp --sport 1723 -j ACCEPT
> > $IPT -A FORWARD -p 47 -j ACCEPT
> > [...]
> > $IPT -t nat -A PREROUTING -d
> > 220.239.23.12 -p tcp --dport 1723 -j DNAT --to 192.168.1.5:1723
> > $IPT -t nat -A PREROUTING -p 47 -j DNAT --to 192.168.1.5
> > ==
> >
> > e no log do servidor de VPN:
> > ==
> > Apr 27 13:24:43 localhost pptpd[30130]: CTRL: Client 200.169.124.136control
> > connection started
> > Apr 27 13:24:44 localhost pptpd[30130]: CTRL: Starting call (launching
> pppd,
> > opening GRE)
> > Apr 27 13:24:44 localhost pppd[30131]: Plugin
> > /usr/lib/pptpd/pptpd-logwtmp.so loaded.
> > Apr 27 13:24:44 localhost pppd[30131]: pptpd-logwtmp: $Version$
> > Apr 27 13:24:44 localhost pppd[30131]: pppd 2.4.3 started by root, uid 0
> > Apr 27 13:24:44 localhost pppd[30131]: Using interface ppp0
> > Apr 27 13:24:44 localhost pppd[30131]: Connect: ppp0 <--> /dev/pts/1
> > Apr 27 13:25:14 localhost pppd[30131]: LCP: timeout sending
> Config-Requests
> > Apr 27 13:25:14 localhost pppd[30131]: Connection terminated.
> > Apr 27 13:25:14 localhost pppd[30131]: Using interface ppp0
> > Apr 27 13:25:14 localhost pppd[30131]: Connect: ppp0 <--> /dev/pts/1
> > Apr 27 13:25:14 localhost pppd[30131]: tcflush failed: Bad file
> descriptor
> > Apr 27 13:25:14 localhost pppd[30131]: tcsetattr: Invalid argument (line
> > 1016)
> > Apr 27 13:25:14 localhost pppd[30131]: Exit.
> > Apr 27 13:25:14 localhost pptpd[30130]: GRE:
> > read(fd=6,buffer=804e560,len=8196) from PTY failed: status
> > = -1 error = Input/output error, usually caused by unexpected
> termination of
> > pppd, check option syntax and pppd logs
> > Apr 27 13:25:14 localhost pptpd[30130]: CTRL: PTY read or GRE write
> failed
> > (pty,gre)=(6,7)
> > Apr 27 13:25:14 localhost pptpd[30130]: CTRL: Client 200.169.124.136control
> > connection finished
> > ==
> >
> >
> > Quando eu me conecto de dentro da rede interna (sem passar pelo
> firewall) a
> > conexão é normal.
> >
> > alguém sabe o que pode ser isto?
> > --
> > ________________________________________________
> > Renato de Oliveira Diogo
> >
> > Bacharel em Ciência da Computação
> > UNESP - Bauru
> > Mestrando em Ciência da Computação
> > UNESP
> >
> > renato.diogo em gmail.com
> > rdiogo01 em yahoo.com.br
> > --
> > Fedora-users-br mailing list
> > Fedora-users-br em redhat.com
> > https://www.redhat.com/mailman/listinfo/fedora-users-br
> >
> >
>
> --
> Fedora-users-br mailing list
> Fedora-users-br em redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
>
--
________________________________________________
Renato de Oliveira Diogo
Bacharel em Ciência da Computação
UNESP - Bauru
Mestrando em Ciência da Computação
UNESP
renato.diogo em gmail.com
rdiogo01 em yahoo.com.br
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://lists.fedoraproject.org/pipermail/br-users/attachments/20070502/2694eab9/attachment.html
Mais detalhes sobre a lista de discussão br-users