Forum Mjukvara Linux och övriga operativsystem Tråd

VPN pass thru ipchains

1
Skriv svar
Permalänk
Medlem

VPN pass thru ipchains

Nu linux gurus ska ni få ta och hjälpa mig för jag blir inte klok på hur man ska göra följande:

Jag har en smoothwall ståendes på ett företag nu vill dom kunna köra VPN klienten från windows XP (hemma) till sin windows 2000 server (på jobbet) Detta ska på kundens begäran göras över pptp vilket går över TCP på port 1723 in/ut men även protokoll 47 in och ut. Smoothwall har i sitt administrations gränsnitt vad jag kan se inge möjligthet att öppna för andra protokoll än TCP och UDP så jag måste manuellt lägga till detta i firewall skriptet som jag tror är rc.firewall.up i rc.d katalogen. Smoothwall använder sig av ipchains så nu skulle jag behöva veta hur jag ska göra detta har provat lite olika men det går alltid åt skogen när jag ska autentisera login och lösen då verkar jag få en timeout detta tyder troligvis på att jag har lyckats med TCP på port 1723 vilket ska vara den kanal som används för att skicka kommandon men det har gått åt skogen med protokoll 47 vilket ska användas för dataöverföring.

Så nu skulle jag vilja ha lite hjälp (gärna exempel) på hur man kan fixa till detta.

Så här ser det ut i min labb miljö:

win2k (ip: 192.168.10.4) <-> smoothwall (insidan: 192.168.10.2 utsidan: 192.168.45.150) <- windowsxp (ip: ANY)

Ipchains: Kom ihåg att jag aldrig gjort detta
Ipchains -A forward -p 47 -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
Ipcahins -A forward -p TCP 1723 -j ACCEPT

Senast redigerat
Visa signatur

Företaget | Privata sidan

Redigera
Citera flera Citera
Permalänk
Medlem

Gav mig själv på det där för att komma åt PIXen på jobbet hemifrån. Fick det aldrig att fungera, dock.

Den jobbar dock med IPsec som kanske är annorlunda? Är inte så insatt i det där (inte behövt.. än)

Citat:

Make sure you are forwarding (both ways protocol 50 (ESP), protocol 51
(AH) and UDP sport 500 / dport 500 (IKE).

Also make sure you are using IPsec in tunnel mode, not transport mode
(transport mode will not work through NAT).

Redigera
Citera flera Citera
Permalänk
Medlem

mjo det bli liknande med med pptp jag måste forwarda med ipchains i båda riktningarna problemet är bara att jag inte vet hur man gör i ipchains.

Visa signatur

Företaget | Privata sidan

Redigera
Citera flera Citera
Permalänk
Medlem

Såhär ser exempelvis min forwardsträng ut om jag skulle köra en ftpserver på interna nätet:

 $IPTABLES -A FORWARD -p tcp -d $FTP_HOST --dport ftp-data -j ACCEPT
        $IPTABLES -A FORWARD -p tcp -d $FTP_HOST --dport ftp -j ACCEPT
        $IPTABLES -t nat -A PREROUTING -p tcp -d $EXTERNALIP --dport 21 -j DNAT --to $FTP_HOST:21
        $IPTABLES -t nat -A PREROUTING -p tcp -d $EXTERNALIP --dport 20 -j DNAT --to $FTP_HOST:20

$iptables är enbart variabel för /sbin/iptables eller vad det nu kan vara.
$externalip är som det låter
$ftp_host är interna ipadressen

Redigera
Citera flera Citera
Permalänk
Medlem

har pillat en sväng med det för nåt år sen, om jag inte minns helt fel måste routern stödja GRE, har du inte de får du kompilera in det i kerneln.

Visa signatur

Hej

Redigera
Citera flera Citera
Permalänk
Avstängd

byt till IPtables

Visa signatur

Hemsida: www.galencpu.nu || http://berit.homelinux.net
Abit nf7s |twinmos pc3200 512Mb|POV GF4 ti4200|XP2500+ @ 2100Mhz
|Debian gnu/linux|

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Sweclocker
byt till IPtables

Tror inte smoothwall har stöd för iptables.

Visa signatur
Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Mod

Tror inte smoothwall har stöd för iptables.

Precis och varför skulle det hjälpa mig att byta till IPtables???

Citat:

har pillat en sväng med det för nåt år sen, om jag inte minns helt fel måste routern stödja GRE, har du inte de får du kompilera in det i kerneln.

Kan man kolla om man har stöd för GRE på något sätt (protokoll 47 = GRE) Problemet är att jag inte kan kompilera om kärnan för att få stöd eftersom vissa uppdateringar av smoothwall innehåller en nya kärna om jag inte misstar mig då måste dataansvarig på företaget kompilera in stöd för detta och det är det kört med han klarar bara att köra smoothwalls webgrännsnitt om ens det

Edit: kanske man kan insmoda det i starten istället eller?? Annars får han köra PCanywere eller nått skit istället

Edit2: Bah ju mera jag tänker på det ju mer förbannad blir jag (sweclockers inlägg) varför posta något så idiotiskt som inte hjälper mig ett dugg eller har iptables någon inbyggd funktion för GRE som jag inte känner till eller är det bara allmänt häftigare än ipchains så man måste anmärka på det bara för att?????

Edit3: vad gör ipmasqadm och ipfwd??

Senast redigerat
Visa signatur

Företaget | Privata sidan

Redigera
Citera flera Citera
Permalänk
Medlem

Måste bara säga att jag trixade lite med VPN ikväll.. (kul fredagsnöje, eller hur? med lite bira o några groggar blir det bra... )

Iaf, fick IPSEC passthru att fungera klockrent!
Det du gör är att du DNATar tcp/udp 50,51 samt udp 500 till den host på insidan du vill köra VPNklienten på.

Enda kruxet är att bägge nätverken INTE får vara på samma IPserie!
Jag körde samma (192.168.0.x) och det fungerade INTE!
Bytte till 192.168.1.x hemma, lättare än att byta jobbets burkar iaf..

*weee* borde få bonus och övertid.. haha.

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara