PPTP через IPFW+NAT

[OlegMS]

Подскажите как пробросить из внутренней сетки PPTP к внешнему адресу через файрвол IPFW и NAT. Порылся в инете - одни пишут что NATD понимает PPTP и все должно работать, другие сразу заявляют что =прежде всего понять что pptp не работает через НАТ=.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[OlegMS]

Вопрос слишком глупый или никто не в курсе?

[schizoid]

в фаере разрешить пакеты с/на 1723 тсп порт, и разрешить прохождение gre-пакетов.
вроде так

[OlegMS]

а это реально у кого-то работает?
это все разрешил, в ipfw видно что данные идут, если делать с динамичискими правилами, то эти правила создаются и по ним что-то идет, а в винде vpn подключение отваливается после проверки пароля с ошибкой "619:указанный порт не подключен"

[Alex Keda]

gre не идёт - очень на это похоже

[OlegMS]

ага.
вопрос в том, может-ли вообще gre транслироваться NATом в локалку? правило под gre создается и даже что-то по нему пытается передаваться...
Т.е. хотелось услышать от тех у кого это работает что мне стоит дальше курить маны по ipfw или что это не работает.

[Alex Keda]

я через нат нормально коннектился по pptp

[OlegMS]

именно из внутренней сети? с сервера ppp нормально работает...

[schizoid]

и я кадато коннектился. с локали, из дому на работу. тока тада на работе не я натил, а пров.
дома тоже ж нат есть.

[OlegMS]

в линухе в iptables есть модуль под это дело - ip_nat_pptp так-что если у прова был он, то не показатель.

и правила-то вроде создаются -

Код: Выделить всё

00179    11     1152 (297s) STATE tcp 192.168.114.5 2759 <-> 195.x.x.x 1723
00097     3      196 (4s) STATE gre 192.168.114.5 0 <-> 195.x.x.x 0 

сижу, вот, туплю...

[OlegMS]

однако тут - http://www.bsdportal.ru/viewtopic.php?t=15068 меня послали... кажется придется линух курить...

[Alex Keda]

однако тут - http://www.bsdportal.ru/viewtopic.php?t=15068 меня послали... кажется придется линух курить...

да. из внутренней серой сети, через NAT, на белый IP на котором висел poptop
==========
думаю, линух курить рано, для начала я бы поробовал файрволл, строк в 6 - для начала диверт алл, потом аллов алл, потом аллов гре
если не заработает - странно
Если заработает - кури фарволл.

P.S. а для начала, замени все deny на deny log и смотри логи на эту тему...

[OlegMS]

Покурил. Нашел таки где был неправ. Все заработало. Спасибо.

[Alex Keda]

Покурил. Нашел таки где был неправ. Все заработало. Спасибо.

ну так скажи что было.
чтоб будущие поколения наступали на свои грабли, после того как обойдут твои

[OlegMS]

как обычно - кривые руки
итоговые строки:

Код: Выделить всё

[хрум]
00050 divert 8668 ip from any to any in via fxp0
00055 check-state
[хрум]
00099 skipto 1000 gre from any to any out via fxp0 keep-state
[хрум]
00185 skipto 1000 tcp from any to any dst-port 1723 out via fxp0 setup keep-state
[хрум]
01000 divert 8668 ip from any to any out via fxp0
[хрум]

99 правило было просто =allow gre from any to any keep-state= и хотя правило и создавалось, но не работало.

[Alex Keda]

логично - гре должно быть после диверта....

[OlegMS]

так оно и было после, но не уточнено что исходящие и skipto не прописал. Т.е. получалось почти корректно, но не рабоче.