Страница 1 из 1
PPTP через IPFW+NAT
Добавлено: 2007-08-31 14:40:45
OlegMS
Подскажите как пробросить из внутренней сетки PPTP к внешнему адресу через файрвол IPFW и NAT. Порылся в инете - одни пишут что NATD понимает PPTP и все должно работать, другие сразу заявляют что =прежде всего понять что pptp не работает через НАТ=.
Re: PPTP через IPFW+NAT
Добавлено: 2007-09-03 8:22:37
OlegMS
Вопрос слишком глупый или никто не в курсе?
Re: PPTP через IPFW+NAT
Добавлено: 2007-09-03 8:33:37
schizoid
в фаере разрешить пакеты с/на 1723 тсп порт, и разрешить прохождение gre-пакетов.
вроде так
Re: PPTP через IPFW+NAT
Добавлено: 2007-09-03 9:31:27
OlegMS
а это реально у кого-то работает?
это все разрешил, в ipfw видно что данные идут, если делать с динамичискими правилами, то эти правила создаются и по ним что-то идет, а в винде vpn подключение отваливается после проверки пароля с ошибкой "619:указанный порт не подключен"
Re: PPTP через IPFW+NAT
Добавлено: 2007-09-03 9:34:58
Alex Keda
gre не идёт - очень на это похоже
Re: PPTP через IPFW+NAT
Добавлено: 2007-09-03 10:52:56
OlegMS
ага.
вопрос в том, может-ли вообще gre транслироваться NATом в локалку? правило под gre создается и даже что-то по нему пытается передаваться...
Т.е. хотелось услышать от тех у кого это работает что мне стоит дальше курить маны по ipfw или что это не работает.
Re: PPTP через IPFW+NAT
Добавлено: 2007-09-03 10:53:28
Alex Keda
я через нат нормально коннектился по pptp
Re: PPTP через IPFW+NAT
Добавлено: 2007-09-03 11:10:31
OlegMS
именно из внутренней сети? с сервера ppp нормально работает...
Re: PPTP через IPFW+NAT
Добавлено: 2007-09-03 11:37:58
schizoid
и я кадато коннектился. с локали, из дому на работу. тока тада на работе не я натил, а пров.
дома тоже ж нат есть.
Re: PPTP через IPFW+NAT
Добавлено: 2007-09-03 11:47:58
OlegMS
в линухе в iptables есть модуль под это дело - ip_nat_pptp так-что если у прова был он, то не показатель.
и правила-то вроде создаются -
Код: Выделить всё
00179 11 1152 (297s) STATE tcp 192.168.114.5 2759 <-> 195.x.x.x 1723
00097 3 196 (4s) STATE gre 192.168.114.5 0 <-> 195.x.x.x 0
сижу, вот, туплю...
Re: PPTP через IPFW+NAT
Добавлено: 2007-09-03 13:37:10
OlegMS
однако тут -
http://www.bsdportal.ru/viewtopic.php?t=15068 меня послали... кажется придется линух курить...
Re: PPTP через IPFW+NAT
Добавлено: 2007-09-03 13:41:54
Alex Keda
да. из внутренней серой сети, через NAT, на белый IP на котором висел poptop
==========
думаю, линух курить рано, для начала я бы поробовал файрволл, строк в 6 - для начала диверт алл, потом аллов алл, потом аллов гре
если не заработает - странно
Если заработает - кури фарволл.
P.S. а для начала, замени все deny на deny log и смотри логи на эту тему...
Re: PPTP через IPFW+NAT
Добавлено: 2007-09-03 15:28:22
OlegMS
Покурил. Нашел таки где был неправ. Все заработало. Спасибо.
Re: PPTP через IPFW+NAT
Добавлено: 2007-09-03 15:33:41
Alex Keda
OlegMS писал(а):Покурил. Нашел таки где был неправ. Все заработало. Спасибо.
ну так скажи что было.
чтоб будущие поколения наступали на свои грабли, после того как обойдут твои
Re: PPTP через IPFW+NAT
Добавлено: 2007-09-03 15:55:45
OlegMS
как обычно - кривые руки
итоговые строки:
Код: Выделить всё
[хрум]
00050 divert 8668 ip from any to any in via fxp0
00055 check-state
[хрум]
00099 skipto 1000 gre from any to any out via fxp0 keep-state
[хрум]
00185 skipto 1000 tcp from any to any dst-port 1723 out via fxp0 setup keep-state
[хрум]
01000 divert 8668 ip from any to any out via fxp0
[хрум]
99 правило было просто =allow gre from any to any keep-state= и хотя правило и создавалось, но не работало.
Re: PPTP через IPFW+NAT
Добавлено: 2007-09-03 15:58:40
Alex Keda
логично - гре должно быть после диверта....
Re: PPTP через IPFW+NAT
Добавлено: 2007-09-03 16:16:23
OlegMS
так оно и было после, но не уточнено что исходящие и skipto не прописал. Т.е. получалось почти корректно, но не рабоче.