PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : vpn + Firewall



timmoh
30.04.03, 18:15
Servus,
diese Thema hab ich zwar schon ein paar mal im Forum gefunden jedoch bin ich nicht schlau daraus geworden ...
Ich habe folgendes Problem, auf meinen Linuxserver (Suse 8) läuft der pptpd und nun habe ich aus Testzwecken versucht mit Windows 98 mich zu ihm zu connecten, geht leider nicht. Ich denke es liegt an der Firewall (mit harry generator + iptables erstellt).

- Welche Ports muss ich freigeben (am besten die iptables zeile ....)????
- Muss wirklich irgendwelche Module nachladen (hab ich mal hier irgendwo gelesen)???? Wenn ja geht des????



danke timmoh

sev0r
13.05.03, 16:56
Hallo Leute,

ich verwende SuSE 8.1 als Firewall, welche brav NAT/DNAT macht.

Ich wollte nun hinter dieser Firewall zu Testzwecken einen Win2k VPN Server laufen lassen.

Ich habe aus diesem Grunde den TCP Port 1723 auf die interne IP des win2k Servers weitergeleitet.

Nach einem kurzen Verbindungstest mit einem externen Win2k Rechner, hab ich mittels messages-log rausgefunden, dass auch das Protokoll mit der Nr. 47 (GRE-Protokoll) ge-nattet werden muss, denn die Firewall blockt defaultmäßig diesen Traffic.

Ich habe es danach mit folgenden Einträgen versucht:

0.0.0.0/0,192.168.1.233,tcp,1723,1723,192.168.1.1 \
0.0.0.0/0,192.168.1.233,47,1723,1723,192.168.1.1


Hat aber (wie befürchtet) nicht funktioniert....

Hier ein Auszug aus dem Log:

May 13 16:40:05 linux kernel: SuSE-FW-ACCEPT-REVERSE_MASQ IN=eth0 OUT=eth1 SRC=192.168.5.190 DST=192.168.1.233 LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=58269 DF PROTO=TCP SPT=2582 DPT=1723 WINDOW=64240 RES=0x00 SYN URGP=0 OPT (020405B401010402)

May 13 16:40:06 linux kernel: SuSE-FW-DROP-DEFAULT IN=eth0 OUT= MAC= SRC=192.168.5.190 DST=192.168.1.233 LEN=80 TOS=0x00 PREC=0x00 TTL=122 ID=58310 PROTO=47

Hier noch einige Infos zum GRE Protokoll (die mir leider nicht wirklich helfen)

Damit PPTP auch durch Firewalls hindurch funktioniert, müssen folgende Protokolle/Ports am Firewall frei geschalten werden.

IP GRE Protokoll
(GRE hat die Protokollnummer 47 und befindet sich auf der selben Ebene wie TCP und UDP)

Da GRE keine Portnummern verwendet, ist es notwendig, dass dem PC auf der FW eine eigene, eindeutige externe IP-Adresse zugeordnet ist. 1zuN-Nat funktioniert im Zusammenhang mit PPTP nicht!


Meine Frage - wie kann man das Protokoll Nr. 47 DNATen, damit die Verbindung mit dem Win2k VPN Server hinter der Firewall klappt?


Danke,
sev0r