28 марта 2024, 12:22

Цитата дня:

Невежество чаще рождает уверенность, нежели знание. Чарлз Дарвин


Iptables . Проброс - VPN

Автор KonstantinBrusci, 28 декабря 2017, 20:16

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

KonstantinBrusci

28 декабря 2017, 20:16 Последнее редактирование: 28 декабря 2017, 20:19 от KonstantinBrusci
Здравствуйте ! Знающие подскажите  !

Машина Win7 в сети 192.168.0.0 . все работает за исключением VPN .
Firewall ( Пограничный сервер Debian)

Проброс делал как  - Здесь

Открывал порты , делал разрешение на серваке  - Соединение все равно закрыто !
Подскажите  , если кто в теме . Спасибо

В этой конфигурации ( как на скринах )  iptables - пробросы порта 1723 удалил , оставил  первоначальное состояние 
!!!

Все скрины прикладываю .!!!


PS
Если к роутеру подключен все нормально
DNS прописан провайдера .
Если требуется ,выложу файл iptables

( Смотреть скины ) 

STALKER_SLX

"Не все провайдеры, особенно при мобильном или гостевом доступе, обеспечивают нормальное прохождение GRE-пакетов, что делает подключение к VPN-серверу невозможным"!!!

Поэтому первым делом уточните у Вашего провайдера данный нюанс!

Уваров А.С.

Именно так, для начала проверьте что вы включили модуль iptables для GRE, затем убедитесь, что подключение возможно без NAT.

KonstantinBrusci

#3
29 декабря 2017, 19:16 Последнее редактирование: 29 декабря 2017, 19:32 от KonstantinBrusci
Друзья ! Вы понимаете  , от роутера ( те кабель завел )  все работает  - и  NAT  в том числе  !!!!  Значит провайдер не причем , так получается ... Думаю ,может действительно запустить -сервер DNS .

Запущу  сервер , отпишусь по результату !

---

Нет ,результат тот же . Ну это как бы и так было ясно .

Сейчас все перепроверю.

Смотреть скрин !

KonstantinBrusci

Друзья ! Вы понимаете  , от роутера ( те кабель завел )  все работает  - и  NAT  в том числе  !!!!  Значит провайдер не причем , так получается ... Думаю ,может действительно запустить -сервер DNS .

Запущу  сервер , отпишусь по результату !

---

Нет ,результат тот же . Ну это как бы и так было ясно .

Сейчас все перепроверю.

Смотреть скрин !

действительно , что-то  с  GRE !!!!


KonstantinBrusci

УРА !!!!!!!!!!!!! ПОДКЛЮЧИЛСЯ ., но тут целая наука )))

Делал как -  ЗДЕСЬ



PS
- Эту статью , делаю , как напоминалку -  для VPN . Прошу не удалять .
  20 минут потребовалось ,чтобы поднять vpn , это видно по репостам

Уваров А.С.

В основном имеет значение это:

modprobe ip_gre
modprobe ip_nat_pptp


и это:

iptables -A FORWARD -p gre -j ACCEPT

А вот это правило меня сильно смущает

iptables -t nat -A PREROUTING -i %интерфейс% -p gre -j DNAT --to 192.168.0.100

как минимум - оно бесполезное, ибо делать с протоколом GRE то, что оно предлагает нельзя просто физически.

KonstantinBrusci

В основном имеет значение это:

modprobe ip_gre
modprobe ip_nat_pptp


и это:

iptables -A FORWARD -p gre -j ACCEPT

А вот это правило меня сильно смущает

iptables -t nat -A PREROUTING -i %интерфейс% -p gre -j DNAT --to 192.168.0.100

как минимум - оно бесполезное, ибо делать с протоколом GRE то, что оно предлагает нельзя просто физически.
Соглашусь с Вами ,  в порыве удачи выложил все

KonstantinBrusci

#8
30 декабря 2017, 00:10 Последнее редактирование: 30 декабря 2017, 00:14 от KonstantinBrusci
Соглашусь с Вами ,  в порыве удачи выложил все
Соглашусь с Вами ,  в порыве удачи выложил все .  Кстати ,( и пока не совсем понятно ) опустил DNS сервер  и VPN перестал подниматься , но это мелочи .., но сам факт интересно потом рассмотреть

Но допускаю , что моя вина , DNS провайдера нужно другой забить . Ситуацию отпускаю , просто на будущее задел на VPN делал

KonstantinBrusci

#9
30 декабря 2017, 07:25 Последнее редактирование: 30 декабря 2017, 07:41 от KonstantinBrusci
Так резюмирую  - VPN поднимается  => Только при этих условиях :
   
      1.  iptables -A FORWARD -p gre -j ACCEPT
      2.  modprobe ip_gre ( поднимаем на уровне ядра )
      3.  iptables -t nat -A PREROUTING -i  eth0 -p gre -j DNAT --to 192.168.XXX.XXX  - вот именно IP машины нужно
                                                                                                                                                            указать.

      Сначала уперся в DNS  ,  не мог поднять VPN  при опущенном DNS , но перекручивал все DNS провайдера и все
      получилось  ( в моем случаи это важно , мне DNS сервер не нужен  - только статика ) может эта инфа  и другим
      пригодится .
     
      у меня debian , надо попробовать  потом , в Ubuntа
      не исключаю , что придется менять настройки 

     мне очень не нравиться 3 строчка , проброс портов идет  - source ( грубо говоря )  . Если и оперировать , так на уровне сети 
     было бы предпочтительней , но не IP адреса .   
       

Вверх