News:

Ум заключается не только в знании, но и в умении прилагать знание на деле. Аристотель

Main Menu

Iptables . Проброс - VPN

Started by KonstantinBrusci, 28 December 2017, 20:16

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Go Down Pages1

KonstantinBrusci

28 December 2017, 20:16 Last Edit: 28 December 2017, 20:19 by KonstantinBrusci
Здравствуйте ! Знающие подскажите  !

Машина Win7 в сети 192.168.0.0 . все работает за исключением VPN .
Firewall ( Пограничный сервер Debian)

Проброс делал как  - Здесь

Открывал порты , делал разрешение на серваке  - Соединение все равно закрыто !
Подскажите  , если кто в теме . Спасибо

В этой конфигурации ( как на скринах )  iptables - пробросы порта 1723 удалил , оставил  первоначальное состояние 
!!!

Все скрины прикладываю .!!!


PS
Если к роутеру подключен все нормально
DNS прописан провайдера .
Если требуется ,выложу файл iptables

( Смотреть скины ) 

STALKER_SLX

#1
28 December 2017, 21:56
"Не все провайдеры, особенно при мобильном или гостевом доступе, обеспечивают нормальное прохождение GRE-пакетов, что делает подключение к VPN-серверу невозможным"!!!

Поэтому первым делом уточните у Вашего провайдера данный нюанс!

Уваров А.С.

#2
29 December 2017, 01:16
Именно так, для начала проверьте что вы включили модуль iptables для GRE, затем убедитесь, что подключение возможно без NAT.

KonstantinBrusci

#3
29 December 2017, 19:16 Last Edit: 29 December 2017, 19:32 by KonstantinBrusci
Друзья ! Вы понимаете  , от роутера ( те кабель завел )  все работает  - и  NAT  в том числе  !!!!  Значит провайдер не причем , так получается ... Думаю ,может действительно запустить -сервер DNS .

Запущу  сервер , отпишусь по результату !

---

Нет ,результат тот же . Ну это как бы и так было ясно .

Сейчас все перепроверю.

Смотреть скрин !

KonstantinBrusci

#4
29 December 2017, 19:39
Quote from: KonstantinBrusci on 29 December 2017, 19:16Друзья ! Вы понимаете  , от роутера ( те кабель завел )  все работает  - и  NAT  в том числе  !!!!  Значит провайдер не причем , так получается ... Думаю ,может действительно запустить -сервер DNS .

Запущу  сервер , отпишусь по результату !

---

Нет ,результат тот же . Ну это как бы и так было ясно .

Сейчас все перепроверю.

Смотреть скрин !



действительно , что-то  с  GRE !!!!

KonstantinBrusci

#5
29 December 2017, 20:01
УРА !!!!!!!!!!!!! ПОДКЛЮЧИЛСЯ ., но тут целая наука )))

Делал как -  ЗДЕСЬ



PS
- Эту статью , делаю , как напоминалку -  для VPN . Прошу не удалять .
  20 минут потребовалось ,чтобы поднять vpn , это видно по репостам

Уваров А.С.

#6
29 December 2017, 23:05
В основном имеет значение это:

Code Select
modprobe ip_gre
modprobe ip_nat_pptp
и это:

Code Select
iptables -A FORWARD -p gre -j ACCEPT
А вот это правило меня сильно смущает

Code Select
iptables -t nat -A PREROUTING -i %интерфейс% -p gre -j DNAT --to 192.168.0.100
как минимум - оно бесполезное, ибо делать с протоколом GRE то, что оно предлагает нельзя просто физически.

KonstantinBrusci

#7
30 December 2017, 00:03
Quote from: Уваров А.С. on 29 December 2017, 23:05В основном имеет значение это:

Code Select
modprobe ip_gre
modprobe ip_nat_pptp
и это:

Code Select
iptables -A FORWARD -p gre -j ACCEPT
А вот это правило меня сильно смущает

Code Select
iptables -t nat -A PREROUTING -i %интерфейс% -p gre -j DNAT --to 192.168.0.100
как минимум - оно бесполезное, ибо делать с протоколом GRE то, что оно предлагает нельзя просто физически.



Соглашусь с Вами ,  в порыве удачи выложил все

KonstantinBrusci

#8
30 December 2017, 00:10 Last Edit: 30 December 2017, 00:14 by KonstantinBrusci
Quote from: KonstantinBrusci on 30 December 2017, 00:03Соглашусь с Вами ,  в порыве удачи выложил все

Соглашусь с Вами ,  в порыве удачи выложил все .  Кстати ,( и пока не совсем понятно ) опустил DNS сервер  и VPN перестал подниматься , но это мелочи .., но сам факт интересно потом рассмотреть

Но допускаю , что моя вина , DNS провайдера нужно другой забить . Ситуацию отпускаю , просто на будущее задел на VPN делал

KonstantinBrusci

#9
30 December 2017, 07:25 Last Edit: 30 December 2017, 07:41 by KonstantinBrusci
Так резюмирую  - VPN поднимается  => Только при этих условиях :
   
      1.  iptables -A FORWARD -p gre -j ACCEPT
      2.  modprobe ip_gre ( поднимаем на уровне ядра )
      3.  iptables -t nat -A PREROUTING -i  eth0 -p gre -j DNAT --to 192.168.XXX.XXX  - вот именно IP машины нужно
                                                                                                                                                            указать.

      Сначала уперся в DNS  ,  не мог поднять VPN  при опущенном DNS , но перекручивал все DNS провайдера и все
      получилось  ( в моем случаи это важно , мне DNS сервер не нужен  - только статика ) может эта инфа  и другим
      пригодится .
     
      у меня debian , надо попробовать  потом , в Ubuntа
      не исключаю , что придется менять настройки 

     мне очень не нравиться 3 строчка , проброс портов идет  - source ( грубо говоря )  . Если и оперировать , так на уровне сети 
     было бы предпочтительней , но не IP адреса .   
       
Go Up Pages1