The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"правила iptables для доступа к vpn"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"правила iptables для доступа к vpn"  
Сообщение от konst email(??) on 25-Июл-07, 00:07 
Чего-то совсем запарился... Подскажите, пожалуйста, правила для iptables...
Задача - соединиться с машины лок.сети (cisco-клиент) через шлюз с удален. vpn.
Если запустить  cisco-клиент на самом шлюзе - все OK.

Надо добавить на шлюзе в iptables какие-то волшебные строчки, чтобы и с локал.машины пускало...
адрес лок. машины:192.168.0.1. При запуске клиента устанавливается соединение. Появляется адрес:192.168.1.1. Устанавливается новый роутинг:
..
192.168.0.0 <- 192.168.1.1
..
но коннекта с 192.168.0.5 из удал.vpn сети не происходит

делал:
открывал:500 порт на шлюзе делал nat:

SNAT       tcp  --  192.168.0.0/24       anywhere            multiport dports isakmp,...:to внеш.IP

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "правила iptables для доступа к vpn"  
Сообщение от ALex_hha (ok) on 26-Июл-07, 12:54 
>[оверквотинг удален]
>но коннекта с 192.168.0.5 из удал.vpn сети не происходит
>
>делал:
>открывал:500 порт на шлюзе делал nat:
>
>SNAT       tcp  --  192.168.0.0/24
>      anywhere    
>       multiport dports isakmp,...:to внеш.IP
>
>

нарисуйте схему всего этого, 192.168.0.5 - что это за адрес?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "правила iptables для доступа к vpn"  
Сообщение от kvk5yandex.ru on 26-Июл-07, 16:58 
>[оверквотинг удален]
>>делал:
>>открывал:500 порт на шлюзе делал nat:
>>
>>SNAT       tcp  --  192.168.0.0/24
>>      anywhere    
>>       multiport dports isakmp,...:to внеш.IP
>>
>>
>
>нарисуйте схему всего этого, 192.168.0.5 - что это за адрес?

удаленный VPN (внеш.ip)  --- ШЛЮЗ(iptables) -- локальная машина (ip=192.168.2.1)
(моя сеть:= ШЛЮЗ и локальная машина)
(в VPN есть нужная мне машинка: 192.168.0.5)

при использовании cisco клиента на лок.машине соединение устанавливается. поднимается новый интерфейс: 192.168.1.1, автоматически прописывается роутинг:
в частности 192.168.0.0 <- 192.168.1.1
но достучатся до 192.168.0.5 нельзя. Не видит ее.
PS. 1. Если использовать cisco-клиента на шлюзе - все OK.
    2. Раньше все работало и с локал.машины. Но постоянно меняются правила iptables - и я не могу вспомнить, что там надо сделать...
Делал:
iptables -A INPUT -s  192.168.2.1 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.2.1 -p tcp  -j SNAT --to-source внеш_IP_шлюза  

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "правила iptables для доступа к vpn"  
Сообщение от konst email(??) on 27-Июл-07, 13:47 

>Делал:
>iptables -A INPUT -s  192.168.2.1 -j ACCEPT
>iptables -t nat -A POSTROUTING -o eth1 -s 192.168.2.1 -p tcp  
>-j SNAT --to-source внеш_IP_шлюза

Все! Вспомнил...
цитата:
При работе через firewall важно не забыть настроить фильтры, чтобы пропускать пакеты с ID AH и/или ESP протокола. Для AH номер ID - 51, а ESP имеет ID протокола равный 50. При создании правила не забывайте, что ID протокола не то же самое, что номер порта.

Все заработало.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "правила iptables для доступа к vpn"  
Сообщение от HappyS email(ok) on 06-Ноя-07, 17:07 
Хотел бы спросить о своем случае. В iptables на шлюзе все окрыто
INPUT ACCEPT
FORWARD ACCEPT
OUTPUT ACCEPT
но кроме этого я еще добавляю правила
-A INPUT -p esp -j ACCEPT
-A FORWARD -p esp -j ACCEPT
-A OUTPUT -p esp -j ACCEPT

аналогично для utp,icmp,udp,ah прописаны правила

tcpdump выдает ошибку

remote_host > inside_host : isakmp bla-bla-bla - admin prohibited filter

VPN неровный , соскакивает, отрывается-подключается, нестабильный

Может нужны какие-т о дополнительные модули - в чем может быть дело?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру