Техническая поддержка

www.ingineer.ru
Регистрируйтесь и задавайте вопросы, делитесь опытом.
Если что обращайтесь:
e-mail: обратная связь.
Не востребованные пользователи будут удаляться!
Текущее время: 26 сен 2017, 12:12

Часовой пояс: UTC + 5 часов




Начать новую тему Ответить на тему  [ Сообщений: 7 ] 
Автор Сообщение
 Заголовок сообщения: Проброс на внешний VPN-сервер
СообщениеДобавлено: 04 май 2009, 16:05 
Не в сети

Зарегистрирован: 04 май 2009, 16:00
Сообщения: 4
Есть сервер ASPLinux
eth0-WAN
eth1-Lan
есть машина внутри сетки 10.1.1.8
Подскажите как пробросить VPN соединение на внешний сервер 95.102.х.х
Чето я не допру какие порты и какие протоколы кидать. Вроде нашел в инете пару примеров но они чето у маня не фурычят.


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения: Re: Проброс на внешний VPN-сервер
СообщениеДобавлено: 23 июн 2009, 16:23 
Не в сети

Зарегистрирован: 04 май 2009, 16:00
Сообщения: 4
Ладно народ, раз никто этого незнает напишите плиз как пробросить ВСЕ порты с одной машины наружу(то есть сделать сервер прозрачным при обращении с машины 10.1.1.8 на 95.102.хх.хх и соответсвенно обратно)


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения: Re: Проброс на внешний VPN-сервер
СообщениеДобавлено: 24 июн 2009, 08:31 
Не в сети
Администратор
Аватара пользователя

Зарегистрирован: 24 мар 2008, 10:49
Сообщения: 131
Откуда: г. Пермь
миллион раз уже рассмотрено - читай!


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения: Re: Проброс на внешний VPN-сервер
СообщениеДобавлено: 25 июн 2009, 17:00 
Не в сети

Зарегистрирован: 04 май 2009, 16:00
Сообщения: 4
Почитал, сделал так.

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1:10000 -d 95.102.49.92 -j DNAT --to-destination 10.1.1.8:1-10000
/sbin/iptables -A FORWARD -i 95.102.49.92 -d 10.1.1.8 -p tcp --dport 1:10000 -j ACCEPT

Нефурычит!!!

P.S. Порты на самом деле нужны не все а тока 4439 4440 4441 1022 1024(ну и очевидно pptp и gre). Но я подумал если удастся для этой пачки настроить потом ограничить будет проще.

P.P.S. Инет через сервак ходит нормально.(только он работает как прокся)


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения: Re: Проброс на внешний VPN-сервер
СообщениеДобавлено: 25 июн 2009, 17:31 
Не в сети
Администратор
Аватара пользователя

Зарегистрирован: 24 мар 2008, 10:49
Сообщения: 131
Откуда: г. Пермь
dnick писал(а):
Почитал, сделал так.

/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1:10000 -d 95.102.49.92 -j DNAT --to-destination 10.1.1.8:1-10000
/sbin/iptables -A FORWARD -i 95.102.49.92 -d 10.1.1.8 -p tcp --dport 1:10000 -j ACCEPT

Нефурычит!!!

потаму что ленивый, поэтому и не фурычит ...

*nat
-A PREROUTING -i eth0 -d 95.102.49.92 -j DNAT --to-destination 10.1.1.8
-A POSTROUTING -o eth0 -j SNAT --to-source 95.102.49.92
*filter
-A FORWARD -o eth1 -d 10.1.1.8 -j ACCEPT
-A FORWARD -i eth1 -s 10.1.1.8 -j ACCEPT

Расшифруем,
Условия:
IP на eth0 - 95.102.49.92
10.1.1.8 - локальная машина с которой и на которую проброс. На Которой в свойствах сети, в протоколе TCP/IP прописан шлюз = IP на eth1 и внешние DNS-сервера провайдера.

Действия: пакет из вне, приходит на вход интерфейса eth0 с IP-сом 95.102.49.92 преобразуется в IP локальной машины 10.1.1.8 (перенаправляется), далее по цепочке FORWARD приходин на локальную машину 10.1.1.8.
Далее локальная машина 10.1.1.8, отвечает, через шлюз (IP на eth1), проходит на интерфейс eth0 и по выходу из него маскируется во внешний IP на eth0 и уходит в инет.

При этом должно быть разрешоно шлюзование:
echo "1" > /proc/sys/net/ipv4/ip_forward
а также не должны мешать выше стояшие правила в IPTABLES


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения: Re: Проброс на внешний VPN-сервер
СообщениеДобавлено: 26 июн 2009, 01:36 
Не в сети

Зарегистрирован: 04 май 2009, 16:00
Сообщения: 4
Цитата:
потаму что ленивый, поэтому и не фурычит ...

Ну дык, лень-двигатель прогресса.

Спасибо огромное заработало!!! Были бы в одном городе, пивом бы проставился!!!

P.S. На сайте ASPLinux так никто мне толком и не подсказал как решить проблему. Единственное на что меня там раскрутили на пересборку ядра,(с целью подключить модули conntrack_pptp nat_pptp), но это само собой проблему нерешило, без правильной настройки брандмауера.


Вернуться к началу
 Профиль  
Ответить с цитатой  
 Заголовок сообщения: Re: Проброс на внешний VPN-сервер
СообщениеДобавлено: 11 мар 2010, 01:44 
Не в сети

Зарегистрирован: 11 мар 2010, 00:23
Сообщения: 3
Может вы это и учли. Поделюсб опытом:
в то время не парясь с iptables я фаирвол настроил через arno-iptables-firewall
так вот, открыв только 1723 порт у меня ничего не вышло. потом я почитал:
Код:
Спецификация протокола была опубликована как «информационная» RFC 2637 в 1999 году. Она не была ратифицирована IETF. Протокол считается менее безопасным, чем IPSec. PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation. Второе соединение на TCP-порту 1723 используется для инициации и управления GRE-соединением. PPTP сложно перенаправлять за сетевой экран, так как он требует одновременного установления двух сетевых сессий.

и то ли открыл толи второй порт, толи разрешил запуск GRE ... и у меня всё заработало.
т.е. подключение это одно, а после подключения надо тунелирования.

* если информация оказалась полезной, и требуется полее подробный рассказ, дайте знать.
удачи.


Вернуться к началу
 Профиль  
Ответить с цитатой  
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 7 ] 

Часовой пояс: UTC + 5 часов


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB