PPTP VPN - Firestarter blokuje połączenie
: 09 lipca 2015, 17:57
Cześć, potrzebuję pomocy przy konfiguracji reguł firewalla w debianie.
Sprawa wygląda tak:
Mam serwer pełniący rolę rutera z dwoma interfejsami:
eth0 (LAN) 192.168.2.200
eth1 (WAN) 192.168.1.21
/etc/pptpd.conf
Konfiguracja iptables uruchamiana przed firestarterem:
/etc/firestarter/user-pre
Udaje mi się postawić tunel vpn, mam dostęp do zasobów sieci lan, tzn. dla przykładu mogę pingować hosta 192.168.2.104, a także DNS mojej sieci, który znajduje się na ruterze brzegowym 192.168.1.20.
Niestety nie mam dostępu do zasobów samego serwera (na interfejsie eth0 - 192.168.2.200) - a na tym właśnie konkretnie mi zależy.
Podczas pingowania tego adresu widzę w logach:
Uprzejmie proszę o pomoc w analizie problemu. Będę również wdzięczny za wytłumaczenie, dlaczego to tak działa i co należy ustawić, aby osiągnąć pożądany efekt.
Jeśli podane informacje są niewystarczające, proszę o komentarz, uzupełnię je.
UPDATE:
Pingując inne adresy, to ten adres pojawia się w logu w miejscu SRC.
Usunąłem 3 ostatnie linie z /etc/firestarter/user-pre, nic się nie zmieniło.
Wygląda na to, że mój ruch jest prawidłowo przekierowany, jeśli chcę się dostać do hostów w LAN, ale nie mogę się połączyć z zasobami samego rutera. (Na tej maszynie działa zarówno firestarter jaki i serwer pptp)
Poniżej trasy, jakie są widoczne po nawiązaniu połączenia przez testowego klienta.
192.168.3.100 to adres klienta pptp.
Sprawa wygląda tak:
Mam serwer pełniący rolę rutera z dwoma interfejsami:
eth0 (LAN) 192.168.2.200
eth1 (WAN) 192.168.1.21
/etc/pptpd.conf
Kod: Zaznacz cały
localip 192.168.3.1
remoteip 192.168.3.100-109/etc/firestarter/user-pre
Kod: Zaznacz cały
$IPT -A INPUT -p gre -j ACCEPT
$IPT -A OUTPUT -p gre -j ACCEPT
$IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE
$IPT -A FORWARD -i eth0 -o ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -i ppp0 -o eth0 -j ACCEPT
Niestety nie mam dostępu do zasobów samego serwera (na interfejsie eth0 - 192.168.2.200) - a na tym właśnie konkretnie mi zależy.
Podczas pingowania tego adresu widzę w logach:
Kod: Zaznacz cały
Jul 9 19:51:52 debian kernel: [ 2057.505838] Unknown OutputIN= OUT=ppp0 SRC=192.168.2.200 DST=192.168.3.100 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=2041 PROTO=ICMP TYPE=0 CODE=0 ID=64056 SEQ=2 Jul 9 19:51:54 debian kernel: [ 2059.232366] Unknown OutputIN= OUT=ppp0 SRC=192.168.2.200 DST=192.168.3.100 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=2042 PROTO=ICMP TYPE=0 CODE=0 ID=64056 SEQ=3
Jul 9 19:51:54 debian kernel: [ 2059.488204] Unknown ForwardIN=ppp0 OUT=eth1 MAC= SRC=192.168.3.100 DST=8.8.8.8 LEN=70 TOS=0x00 PREC=0x00 TTL=63 ID=9796 DF PROTO=UDP SPT=29084 DPT=53 LEN=50
Jul 9 19:51:54 debian kernel: [ 2059.488309] Unknown OutputIN= OUT=ppp0 SRC=192.168.2.200 DST=192.168.3.100 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=2043 PROTO=ICMP TYPE=0 CODE=0 ID=64056 SEQ=4
Jul 9 19:51:55 debian kernel: [ 2060.504879] Unknown OutputIN= OUT=ppp0 SRC=192.168.2.200 DST=192.168.3.100 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=2044 PROTO=ICMP TYPE=0 CODE=0 ID=64056 SEQ=5
Jul 9 19:51:56 debian kernel: [ 2061.681139] Unknown OutputIN= OUT=ppp0 SRC=192.168.2.200 DST=192.168.3.100 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=2045 PROTO=ICMP TYPE=0 CODE=0 ID=64056 SEQ=6
Jul 9 19:51:57 debian kernel: [ 2062.552453] Unknown OutputIN= OUT=ppp0 SRC=192.168.2.200 DST=192.168.3.100 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=2046 PROTO=ICMP TYPE=0 CODE=0 ID=64056 SEQ=7
Jul 9 19:51:59 debian kernel: [ 2064.437294] Unknown OutputIN= OUT=ppp0 SRC=192.168.2.200 DST=192.168.3.100 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=2047 PROTO=ICMP TYPE=0 CODE=0 ID=64056 SEQ=8
Jul 9 19:51:59 debian kernel: [ 2064.486994] Unknown OutputIN= OUT=ppp0 SRC=192.168.2.200 DST=192.168.3.100 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=2048 PROTO=ICMP TYPE=0 CODE=0 ID=64056 SEQ=9
Jul 9 19:52:00 debian kernel: [ 2065.489555] Unknown OutputIN= OUT=ppp0 SRC=192.168.2.200 DST=192.168.3.100 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=2049 PROTO=ICMP TYPE=0 CODE=0 ID=64056 SEQ=10Jeśli podane informacje są niewystarczające, proszę o komentarz, uzupełnię je.
UPDATE:
Pingując inne adresy, to ten adres pojawia się w logu w miejscu SRC.
Usunąłem 3 ostatnie linie z /etc/firestarter/user-pre, nic się nie zmieniło.
Wygląda na to, że mój ruch jest prawidłowo przekierowany, jeśli chcę się dostać do hostów w LAN, ale nie mogę się połączyć z zasobami samego rutera. (Na tej maszynie działa zarówno firestarter jaki i serwer pptp)
Poniżej trasy, jakie są widoczne po nawiązaniu połączenia przez testowego klienta.
Kod: Zaznacz cały
Kernel IP routing tableDestination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.1.20 0.0.0.0 UG 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.3.100 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0