/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
Iptables, NAT og MS PPTP VPN
Fra : Esben Laursen


Dato : 13-05-03 10:25

Jeg skal have lukket en PPTP VPN igennem min firewall/nat, men jeg har
desvrre nogle problemer..

Jeg har nattet port 47 og 1723 UDP/TPC til min interne Win2k terminal
server, men jeg kan ikke faa hul igennem.

Jeg har saa vaeret ved at google lidt paa spoergsmaalet, og er kommet frem
til at jeg nok skal enable noget IP_MASQ og noget GRE i min kerne. Jeg har
vaeret inde paa netfilter.org og hente deres nyeste patch-o-magic, og
patchet min kerne, men saa virker min SNAT bare ikke. Altsaa efter jeg havde
komplileret en ny kerne =)

Der skulle vel ikke vaere en venlig sjael der ligger inde med et link til en
mini-howto eller noget i den stil?

Med venlig hilsen

Esben



 
 
Jesper Frank Nemholt (13-05-2003)
Kommentar
Fra : Jesper Frank Nemholt


Dato : 13-05-03 11:08

"Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> wrote in message
news:yU2wa.58415$y3.4353570@news010.worldonline.dk...
> Jeg skal have lukket en PPTP VPN igennem min firewall/nat, men jeg har
> desvrre nogle problemer..
>
> Jeg har nattet port 47 og 1723 UDP/TPC til min interne Win2k terminal
> server, men jeg kan ikke faa hul igennem.

Hvad vil du med port 47 ?
Tallet 47 i forbindelse med PPTP er ikke et portnummer men protokolnummer.
Det er protokolnummeret på GRE.

> Jeg har saa vaeret ved at google lidt paa spoergsmaalet, og er kommet frem
> til at jeg nok skal enable noget IP_MASQ og noget GRE i min kerne. Jeg har
> vaeret inde paa netfilter.org og hente deres nyeste patch-o-magic, og
> patchet min kerne, men saa virker min SNAT bare ikke. Altsaa efter jeg
havde
> komplileret en ny kerne =)
>
> Der skulle vel ikke vaere en venlig sjael der ligger inde med et link til
en
> mini-howto eller noget i den stil?

Nu ved jeg ikke hvilken kerne/distribution du kører med, men normalt er det
ikke nødvendigt at patche noget.

Personligt kører jeg PPTP på min Linux maskine (RH7.3, 2.4.18-26.7.xsmp), så
for mit vedkommende er det bare :

I routeren, forward 1723/tcp til DMZ IP på min Linux server.
Tillad GRE samt 1723/tcp INPUT i IPTables :

$IPTABLES -A INPUT -d $DMZNET_IP -p gre -j ACCEPT
$IPTABLES -A INPUT -d $DMZNET_IP -p tcp --dport 1723 -j ACCEPT

M.h.t. GRE i routeren så har man på de fleste "hjemme-routere" enten
muligheden for at dedikere GRE til en bestemt destination hvorefter det kun
virker dertil og kun udefra og ind, eller som i min router helt at undlade
konfiguration af GRE hvorved det virker indefra og ud i alle tilfælde og
udefra og ind til den maskine man har forwardet 1723/tcp til.

/Jesper



Ukendt (13-05-2003)
Kommentar
Fra : Ukendt


Dato : 13-05-03 11:59


"Jesper Frank Nemholt" <jfn@dassic.com> skrev i en meddelelse
news:b9qg62$gf5$1@sunsite.dk...
> "Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> wrote in message
> news:yU2wa.58415$y3.4353570@news010.worldonline.dk...
> > Jeg skal have lukket en PPTP VPN igennem min firewall/nat, men jeg har
> > desvrre nogle problemer..
> >
> > Jeg har nattet port 47 og 1723 UDP/TPC til min interne Win2k terminal
> > server, men jeg kan ikke faa hul igennem.
>
> Hvad vil du med port 47 ?
> Tallet 47 i forbindelse med PPTP er ikke et portnummer men protokolnummer.
> Det er protokolnummeret på GRE.

Ja, jeg havde godt nok læst lidt om at det ikke var en port, men en
protokol.

> > Jeg har saa vaeret ved at google lidt paa spoergsmaalet, og er kommet
frem
> > til at jeg nok skal enable noget IP_MASQ og noget GRE i min kerne. Jeg
har
> > vaeret inde paa netfilter.org og hente deres nyeste patch-o-magic, og
> > patchet min kerne, men saa virker min SNAT bare ikke. Altsaa efter jeg
> havde
> > komplileret en ny kerne =)
> >
> > Der skulle vel ikke vaere en venlig sjael der ligger inde med et link
til
> en
> > mini-howto eller noget i den stil?
>
> Nu ved jeg ikke hvilken kerne/distribution du kører med, men normalt er
det
> ikke nødvendigt at patche noget.
>
> Personligt kører jeg PPTP på min Linux maskine (RH7.3, 2.4.18-26.7.xsmp),

> for mit vedkommende er det bare :
>
> I routeren, forward 1723/tcp til DMZ IP på min Linux server.

Når du skriver forward, så mener du FORWARD og ikke DNAT ikke?

> Tillad GRE samt 1723/tcp INPUT i IPTables :
>
> $IPTABLES -A INPUT -d $DMZNET_IP -p gre -j ACCEPT
> $IPTABLES -A INPUT -d $DMZNET_IP -p tcp --dport 1723 -j ACCEPT

Hmmm, det må jeg vist lige prøve =)

> M.h.t. GRE i routeren så har man på de fleste "hjemme-routere" enten
> muligheden for at dedikere GRE til en bestemt destination hvorefter det
kun
> virker dertil og kun udefra og ind, eller som i min router helt at undlade
> konfiguration af GRE hvorved det virker indefra og ud i alle tilfælde og
> udefra og ind til den maskine man har forwardet 1723/tcp til.

Firewallen står direkte på internettet, med en ipaddress tildelt af teledk
80.160.xxx.xxx

Hilsen

Esben

> /Jesper
>
>



Jesper Frank Nemholt (13-05-2003)
Kommentar
Fra : Jesper Frank Nemholt


Dato : 13-05-03 14:11

"Esben" <hyber AT mil DOT dk> wrote in message
news:3ec0cfb4$0$58877$edfadb0f@dread11.news.tele.dk...
>
[clip]
> > I routeren, forward 1723/tcp til DMZ IP på min Linux server.
>
> Når du skriver forward, så mener du FORWARD og ikke DNAT ikke?

Det afhænger af dit firewall/NAT setup.
Hos mig er det :

router -> dmznet -> Linux (og PPTP) server -> intranet & PPTP klienter til
PPTP servere ue i verden.
Både router & Linux maskine fungerer som firewall. D.v.s. routeren forwarder
kun det jeg har bedt den op, og Linux maskinen tillader kun INPUT, OUTPUT &
FORWARD af det jeg har tilladet i IPTables.

Routeren laver NAT/NAPT hos mig, men samtidig skal jeg jo fortælle den hvor
den skal sende PPTP trafik hen, og det gør jeg ved at sige at den skal
forwarde 1723/tcp til Linux maskinen (som altså er PPTP server). I og med at
jeg siger den skal forwarde og den per default laver NAT så bliver det NAPT,
og altså DNAT da jeg jo ændrer destination address fra min officielle IP til
den IP DMZ benet på min Linux maskine har.

> > Tillad GRE samt 1723/tcp INPUT i IPTables :
> >
> > $IPTABLES -A INPUT -d $DMZNET_IP -p gre -j ACCEPT
> > $IPTABLES -A INPUT -d $DMZNET_IP -p tcp --dport 1723 -j ACCEPT
>
> Hmmm, det må jeg vist lige prøve =)

Virker næppe hos dig da din PPTP server jo ikke er Linux maskinen.
Du skal enten lade routeren forwarde/NATte direkte til Windows maskinen og
hvis Linux maskinen er mellem de 2 så tillade dette i IPTables, eller
alternativt forwarde/NATte til Linux som så forwarder videre til Windows
maskinen.

/Jesper



Esben Laursen (13-05-2003)
Kommentar
Fra : Esben Laursen


Dato : 13-05-03 16:41


"Jesper Frank Nemholt" <jfn@dassic.com> skrev i en meddelelse
news:b9qqt8$78i$1@sunsite.dk...
> "Esben" <hyber AT mil DOT dk> wrote in message
> news:3ec0cfb4$0$58877$edfadb0f@dread11.news.tele.dk...
> >
> [clip]

<snip>

> Virker næppe hos dig da din PPTP server jo ikke er Linux maskinen.
> Du skal enten lade routeren forwarde/NATte direkte til Windows maskinen og
> hvis Linux maskinen er mellem de 2 så tillade dette i IPTables, eller
> alternativt forwarde/NATte til Linux som så forwarder videre til Windows
> maskinen.

Jeg troede ikke der var en PPTP server til linux hvor M$ klienter kan
ringe/koble op til..
Hvilken server bruger du til det og findes der en okay guide/dokumentation
til den?

Esben



Jesper Frank Nemholt (13-05-2003)
Kommentar
Fra : Jesper Frank Nemholt


Dato : 13-05-03 18:55

"Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> wrote in message
news:Co8wa.58918$y3.4367453@news010.worldonline.dk...
>
> "Jesper Frank Nemholt" <jfn@dassic.com> skrev i en meddelelse
> news:b9qqt8$78i$1@sunsite.dk...
> > "Esben" <hyber AT mil DOT dk> wrote in message
> > news:3ec0cfb4$0$58877$edfadb0f@dread11.news.tele.dk...
> > >
> > [clip]
>
> <snip>
>
> > Virker næppe hos dig da din PPTP server jo ikke er Linux maskinen.
> > Du skal enten lade routeren forwarde/NATte direkte til Windows maskinen
og
> > hvis Linux maskinen er mellem de 2 så tillade dette i IPTables, eller
> > alternativt forwarde/NATte til Linux som så forwarder videre til Windows
> > maskinen.
>
> Jeg troede ikke der var en PPTP server til linux hvor M$ klienter kan
> ringe/koble op til..
> Hvilken server bruger du til det og findes der en okay guide/dokumentation
> til den?

PPTP er blot en protokol der typisk bruges som "fattigmands" VPN.
Fattigmands skal forstås således at PPTP har flere kendte
sikkerhedsproblemer og bør som minimum sættes op til at kræve kryptering.
Fordelen ved PPTP er at det er en del nemmere at sætte op (har færre krav og
mindre konfiguration) end f.eks. IPSec, plus at det fra gammel tid er det
Microsoft satsede på hvilket gør at 90% af maskinerne ude i verden
understøtter PPTP (senere har de så inkluderet support for IPSec).

På unix kan man køre PPTP ved hjælp af pptpd (PopTop) som benytter pppd til
håndtering af det meste. For at få kryptering skal man patche pppd samt
bygge en kerne med de rette ting. Alt er forklaret i diverse pptpd howtos.
Uden kryptering kan du få pptp op meget hurtigt på unix. Tog mig en halv
time. Med fuld kryptering skal du kompilere end del mere.
Bemærk der er 2 niveauer af kryptering. Kryptering af username/password,
samt kryptering af selve data transfers. Det første virker med pptpd &
normal pppd uden rekompilering af kernel og andet sjov, mens den fulde
kryptering af alt kræver rekompilering af din kernel (hvis den altså ikke er
så heldig at have det rette module i forvejen). Det står i diverse HOWTOs
hvordan du tjekker om din kernel/pppd har det der skal til eller om de skal
rekompileres.

Jeg bemærkede at du skrev at du skulle bruge dit til at connecte til en
Windows terminal server. Hvis det bare er for at kunne connecte med terminal
sessions så er VPN ikke strengt nødvendigt med mindre at du har krav om at
klienterne ankommer som værende på det lokale LAN og/eller har brug for den
ekstra sikkerhed en VPN kan give. Uden VPN er en terminal session blot at
forwarde/NATte port 3389 til din Windows Terminal Server.

Med VPN får de klienter der kommer udefra en ny IP på dit lokalnet. Du kan
med (stor) fordel vælge at placere VPN klienterne i et dedikeret subnet. Det
gør det nemmere at identificere dem og derved begrænse deres muligheder med
f.eks. IPTables.
Jeg kører med det på denne måde således at der er et DMZ net, et "virtuelt"
VPN net, et intranet samt et backupnet. Hvert net har sit eget subnet og
eget DNS subdomain.
Det er det samme setup som jeg bruger på mit arbejde, blot med den forskel
at på arbejdet har vi et ekstra produktions-net som er ekstra sikkert mod
nedbrud (dual attached switched FDDI).

/Jesper



Søg
Reklame
Statistik
Spørgsmål : 177554
Tips : 31968
Nyheder : 719565
Indlæg : 6408852
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste