Не проходит соединение по VPN через iptables?

Автор: DenisM Дата: 08.05.2008 10:49 Установил ASPLinux 11.2. Поднял DNS,DHCP сервер....
прописал iptables правила

# Generated by iptables-save v1.3.5 on Thu May 8 10:34:24 2008
*filter
:INPUT ACCEPT [1053:178916]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [913:112746]
-A FORWARD -s 192.168.47.0/255.255.255.0 -j ACCEPT
-A FORWARD -d 192.168.47.0/255.255.255.0 -j ACCEPT
COMMIT
# Completed on Thu May 8 10:34:24 2008
# Generated by iptables-save v1.3.5 on Thu May 8 10:34:24 2008
*nat
:-PREROUTING ACCEPT [1185:89805]
:-POSTROUTING ACCEPT [15:918]
:OUTPUT ACCEPT [15:918]
-A POSTROUTING -s 192.168.47.0/255.255.255.0 -o eth0 -j SNAT --to-source 89.223.44.38
COMMIT
# Completed on Thu May 8 10:34:24 2008

Интернет работает.

Пытаюсть с клиентской машины (W2K SP4)установить VPN с машиной в интернете( для передачи налоговой отчетности по открытым каналам связи) 213.182.169.11 порт 1723. Выдается ошибка 619 Указаный порт не подключен.

нашел в инете статью...
[www.lug.am] … amp;id=253

Попробывал

#Для VPN
iptables -A INPUT -p 47 -m state --state ESTABLISHED,RELATED -i eth0 -j ACCEPT
iptables -A OUTPUT -p TCP --dport 1723 -o eth0 -j ACCEPT
iptables -A OUTPUT -p 47 -o eth0 -j ACCEPT

подразумевается что eth0 Это интерфейс, который смотрит в инет.
Результат тот же самый.

Пробывал отключить файрвол - так же не помогло.

соединение по PPTP:-) так же не устанавливается. ошибка 619 Указаный порт не подключен.

До этого стояла машина на w2K sp4 с установленным wingate 5.2. Всё работало. зато переодически подвисало. В моем примере на ASPLinux 11.2 ни чего не виснет но и не работает. Очень не хочется ставить win 2k обратно:-(...
Re: Не проходит соединение по VPN через iptables? 08.05.2008 11:30MupyMup Те правила (#Для VPN), которые вы прописывали относятся к пакетам поступающим на саму машину, выполняющую роль роутера. А ваша клиентская машина работает только с правилами цепочки FORWARD.
Re: Не проходит соединение по VPN через iptables? 08.05.2008 12:53komaro Вообще желательно подробно описывать конфигурацию. У Вас шлюз на линуксе, а на клиенте что? А фаервол на шлюзе/клиенте включен?
Re: Не проходит соединение по VPN через iptables? 08.05.2008 12:59Shurik_by Модуль надо подгружать кажись:

ip_nat_pptp
Re: Не проходит соединение по VPN через iptables? 08.05.2008 14:18DenisM У клиента Win2K sp4. Шлюз на ASPLinux 11.2.
На клиенте пытаюсь установить PPTP содинение с внешней машиной с IP 213.182.169.11 port 1723 через шлюз.

Пробывал отключить iptables. При этом

# Generated by iptables-save v1.3.5 on Thu May 8 14:05:46 2008
*filter
:INPUT ACCEPT [354:32929]
:FORWARD ACCEPT [46:2208]
:OUTPUT ACCEPT [317:48401]
COMMIT
# Completed on Thu May 8 14:05:46 2008

Вообще никих цепочек:-(

komaro писал(а):

> Вообще желательно подробно описывать конфигурацию. У Вас шлюз
> на линуксе, а на клиенте что? А фаервол на шлюзе/клиенте
> включен?
Re: Не проходит соединение по VPN через iptables? 08.05.2008 14:24DenisM MupyMup писал(а):

> Те правила (#Для VPN), которые вы прописывали относятся к
> пакетам поступающим на саму машину, выполняющую роль роутера. А
> ваша клиентская машина работает только с правилами цепочки
> FORWARD.

Тогда подскажите,пожалуйста, как должна выглядеть цепочка FORWARD для машины, которая пытается выйти в инет через ASPLinux шлюз по PPTP?
В моей цепочки явных ограничений для PPTP нет.
-A FORWARD -s 192.168.47.0/255.255.255.0 -j ACCEPT
-A FORWARD -d 192.168.47.0/255.255.255.0 -j ACCEPT
Re: Не проходит соединение по VPN через iptables? 08.05.2008 18:25MupyMup То что вы описали в начальном посте минимально достаточно для работы ASP в качестве роутера. Я лиш указал, что ваши добавления #для VPN не принесут плодов, исходя из логики написаного. Как решить непосредственно Вашу задачу я не знаю. Мне приходилось поднимать VPN клиента на самом роутере и с него устанавливать тунель к провайдеру, а остальные машины из моей сети просто через него ходили, даже не подозревая о его настройках. Из своего опыта могу только порекомендовать прекрасный man по iptables, который очень подробно и доступно освещает вопрос.
[www.opennet.ru]
RSS-материал