Configurar GRE-47 e porta 1723 para acesso VPN [RESOLVIDO]

inf.fernandes
(usa Outra)

Enviado em 18/10/2013 - 11:26h

Olá, bom dia amigos do viva o Linux.

Tenho a seguinte situação, possuo um servidor Windows Server 2008 com internet bloqueada via Proxy/squid e firewall instalados em um servidor Ubuntu Server 10.

Preciso acessar este 2008 server via VPN, porem na hora de conectar de fora ocorre erro 800, fiz vários testes e constatei que o Firewall do Ubuntu está bloqueando de alguma maneira.
A configuração do servidor VPN está sendo feita no 2008 mesmo.
Já liberei a porta 1723 no firewall, porem não sei como liberar o protocolo GRE-47..

Em outros lugares que já configurei VPN apenas faço uma DMZ no modem e funciona, neste caso do linux não estou conseguindo.
Alguém sabe como configurar essa regra no linux?

Obrigado desde já a todos.

renato_pacheco
(usa Debian)

Enviado em 18/10/2013 - 11:48h

Tem como liberar no iptables:

iptables -A FORWARD -p gre -j ACCEPT

 

inf.fernandes
(usa Outra)

Enviado em 18/10/2013 - 12:22h

essa linha adiciono no firewall?

renato_pacheco
(usa Debian)

Enviado em 18/10/2013 - 13:27h

Então... seu firewall é iptables? Se for, sim.

inf.fernandes
(usa Outra)

Enviado em 21/10/2013 - 10:23h

opa, bom dia.
Sim é mesmo IPTABLES, adicionei a regra porem ainda sem sucesso.
Ao conectar o cliente VPN apresenta erro 800.

As alterações que fiz no firewall para acesso ao VPN foram essas, será que esta correto?

#Redireciona Acesso Externo - VPN
$IPTABLES -t nat -A PREROUTING -p tcp -m tcp -d $EXTIP --dport 1723 -j DNAT --to-destination 10.1.1.1:1723
$IPTABLES -t nat -A PREROUTING -p udp -m udp -d $EXTIP --dport 1723 -j DNAT --to-destination 10.1.1.1:1723
$IPTABLES -A FORWARD -p gre -j ACCEPT

Obrigado desde lá..

renato_pacheco
(usa Debian)

Enviado em 21/10/2013 - 11:00h

Tente colocar assim (nunca testei, pode funcionar):

$IPTABLES -t nat -A PREROUTING -p gre -d $EXTIP -j DNAT --to-destination 10.1.1.1

 

inf.fernandes
(usa Outra)

Enviado em 21/10/2013 - 11:17h

Mesmo erro.
Parceiro, existe alguma maneira de testar no Linux se o protocolo GRE-47 e a porta 1723 estão liberados?
No modem ligado ao linux fiz um DMZ, porem já vi relatos na internet que a própria operadora de internet pode estar bloqueando..

Valeu obrigado .

renato_pacheco
(usa Debian)

Enviado em 21/10/2013 - 11:29h

Vc pode usar sites q fazem esse scanner. Alguns exemplos:

http://pentest-tools.com/discovery-probing/tcp-port-scanner-online-nmap
http://incloak.com/ports/

renato_pacheco
(usa Debian)

Enviado em 21/10/2013 - 11:32h

Achei um site q pode dar a solução:

http://nixcraft.com/centos-rhel-fedora/16840-linux-iptables-rules-allow-pptp-gre.html

inf.fernandes
(usa Outra)

Enviado em 21/10/2013 - 12:00h

Adicionei as regras citadas do fórum nixcraft e depois fiz o testes de portas, marcando para testar a porta 1723 e o resultado foi UP, até onde entendo está aberta..
Porem o erro permanece.

No diagnostico do windows do VPN cliente informa o seguinte erro: ''O dispositivo ou recurso remoto não aceitará a conexão.

Mesma configuração feita em outro local, com servidor 2008 Server parecido, porem sem firewall funcionou perfeito.
Mais alguma sugestão ou ideia da solução?

renato_pacheco
(usa Debian)

Enviado em 21/10/2013 - 13:25h

Pesquisando mais, peguei um caso d sucesso aki. Habilite, primeiro, esses módulos abaixo:

modprobe ip_nat_pptp

modprobe ip_conntrack_pptp

 

Depois, insira essas regras (claro, apague aquelas outras q vc colocou), substituindo os campos d acordo com o seu ambiente:

iptables -t nat -A PREROUTING -i <Public-IFace> -p gre -d <VPN-Public-IP> -j DNAT --to-destination <VPN-DMZ-IP>

iptables -t nat -A PREROUTING -i <Public-IFace> -p tcp --sport 1024:65535 -d <VPN-Public-IP> --dport 1723 -j DNAT --to-destination <VPN-DMZ-IP>

 

inf.fernandes
(usa Outra)

Enviado em 21/10/2013 - 14:30h

Amigo, só confirma pra min, devo preencher os dados desta maneira?

iptables -t nat -A PREROUTING -i <Public-IFace> -p gre -d <VPN-Public-IP> -j DNAT --to-destination <VPN-DMZ-IP>
iptables -t nat -A PREROUTING -i <Public-IFace> -p tcp --sport 1024:65535 -d <VPN-Public-IP> --dport 1723 -j DNAT --to-destination <VPN-DMZ-IP>

<Public-IFace> coloco TCP?
<VPN-Public-IP> coloco o IP do servidor de entrada VPN?
<VPN-DMZ-IP> coloco o IP externo do linux, que foi feito o VPN do modem?

Como essas informações o erro permanece..
Obrigado.