Liberar VPN [RESOLVIDO]

juliansoares
(usa Debian)

Enviado em 18/01/2012 - 09:36h

Bom dia galera, estou com uma duvidas,

preciso liberar VPN do meu servidor,a regra ficaria mais ou menos assim ?

iptables -A FORWARD -i tun0 -o eth2(redelocal) -p tcp -s $VPN -d 10.0.0.0/16 -j ACCEPT
iptables -A FORWARD -o tun0 -i eth2(redelocal) -p tcp -d $VPN -s 10.0.0.0/16 -j ACCEPT
iptables -A INPUT -i eth1(internet) --dport 1194 -j ACCEPT


eth1 = internet
eth2 = redelocal

uso virtua ip dinamico entao uso o no-ip

preciso liberar a porta 1194 , para poder acessar minha máquina de outro local.

phrich
(usa Slackware)

Enviado em 18/01/2012 - 12:22h

A sua VPN fica no firewall, ou em outro servidor?

juliansoares
(usa Debian)

Enviado em 18/01/2012 - 13:04h

fica no firewall , linux (gw) com squid, openvpn,samba,dhcp etc..

phrich
(usa Slackware)

Enviado em 18/01/2012 - 20:42h

Mas vc vai pegar os dados em outro servidor, por exemplo, ou vc vai pegar os dados diretamente do servidor?

Se vc for pegar os dados (arquivos por exemplo) em outro servidor, vc precisa criar uma regra de nat para fazer o redirecionamento, e uma regra de forward também.

Depois poste seu firewall para que possamos dar uma olhada melhor e entender melhor também.

juliansoares
(usa Debian)

Enviado em 19/01/2012 - 08:38h

so possuo 1 servidor com tudo, arquivos, squid , firewall etc.

so vou pegar dados do servidor mesmo onde roda o firewall..

estou no trabalho quando chegar em casa posto meu firewall, mas n tem mt coisa, comecei a mecher com eles esses dias, bem cabaço nisso, to apanhando com as regras ainda.

saitam
(usa Slackware)

Enviado em 19/01/2012 - 09:21h

Cara, não é recomendado usar samba junto com gw, porque mistura o tráfego da internet com seus arquivos, ae já viu né...

sugestão:
gw: firewall+squid+dhcp

arquivos: samba+nfs+openldap

juliansoares
(usa Debian)

Enviado em 19/01/2012 - 09:23h

cara so uso o samba , pq meu irmao acessa o servidor pra pegar uns filmes baixados pelo transmission.

voltando a regras de firewall, esta certo essa regra pra liberar a VPN ?

phrich
(usa Slackware)

Enviado em 19/01/2012 - 17:33h

Bom cara, como vc está usando tudo no mesmo host, basta vc criar as regras de INPUT e OUTPUT:

Primeiro adiciona essas linhas aqui:


# Cria a ida e a volta dos pacotes leia mais sobre o módulo state ok?
iptables -A INPUT -m state --state RELATED,ESTABLISHED, -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED, -j ACCEPT

# Aceita a porta
iptables -A INPUT -p tcp --dport PORTA -j ACCEPT

# libera todo o tráfego de saída do seu firewall.
iptables -A OUTPUT -j ACCEPT

Testa ai e avisa agent ok?

juliansoares
(usa Debian)

Enviado em 19/01/2012 - 20:20h

coloquei as suas e as minhas regras e nada, aparece isso no log do servidor :

Thu Jan 19 20:09:35 2012 Re-using SSL/TLS context
Thu Jan 19 20:09:35 2012 LZO compression initialized
Thu Jan 19 20:09:35 2012 TCP connection established with [AF_INET]10.0.0.60:43583
Thu Jan 19 20:09:35 2012 TCPv4_SERVER link local: [undef]
Thu Jan 19 20:09:35 2012 TCPv4_SERVER link remote: [AF_INET]10.0.0.60:43583
Thu Jan 19 20:09:36 2012 10.0.0.60:43583 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]10.0.0.60:43583
Thu Jan 19 20:09:36 2012 10.0.0.60:43583 Fatal TLS error (check_tls_errors_co), restarting
Thu Jan 19 20:09:41 2012 Re-using SSL/TLS context
Thu Jan 19 20:09:41 2012 LZO compression initialized
Thu Jan 19 20:09:41 2012 TCP connection established with [AF_INET]10.0.0.60:43585
Thu Jan 19 20:09:41 2012 TCPv4_SERVER link local: [undef]
Thu Jan 19 20:09:41 2012 TCPv4_SERVER link remote: [AF_INET]10.0.0.60:43585
Thu Jan 19 20:09:42 2012 10.0.0.60:43585 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]10.0.0.2:43585
Thu Jan 19 20:09:42 2012 10.0.0.60:43585 Fatal TLS error (check_tls_errors_co), restarting
Thu Jan 19 20:09:47 2012 Re-using SSL/TLS context
Thu Jan 19 20:09:47 2012 LZO compression initialized
Thu Jan 19 20:09:47 2012 TCP connection established with [AF_INET]10.0.0.60:43586
Thu Jan 19 20:09:47 2012 TCPv4_SERVER link local: [undef]
Thu Jan 19 20:09:47 2012 TCPv4_SERVER link remote: [AF_INET]10.0.0.60:43586
Thu Jan 19 20:09:48 2012 10.0.0.2:43586 TLS Error: cannot locate HMAC in incoming packet from [AF_INET]10.0.0.60:43586
Thu Jan 19 20:09:48 2012 10.0.0.60:43586 Fatal TLS error (check_tls_errors_co), restarting


syslog do meu notebook , tentando conectar na VPN , fora da redelocal .

Jan 20 08:32:07 zeus nm-openvpn[12688]: SIGUSR1[soft,connection-reset] received, process restarting
Jan 20 08:32:12 zeus nm-openvpn[12688]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Jan 20 08:32:12 zeus nm-openvpn[12688]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jan 20 08:32:12 zeus nm-openvpn[12688]: Re-using SSL/TLS context
Jan 20 08:32:12 zeus nm-openvpn[12688]: LZO compression initialized
Jan 20 08:32:12 zeus nm-openvpn[12688]: Attempting to establish TCP connection with [AF_INET]201.53.XXXXXX:1194 [nonblock]
Jan 20 08:32:13 zeus nm-openvpn[12688]: TCP connection established with [AF_INET]201.53.XXXXX:1194
Jan 20 08:32:13 zeus nm-openvpn[12688]: TCPv4_CLIENT link local: [undef]
Jan 20 08:32:13 zeus nm-openvpn[12688]: TCPv4_CLIENT link remote: [AF_INET]201.53.XXXX:1194
Jan 20 08:32:13 zeus nm-openvpn[12688]: Connection reset, restarting [0]
Jan 20 08:32:13 zeus nm-openvpn[12688]: SIGUSR1[soft,connection-reset] received, process restarting
Jan 20 08:32:18 zeus nm-openvpn[12688]: WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Jan 20 08:32:18 zeus nm-openvpn[12688]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Jan 20 08:32:18 zeus nm-openvpn[12688]: Re-using SSL/TLS context
Jan 20 08:32:18 zeus nm-openvpn[12688]: LZO compression initialized
Jan 20 08:32:18 zeus nm-openvpn[12688]: Attempting to establish TCP connection with [AF_INET]201.53.XXXX:1194 [nonblock]
Jan 20 08:32:19 zeus nm-openvpn[12688]: TCP connection established with [AF_INET]201.53.XXXX:1194
Jan 20 08:32:19 zeus nm-openvpn[12688]: TCPv4_CLIENT link local: [undef]
Jan 20 08:32:19 zeus nm-openvpn[12688]: TCPv4_CLIENT link remote: [AF_INET]201.53.XXXX:1194
Jan 20 08:32:19 zeus nm-openvpn[12688]: Connection reset, restarting [0]
Jan 20 08:32:19 zeus nm-openvpn[12688]: SIGUSR1[soft,connection-reset] received, process restarting
Jan 20 08:32:22 zeus NetworkManager[4833]: <warn> VPN connection 'Server Home' (IP Config Get) timeout exceeded.
Jan 20 08:32:22 zeus nm-openvpn[12688]: SIGTERM[hard,init_instance] received, process exiting

phrich
(usa Slackware)

Enviado em 20/01/2012 - 08:55h

Cara esse erro são das confs da VPN e não do firewall...

Vamos matar a dúvida?

# nmap -PN ip_do_servidor

juliansoares
(usa Debian)

Enviado em 20/01/2012 - 09:24h

zeus ~ # nmap -PN 201.53.XXXXX

Starting Nmap 5.21 ( http://nmap.org ) at 2012-01-20 09:23 BRST
Nmap scan report for c935e422.virtua.com.br (201.53.XXXXXX)
Host is up (0.067s latency).
Not shown: 986 closed ports
PORT STATE SERVICE
21/tcp filtered ftp
25/tcp filtered smtp
80/tcp filtered http
110/tcp filtered pop3
111/tcp open rpcbind
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
443/tcp filtered https
445/tcp filtered microsoft-ds
587/tcp filtered submission
1434/tcp filtered ms-sql-m
3128/tcp open squid-http
8080/tcp open http-proxy

phrich
(usa Slackware)

Enviado em 21/01/2012 - 10:45h

A sua porta da VPN parece que não está aberta.

Veja se localmente ela responde:

nmap localhost

e depois com o lsof:

lsof: porta (tem o espaço mesmo depois do ":")