Redirecionar PPTP para outro servidor

felipe_pepii
(usa Debian)

Enviado em 04/12/2009 - 10:23h

Salve Salve VOL !!!

Ajudem o burro aqui, por favor.

Meu ambiente:

Servidor de Internet - Firewall (IP: 192.168.0.1)
Servidor de acesso remoto (IP: 192.168.0.2)

Pois bem, neste servidor de acesso remoto (192.168.0.2) eu instalei uma VPN PPTPD, que esta funcionando maravilhosamente BEM !

O meu problema é no firewall e no acesso externo. Preciso criar uma regra que toda conexao que cair no servidor firewall (192.168.0.1) requisitando a porta 1723 ele direciona para o ip 192.168.0.2 que é onde está meu servidor de PPTPD.

Porem redirecionei a porta quando entrasse pela eth0 mandando para o 192.168.0.2, e mesmo assim nao funcionou.

Dei uma googlada e vi que tem que liberar o protocolo GRE...


Alguem tem alguma luz? Nao queria usar o pptpdproxy, gostaria de fazer por iptables mesmo..

Desde ja agradeço qualquer ajuda
abs

magnolinux
(usa Debian)

Enviado em 04/12/2009 - 10:37h

Let go . . .

Entao.. o redirecionamento é simples de criar, ficaria da seguinte forma no seu servidor firewall..

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1723 -j DNAT --to-destination 192.168.0.2

Com isso, o redirecionamento ta ok.

Obs... Agora se vc estiver utilizando o policiamento da tabela INPUT e FORWARD como DROP, tambem é necessario acrescentar essas regras..

iptables -t filter -A FORWARD -s 192.168.0.1 -d 192.168.0.2 -p tcp --dport 1723 -j ACCEPT

iptables -t filter -A INPUT -s 192.168.0.2 -d 192.168.0.1 -p tcp --sport 1723 -j ACCEPT

Blz..
faz o teste e posta aí...

felipe_pepii
(usa Debian)

Enviado em 04/12/2009 - 10:44h

Entao cara.. até ai eu consegui.. o problema é esse protocolo GRE que usa a porta 47, nao sei o que fazer..

Se eu testo o direcionamento ta perfeito.. mas precisa liberar mais alguma coisa pra fechar o tunel da VPN...

Brigadao de qualquer forma amigo !

matheus.silva
(usa Debian)

Enviado em 04/12/2009 - 10:55h

Fala rapaz tudo certo??

tenta a seguinte regra:

(é o protocolo gre que vc falou)

iptables -t nat -A PREROUTING -i eth0 -p 47 -j DNAT --to 192.168.0.2

E como nosso amigo comentou acima se estiver usando INPUT e FORWARD com politica drop mais essas regras

iptables -A FORWARD -s 192.168.0.1 -d 192.168.0.2 -p 47 -j ACCEPT
iptables -A INPUT -s 192.168.0.2 -d 192.168.0.1 -p 47 -j ACCEPT

OBS: É -p 47 (quarenta e sete) mesmo... não está errado.

OBS2: carregue os seguintes modulos do iptables:

modprobe ip_conntrack_pptp
modprobe ip_nat_pptp

Abraços,

Matheus Silva.

magnolinux
(usa Debian)

Enviado em 08/12/2009 - 07:42h

Enta amigoo.. funcionou o redirecionamento...

Flw...

pardalz
(usa Debian)

Enviado em 10/09/2010 - 08:34h

eu sei que esse topico eh meio antigo, mas o eu aqui nao ta dando certo não...
Usei isso:

$ipt -t nat -I PREROUTING -i $if_ext -p tcp --dport 1723 -j DNAT --to $IP1:1723
$ipt -t nat -I PREROUTING -i $if_ext -p udp --dport 1723 -j DNAT --to $IP1:1723
$ipt -A INPUT -p tcp --dport 1723 -i $if_ext -j ACCEPT
$ipt -A INPUT -p udp --dport 1723 -i $if_ext -j ACCEPT
$ipt -t nat -A PREROUTING -i $if_ext -p 47 -j DNAT --to $IP1
$ipt -A INPUT -i $if_ext -p gre -j ACCEPT
$ipt -A INPUT -i $if_ext -p 47 -j ACCEPT

Onde IP=Servidor VPN
if_ext=interface da internet.

ele ta parando na autenticação... da o erro 806