Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

[SOLVED] Server VPN PPTP Windows dietro Zeroshell beta 4

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
EtH



Registrato: 12/01/07 18:20
Messaggi: 18

MessaggioInviato: Ven Mag 25, 2007 12:07 pm    Oggetto: [SOLVED] Server VPN PPTP Windows dietro Zeroshell beta 4 Rispondi citando

Caro Fulvio,
ho una struttura con il seguente problema:

Vecchia Conf) 3COM ROuter ---> Smoothwall con modifica per protocollo GRE nattato staticamente su server PPTP interno 192.168.1.100 - roadwarrior perfettamente funzionanti

Nuova Conf) 3COM Router ----> Zeroshell con il firewall configurato così:

1 ETH00 ETH01 ACCEPT all opt -- in ETH00 out ETH01 192.168.1.0/24 -> 0.0.0.0/0
2 ETH01 ETH00 ACCEPT all opt -- in ETH01 out ETH00 0.0.0.0/0 -> 192.168.1.0/24 state RELATED,ESTABLISHED
3 ETH01 ETH00 ACCEPT all opt -- in ETH01 out ETH00 83.*.*.* -> 192.168.1.100
4 ETH01 ETH00 ACCEPT 47 opt -- in ETH01 out ETH00 0.0.0.0/0 -> 192.168.1.100
5 ETH01 ETH00 ACCEPT tcp opt -- in ETH01 out ETH00 0.0.0.0/0 -> 192.168.1.100 tcp spt:1723 dpt:1723

con la policy di default del chain FORWARD su DROP.....ma non funziona + l'autenticazione

Dov'è l'errore?

Grazie mille per la disponibilità!!!!


L'ultima modifica di EtH il Mer Mag 30, 2007 2:20 pm, modificato 1 volta
Top
Profilo Invia messaggio privato MSN
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Dom Mag 27, 2007 8:38 am    Oggetto: Rispondi citando

Non ho capito bene se a non funzionare sia la VPN PPTP, oppure hai attivato il captive portal e questo non ti funziona.
Se il problema è quest'ultimo, allora tieni conto che il captive portal viene applicato dopo le regole del firewall.
Dovresti postare maggiori dettagli.
Top
Profilo Invia messaggio privato
EtH



Registrato: 12/01/07 18:20
Messaggi: 18

MessaggioInviato: Lun Mag 28, 2007 11:50 am    Oggetto: Rispondi citando

Non funziona la VPN pptp (non ho attivo il captive portal). In sostanza, quando il client cerca di stabilire la connessione VPN pptp ritorna il seguente errore:
Errore 721: Il computer remoto non ha risposto.

E' come se non funzionasse il DNAT del protocollo GRE......
Top
Profilo Invia messaggio privato MSN
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Mag 28, 2007 9:11 pm    Oggetto: Rispondi citando

Ovviamente è il router 3Com che fa il DNAT del tunnel GRE e della porta TCP 1723 necessaria per il controllo della VPN PPTP.
Hai provato a disabilitare completamente il Firewall di Zeroshell per verificare se il malfunzionamento è da imputare al DROP sulla Chain FORWARD?
La ETH01 la metti in NAT? non dovrebbe essere necessario se metti una route statica sul router 3Com.


Ciao
Fulvio
Top
Profilo Invia messaggio privato
fulvio.capone



Registrato: 05/02/07 23:33
Messaggi: 16

MessaggioInviato: Mar Mag 29, 2007 9:15 am    Oggetto: Rispondi citando

Ciao a tutti anche io ho lo stesso problema.
Ho tramite virtual server specificato la porta 1723 verso il server interno.
Poi ho provato qualsisasi regola del firewall sia in INPUT che FORWARD per il protocollo 47 (GRE) con qualunque interfaccia e a qualunque indirizzo accept e anche tcp port 1723 ma nulla... ho anche disabilitato le 3 catene ma il risultato non cambia....
Sapete un po' come fare?
Fulvio
Top
Profilo Invia messaggio privato Invia e-mail
EtH



Registrato: 12/01/07 18:20
Messaggi: 18

MessaggioInviato: Mar Mag 29, 2007 11:46 am    Oggetto: Rispondi citando

Fatte tutte le prove. Purtroppo nulla è cambiato. Ti riporto di seguito le modifiche che andavano fatte sullo smoothwall per permettere il DNAT del Tunnel gre (ti aggiungo che ho provato a farle pure sullo zeroshell andando a modificare il file rc.local e riavviando ma purtroppo continua a non andare)

Firewall Script Changes:
At the end of /etc/rc.d/rc.firewall.up, add the following:

vpnserver="172.16.0.2"
/sbin/iptables -N pptp
/sbin/iptables -A pptp -p tcp --destination-port 1723 --dst $vpnserver -j ACCEPT
/sbin/iptables -A pptp -p 47 --dst $vpnserver -j ACCEPT
/sbin/iptables -I FORWARD -j pptp
/sbin/iptables -t nat -N pptp
/sbin/iptables -t nat -A pptp -i $RED_DEV -p tcp --dport 1723 -j DNAT --to $vpnserver:1723
/sbin/iptables -t nat -A pptp -i $RED_DEV -p 47 -j DNAT --to $vpnserver
Top
Profilo Invia messaggio privato MSN
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mar Mag 29, 2007 6:42 pm    Oggetto: Rispondi citando

Hai provato a mettere

iptables -t nat -A PREROUTING -i ETH01 -p tcp --dport 1723 -j DNAT --to-destination 172.16.0.2:1723

iptables -t nat -A PREROUTING -i ETH01 -p 47 -j DNAT --to-destination 172.16.0.2

nel file /etc/rc.local ?


fulvio
Top
Profilo Invia messaggio privato
fulvio.capone



Registrato: 05/02/07 23:33
Messaggi: 16

MessaggioInviato: Mar Mag 29, 2007 7:09 pm    Oggetto: Rispondi citando

Ehm... se potessi accedere alla console del firewall potrei scrivere il file di config ma posso accedere solo all'interfaccia web... ed è proprio lì che non riesco a capire bene come fare...
Fulvio
Top
Profilo Invia messaggio privato Invia e-mail
EtH



Registrato: 12/01/07 18:20
Messaggi: 18

MessaggioInviato: Mer Mag 30, 2007 2:13 pm    Oggetto: Rispondi citando

Bravissimo Fulvio!!!!
Problema risolto......
Ora il prossimo problema.....ma come faccio a collegarmi in ssh su una macchina remota per fare la modifica?
Top
Profilo Invia messaggio privato MSN
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Mag 30, 2007 7:28 pm    Oggetto: Rispondi citando

Ssh e' disabilitato, bisogna accedere dalla console via RS232 o via VGA
In futuro sara' possibile dare dei comandi shell usando la web interface. Per adesso, se proprio necessario, bisogna avviare /usr/sbin/sshd e cambiare la pw di root.

Nella prossima release, la password di root sara' automaticamente sincronizzata con quella di admin.

fulvio
Top
Profilo Invia messaggio privato
fulvio.capone



Registrato: 05/02/07 23:33
Messaggi: 16

MessaggioInviato: Gio Mag 31, 2007 3:53 pm    Oggetto: Rispondi citando

ciao fulvio io ho capito come fare e se potessi accedere alla console di zeroshell lo avrei già fatto senza tanti problemi. ma io posso accedere solo all'interfaccia web e non riesco a capire come faccio a fare il prerouting (quindi io penso il server virtuale della pagina del router di zeroshell) sul protocollo 47 cioè gre.
sapresti aiutarmi?
Fulvio
Top
Profilo Invia messaggio privato Invia e-mail
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Gio Mag 31, 2007 10:16 pm    Oggetto: Rispondi citando

Non riesci ad accede alla console perché sei fisicamente lontano dal router Zeroshell? In questo caso credo che ci sia poco da fare. Al momento il virtual server non prevede dalla web interface, che sia fatto il forwarding dei tunnel GRE.
Top
Profilo Invia messaggio privato
fulvio.capone



Registrato: 05/02/07 23:33
Messaggi: 16

MessaggioInviato: Gio Mag 31, 2007 10:37 pm    Oggetto: Rispondi citando

ok eheh grazie! cercherò di tirarlo fuori da dove lo avevo incastrato e troverò un monitor e tastiera per accedere alla console eheh
Grazie!!!
EH eh se è possibile poi nelle prossime release è possibile aggiungere questa opzione al firewall? Oppure se vuoi appena riesco a finire la tesi posso darti una mano ma al momento ho poco tempo... tra tesi e lavoro mi rimane proprio poco da scialaquare eheh ma dal 27 di luglio dovrei esserci e riprendere la guida e se vuoi darti una mano.
Saluti Fulvio
Top
Profilo Invia messaggio privato Invia e-mail
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Ven Giu 01, 2007 8:37 pm    Oggetto: Rispondi citando

Grazie mille per la tua offerta di aiuto. Il port forwarding lo modifichero' prossimamente includendo la possibilità di selezionare il traffico da forwardare con regole più complesse come quelle già disponibili per il firewall e il classificatore QoS.
Dopo l'estate, quando avremo la versione stabile 1.0.0 e avrò messo su un cvs via web ci sarà da lavorare per quanti vogliono darmi una mano.

Grazie ancora per la disponibilità
Fulvio
Top
Profilo Invia messaggio privato
fulvio.capone



Registrato: 05/02/07 23:33
Messaggi: 16

MessaggioInviato: Ven Giu 01, 2007 8:58 pm    Oggetto: Rispondi citando

posso farti un a richiesta? usa svn invece di cvs è molto meglio!!!!! eheh semplice e più performante! addirittura sourceforge si è convertito!!!!!
Fulvio
Top
Profilo Invia messaggio privato Invia e-mail
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it