Olá pessoal
seguinte.. estou tentando configurar um VPN porém creio que estou com problemas com o firewall (iptables ou roteamento).
Primeiramente eu configurei uma vpn no mesmo servidor do firewall, me conectava normal mas não navegava... em ping/traceroute parava no servidor do vpn/firewall e não saia dali.
Agora, como as maiorias dos tutoriais de VPN utilizando o poptop (pptpd) é instalado ou em maquinas sem firewall ou atrás de um firewall (sem ser o proprio servidor firewall) estou tentando fazer isto.
Porém o meu problema de conectar de um computador externo é o seguinte, ele começa a se conectar porém me parece que quando vai redirecionar os pacotes do protocolo GRE ele não consegue. Abaixo as regras que coloquei no firewall:
==
$IPT -A FORWARD -p tcp -m tcp --dport 1723 -j ACCEPT $IPT -A FORWARD -p tcp -m tcp --sport 1723 -j ACCEPT $IPT -A FORWARD -p 47 -j ACCEPT [...] $IPT -t nat -A PREROUTING -d 220.239.23.12 -p tcp --dport 1723 -j DNAT --to 192.168.1.5:1723 $IPT -t nat -A PREROUTING -p 47 -j DNAT --to 192.168.1.5
==
e no log do servidor de VPN: == Apr 27 13:24:43 localhost pptpd[30130]: CTRL: Client 200.169.124.136 control connection started Apr 27 13:24:44 localhost pptpd[30130]: CTRL: Starting call (launching pppd, opening GRE) Apr 27 13:24:44 localhost pppd[30131]: Plugin /usr/lib/pptpd/pptpd- logwtmp.so loaded. Apr 27 13:24:44 localhost pppd[30131]: pptpd-logwtmp: $Version$ Apr 27 13:24:44 localhost pppd[30131]: pppd 2.4.3 started by root, uid 0 Apr 27 13:24:44 localhost pppd[30131]: Using interface ppp0 Apr 27 13:24:44 localhost pppd[30131]: Connect: ppp0 <--> /dev/pts/1 Apr 27 13:25:14 localhost pppd[30131]: LCP: timeout sending Config-Requests Apr 27 13:25:14 localhost pppd[30131]: Connection terminated. Apr 27 13:25:14 localhost pppd[30131]: Using interface ppp0 Apr 27 13:25:14 localhost pppd[30131]: Connect: ppp0 <--> /dev/pts/1 Apr 27 13:25:14 localhost pppd[30131]: tcflush failed: Bad file descriptor Apr 27 13:25:14 localhost pppd[30131]: tcsetattr: Invalid argument (line 1016) Apr 27 13:25:14 localhost pppd[30131]: Exit. Apr 27 13:25:14 localhost pptpd[30130]: GRE: read(fd=6,buffer=804e560,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs Apr 27 13:25:14 localhost pptpd[30130]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7) Apr 27 13:25:14 localhost pptpd[30130]: CTRL: Client 200.169.124.136 control connection finished ==
Quando eu me conecto de dentro da rede interna (sem passar pelo firewall) a conexão é normal.
alguém sabe o que pode ser isto?
Observe esta linha de erro:
Apr 27 13:25:14 localhost pptpd[30130]: GRE: read(fd=6,buffer=804e560,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
Ficou faltando acrescentar a seguinte linha nas regras do iptables:
iptables -A INPUT -p gre -j ACCEPT
O protocolo GRE é usado em conjunto com o protocolo PPTP para criar VPNs.
Teste e nos dê o feedback.
Em 02/05/07, Renato de Oliveira Diogordiogo01@yahoo.com.br escreveu:
Olá pessoal
seguinte.. estou tentando configurar um VPN porém creio que estou com problemas com o firewall (iptables ou roteamento).
Primeiramente eu configurei uma vpn no mesmo servidor do firewall, me conectava normal mas não navegava... em ping/traceroute parava no servidor do vpn/firewall e não saia dali.
Agora, como as maiorias dos tutoriais de VPN utilizando o poptop (pptpd) é instalado ou em maquinas sem firewall ou atrás de um firewall (sem ser o proprio servidor firewall) estou tentando fazer isto.
Porém o meu problema de conectar de um computador externo é o seguinte, ele começa a se conectar porém me parece que quando vai redirecionar os pacotes do protocolo GRE ele não consegue. Abaixo as regras que coloquei no firewall:
== $IPT -A FORWARD -p tcp -m tcp --dport 1723 -j ACCEPT $IPT -A FORWARD -p tcp -m tcp --sport 1723 -j ACCEPT $IPT -A FORWARD -p 47 -j ACCEPT [...] $IPT -t nat -A PREROUTING -d 220.239.23.12 -p tcp --dport 1723 -j DNAT --to 192.168.1.5:1723 $IPT -t nat -A PREROUTING -p 47 -j DNAT --to 192.168.1.5 ==
e no log do servidor de VPN:
Apr 27 13:24:43 localhost pptpd[30130]: CTRL: Client 200.169.124.136 control connection started Apr 27 13:24:44 localhost pptpd[30130]: CTRL: Starting call (launching pppd, opening GRE) Apr 27 13:24:44 localhost pppd[30131]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded. Apr 27 13:24:44 localhost pppd[30131]: pptpd-logwtmp: $Version$ Apr 27 13:24:44 localhost pppd[30131]: pppd 2.4.3 started by root, uid 0 Apr 27 13:24:44 localhost pppd[30131]: Using interface ppp0 Apr 27 13:24:44 localhost pppd[30131]: Connect: ppp0 <--> /dev/pts/1 Apr 27 13:25:14 localhost pppd[30131]: LCP: timeout sending Config-Requests Apr 27 13:25:14 localhost pppd[30131]: Connection terminated. Apr 27 13:25:14 localhost pppd[30131]: Using interface ppp0 Apr 27 13:25:14 localhost pppd[30131]: Connect: ppp0 <--> /dev/pts/1 Apr 27 13:25:14 localhost pppd[30131]: tcflush failed: Bad file descriptor Apr 27 13:25:14 localhost pppd[30131]: tcsetattr: Invalid argument (line 1016) Apr 27 13:25:14 localhost pppd[30131]: Exit. Apr 27 13:25:14 localhost pptpd[30130]: GRE: read(fd=6,buffer=804e560,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs Apr 27 13:25:14 localhost pptpd[30130]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7) Apr 27 13:25:14 localhost pptpd[30130]: CTRL: Client 200.169.124.136 control connection finished ==
Quando eu me conecto de dentro da rede interna (sem passar pelo firewall) a conexão é normal.
alguém sabe o que pode ser isto?
Renato de Oliveira Diogo
Bacharel em Ciência da Computação UNESP - Bauru Mestrando em Ciência da Computação UNESP
renato.diogo@gmail.com rdiogo01@yahoo.com.br -- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br
Olá..
então no firewall coloquei esta regra mas, também, não funcionou...
o erro do log continua o mesmo:
== May 2 17:21:30 localhost pptpd[32357]: CTRL: Client 201.69.10.251 control connection started May 2 17:21:31 localhost pptpd[32357]: CTRL: Starting call (launching pppd, opening GRE) May 2 17:21:31 localhost pppd[32359]: Plugin /usr/lib/pptpd/pptpd- logwtmp.so loaded. May 2 17:21:31 localhost pppd[32359]: pptpd-logwtmp: $Version$ May 2 17:21:31 localhost pppd[32359]: pppd 2.4.3 started by root, uid 0 May 2 17:21:31 localhost pppd[32359]: Using interface ppp0 May 2 17:21:31 localhost pppd[32359]: Connect: ppp0 <--> /dev/pts/1 May 2 17:22:01 localhost pppd[32359]: LCP: timeout sending Config-Requests May 2 17:22:01 localhost pppd[32359]: Connection terminated. May 2 17:22:01 localhost pppd[32359]: Using interface ppp0 May 2 17:22:01 localhost pppd[32359]: Connect: ppp0 <--> /dev/pts/1 May 2 17:22:01 localhost pppd[32359]: tcflush failed: Bad file descriptor May 2 17:22:01 localhost pppd[32359]: tcsetattr: Invalid argument (line 1016) May 2 17:22:01 localhost pppd[32359]: Exit. May 2 17:22:01 localhost pptpd[32357]: GRE: read(fd=6,buffer=804e560,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs May 2 17:22:01 localhost pptpd[32357]: CTRL: PTY read or GRE write failed (pty,gre)=(6,7) May 2 17:22:01 localhost pptpd[32357]: CTRL: Client 201.69.10.251 control connection finished ==
no script do meu firewall tem as seguintes regras: == $MODPROBE ip_gre echo 1 > /proc/sys/net/ipv4/ip_forward echo 1 > /proc/sys/net/ipv4/ip_dynaddr
# Politicas padroes $IPT -t filter -P INPUT DROP $IPT -t filter -P FORWARD DROP $IPT -t filter -P OUTPUT ACCEPT $IPT -t nat -P PREROUTING ACCEPT $IPT -t nat -P POSTROUTING ACCEPT $IPT -t nat -P OUTPUT ACCEPT $IPT -t filter -F $IPT -t nat -F $IPT -t mangle -F $IPT -t filter -Z $IPT -t nat -Z $IPT -t mangle -Z
######## # FILTER ######## $IPT -A INPUT -i lo -j ACCEPT $IPT -A INPUT -i ppp+ -j ACCEPT $IPT -A INPUT -s $REDE_BLUEEYE -j ACCEPT $IPT -A INPUT -s $REDE_MIRANTE -j ACCEPT $IPT -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT $IPT -A INPUT -s 0/0 -p tcp --dport 80 -j ACCEPT $IPT -A INPUT -s 0/0 -p tcp --dport 3000 -j ACCEPT $IPT -A INPUT -p 47 -j ACCEPT $IPT -A INPUT -p tcp --dport 1723 -j ACCEPT $IPT -A INPUT -p tcp --sport 1723 -j ACCEPT $IPT -A INPUT -s $REDE_BLUEEYE -p tcp --dport 53 -j ACCEPT $IPT -A INPUT -s $REDE_BLUEEYE -p udp --dport 53 -j ACCEPT UDP $IPT -A INPUT -s $REDE_MIRANTE -p tcp --dport 53 -j ACCEPT $IPT -A INPUT -s $REDE_MIRANTE -p udp --dport 53 -j ACCEPT $IPT -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT $IPT -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j RETURN $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -p tcp -m tcp --dport 1723 -j ACCEPT $IPT -A FORWARD -p tcp -m tcp --sport 1723 -j ACCEPT $IPT -A FORWARD -p 47 -j ACCEPT $IPT -A FORWARD -o eth1 -m state --state NEW,INVALID -j DROP $IPT -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -o eth2 -m state --state NEW,INVALID -j DROP $IPT -A FORWARD -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -s $REDE_BLUEEYE -p tcp --dport 80 -j DROP $IPT -A FORWARD -s $REDE_BLUEEYE -p tcp --dport 1863 -j DROP $IPT -A FORWARD -i eth1 -s $REDE_BLUEEYE -j ACCEPT $IPT -A FORWARD -i eth2 -s $REDE_MIRANTE -j ACCEPT $IPT -A FORWARD -j DROP $IPT -A INPUT -j DROP
$IPT -t nat -A POSTROUTING -s $REDE_BLUEEYE -o eth0 -j MASQUERADE $IPT -t nat -A POSTROUTING -s $REDE_MIRANTE -o eth0 -j MASQUERADE #$IPT -t nat -A POSTROUTING -o ppp+ -j MASQUERADE $IPT -t nat -A PREROUTING -s $REDE_BLUEEYE -p tcp --dport 80 -j REDIRECT --to-port 3128 $IPT -t nat -A PREROUTING -d $SERV_FIREWALL -p tcp --dport 1723 -j DNAT --to 192.168.1.5:1723 $IPT -t nat -A PREROUTING -p 47 -j DNAT --to 192.168.1.5 ==
O computador ond está o servidor VPN não tem nenhuma regra de bloqueio (firewall aberto)
== [root@localhost ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination
Chain FORWARD (policy ACCEPT) target prot opt source destination
Chain OUTPUT (policy ACCEPT) target prot opt source destination
[root@localhost ~]# iptables -L -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination
Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT) target prot opt source destination ==
[]s
On 5/2/07, Robert Pereira robertjs@gmail.com wrote:
Observe esta linha de erro:
Apr 27 13:25:14 localhost pptpd[30130]: GRE: read(fd=6,buffer=804e560,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected termination of pppd, check option syntax and pppd logs
Ficou faltando acrescentar a seguinte linha nas regras do iptables:
iptables -A INPUT -p gre -j ACCEPT
O protocolo GRE é usado em conjunto com o protocolo PPTP para criar VPNs.
Teste e nos dê o feedback.
Em 02/05/07, Renato de Oliveira Diogordiogo01@yahoo.com.br escreveu:
Olá pessoal
seguinte.. estou tentando configurar um VPN porém creio que estou com problemas com o firewall (iptables ou roteamento).
Primeiramente eu configurei uma vpn no mesmo servidor do firewall, me conectava normal mas não navegava... em ping/traceroute parava no
servidor
do vpn/firewall e não saia dali.
Agora, como as maiorias dos tutoriais de VPN utilizando o poptop (pptpd)
é
instalado ou em maquinas sem firewall ou atrás de um firewall (sem ser o proprio servidor firewall) estou tentando fazer isto.
Porém o meu problema de conectar de um computador externo é o seguinte,
ele
começa a se conectar porém me parece que quando vai redirecionar os
pacotes
do protocolo GRE ele não consegue. Abaixo as regras que coloquei no firewall:
== $IPT -A FORWARD -p tcp -m tcp --dport 1723 -j ACCEPT $IPT -A FORWARD -p tcp -m tcp --sport 1723 -j ACCEPT $IPT -A FORWARD -p 47 -j ACCEPT [...] $IPT -t nat -A PREROUTING -d 220.239.23.12 -p tcp --dport 1723 -j DNAT --to 192.168.1.5:1723 $IPT -t nat -A PREROUTING -p 47 -j DNAT --to 192.168.1.5 ==
e no log do servidor de VPN:
Apr 27 13:24:43 localhost pptpd[30130]: CTRL: Client 200.169.124.136control connection started Apr 27 13:24:44 localhost pptpd[30130]: CTRL: Starting call (launching
pppd,
opening GRE) Apr 27 13:24:44 localhost pppd[30131]: Plugin /usr/lib/pptpd/pptpd-logwtmp.so loaded. Apr 27 13:24:44 localhost pppd[30131]: pptpd-logwtmp: $Version$ Apr 27 13:24:44 localhost pppd[30131]: pppd 2.4.3 started by root, uid 0 Apr 27 13:24:44 localhost pppd[30131]: Using interface ppp0 Apr 27 13:24:44 localhost pppd[30131]: Connect: ppp0 <--> /dev/pts/1 Apr 27 13:25:14 localhost pppd[30131]: LCP: timeout sending
Config-Requests
Apr 27 13:25:14 localhost pppd[30131]: Connection terminated. Apr 27 13:25:14 localhost pppd[30131]: Using interface ppp0 Apr 27 13:25:14 localhost pppd[30131]: Connect: ppp0 <--> /dev/pts/1 Apr 27 13:25:14 localhost pppd[30131]: tcflush failed: Bad file
descriptor
Apr 27 13:25:14 localhost pppd[30131]: tcsetattr: Invalid argument (line 1016) Apr 27 13:25:14 localhost pppd[30131]: Exit. Apr 27 13:25:14 localhost pptpd[30130]: GRE: read(fd=6,buffer=804e560,len=8196) from PTY failed: status = -1 error = Input/output error, usually caused by unexpected
termination of
pppd, check option syntax and pppd logs Apr 27 13:25:14 localhost pptpd[30130]: CTRL: PTY read or GRE write
failed
(pty,gre)=(6,7) Apr 27 13:25:14 localhost pptpd[30130]: CTRL: Client 200.169.124.136control connection finished ==
Quando eu me conecto de dentro da rede interna (sem passar pelo
firewall) a
conexão é normal.
alguém sabe o que pode ser isto?
Renato de Oliveira Diogo
Bacharel em Ciência da Computação UNESP - Bauru Mestrando em Ciência da Computação UNESP
renato.diogo@gmail.com rdiogo01@yahoo.com.br -- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br
-- Fedora-users-br mailing list Fedora-users-br@redhat.com https://www.redhat.com/mailman/listinfo/fedora-users-br
Rau,
A Wednesday 02 May 2007 17:32:51, Renato de Oliveira Diogo escreveu:
Olá..
então no firewall coloquei esta regra mas, também, não funcionou...
Baixe (desative) o firewall faça a conexão (se funcionar), depois analise a conexão com netstat, iptstate, iptraf.
br-users@lists.fedoraproject.org