Toon posts:

VPN op Redhat 8.0

Pagina: 1
Acties:

woensdag 24 september 2003 20:54

Acties:

Verwijderd

Topicstarter
Ik wil een VPN verbinding opzetten onder Redhat naar een extern netwerk. Wanneer de verbinding met dit VPN gemaakt is krijg ik ook een IP-adres van dit netwerk.
Ik maak gebruik van de pppd / pptp scripts. Ik kan nu wel verbinding maken en pingen, alleen pakketjes doorlaten wil niet.

"PING weblx030.civ.utwente.nl (130.89.1.16) from 130.89.6.48 (...)"

Maar ik ontvang geen ping request (rest v.h. internet doet het dan wel).De VPN pakketjes worden dus nog niet doorgelaten zo te zien, terwijl ik wel poort 47 en 1723 toesta.

(iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT )

woensdag 24 september 2003 21:12

Acties:
  • Zeezicht
  • Registratie: Juni 2001
  • Laatst online: 18-04 10:18

Zeezicht

Je moet ook nog je nieuwe net toelaten/masq'en:

$IPTABLES -t nat -A POSTROUTING -s $LAN_NET -o $VPN_IFACE -j MASQUERADE
$IPTABLES -A DEFAULT -m state --state NEW -i ! $VPN_IFACE -j ACCEPT

donderdag 25 september 2003 12:57

Acties:

Verwijderd

Topicstarter
Als ik dit toevoeg krijg ik : iptables: No chain/target/match by that name
Ik neem aan dat ik $LAN_NET moet vervangen door bv. 192.168.0.0/16 en $VPN_IFACE door ppp0 in mijn geval?
Of kent pptp deze waardes wel automatisch?
In ieder geval werkt het dus nog niet!

donderdag 25 september 2003 13:17

Acties:
  • Zeezicht
  • Registratie: Juni 2001
  • Laatst online: 18-04 10:18

Zeezicht

Ja dat klopt.. die variabelen moet je ff aanmaken of gewoon in die regels vervangen.... (kon namelijk niet ruiken welke waarden jij nodig hebt ;))

donderdag 25 september 2003 18:10

Acties:

Verwijderd

Topicstarter
Ok maar dan werkt het dus nog niet, ergens anders kreeg ik deze reactie:

"Heb je toevallig ICMP pakketten geblokkeerd? Of geblokkeerd voor alles behalve je ISP?
Staat er misschien een DROP regel VOOR de regels die je zo toegevoegd hebt?"

Hier m'n iptables -n -L:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:255 state NE
W
ACCEPT 47 -- 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ES
TABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723 state N
EW,RELATED,ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:47 state NEW
,RELATED,ESTABLISHED
LOG icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: a
vg 1/min burst 5 LOG flags 0 level 5 prefix `PING:'
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: a
vg 2/sec burst 5
myfilter all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 state NEW

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 state NEW

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 state NEW

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 state NEW

ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723
ACCEPT 47 -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723
ACCEPT 47 -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723
ACCEPT 47 -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723
ACCEPT 47 -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723
ACCEPT 47 -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723
ACCEPT 47 -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723
ACCEPT 47 -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP)
target prot opt source destination
myfilter all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain myfilter (2 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABL
ISHED
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-rese
t
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-por
t-unreachable
--einde

Raar dat er allemaal nullen staan....

donderdag 25 september 2003 19:24

Acties:
  • Freak_NL
  • Registratie: Juli 2000
  • Laatst online: 10-04 09:49

Freak_NL

0.0.0.0/0 betekent in dit geval dat het om een willekeurig IP-adres gaat.

Probeer eerst eens of je tunnel wel werkt als de vuurmuur (iptables) uit staat, misschien ligt je probleem elders?

Met iptables -L -v zie je wat meer informatie over je regels. (-v staat voor "verbose"). Vergeet je nat tabel niet! iptables -t nat -L -v toont je die betreffende regels.

zondag 28 september 2003 13:42

Acties:

Verwijderd

Topicstarter
Hm iptables uitgezet met iptables --flush, maar dan werkt op de server zelf internet ook niet meer, ook niet als ik opnieuw dhcp adres aanvraag. Dus firewall maar weer gestart.
Ik zie me bijna genoodzaakt weer Windows op de server te zetten want ik ben er nu al enorm lang mee bezig dit aan de praat te krijgen. Misschien licht het aan m'n pptp configuratie, die heb ik opzet volgens de handleiding die bij het VPN hoort: http://www.snt.utwente.nl/handleidingen/vpn.html#debian.
De server draait Redhat 8.0 maar de configuratie lijkt me weinig te verschillen van Suse (zie onder debian bij genoemde site). Of is er een betere manier om pptp te configureren?

zondag 28 september 2003 13:44

Acties:

Verwijderd

Topicstarter
Hier nog m'n iptables -t nat -L -v, waar ik niet een fout ofzo kan ontdekken:

Chain PREROUTING (policy ACCEPT 72534 packets, 4640K bytes)
pkts bytes target prot opt in out source destination


Chain POSTROUTING (policy ACCEPT 1349 packets, 82792 bytes)
pkts bytes target prot opt in out source destination

38427 1917K MASQUERADE all -- any eth0 192.168.0.0/24 anywhere

17 816 MASQUERADE all -- any ppp0 192.168.0.0/16 anywhere

0 0 MASQUERADE all -- any ppp0 192.168.0.0/16 anywhere

0 0 MASQUERADE all -- any ppp0 192.168.0.0 anywhere

0 0 MASQUERADE all -- any ppp0 192.168.0.0 anywhere

0 0 MASQUERADE all -- any ppp0 192.168.0.0 anywhere

0 0 MASQUERADE all -- any ppp0 192.168.0.0 anywhere

0 0 MASQUERADE all -- any eth0 192.168.0.0/24 anywhere

0 0 MASQUERADE all -- any ppp0 192.168.0.0 anywhere

0 0 MASQUERADE all -- any ppp0 0.0.0.0 anywhere

0 0 MASQUERADE all -- any eth0 192.168.0.0/24 anywhere

0 0 MASQUERADE all -- any eth0 192.168.0.0/24 anywhere


Chain OUTPUT (policy ACCEPT 1349 packets, 82792 bytes)
pkts bytes target prot opt in out source destination

zondag 28 september 2003 14:26

Acties:
  • Freak_NL
  • Registratie: Juli 2000
  • Laatst online: 10-04 09:49

Freak_NL

iptables --flush zet je firewall niet "uit" maar verwijderd alle regels. De policy van elke chain blijft staan! Als je de firewall echt wil uitzetten moet je voor elke chain de policy op ACCEPT zetten.

zondag 28 september 2003 16:56

Acties:
  • Tomaat
  • Registratie: November 2001
  • Laatst online: 13-04 13:11

Tomaat

Ik gebruik het volgende scriptje voor mijn VPN naar de UT:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

#!/bin/bash
#
EXTIF=ppp0
IPTABLES="/sbin/iptables"

# Load the VPN tunnel
echo "[gShield] Starting network device: ${EXTIF} ...";
pon utwente-vpn
sleep 10

# Masquerade all traffic
echo "[gShield] Starting firewall rules for VPN connection: Utwente VPN";
echo "[gShield] Connected to: ${EXTIF}";
${IPTABLES} -A INPUT -i ${EXTIF} -j DROP
${IPTABLES} -A FORWARD -o ${EXTIF} -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
${IPTABLES} -A FORWARD -o ${EXTIF} -j ACCEPT
${IPTABLES} -t nat -A POSTROUTING -o ${EXTIF} -j MASQUERADE


Misschien heb je er wat aan :)

maandag 29 september 2003 01:08

Acties:

Verwijderd

Topicstarter
Sorry..werkt nog steeds niet, ik heb jouw regels gebruikt, alleen ipv. pon utwente-vpn gebruik ik pppd call utwente-vpn (heb Redhat, en kan niet zo snel vinden hoe ik pon gebruik?). Is pon uberhaupt te gebruiken in Redhat?
Verder had ik ook de regel:
route add -net 130.89.0.0 netmask 255.255.0.0 dev ppp0
zodat verkeer bedoelt voor het UTnet via de ppp0 verbinding gaat, moet dat er niet bij of doet pon dat voor jou?

maandag 29 september 2003 01:22

Acties:

Verwijderd

Topicstarter
Hm pon en poff wordt er voor debian gebruikt, dit werkt hetzelfde als pppd voor Redhat neem ik aan....

maandag 29 september 2003 12:12

Acties:
  • Tomaat
  • Registratie: November 2001
  • Laatst online: 13-04 13:11

Tomaat

pon doet dat automatisch ja, er staat daarvoor een script in /etc/ppp/ip.up dat gerunt wordt zodra er een ppp device up komt

maandag 29 september 2003 19:23

Acties:

Verwijderd

Topicstarter
Misschien ligt het probleem bij GATEWAY die volgens de VPN handleiding in ip-up.local en ip-down.local gezet moet worden. Wat moet ik hier invullen aangezien de server direct op het internet zit via kabelmodem, ik heb nu gewoon het @home IP adres ingevoerd...

maandag 29 september 2003 22:20

Acties:
  • Zeezicht
  • Registratie: Juni 2001
  • Laatst online: 18-04 10:18

Zeezicht

Je moet je gateway van @Home daar in vullen
Kan je opvragen met arp -n

dinsdag 30 september 2003 00:21

Acties:

Verwijderd

Topicstarter
Heb ik gedaan, en ook alle policy's staan nu op ACCEPT (input, output en forward), al staat er wel af en toe DROP in een chain:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:255 state NEW
ACCEPT gre -- anywhere anywhere state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:vpn state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:47 state NEW,RELATED,ESTABLISHED
LOG icmp -- anywhere anywhere icmp echo-request limit: avg 1/min burst 5 LOG level notice prefix `PING:'
ACCEPT icmp -- anywhere anywhere icmp echo-request limit: avg 2/sec burst 5
myfilter all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:http state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp state NEW
ACCEPT tcp -- anywhere anywhere tcp dpt:vpn
ACCEPT gre -- anywhere anywhere
DROP all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:vpn
ACCEPT gre -- anywhere anywhere
DROP all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:vpn
ACCEPT gre -- anywhere anywhere
DROP all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
myfilter all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state NEW,RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain myfilter (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere state NEW

Verder hier m'n ifconfig ppp0 output:
ppp0 Link encap:Point-to-Point Protocol
inet addr:130.89.6.25 P-t-P:130.89.1.223 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0
TX packets:346769 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:738 (738.0 b) TX bytes:120665150 (115.0 Mb)
En m'n ping request naar het VPN :

PING weblx030.civ.utwente.nl (130.89.1.16) from 130.89.6.149 : 56(84) bytes of data.

--- weblx030.civ.utwente.nl ping statistics ---
24 packets transmitted, 0 received, 100% loss, time 24998ms

Het IP adres 130.89.6.149 is dus het adres wat ik van de VPN server krijg, normaal (zonder gebruik van de regel

route add -net 130.89.0.0 netmask 255.255.0.0 dev ppp0

staat daar een @home IP wat niet zou moeten lijkt me. In ieder geval lukt het maar niet ondanks alle goede tips :(

dinsdag 30 september 2003 00:29

Acties:
  • sebas
  • Registratie: April 2000
  • Laatst online: 16-12-2025

sebas

Wat zegt 'ie als je pppd in 'debug' mode runt?

Everyone complains of his memory, no one of his judgement.

vrijdag 3 oktober 2003 23:40

Acties:

Verwijderd

Topicstarter
Hoe doe ik dit? pptp heeft wel een debug optie maar pppd zover ik kan zien niet.
Verder lijkt het me nog steeds meer aan de routering te liggen dan aan pppd zelf, want wanneer ik pppd start krijg ik wel een VPN IP adres (maar ontvang alleen geen pakketjes)

vrijdag 10 oktober 2003 20:01

Acties:

Verwijderd

Topicstarter
Uiteindelijk maar debian geinstalleerd, en daar werkt het meteen!
Pagina: 1
Reageer