Toon posts:

[Iptables & VPN] Passwordfout

Pagina: 1
Acties:

zaterdag 11 oktober 2003 12:45

Acties:
  • geertb
  • Registratie: Juli 2001
  • Laatst online: 16:14

geertb

Topicstarter
Sinds gisterenavond ben ik bezig mijn Slackware 8.1 doos om te zetten om een VPN client erdoorheen te kunnen laten lopen. Het is de bedoeling dat 192.168.0.4 [laptop] een VPN verbinding kan maken met een bepaald internetadres.

Ik draaide in eerste instantie nog ipchains, daarmee kreeg ik zoiezo geen verbinding. Nu alles omgezet naar iptables en krijg ik een wachtwoordfout.

Zoals ik in veel berichten hier al las (search heb ik gebruikt dus ;) ) zou dat wachtwoordprobleem veroorzaakt kunnen worden doordat toch de poorten niet goed geforward zijn.

Wat heb ik geprobeerd:

Protocol 47 en poort 1723 forwarden naar 192.168.0.4 dmv iptables.
Dit is niet goed gelukt volgens mij. Ik heb al die rules er nu uitgehaald, maar kom nogsteeds niet uit wat nu de goede rules moeten zijn.

Mijn iptables script zonder forwarding rules:

code:
1
2
3
4
5
6
7
8
9

/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
iptables -F FORWARD
iptables -F
iptables -F -t nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/ip_forward


Ik heb dit gebruikt als forwarding rules:

code:
1
2

iptables -A PREROUTING -t nat -p 47 -d 213.93.<ip>.<ip> -jDNAT --to-destination 192.168.0.4
iptables -A PREROUTING -t nat -p tcp -d 213.93.<ip>.<ip>:1723 -jDNAT --to-destination 192.168.0.4:1723


Dit werkt echter niet. Met andere posts hier en howto's en google's kom ik er niet uit |:(

zaterdag 11 oktober 2003 18:15

Acties:
  • geertb
  • Registratie: Juli 2001
  • Laatst online: 16:14

geertb

Topicstarter
*Schop*
|:(

zaterdag 11 oktober 2003 19:13

Acties:
  • majornono
  • Registratie: Juni 2002
  • Laatst online: 04-04 23:16

majornono

ik wil hetzelfde bereiken, maar eerdere pogingen zijn ook al mislukt

Problem Exists Between Chair And Keyboard

zaterdag 11 oktober 2003 19:25

Acties:
  • Lancer
  • Registratie: Januari 2002
  • Laatst online: 14:49

Lancer

What the......

Eh...., ik begrijp niets van je opstelling. Wordt de slackdoos gebruikt als firewall bij de VPN server of aan de client kant?

Als het de firewall aan de client kant is, dan volstaat 1 masquerading regel
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

als verders nog alle chains op ACCEPT staan, dan kun je VPNnen vanaf 192.168.0.4 naar wherever (aangenomen dat eth0 het internet is, eth0 je interne 192.168.0.* netwerk en de VPN server ergens op het internet staat)

Als de firewall in hetzelfde netwerk is als je VPN dan stel je in:
iptables -t nat -A PREROUTING -i [outside interface] -p tcp -s ! [VPN server network] -d [internet ip] --dport 1723 -j DNAT --to-destination [VPNserver]
iptables -t nat -A PREROUTING -i [outside interface] -p 47 -s ! [VPN server network] -d [internet ip] -j DNAT --to-destination [VPNserver]

Let wel, het is of het een of het ander.

[ Voor 31% gewijzigd door Lancer op 11-10-2003 20:02 . Reden: server toevoegen ]

Je kunt niet in een systeem meten zonder het systeem te beinvloeden.... (gevolg van de Heisenberg onzekerheidsrelatie)

zaterdag 11 oktober 2003 20:17

Acties:
  • geertb
  • Registratie: Juli 2001
  • Laatst online: 16:14

geertb

Topicstarter
Eh...., ik begrijp niets van je opstelling. Wordt de slackdoos gebruikt als firewall bij de VPN server of aan de client kant?
Slackdoos = client kant
Als het de firewall aan de client kant is, dan volstaat 1 masquerading regel
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Hiermee krijg ik toch echt een passwordprobleem.. Waarbij ik 90% zeker weet dat het niet aan het password ligt? :)

zaterdag 11 oktober 2003 21:20

Acties:

Verwijderd

Ik heb een vergelijkbaar probleem gehad. Ik heb het opgelost door alle pakketjes die vanaf de VPN-server kwamen even te loggen. Dan zie (misschien) meteen wat er niet goed gaat.

Ik kan in ieder geval bevestigen dat alleen MASQUERADEn niet genoeg is. Die pakketjes met protocol 47 moeten ook worden doorgestuurd.

Je zei dat je ook deze regel gebruikte:
iptables -A PREROUTING -t nat -p tcp -d 213.93.<ip>.<ip>:1723 -jDNAT --to-destination 192.168.0.4:1723

Ik vraag me af of je die wel nodig hebt. Ik heb poort 1723 gewoon dichtzitten en ik krijg toch een VPN verbinding.

zaterdag 11 oktober 2003 21:26

Acties:
  • geertb
  • Registratie: Juli 2001
  • Laatst online: 16:14

geertb

Topicstarter
Hmm.. vreemd... 1723 is pptp poort... maar ik ga prot 47 nogwel even proberen :)

Iemand de goeie iptables rule om protocol 47 naar 192.168.0.4 te forwarden en alles van 192.168.0.4 over prot 47 naar buiten?
Ik kom er niet goed uit :(

[ Voor 50% gewijzigd door geertb op 11-10-2003 21:31 ]

zaterdag 11 oktober 2003 23:40

Acties:
  • sebas
  • Registratie: April 2000
  • Laatst online: 16-12-2025

sebas

Port 47 wordt afaik niet gebruikt.

Ik vermoed dat de authentificatie bij jou misgaat omdat GRE packets niet doorkomen, die zijn voor mschap(-v2) authentificatie nodig.

Ik heb ze in mijn firewall (van de VPN server) door middel van de volgende regels doorgelaten:
code:
1
2
3
4
5
6
7
8
9
10
11

   iptables --insert OUTPUT 1 \
   --source 0.0.0.0/0.0.0.0 \
   --destination 0.0.0.0/0.0.0.0 \
   --jump ACCEPT --protocol gre \
   --out-interface eth0

   iptables --insert INPUT 1 \
   --source 0.0.0.0/0.0.0.0 \
   --destination 0.0.0.0/0.0.0.0 \
   --jump ACCEPT --protocol gre \
   --in-interface eth0


Je hebt de kernelmodule ip_gre hiervoor nodig. Die GRE packets moet je dan dus ook forwarden.

Voor de rest zou het handig zijn als je even debug in je pptp options toevoegt en ons daarvan (een deel van) de output laat zien.

Everyone complains of his memory, no one of his judgement.

zondag 12 oktober 2003 00:05

Acties:
  • geertb
  • Registratie: Juli 2001
  • Laatst online: 16:14

geertb

Topicstarter
Sebas: Ik draai zelf de VPN server niet. Ik heb dus ook geen pptp options e.d.

zondag 12 oktober 2003 10:11

Acties:
  • Lancer
  • Registratie: Januari 2002
  • Laatst online: 14:49

Lancer

What the......

Verwijderd schreef op 11 October 2003 @ 21:20:
Ik heb een vergelijkbaar probleem gehad. Ik heb het opgelost door alle pakketjes die vanaf de VPN-server kwamen even te loggen. Dan zie (misschien) meteen wat er niet goed gaat.

Ik kan in ieder geval bevestigen dat alleen MASQUERADEn niet genoeg is. Die pakketjes met protocol 47 moeten ook worden doorgestuurd.

Je zei dat je ook deze regel gebruikte:
iptables -A PREROUTING -t nat -p tcp -d 213.93.<ip>.<ip>:1723 -jDNAT --to-destination 192.168.0.4:1723

Ik vraag me af of je die wel nodig hebt. Ik heb poort 1723 gewoon dichtzitten en ik krijg toch een VPN verbinding.
Door geen protocol op te geven bij de MASQUERADE worden alle protocollen doorgezet. Ik weet zeker dat dit werkt, daar deze post over een pptp VPN loopt....

Uh, ik bedenk me opeens iets, wat draait je laptop en wat voor een server is de VPN server. Indien je client ook Linux is en de server W2K+, ga dan eens kijken in je logging. Ik kn me herinneren dat pppd minimaal een optie moet meekrijgen op goed te authenticeren. (zie ook http://pptpclient.sourceforge.net)

[ Voor 17% gewijzigd door Lancer op 12-10-2003 10:16 ]

Je kunt niet in een systeem meten zonder het systeem te beinvloeden.... (gevolg van de Heisenberg onzekerheidsrelatie)

zondag 12 oktober 2003 15:06

Acties:
  • sebas
  • Registratie: April 2000
  • Laatst online: 16-12-2025

sebas

geertb schreef op 12 October 2003 @ 00:05:
Sebas: Ik draai zelf de VPN server niet. Ik heb dus ook geen pptp options e.d.
Heeft niets met de GRE packeten te maken, heb je die nu geforward?

Everyone complains of his memory, no one of his judgement.

zondag 12 oktober 2003 19:28

Acties:
  • geertb
  • Registratie: Juli 2001
  • Laatst online: 16:14

geertb

Topicstarter
Lancer schreef op 12 October 2003 @ 10:11:
[...]


Door geen protocol op te geven bij de MASQUERADE worden alle protocollen doorgezet. Ik weet zeker dat dit werkt, daar deze post over een pptp VPN loopt....

Uh, ik bedenk me opeens iets, wat draait je laptop en wat voor een server is de VPN server. Indien je client ook Linux is en de server W2K+, ga dan eens kijken in je logging. Ik kn me herinneren dat pppd minimaal een optie moet meekrijgen op goed te authenticeren. (zie ook http://pptpclient.sourceforge.net)
Client: Windows 2000
Server: Windows [ik gok ook 2000]

zondag 12 oktober 2003 19:28

Acties:
  • geertb
  • Registratie: Juli 2001
  • Laatst online: 16:14

geertb

Topicstarter
sebas schreef op 12 October 2003 @ 15:06:
[...]


Heeft niets met de GRE packeten te maken, heb je die nu geforward?
Daar ga ik nu naar kijken, even zeker weten dat het password goed is [even inbelaccount opzetten]


Edit: Wachtwoord wordt ook niet geaccepteerd met een inbelverbinding, ofwel morgen het wachtwoord na laten vragen. Ik kom er nog op terug als ik zeker weet dat de VPN goed is, in iedergeval bedankt tot nu toe

[ Voor 28% gewijzigd door geertb op 12-10-2003 19:35 . Reden: Updates nav wachtwoord ]

Pagina: 1
Reageer