Buenas!

Tengo un problema con el puerto GRE, no se si a alguien más le pasa!

Mi problema es el siguiente;

Tengo 2 servidor centos 5.3 con pptpd activado para que los clientes de windows que estan en una oficina puedan hacer VPN hacia la otra y al reves, mi sorpresa es que cuando la oficina 1 se conecta hacia la oficina 2 funciona perfectamente pero de la oficina 2 hacia la oficina 1 no puede conectar, se queda en la validación del usuario " protocolo GRE "

Si reinicio los dos servidores, desde la oficina 2 puede conectar hacia la oficina 1 pero entonces la oficina 1 no puede conectar hacia la oficina 2. No se que más mirar, me he repasado todo el manual de iptables y la verdad es que no hay manera, todo lo demas esta perfecto pero necesito que funcione. Se que existe openvpn pero quiero montar el pptpd ya que los clientes que se conectan se conetan de sus casas también y todos utilizan el dichoso windows y no quieren canviar-lo!

Alguna idea o ejemplo de iptables que funcione las VPN de windows???

Gracias por adelantado!

veo que das por echo que es el iptables el que bloquea la conecion supongo que lo habras hechado abajo y todo funciona bien, si es asi modifica las reglas del iptables pon reglas mas permisivsa y luego ve escalando en restricicones.

de todos modos si colocases el scipt de iptables seria algo mejor para no hablar en abstracto

muchisimazs gracias por tu pronta respuesta!

La prueba que he realizado es dejar mi firewall con las funciones basicas y todo en ACCEPT ( input, output, fordware ) y nada de nada, estoy seguro de que es el IPTABLES ya que desde los servidores puedo conectar sin problema pero todo lo que hay detrás del firewall hace lo que ya he comentado, estoy seguro que es algo del GRE ya que cuando se valida el usuario y contraseña es cuando falla, se queda un rato pensando y luego te da error. he hecho las pruebas con mi router sin pasar por iptables y todo funciona perfectamente así que descarto configuración del pptpd ni de los servidores, solo queda ver que es lo que pasa con iptables, si tienes algún ejemplo que sepas que esto funciona bien me lo podrías editar??

Gracias y espero tu respuesta!

si pusustes todo acept y aun no te puedes conectar, pues no es el iptables. de todos modos yo lo echaria a bajo lo mataria por un rato para comprobar si esto es asi pues siempre queda una linea haciendo de las sullas...
ahora que si una vez muerto el iptable todo funciona bien pues es el iptables, cosa que descarto por lo que comentas.

se me hace que es un problema de configuracion del softtware que usas para virtualizar o bien de protocolos tci/ip
igual si no copias el script del iptables para que lo podamos ver no te puedo decir mucho mas

salute

he estado haciendo más pruebas, he anulado el servicio de pptpd de los 2 servidores, he levantado servicio de VPN en 2 servidores windows, uno en cada oficina y he hecho un PREROUTING hacia esos servidores, el efecto es el mismo que lo que ya he explicado anteriormente, si te conectas hacia la oficina 2 desde la 1 la oficina 2 no se puede conectar hacia la oficina 1 aunque haya cortado y apagado el servidor para que nada quede activo en la vpn, es algo de que GRE solo acepta una única ip de entrada y salida, a la que pones la segunda ip de entrada o salida ya no te la deja pasar, del software no se que puede estar causando si ahora en los servidores Linux ya no lo tengo activado....

Tienes algún ejemplo de firewall con iptables y que te funcionen las conexiones vpn?? aria la prueba!

Por cierto, utilizo centos 5.3 pero lo he probado con fedora y con debian y lo mismo.... algo de las iptables que no deja pasar más de 1 ip

Mas datos

Si desde la oficina 1 intento conectar 2 PC hacia la oficina 2, solo 1 PC es el que se conecta, el segundo pc tiene también el mismo síntoma " comprobando usuario y contraseña " algo del Forwdare GRE....

Llevo muchos meses batallando contra esto pero no hay manera!! espero encontrar soluciones, si podéis hacer la prueba y a vosotros no os pasa explicarme como lo hacéis please!!!! gracias!

pon el script de tu FW para darle una analizada .-

Aqui os dejo mi firewall sin redirecciones para hacerlo más sencillo

-------------------------------------
# Inicio vaciando las reglas
#modprobe ip_tables
#modprobe ip_nat_ftp
#modprobe ip_conntrack_ftp

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z

INTIF="eth1" #Red Local - Puerta enlace de los equipos
EXTIF="eth0" #Internet

iptables -t nat -I POSTROUTING -o $EXTIF -s 10.10.11.0/24 -j MASQUERADE

## Establecemos politica por defecto
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

# Aceptacion de conexiones prestablecidas
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A PREROUTING -p gre -i $EXTIF -j DNAT --to 10.10.11.99
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -i $INTIF -p gre -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT
iptables -A OUTPUT -p gre -j ACCEPT
#iptables -A FORWARD -p tcp --dport 1723 -j ACCEPT
#iptables -A FORWARD -p gre -j ACCEPT
iptables -A FORWARD -p tcp -i $INTIF -m multiport --dport 1723 -j ACCEPT
iptables -A FORWARD -p tcp -i $INTIF -m multiport --sport 1723 -j ACCEPT
iptables -A FORWARD -p udp -i $INTIF -m multiport --dport 1723 -j ACCEPT
iptables -A FORWARD -p udp -i $INTIF -m multiport --sport 1723 -j ACCEPT
iptables -A FORWARD -p gre -i $INTIF -j ACCEPT

.....................................................

el pptpd ya me funciona perfectamente, la prueba también la he hecho conservidores basados en windows y tengo el mismo problema así que de momento descarto el pptpd y las pruebas las are con servidores windows ok? para simplificar mi problema!

Espero vuestra respuesta!

Hola que tal te fue con este problema por que tambien tengo el mismo problemas y he hecho los mismo que has hecho. Y tambien creo que es el iptables, si tu viste la respuesta escribela. Saludos

Editado -- Lun Abr 12, 2010 11:54 pm --



El problema es que faltaba abrir el puerto 500 del protocolo 17(isakamp) reglas para un firewall DROP
# Aceptamos que vayan a puertos VPN PPTP
iptables -A FORWARD -s $LAN -i eth0 -o eth1 -d $IPSERVER1VPN -p tcp --dport 1723 -j ACCEPT
iptables -A FORWARD -s $IPSERVER1VPN -i eth1 -o eth0 -d $LAN -p tcp --sport 1723 -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1 -p gre -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p gre -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -i eth0 -o eth1 -p 17 -m state --state NEW,ESTABLISHED,RELATED --dport 500 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p 17 -m state --state ESTABLISHED,RELATED --sport 500 -j ACCEPT

Hola, soy nuevo en esto de Linux (Debian), estoy tratando de configurar mi iptables para que mi servidor brinde servicio solamente por el tiempo que yo quiera, por ejemplo, quisiera que brindara servicio solamente de lunes a viernes en el horario de 8:00 am a 17:00 pm, ya he intentado poniendo algo cmo esto:
-m time --timestart 8:00:00 --timestop 17:00:00
la cuestion es que no se si esto trabaja asi, y lo otro es que me dice que '-m' no es un comando...
Si alguien me puede dar algun consejo o la solucion a esto se lo agradeceria...