gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
VPN através de firewall Linux
Contribuído por BladeRunner em 29-04-03 7:52
do departamento maria-responde
Linux Anónimo Cobarde escreve "Viva,
Tenho em casa uma gateway linux com IP público da Netvisão a distribuir rede para duas máquinas Windows com IPs privados. Precisava de aceder à VPN do meu trabalho a partir das máquinas Windows.
A porta é a 1723.
O protocolo é o 47.
Como é que eu posso fazer isso ?
Estou a usar o Linux Router Project com ipchains, mas parece-me que não dá para o que quero.
É preciso um kernel com suporte a PPTP ? Como é que isso se faz ?
Se possível, podiam ser o mais descritivos possível ?
Eu juro que já li os FM todos anter de perguntar aqui.
Obrigado."

A medição das audiências da Internet | It's a Cycle of Life Thing: Managing Linux Release  >

 

gildot Login
Login:

Password:

Referências
  • Linux
  • Mais acerca Linux
  • Também por BladeRunner
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Mais info please! (Pontos:1)
    por celiorod em 29-04-03 10:28 GMT (#1)
    (Utilizador Info)
    Qual o tipo de encriptação usada na VPN? DES,IKE, PPTP..?
    Qual a firewall que está do outro lado? ISA,Checkpoint,PIX,LINUX(preferencia Crescente :).

    C.


    Re:Mais info please! (Pontos:1)
    por Zé das VPNs em 29-04-03 11:01 GMT (#4)
    (Utilizador Info)
    A encriptação é PPTP.
    A firewall à frente da VPN é Linux.
    Re:Mais info please! (Pontos:1)
    por celiorod em 29-04-03 11:09 GMT (#5)
    (Utilizador Info)
    Presumo que do lado da VPN esteja tudo ok, e que até há quem se ligue para lá a partir da internet, a ser assim temos um lado testado e garantido triplamente.
    Se o teu gateway estiver a permitir que todo o trafego da rede interna possa sair para a internet então não deves ter problema, já configuras-te a ligação PPTP numa máquina interna? que aconteceu? os logs do gateway? aparece alguma coisa?

    Hasta.
    C.
    Re:Mais info please! (Pontos:1)
    por Zé das VPNs em 29-04-03 11:13 GMT (#7)
    (Utilizador Info)
    Sim, do lado da VPN está tudo ok.
    O que eu quero é permitir que as máquinas windows da minha casa com IPs privados lhe acedam através da minha gateway que tem um IP público.
    Neste momento não estou a conseguir :-(

    Nop, não configurei a minha gateway com PPTP.
    Era isso que eu queria perguntar se é obrigatório e se o resto é só IPtables normal. Ou se é outra coisa.
    O PPTP é um patch para o kernel, não é ?
    Re:Mais info please! (Pontos:1)
    por floWS em 29-04-03 11:26 GMT (#9)
    (Utilizador Info)
    Epa sinceramente. google it.
    nas 10 primeiras respostas tens o:

    poptop

    PoPToP is the PPTP server solution for Linux (ports exist for Solaris 2.6, OpenBSD and FreeBSD and others). Before PoPToP no solution existed if you wished to include Linux servers in PPTP established VPNs. PoPToP resolved that problem by allowing Linux servers to function seamlessly in the PPTP VPN environment. This enables administrators to leverage the considerable benefits of both Microsoft and Linux. The current release version supports Windows 95/98/NT/2000 PPTP clients and PPTP Linux clients. PoPToP is free GNU software.

    E ainda:
    pptpclient
    PPTP Client is a Linux, FreeBSD and NetBSD client for the proprietary Microsoft Point-to-Point Tunneling Protocol, PPTP. Allows connection to a PPTP based Virtual Private Network (VPN) as used by employers and some cable and ADSL internet service providers. Getting Started So you'd like to run a PPTP tunnel from your Linux, FreeBSD or NetBSD system? Need to connect to your employer's VPN? Just got ADSL? We suggest that you; find documentation on our site that matches your system, download and install the software according to the instructions, refer to our Diagnosis HOWTO if you experience problems, join our mailing list and ask for help, and contribute to the project by helping us to improve the documentation or software.

    gostava mesmo de saber que raio de FMs é que leste.

    Cumps,
    floWS


    Re:Mais info please! (Pontos:1)
    por Zé das VPNs em 29-04-03 11:34 GMT (#11)
    (Utilizador Info)
    "PPTP Client"
    Não dá para clientes Windows...
    Re:Mais info please! (Pontos:1)
    por celiorod em 29-04-03 11:27 GMT (#10)
    (Utilizador Info)
    OK, então é assim.
    Pela minha experiencia com PPTP não tens de configurar nada de especial do lado do gateway, este tem apenas de fazer nat(suponho que já faça) e permitir a passagem do trafego na porta que especificaste, com o PPTP costuma ser simples.

    Abraço,
    C.
    Re:Mais info please! (Pontos:1)
    por GalegoPetroleado em 29-04-03 13:04 GMT (#15)
    (Utilizador Info)
    Se as tuas máquinas Windows podem aceder à Internet, não deverias ter nenhum problema para estabelecer a VPN.

    Só precisas utilizar o cliente de VPN de Microsoft que vem com o Windows. Não precisas instalar PPTP nem tocar o kernel do gateway Linux, só certificar que ele encaminha o trânsito GRE (protocolo 47).

    Nunca Mais!
    Re:Mais info please! (Pontos:1)
    por Zé das VPNs em 29-04-03 13:07 GMT (#16)
    (Utilizador Info)
    "só certificar que ele encaminha o trânsito GRE (protocolo 47)."
    E como é que isso se faz ? Desculpa a pergunta.
    Re:Mais info please! (Pontos:1)
    por GalegoPetroleado em 29-04-03 13:37 GMT (#18)
    (Utilizador Info)

    Pois se podes utilizar sem problemas um navegador web para aceder a Internet desde as máquinas Windows e não tens nenhuma outra restrição no gateway, tudo deveria ir bem.

    Para mais detalhes comprova a saída do comando 'iptables -L FORWARD'.


    Nunca Mais!
    Re:Mais info please! (Pontos:2)
    por MavicX em 29-04-03 13:30 GMT (#17)
    (Utilizador Info) http://www.startux.org
    Não é bem assim.

    Alguma distros trazem já o pptp patch instalado. Mas acho que ainda não vem no vanila. Por isso pode dar de raiz ou não, depende da distro.


    Pedro Esteves

    Re:Mais info please! (Pontos:1)
    por GalegoPetroleado em 29-04-03 13:40 GMT (#19)
    (Utilizador Info)

    Sim, mas se eu percebi bem, a máquina Linux só encaminha o trânsito VPN, não faz parte da VPN. É um simples router, não precisa nenhum software específico de PPTP.


    Nunca Mais!
    Re:Mais info please! (Pontos:2)
    por MavicX em 29-04-03 14:05 GMT (#20)
    (Utilizador Info) http://www.startux.org
    Precisa porque não é um router :-)

    os ip's do windows são privados e não publicos. Ou seja o linux tem de fazer o NAT dos pacotes de VPN.

    Caso ele só tive-se um cliente ainda se podia meter numa DMZ ou fazer um forward simples. Mas assim com 2 ou + clientes tem de fazer o NAT.

    Pedro Esteves

    Re:Mais info please! (Pontos:1)
    por GalegoPetroleado em 29-04-03 14:12 GMT (#21)
    (Utilizador Info)

    Bem, é um router com NAT ;-)

    Mas isso não quer dizer que o Linux precise saber nada de PPTP. Eu já fiz alguma VPN com PPTP e nunca precisei de nenhum patch específico na máquina Linux que fazia o NAT.


    Nunca Mais!
    Re:Mais info please! (Pontos:1)
    por Zé das VPNs em 29-04-03 14:31 GMT (#23)
    (Utilizador Info)
    Então como é que fizeste :-) ?
    Re:Mais info please! (Pontos:2)
    por MavicX em 29-04-03 14:37 GMT (#24)
    (Utilizador Info) http://www.startux.org
    Pois mas eu tambem já fiz um VPN gateway e precisei do patch.

    É como eu já disse atrás. Algumas distros já trazem o suporte PPTP incluido (ou seja já aplicaram elas o patch). Isso depende da distribuição que usares.

    Pedro Esteves

    Re:Mais info please! (Pontos:1)
    por GalegoPetroleado em 29-04-03 14:51 GMT (#26)
    (Utilizador Info)

    Não, era um kernel vanilla. Tb o fiz em situações onde quem fazia o NAT não era uma máquina Linux, senão o router do ISP (router com NAT, sim :-)), e penso que também não tive problemas :-?


    Nunca Mais!
    Re:Mais info please! (Pontos:2)
    por MavicX em 29-04-03 15:26 GMT (#28)
    (Utilizador Info) http://www.startux.org
    Tinhas quantos clientes a fazer VPN através do gateway ?

    Aposto que só um.

    Pedro Esteves

    Re:Mais info please! (Pontos:1)
    por GalegoPetroleado em 29-04-03 15:57 GMT (#29)
    (Utilizador Info)

    Bem, eu sabia da limitação dos servidores de PPTP de não poderem ter 2 ou mais clientes com a mesma IP, mas estou a ver que existe uma coisa chamada channel id da qual não ouvira falar :-) e parece que resolve o problema. Parece que o patch soluciona isso, e suponho que é disso do que estavas a falar, não é?.

    Mas em qualquer caso, penso que ele não pode aceder à VPN com nenhum dos dois PCs Windows, então parece que de momento o problema não está aí :-?


    Nunca Mais!
    One Word. (Pontos:2)
    por leitao em 29-04-03 10:40 GMT (#2)
    (Utilizador Info) http://scaletrix.com/nuno/
    IPSEC Pass Through.


    "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information

    Re:One Word. (Pontos:2, Engraçado)
    por Anonimus Cobardis em 29-04-03 12:23 GMT (#14)
    (Utilizador Info)
    Isso são três palavras.


    --
    (c) Anónimo Cobarde, 1999-2002
    Re:One Word. (Pontos:2)
    por Pink em 29-04-03 20:30 GMT (#31)
    (Utilizador Info) http://www.PinksWorld.8m.com
    Fixed : "IPSEC Pass Through."

    8-)

    []s,
    Pink@Manaus.Amazon.Brazil.America.Earth.SolarSystem.OrionArm.MilkyWay.Universe

    spammer (Pontos:1)
    por floWS em 29-04-03 10:53 GMT (#3)
    (Utilizador Info)
    este cobarde anonimo tambem postou "copy paste" no startux.
    quanto a ter lido os FM todos, sinceramente...
    se foi capaz de postar no startux tambem podia ter feito um search e lido algumas das respostas as outras perguntas. pela pergunta aposto que nao o fez.
    enfim...

    Cumps, floWS


    Re:spammer (Pontos:1)
    por Zé das VPNs em 29-04-03 11:14 GMT (#8)
    (Utilizador Info)
    Eu fiz o search no startux, mas nenhum dos artigos sobre VPNs prefigurava a minha situação, pelo que não me valeu de nada :-(
    PPTP+Linux (Pontos:1)
    por kossak em 29-04-03 11:12 GMT (#6)
    (Utilizador Info)
    Essencialmente tens que abrir uma regra para permitir incoming connections (TCP) para a porta do PPTP (1723), e ao mesmo tempo instalar o modulo iptable_nat com suporte para tuneis GRE. Agora a duvida é se os tuneis funcionarao bem no sentido inverso do que é normal.

    Mas eu se fosse a ti fazia como as pessoas normais ;) e instalava o poptop (www.poptop.org) no linux a fazer de servidor PPTP na gateway.
    Quer dizer.... (Pontos:1)
    por Zé das VPNs em 29-04-03 11:54 GMT (#12)
    (Utilizador Info)
    ... pelo que vejo aqui, basta-me compilar um vanilla kernel patchado para suportar PPTP e usar IPTables normalmente. É isso ?
    Re:Quer dizer.... (Pontos:1)
    por Zé das VPNs em 29-04-03 12:03 GMT (#13)
    (Utilizador Info)
    O desenho é este:
    Windows 1 --> 192.168.0.2
                                                 -> routerlinux (eth0 público, eth1 192.168.0.1) --> VPN
    Windows --> 2 192.168.0.3

    Re:Quer dizer.... (Pontos:2)
    por pmsac em 29-04-03 14:23 GMT (#22)
    (Utilizador Info) http://2130706433/
    Dá uma olhada nisto.
    -- pmsac.oO(Cogito sumere potum alterum)
    Re:Quer dizer.... (Pontos:1)
    por GalegoPetroleado em 29-04-03 14:43 GMT (#25)
    (Utilizador Info)

    Pois eu nunca precisei desse patch para aceder a uma VPN PPTP numa situação parecida à dele :-?

    Nem sabia da existência desse patch... por que é necessário?


    Nunca Mais!
    Re:Quer dizer.... (Pontos:2)
    por pmsac em 29-04-03 15:25 GMT (#27)
    (Utilizador Info) http://2130706433/
    Isto não responde exactamente à tua pergunta, mas penso que andará lá perto... uma discussão do funcionamento do pptp, tendo como base o velhinho "masquerading".
    -- pmsac.oO(Cogito sumere potum alterum)
    Re:Quer dizer.... (Pontos:1)
    por GalegoPetroleado em 29-04-03 16:37 GMT (#30)
    (Utilizador Info)

    Pois a informação desse site é mais do que suficiente. Muito obrigado! :-)


    Nunca Mais!

     

     

    [ Topo | Sugerir artigo | Artigos anteriores | Sondagens passadas | FAQ | Editores | Preferências | Contacto ]