Peter Parker escribió:
Que tal gente, les hago una consulta:
tengo montado un servidor de vpn usando openvpn en un windows2000 server. Desde
la LAN anda 10 puntos, me puedo conectar desde clientes windows o linux
indistintamente sin ningun problema.
Ahora lo que quiero hacer es poder conectarme desde afuera (que es en realidad
el objetivo de la instalacion). Para salir a internet tengo un firewall con
debian lenny muy simple. Es decir:
OPENVPN (win2k: 10.0.0.5) -----> FIREWALL (10.0.0.1: lenny :ppp0) ------>
INTERNET
Cargo en el firewall de debian las lineas:
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
Tenes que darle FORWARD, no INPUT. Tambien verifica que estes usando udp
en la configuración de OPENVPN (de ams esta decir el puerto)
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 1194 -j DNAT
--to-destination 10.0.0.5:1194
(eh probado tambien indicando la placa de red en el INPUT, y tambien con "--to 10.0.0.5"
en lugar de usar "--to-destination" luego del DNAT)
El firewall tiene dos placas de red: una para la LAN y otra para internet.
En algo le estoy errando porque no me funciona. Probe tambien de hacer lo mismo
con el puerto 80, redirigiendo el trafico desde internet al puerto 80 hacia el
server web del win2000 para ver si era cuestion de la configuracion del
openvpn, pero tamcopo me funciona.
Las reglas las veo cargadas cuando hago:
# iptables -L
# iptables -t nat -L
Tambien tengo el ip_forwarding habilitado (esta en 1 el archivo
/proc/sys/net/ipv4/ip_forward).
Ves, aca permitis el reenvio de paquetes, pero los filtras en iptables.
Si hago un tcpdump para ver el trafico en el firewall, veo las conexiones que
llegan al 1194 desde internet redirigidas al windows2000, pero me dan TIME OUT
los intentos de conexiones ya sea al openvpn o las server web interno.
Hace un tcpdump en la interfaz de salida. Seguramente veras que los
paquetes no salen.
Me debo estar olvidando de hacer algo.
Sugerencias??
reemplaza la regla
iptables -A INPUT -p udp --dport 1194 -j ACCEPT
por
iptables -A FORWAD -p udp --dport 1194 -j ACCEPT
Muchas gracias de antemano.
Esperemos que funque. Chifla cualquier cosa
Un abrazo
--
Sebastian A. Dominguez
Imagen de Seba
http://odiolasllaves.com.ar
_______________________________________________
Lugro mailing list
[email protected]
http://lugro.org.ar/mailman/listinfo/lugro
