Hola a todos, hace desde ayer que necesito conectarme a una VPN externa a mi red sin resultados.
Tengo que conectarme desde alguna máquina hacia un servidor VPN que está fuera de mi red, el otra ciudad.
Yo tengo conexión ADSL con Ip dinámica y enmascaramiento NAT (saliendo por ppp0).
Tengo que habilitar en mis iptables el puerto 1723 y 47 para poder acceder a la VPN.
He tratado de hacer funcionar esto pero sin resultados.
La dirección de la VPN es 190.192.255.80 y la dirección de la máquina que tengo que conectar a esta VPN es la 192.168.1.15
Le adjunto mi iptable para que pueda ver en que me equivoqué.
Muchas gracias
Código:
#!/bin/sh
echo -n Aplicando reglas de firewall
#FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t mangle -F
#politicas por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
#el localhost se deja
iptables -A INPUT -s localhost -i lo -j ACCEPT
#al firewall accedemos desde la red local
iptables -A INPUT -s 192.168.0.0/16 -j ACCEPT
#marcamos paquetes para limitar el uso del ancho de banda
#upload
iptables -t mangle -A FORWARD -s 192.168.3.0/24 -d ! 192.168.0.0/16 -j MARK --set-mark 3
#iptables -t mangle -A FORWARD -s 192.168.3.1 -d ! 192.168.0.0/16 -o ppp0 -j MARK --set-mark 3
#iptables -t mangle -A FORWARD -s 192.168.4.1 -d ! 192.168.0.0/16 -o ppp0 -j MARK --set-mark 3
#iptables -t mangle -A FORWARD -s 192.168.1.7 -d ! 192.168.0.0/16 -o ppp0 -j MARK --set-mark 3
#iptables -t mangle -A FORWARD -s localhost -d ! 192.168.0.0/16 -o ppp0 -j MARK --set-mark 3
#download
iptables -t mangle -A FORWARD -s ! 192.168.0.0/16 -d 192.168.0.0/24 -j MARK --set-mark 4
iptables -t mangle -A FORWARD -s ! 192.168.0.0/16 -d 192.168.3.0/24 -j MARK --set-mark 4
#enmascaramiento de la red local
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
#clamping mss
#iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -o ppp0 --insert FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
#/etc/ppp/ip-up.d/0clampmss
#casos exepcionales y temporales
iptables -A FORWARD -s 192.168.1.4 -d 192.168.0.0/16 -j ACCEPT
iptables -A FORWARD -s 192.168.1.12 -d 192.168.0.0/16 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.1.4 -j ACCEPT
iptables -A FORWARD -s 192.168.3.226 -d 192.168.0.0/16 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.3.226 -j ACCEPT
#para darle accesos a todas partes a la maquina de sistemas
iptables -A FORWARD -s 192.168.1.15 -d 192.168.0.0/16 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.1.15 -j ACCEPT
iptables -A FORWARD -s 192.168.1.9 -j ACCEPT
iptables -A FORWARD -s 192.168.1.4 -j ACCEPT
iptables -A FORWARD -s 192.168.1.12 -j ACCEPT
iptables -A FORWARD -s 192.168.3.5 -j ACCEPT
iptables -A FORWARD -s 192.168.1.15 -j ACCEPT
iptables -A FORWARD -s 192.168.3.226 -j ACCEPT
#cuando viene el auditor
iptables -A FORWARD -s 192.168.1.72 -j ACCEPT
#para aceptar las conexiones del exterior que son repuestas a conexiones nuevas nuestras
iptables -A INPUT -s localhost -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -s localhost -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
#redireccionamos a la pagina web y que vuelva a salir
iptables -A FORWARD -s 192.168.1.6 -i eth1 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.1.6:80
#iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 443 -j DNAT --to 192.168.1.6:443
#lo mismo pero por el tema de camara
#iptables -A FORWARD -s 192.168.3.2 -j ACCEPT
#iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 9876 -j DNAT --to 192.168.3.2:9876
#redireccionamos el correo smtp que vienen desde afuera
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 25 -j DNAT --to 192.168.1.6:25
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 25 -j DNAT --to 192.168.1.6:25
#aceptamos que se dirijan al correo para las otras redes internas
iptables -A FORWARD -s 192.168.3.0/24 -i eth2 -d 192.168.1.6 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.3.0/24 -i eth2 -d 192.168.1.6 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.3.0/24 -i eth2 -d 192.168.1.6 -p tcp --dport 143 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -d 192.168.1.6 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -d 192.168.1.6 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -d 192.168.1.6 -p tcp --dport 143 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.1.6 -p tcp --dport 80 -j ACCEPT
#aceptamos que consulten la libreta de direcciones del LDAP
iptables -A FORWARD -s 192.168.0.2 -i eth0 -d 192.168.1.6 -p tcp --dport 389 -j ACCEPT
##### VPN #################################
#Abrimos el puerto 1723 para la VPN
iptables -A INPUT -i ppp0 -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 47 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p 47 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1723 -j ACCEPT
iptables -A OUTPUT -p 47 -j ACCEPT
iptables -A FORWARD -i ppp0 -s 190.xx.xx.xx-p tcp --dport 1723 -j ACCEPT
iptables -A FORWARD -i ppp0 -s 190.xx.xx.xx -p 47 -j ACCEPT
#iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 1723 -j DNAT --to 190.xx.xx.xx:1723
#iptables -t nat -A PREROUTING -i ppp0 -p 47 -j DNAT --to 190.xx.xx.xx
#iptables -A FORWARD -p tcp --dport 1723 -m state --state NEW -i eth2 -j ACCEPT
#iptables -A FORWARD -p 47 -m state --state NEW -i eth2 -j ACCEPT
#iptables -A INPUT -s 0.0.0.0/0 -p 47 -i ppp0 -j ACCEPT
#iptables -A OUTPUT -s 0.0.0.0/0 -p 47 -i eth2 -j ACCEPT
#iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 47 -j DNAT --to 192.168.1.72:47
#iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 47 -j DNAT --to 192.168.1.72:47
#Aceptamos el aacceso a la VPN al puerto 1723
#iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 1723 -j ACCEPT
#iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p udp --dport 1723 -j ACCEPT
#iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 47 -j ACCEPT
#iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p udp --dport 47 -j ACCEPT
#iptables -A INPUT -s 190.xx.xx.xx -p tcp --dport 1723 -j ACCEPT
#iptables -A INPUT -s 190.xx.xx.xx -p tcp --dport 47 -j ACCEPT
#iptables -A FORWARD -s 192.168.1.15 -d 190.xx.xx.xx -p tcp --dport 1723 -j ACCEPT
#iptables -A FORWARD -s 192.168.1.15 -d 190.xx.xx.xx -p udp --dport 1723 -j ACCEPT
#iptables -A FORWARD -s 192.168.1.15 -d 190.xx.xx.xx -p tcp --dport 47 -j ACCEPT
#iptables -A FORWARD -s 192.168.1.15 -d 190.xx.xx.xx -p udp --dport 47 -j ACCEPT
#iptables -A OUTPUT -p tcp --dport 1723 -j ACCEPT
#iptables -A OUTPUT -p tcp --dport 47 -j ACCEPT
#aceptamos que usen FTP pasivo
iptables -A FORWARD -s 192.168.0.0/16 -p tcp --dport 20:21 -j ACCEPT
#iptables -A FORWARD -s 192.168.0.0/16 -p tcp --sport 21 --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A FORWARD -s 192.168.0.0/16 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
#denegamos el resto
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -j DROP
iptables -A FORWARD -s 192.168.3.0/24 -i eth2 -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -j DROP
iptables -A FORWARD -i eth0 -j DROP
#cerramos el acceso del exterior
iptables -A INPUT -i ppp0 -p tcp --dport 22 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 22 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 111 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 111 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 113 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 113 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 995 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 995 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 445 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 445 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 137 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 137 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 139 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 139 -j DROP
#Rute a la maquina al Labs.
route add -net 192.168.0.0/24 gateway 192.168.4.2 dev eth0
Estube probando con varias configuraciones posibles, pero ninguna hasta ahora me ha dado resultado. Hay líneas comentadas y otras no, necesito saber cual puede ser lo mejor como para obtener el resultado deseado.
Muchas gracias