VPN через прокси-сервер

[SlayerBon]

Привет всем.

В линуксе я новичок не давно начал сним работать, как и в iptables (iptables изучаю по методах, по ходу дела, потому что так ничего не понятно).
Может и есть такая тема но я не нашол или не понял.

В чем сам вопрос!!!

Есть сервер с UBUNTU SERVER 10.04 + SQUID 2.7stable9
Две сетевые:
eth0 (интернет)- получаю интернет по DHCP (проводной от КИЕВСТАР (без VPN)), никакого роутера нет, просто кабель в сервер в эту сетевую.
eth1 (локалка) - 192.168.0.1 - дальше в камутатор (свич)

в "/etc/network/interfaces" прописано:
 
 

(Нажмите, чтобы показать/скрыть)

# The loopback network interface
auto lo
iface lo inet loopback
       pre-up iptables-restore < /etc/iptables.up.rules
# The primary network interface
auto eth0
iface eth0 inet DHCP
       
auto eth1
iface eth1 inet static
        address 192.168.0.1
        netmask 255.255.255.0
        network 192.168.0.0
        brodcast 192.168.0.255

в "squid.conf" прописано:
             

(Нажмите, чтобы показать/скрыть)

Access control
acl all src all

acl localnet src 192.168.0.0/24 #rfc1918 posible internal network

acl purge method purge 


http_access deny to_localhost

http_access allow localnet
http_access allow localhost

http_access deny all

   Network options
http_port 192.168.0.1:3128 transparent

   memory options
cache_mem 128mb
 maximum_object_size_in_memory 8kb

disk  cache options
cache_dir ufs /var/spool/squid  100 16 256
maximum_object_size 50000kb

На всех локальных машинах интернет есть и работает без проблем.

Но мне еще нужно (на прямую без прокси-сервера работает, если подключить интернет к одной машине)
чтоб на некоторых компах из локалки можно было подключатся к удаленному серверу по VPN, тоесть:
  на локальном компе сделано и настроино подклучение по VPN-каналу (минипорт WAN(PPTP)),
  сервер к которому нужно подключится находится в другом городе, если кто знает, используется "NO-IP". 

Что нужно сделать мне для этого, чтоб из локального подключится через сервер по VPN?
 Помогите.

[rayanAyar]

Включить форвардинг. Запретить форвардинг всего кроме GRE-пакетов для PPTP.

P.S.
Точно надо именно PPTP? Например OpenVPN может через проксик работать.

P.P.S.
Точно надо со всех компов подключаться? Может настроить подключение к нужному PPTP-серверу на данном шлюзе?

[SlayerBon]

Нужно для 2-х компов + иногда еще и 3-и.

Забыл написать:
cat /proc/sys/net/ipv4/ip_worward

В etc/sysctl.conf --- раскоментировано “net.ipv4.conf.default.forwarding=1”

Еще:

(Нажмите, чтобы показать/скрыть)

iptables –t filter -A FORWARD -p tcp -s --dport 25 -j ACCEPT
iptables –t filter -A FORWARD -p tcp -s --dport 110 -j ACCEPT
iptables –t filter -A FORWARD -p tcp -s --dport 2500 -j ACCEPT
iptables –t filter -A FORWARD -p tcp -s --sport 25 -j ACCEPT
iptables –t filter -A FORWARD -p tcp -s --sport 25 -j ACCEPT
iptables –t filter -A FORWARD -p tcp -s --sport 25 -j ACCEPT

iptables –t filter -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

LOCALNET=192.168.0.0/24

iptables -A FORWARD -p tcp -s $LOCALNET -d mail.maselko.com.ua --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s $LOCALNET -d mail.maselko.com.ua --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp -s $LOCALNET -d mail.maselko.com.ua --dport 2500 -j ACCEPT
iptables -A FORWARD -p tcp -s mail.maselko.com.ua -d $LOCALNET --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s mail.maselko.com.ua -d $LOCALNET --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp -s mail.maselko.com.ua -d $LOCALNET --sport 2500 -j ACCEPT

iptables -t nat -A POSTROUTING -p tcp -s $LOCALNET --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s $LOCALNET --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp -s $LOCALNET --dport 2500 -j MASQUERADE

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.1:3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.1:3128
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j REDIRECT --to-ports 3128

и все это записано в "iptables-save > /etc/iptables.up.rules"
Пользователь решил продолжить мысль 20 Мая 2013, 17:30:40:

P.S.
Точно надо именно PPTP? Например OpenVPN может через проксик работать.

P.P.S.
Точно надо со всех компов подключаться? Может настроить подключение к нужному PPTP-серверу на данном шлюзе?

Установить OpenVPN на сервере и настроить подключение к удаленному VPN-серверу и дать разрешение локальным машинам?

[ArcFi]

Код: [Выделить]

sysctl net.ipv4.ip_forward
sudo iptables-save

[SlayerBon]

sysctl net.ipv4.ip_forward
sudo iptables-save

Это я смогу только завтра показать (в другом городе сервер который нужно настроить)

[SlayerBon]

Всем привет.

Извените меня. Отложилась эта праблема, как и эта тема.
Сейчас опят поднят вопрос в решении этой проблемы.
Пробывал кое чего сделать но не помогло.

Повторю суть проблемы:
 Нужно из локалки через сервер (Ubuntu Server 10.04) подключится к VPN-серверу
по схеме
ЛОКАЛКА-------> UBUNTU SERVER--------->INTERNET--------> VPN-server

В локалке все компьютеры с Windowsом.
Может подключится только один клиент, второй, третий и т.д. уже неможет, так как ошибка 806 vpn - на счет прохождения GRE-пакетов.
И в том чесле если клиент подключился, он работает в УДАЛЕННОМ РАБОЧЕМ СТОЛЕ, то в бруазере интернет пропадает и почтовые клиенты не могут принят почту(нет соединения).


Навожу конфиги

1.SQUID - (прозрачный)настроен, работает

2.СЕТЬ:
   eth0 (интернет)- получаю интернет по DHCP,  никакого роутера нет, просто кабель в сервер в эту сетевую
   eth1 (локалка) - 192.168.0.1 - дальше в комутатор (свич)на розвилку компьютерам

3. в "/etc/network/interfaces" прописано:

(Нажмите, чтобы показать/скрыть)

# The loopback network interface
       auto lo
       iface lo inet loopback
       pre-up iptables-restore < /etc/iptables.up.rules
     # The primary network interface
       auto eth0
       iface eth0 inet DHCP
       
        auto eth1
        iface eth1 inet static
             address 192.168.0.1
             netmask 255.255.255.0
             network 192.168.0.0
             brodcast 192.168.0.255

4.etc/iptables.up.rules

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Thu Jun  6 11:52:45 2013
*nat
:PREROUTING ACCEPT [1910:118966]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [499:30176]
-A PREROUTING -i eth1 -p udp -m udp --dport 53 -j DNAT --to-destination 193.41.60.8
-A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp --dport 39556 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE

COMMIT
# Completed on Thu Jun  6 11:52:45 2013
# Generated by iptables-save v1.4.4 on Thu Jun  6 11:52:45 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [100360:70025517]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -j DROP


-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
#-A FORWARD -s 192.168.0.0/24 -i eth1 -m conntrack --ctstate NEW -j ACCEPT
# DNS
-A FORWARD -s 192.168.0.0/24 -d 193.41.60.8 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 193.41.60.8 -j ACCEPT


-A FORWARD -s 192.168.0.0/24 -d pop3.yandex.ru -p tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d smtp.yandex.ru -p tcp --dport 465 -j ACCEPT


# VPN
-A FORWARD -s 192.168.0.0/24 -d no-ip.org -p gre -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d no-ip.org -p tcp --dport 1723 -j ACCEPT


-A FORWARD -j DROP
COMMIT

5. rc.local

(Нажмите, чтобы показать/скрыть)

#!/bin/sh -e
#
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

iptables -t filter -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
LOCALNET=192.168.0.0/24


pon vpn
/etc/vpn-firewall.sh
ip#tables -F
ip#tables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
ip#tables -A FORWARD -i eth0 -o eth0 -j REJECT
ip#tables -I FORWARD -p tcp --tcp-flags SYN, RST SYN -j TCPMSS --clamp-mms-to-pmtu

exit 0

6.В etc/sysctl.conf --- раскоментировано “net.ipv4.conf.default.forwarding=1”

7. iptables-save - показать не могу сейчас. Так как удаленное управление еще не настроил.

8. Есть еще такой файл -vpn-firewall.sh (не помню из какой дириктории)

(Нажмите, чтобы показать/скрыть)

#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
iptables -flush
iptables -delete-chain
iptables -table nat -flush
iptables -table nat -delete-chain
iptables -P FORWARD ACCEPT
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -table nat -append POSTROUTING -out-interface eth0 -j MASQUERADE
echo vpn firewall loaded OK.

Помогите плиз..........

Может чето упустил, или не так или не туда вписал.

Никак не могу этот IPTABLES изучить.


 

[SlayerBon]

Вот мой
iptables-save:

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Tue Apr 21 17:01:04 2015
*mangle
:PREROUTING ACCEPT [63448:49260201]
:INPUT ACCEPT [43592:33575341]
:FORWARD ACCEPT [19416:15660102]
:OUTPUT ACCEPT [46992:33367687]
:POSTROUTING ACCEPT [66575:49055278]
COMMIT
# Completed on Tue Apr 21 17:01:04 2015
# Generated by iptables-save v1.4.4 on Tue Apr 21 17:01:04 2015
*filter
:INPUT ACCEPT [76:7086]
:FORWARD ACCEPT [94:8233]
:OUTPUT ACCEPT [1390:323978]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 3128 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -p tcp -m tcp --dport 3128 -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 193.41.60.8/32 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 193.41.60.8/32 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 93.158.134.37/32 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 213.180.193.37/32 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 213.180.204.37/32 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 77.88.21.37/32 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 87.250.251.37/32 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 87.250.250.38/32 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 93.158.134.38/32 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 213.180.193.38/32 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 213.180.204.38/32 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 77.88.21.38/32 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 95.133.97.85/32 -p gre -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 95.133.97.85/32 -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 95.133.97.85/32 -p gre -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 95.133.97.85/32 -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 77.88.21.37/32 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 87.250.251.37/32 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 93.158.134.37/32 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 213.180.193.37/32 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 213.180.204.37/32 -p tcp -m tcp --dport 995 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 93.158.134.38/32 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 213.180.193.38/32 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 213.180.204.38/32 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 77.88.21.38/32 -p tcp -m tcp --dport 465 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -d 87.250.250.38/32 -p tcp -m tcp --dport 465 -j ACCEPT
-A OUTPUT -p gre -j ACCEPT
COMMIT
# Completed on Tue Apr 21 17:01:04 2015
# Generated by iptables-save v1.4.4 on Tue Apr 21 17:01:04 2015
*nat
:PREROUTING ACCEPT [96:7206]
:POSTROUTING ACCEPT [2:334]
:OUTPUT ACCEPT [80:5235]
-A PREROUTING -i eth1 -p udp -m udp --dport 53 -j DNAT --to-destination 193.41.60.8
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 39556 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue Apr 21 17:01:04 2015

[SlayerBon]

Помогите плиззззззззз!!!


Может мне сделать так:
1. Сброшу опять все правила
     iptables -F
     iptables -X
     iptables -t nat -F
     iptables -t nat -X
     iptables -t mangle -F
     iptables -t mangle -X 
 
   2. Удалю файл  iptables.up.rules  из каталога etc/

   3. Удалю правила из фйла rc.local (может они мешают)

   4. Ввод новых правил iptables:
     iptables -P INPUT DROP
     iptables -P FORWARD ACCEPT
     iptables -P OUTPUT ACCEPT

        #Разрешаем прохождение любого трафика по интерфейсу обратной петли
     iptables -A INPUT -i lo -j ACCEPT
     iptables -A OUTPUT -o lo -j ACCEPT

        # Принимать все пакеты, которые инициированы из уже установленного соединения,
       иимеющим признак ESTABLISHED.
        # Состояние ESTABLISHED говорит о том, что это не первый пакет в соединении.
     iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
     iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

       # UDP наводнение
       # Службы использующие UDP, очень часто становятся мишенью для атак с целью вывода 
       системы из строя.
    iptables -A INPUT -p UDP -s 0/0 --destination-port 138 -j DROP
    iptables -A INPUT -p UDP -s 0/0 --destination-port 113 -j REJECT
    iptables -A INPUT -p UDP -s 0/0 --source-port 67 --destination-port 68 -j ACCEPT 
    iptables -A INPUT -p UDP -j RETURN
    iptables -A OUTPUT -p UDP -s 0/0 -j ACCEPT
 
       # почта
     iptables -A FORWARD -s 192.168.0.0/24 -d pop3.yandex.ru -p tcp --dport 995 -j ACCEPT
     iptables -A FORWARD -s 192.168.0.0/24 -d smtp.yandex.ru -p tcp --dport 465 -j ACCEPT

       # VPN
     iptables -A FORWARD -i eth1 -s 192.168.0.0/24 -p tcp --dport 1723 -j ACCEPT
     iptables -A FORWARD -i eth1 -s 192.168.0.0/24 -p gre -j ACCEPT

       #
     iptables -A POSTROUTING -o eth0 -j MASQUERADE

      #
     iptables -t filter -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

     iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

      # Может еще что-то?

   5. Вот с етим /etc/vpn-firewall.sh - не знаю что делать, его вывод:
      #!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
iptables -flush
iptables -delete-chain
iptables -table nat -flush
iptables -table nat -delete-chain
iptables -P FORWARD ACCEPT
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -table nat -append POSTROUTING -out-interface eth0 -j MASQUERADE
echo vpn firewall loaded OK.

    6. Посоветуйте что еще.



Может ссылку на настройку

Ни как не могу разобратся с етим беспорядком

[SlayerBon]

!!!! РЕШЕНО !!!
После долгих поисков в интернете нашол решение и оно работает!

Вся проблема была в модулях iptables:
ip_gre
ip_conntrack_pptp
ip_nat_pptp

Тоесть какие бы правила в iptables не вводил и не сохранял их, всеравно одновременное подкльчение по VPN нескольких клиентов не получалось

В итоге я сделал:
modprobe ip_gre
modprobe ip_conntrack_pptp
modprobe ip_nat_pptp

потом перезагрузил сеть: /etc/init.d/networking restart
вуаля все работает.

Но после перезагрузки компьютера полностью не работает

Посмотрел вывод - lsmod ----- нету в загрузке этих модулей. Решил их тогда прописать в загрузку. Искал долго (какбы где их прописать наводки были, но как нету).
Тогда я их вписал в /etc/network/interfaces
pre-up modprobe ip_gre
pre-up modprobe ip_conntrack_pptp
pre-up modprobe ip_nat_pptp

В итоге получилось так- вывод interfaces:
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback
   pre-up iptables-restore < /etc/iptables.up.rules
   pre-up modprobe ip_gre
   pre-up modprobe ip_conntrack_pptp
   pre-up modprobe ip_nat_pptp


# The primary network interface
auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet static
        address 192.168.0.1
        netmask 255.255.255.0
        network 192.168.0.0
        brodcast 192.168.0.255


потом перезгрузка и показ lsmod, вуля - модули загружены и все работает.

РАБОТАЕТ

А то что при подключении по VPN пропадал интернет на клиентской машине(под управлением Windows)----
просто в настройках подключения VPN в настройках сети - убрать галочку "изпользовать шлюз как основной", и все.