Microsoft VPN a source NAT
Martin Pokorny
konf na cronax.com
Neděle Říjen 16 09:56:22 CEST 2005
Nechybi na MS serveru DHCP pro telefonicka spojeni? Samotny DHCP ve
windows nestaci, ten se pouziva pro vnitrni sit. Pro VPN a telefonicka
maji windows definici zvlast.
M.
Ales Komarek napsal(a):
> Ahoj,
> mam nasledujici problem - konfigurace FC4, kernel 2.6.13 (z distribuce)
> a pravidla packetoveho filtru propoustejici microsofti VPN skrz linux
> firewall do vnitrni LAN.
> Pri pruchodu packetu fw se delaji nasledujici akce:
> * DNAT pro protokol tcp port 1723 a protokol 47 (GRE) na microsofti VPN
> server
> * povolen obousmerne FORWARD techto packetu (opet protokol tcp port 1723
> a protokol 47 (GRE))
> * SNAT na IP adresu FW z IP rozsahu LAN (aby nemusel mit microsoft VPN
> server nastaveno spravne routovani a vracel odpovedi zase pekne zpet na FW)
>
> Toto cele funguje v pripade, ze se ze site pred fw pripojuje pouze jeden
> klient do microsofti VPN.
> Pokud to zkusi dalsi - zustane viset na overovani uzivatelskeho jmena a
> hesla - spojeni se jiz nikdy nenavaze a cela akce konci (packety ovsem
> fw prochazeni - nebot pokus o spojeni probehne, ale cele to skonci na
> vyse zminemem overovani).
>
> Po nekolika experimentech jsem zjistil, ze pokud se bude pro kazdeho
> klienta delat podle jeho source IP vlastni SNAT preklad (tedy pro
> kazdeho klienta se bude delat SNAT na jinou IP adresu z rozsahu LAN) vse
> funguje naprosto vporadku a bez problemu se spoji vice klientu najdenou.
>
> Nenadapa Vas nekoho, kde muze byt problem? (cekal bych problem nekde u
> SNATu a protokolu GRE, ale nechapu moc proc a jak to resit pres SNAT na
> jedinou IP)
>
Další informace o konferenci Linux