Iptables a GRE/NAT smerem dovnitr i ven

[Karel Karel]

Dobry den vsem,

mam nasledujici problem. Pouzivam na Linuxovem (2.6.24) Gentoo serveru jednoduchy firewall, s ip gre podporou a mam nasledujici problem:

zacal jsem variantou, ze smerem ven mam nastaveno:
iptables -t nat -A POSTROUTING -j SNAT --to moje_verejna_ip
samozrejme povolen ip_forward atd....

vsechno funguje smerem ven...

nicmene smerem ven se dari pripojit jen jedinemu uzivateli k PPTP VPN (1723/GRE). Z logu proti strany serveru (Linux PPTPD server) vidim opakovany pokus:
sent [LCP ConfReq id=0x1 <mru 1440> <asyncmap 0x0> <auth eap> <magic 0xda218cc5> <pcomp> <accomp>]

nasledne havarii:
CTRL: Received PPTP Control Message (type: 12)
CTRL: Made a CALL DISCONNECT RPLY packet
CTRL: Received CALL CLR request (closing call)
CTRL: Reaping child PPP[8829]
Connection terminated.

Je zvlastni ze vzdy tomu jednomu uzivateli, kteremu to slo to jde odpojit/pripojit ... Druhemu to nejde.

Pokud chci aby to slo u druheho, musim cca 5 minut pockat nebo rebootovat ten firewall... (iptables -F i na NAT nepomaha)

Nevite cim to je, co spravne nastavit aby mohlo vice useru smerem ven se pripojoavt soucasne k PPTP vpn ?


Jeste mam problem c.2:

u jednoho zakaznika mam opet OS Gentoo firewall a za nim Microsoft Server s klasickym MS RAS, rozjetou VPN pptp... pristup na VPN mam z venku DNATovanou, tj.

iptables -t nat -A PREROUTING --destination ipckoverejne -p TCP --dport 1723 -j DNAT --to vnitrniipmsserveru
iptables -t nat -A PREROUTING --destination ipckoverejne -p GRE -j DNAT --to vnitrniipmsserveru

a dochazi k tomu, ze muze byt pripojen jen jeden uzivatel soucasne PPTP z venku k tomuto serveru ( z jedne nebo i vice nahodnych lokaci - vzdy jen 1 PPTP kanal).

tusim ze paseku v tom bude delat to GRE ....

muzete mi prosim poradit co mam jeste doplnit aby oba pripady fungovaly pro vice soucasnych uzivatelu ?

dekuji za vasi odpoved,
k