[Debian] Conexion de VPN en una LAN INTERNA

Domenicke RG melissanicke82 en hotmail.com
Mie Feb 28 16:07:32 PST 2007 

Hola amigos, espero me puedan ayudar, le explico:

Tengo 5 Pc's que pertenece a mi red LAN INTERNA que tiene que conectarse a una VPN externa. Bueno las pc's salen a internet atraves de un squid y algunas reglas de iptables. Lo mas extrano es qque conecto una PC a la VPN y realiza la conexion correctamente a la VPN sin ningun problema, cuando intento conectar a la segunda PC se queda congelado en registrando usuario y contrasena y no llega a realizar la conexion.... Estuve revisando los log y me di cuenta que la segunda maquina que intenta conectarse a la VPN lo sgte;
GRE from 192.168.2.3 to 200.48.60.23 on eth1 pero no hay respuesta por el servidor VPN.
Ya agregue algunas reglas pero nada a lo mejor falta alguna reglas mas
mi script de iptables es el sgte:

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

#FORWARD
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

#Con esto permitimos hacer forward de paquetes en el firewall, o sea
# que otras máquinas puedan salir a traves del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward

# Ahora hacemos enmascaramiento de la red local
# y activamos el BIT DE FORWARDING (imprescindible!!!!!)
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE

#Proxy Transparente
iptables -A PREROUTING -t nat -p tcp --dport 80 -i eth1 -j DNAT --to 192.168.2:3128

#VPN
iptables -A FORWARD -p 47 -m state --state NEW -i eth1 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1723 -m state --state NEW -i eth1 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p 47 -i eth0 -j ACCEPT
Iiptables -A OUTPUT -s 0.0.0.0/0 -p 47 -i eth1 -j ACCEPT

## Y ahora cerramos los accesos indeseados del exterior:
# Nota: 0.0.0.0/0 significa: cualquier red

# Cerramos el rango de puerto bien conocido
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 12:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 12:1024 -j DROP


Bueno espero me puedan ayudar, ya que es urgente que esas PC's se conecten a la vpn

gracias



_________________________________________________________________
Consigue el nuevo Windows Live Messenger
http://get.live.com/messenger/overview

Más información sobre la lista de distribución debian