[LUG.ro] Consulta OpenVPN + Firewall Debian

Sebastian Dominguez sebaminguez en gmail.com
Dom Jun 28 21:47:11 ART 2009 

Peter Parker escribió:
> Que tal gente, les hago una consulta:
>
> tengo montado un servidor de vpn usando openvpn en un windows2000 server. Desde la LAN anda 10 puntos, me puedo conectar desde clientes windows o linux indistintamente sin ningun problema.
>
> Ahora lo que quiero hacer es poder conectarme desde afuera (que es en realidad el objetivo de la instalacion). Para salir a internet tengo un firewall con debian lenny muy simple. Es decir:
>
> OPENVPN (win2k: 10.0.0.5) -----> FIREWALL (10.0.0.1: lenny :ppp0) ------> INTERNET
>
> Cargo en el firewall de debian las lineas:
>
> iptables -A INPUT -p udp --dport 1194 -j ACCEPT
>   
Tenes que darle FORWARD, no INPUT. Tambien verifica que estes usando udp 
en la configuración de OPENVPN (de ams esta decir el puerto)
> iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 1194 -j DNAT --to-destination 10.0.0.5:1194
>
> (eh probado tambien indicando la placa de red en el INPUT, y tambien con "--to 10.0.0.5" en lugar de usar "--to-destination" luego del DNAT)
>
> El firewall tiene dos placas de red: una para la LAN y otra para internet.
>
> En algo le estoy errando porque no me funciona. Probe tambien de hacer lo mismo con el puerto 80, redirigiendo el trafico desde internet al puerto 80 hacia el server web del win2000 para ver si era cuestion de la configuracion del openvpn, pero tamcopo me funciona.
>
> Las reglas las veo cargadas cuando hago:
> # iptables -L
> # iptables -t nat -L
>
> Tambien tengo el ip_forwarding habilitado (esta en 1 el archivo /proc/sys/net/ipv4/ip_forward).
>   
Ves, aca permitis el reenvio de paquetes, pero los filtras en iptables.
> Si hago un tcpdump para ver el trafico en el firewall, veo las conexiones que llegan al 1194 desde internet redirigidas al windows2000, pero me dan TIME OUT los intentos de conexiones ya sea al openvpn o las server web interno.
>   
Hace un tcpdump en la interfaz de salida. Seguramente veras que los 
paquetes no salen.
> Me debo estar olvidando de hacer algo.
> Sugerencias??
>   
reemplaza la regla

iptables -A INPUT -p udp --dport 1194 -j ACCEPT

por

iptables -A FORWAD -p udp --dport 1194 -j ACCEPT


> Muchas gracias de antemano.
>   
Esperemos que funque. Chifla cualquier cosa

Un abrazo

-- 
Sebastian A. Dominguez
Imagen de Seba
http://odiolasllaves.com.ar

Más información sobre la lista de distribución Lugro