Hej,
Po migracji do nowego NAS-a mam problem z konfiguracja VPN (PPTP). Wcześniej wystarczyło, że przekieruję port 1723 na routerze i wszystko śmigało.
Teraz musiałem dodatkowo przekierować port 47 i wyłączyć firewall aby zadziałało. Reguły na firewalu mam takie:
All interfaces:
port 1723 protokół: all, source: all => Allow
port 47 protokół: all, source: all => Allow
LAN1 interface:
Deny all
VPN interface:
Allow all
Sprawdzałem też z zewnątrz nmapem i port 1723 jest otwarty (teraz mi przyszło na myśl, aby sprawdzić jeszcze port 47, ale w tej chwili nie mam takiej sposobności)
Wg dokumentacji najpierw są sprawdzane reguły z "All interfaces" i jeśli się dopasuje, to reszta jest ignorowana. Zatem wychodzi mi na to, że jeszcze jakieś reguły mi brakuje, pytanie tylko jakiej? Jakieś sugestie?
Pozdrawiam,
xurc
Problem z regułami firewalla dla VPN (PPTP)
- xurc
- Wtajemniczony
- Posty: 191
- Rejestracja: wt kwie 05, 2016 10:00 am
Problem z regułami firewalla dla VPN (PPTP)
https://synopackage.com
https://www.facebook.com/synopackage/
Sprzęt:
DS718+ (apollolake): 2x2TB (WD RED) SHR ,8GB RAM
Poprzedni:
DS215j
https://www.facebook.com/synopackage/
Sprzęt:
DS718+ (apollolake): 2x2TB (WD RED) SHR ,8GB RAM
Poprzedni:
DS215j
- xurc
- Wtajemniczony
- Posty: 191
- Rejestracja: wt kwie 05, 2016 10:00 am
Re: Problem z regułami firewalla dla VPN (PPTP)
Odpowiem sam sobie na pytanie, może komuś się przyda.
Pomimo ustawień
iptables --list zwracało:
Zatem protokół "all" = TCP i UDP. Problem w tym, że to nie jest dobre ustawienie, gdyż protokół GRE (47) (używany przy PPTP) jest protokołem IP a nie numerem portu dla TCP czy UDP.
W DSM w interface firewalla nie da się ustawić innych protokołów niż TCP, UDP oraz ICMP (i wspomniane już "ALL"). Da się jednak wybrać "Select Built-in Applications" a następnie wybrać "VPN Server" na porcie 1723. Takie ustawienie daje:
A zatem TCP na 1723 oraz na protokół GRE (47).
Pozdrawiam,
xurc
Pomimo ustawień
Kod: Zaznacz cały
port 1723 protokół: all, source: all => Allow
port 47 protokół: all, source: all => Allow
Kod: Zaznacz cały
RETURN tcp -- anywhere anywhere tcp dpt:1723
RETURN udp -- anywhere anywhere udp dpt:1723
RETURN tcp -- anywhere anywhere tcp dpt:47
RETURN udp -- anywhere anywhere udp dpt:47
W DSM w interface firewalla nie da się ustawić innych protokołów niż TCP, UDP oraz ICMP (i wspomniane już "ALL"). Da się jednak wybrać "Select Built-in Applications" a następnie wybrać "VPN Server" na porcie 1723. Takie ustawienie daje:
Kod: Zaznacz cały
RETURN tcp -- anywhere anywhere tcp dpt:1723
RETURN 47 -- anywhere anywhere
Pozdrawiam,
xurc
https://synopackage.com
https://www.facebook.com/synopackage/
Sprzęt:
DS718+ (apollolake): 2x2TB (WD RED) SHR ,8GB RAM
Poprzedni:
DS215j
https://www.facebook.com/synopackage/
Sprzęt:
DS718+ (apollolake): 2x2TB (WD RED) SHR ,8GB RAM
Poprzedni:
DS215j