Problem z regułami firewalla dla VPN (PPTP)

ODPOWIEDZ
Awatar użytkownika
xurc
Wtajemniczony
Posty: 191
Rejestracja: wt kwie 05, 2016 10:00 am

Problem z regułami firewalla dla VPN (PPTP)

Post autor: xurc »

Hej,

Po migracji do nowego NAS-a mam problem z konfiguracja VPN (PPTP). Wcześniej wystarczyło, że przekieruję port 1723 na routerze i wszystko śmigało.
Teraz musiałem dodatkowo przekierować port 47 i wyłączyć firewall aby zadziałało. Reguły na firewalu mam takie:
All interfaces:
port 1723 protokół: all, source: all => Allow
port 47 protokół: all, source: all => Allow
LAN1 interface:
Deny all
VPN interface:
Allow all

Sprawdzałem też z zewnątrz nmapem i port 1723 jest otwarty (teraz mi przyszło na myśl, aby sprawdzić jeszcze port 47, ale w tej chwili nie mam takiej sposobności)

Wg dokumentacji najpierw są sprawdzane reguły z "All interfaces" i jeśli się dopasuje, to reszta jest ignorowana. Zatem wychodzi mi na to, że jeszcze jakieś reguły mi brakuje, pytanie tylko jakiej? Jakieś sugestie?

Pozdrawiam,
xurc
https://synopackage.com
https://www.facebook.com/synopackage/
Sprzęt:
DS718+ (apollolake): 2x2TB (WD RED) SHR ,8GB RAM
Poprzedni:
DS215j
Awatar użytkownika
xurc
Wtajemniczony
Posty: 191
Rejestracja: wt kwie 05, 2016 10:00 am

Re: Problem z regułami firewalla dla VPN (PPTP)

Post autor: xurc »

Odpowiem sam sobie na pytanie, może komuś się przyda.

Pomimo ustawień

Kod: Zaznacz cały

port 1723 protokół: all, source: all => Allow
port 47 protokół: all, source: all => Allow
iptables --list zwracało:

Kod: Zaznacz cały

RETURN     tcp  --  anywhere             anywhere             tcp dpt:1723
RETURN     udp  --  anywhere             anywhere             udp dpt:1723
RETURN     tcp  --  anywhere             anywhere             tcp dpt:47
RETURN     udp  --  anywhere             anywhere             udp dpt:47
Zatem protokół "all" = TCP i UDP. Problem w tym, że to nie jest dobre ustawienie, gdyż protokół GRE (47) (używany przy PPTP) jest protokołem IP a nie numerem portu dla TCP czy UDP.

W DSM w interface firewalla nie da się ustawić innych protokołów niż TCP, UDP oraz ICMP (i wspomniane już "ALL"). Da się jednak wybrać "Select Built-in Applications" a następnie wybrać "VPN Server" na porcie 1723. Takie ustawienie daje:

Kod: Zaznacz cały

RETURN     tcp  --  anywhere             anywhere             tcp dpt:1723
RETURN     47   --  anywhere             anywhere
A zatem TCP na 1723 oraz na protokół GRE (47).

Pozdrawiam,
xurc
https://synopackage.com
https://www.facebook.com/synopackage/
Sprzęt:
DS718+ (apollolake): 2x2TB (WD RED) SHR ,8GB RAM
Poprzedni:
DS215j
ODPOWIEDZ