Procitaj ovu temu: http://www.elitesecurity.org/t288983-VPN-kroz-ruter od
pocetka do kraja. U njoj se krije odgovor na tvoje pitanje :)

Pozdrav
Zoran

Procitao sam temu vise puta ali i dalje nisam resio problem. Ruter nema opciju VPN passthrough pa me interesuje da li je neko uspeo da ga natera da propusti VPN preko port forward-a.

Koristim pptp i radi u oba smera.

kazi mi gde gresim. Forward-ovao sam TCP portove 1723 i 47 na ext interfejs masine na kojoj je podignut RRAS kojoj bez problema pristupam lokalno preko PPTP-a(na ext interface). Ali kad hocu sa neta, mucak, nista se ne desava. Pogledaj screen print:

Dragi Ivicu. Ne forwarduje se port 47 već protokol GRE tip 47 !

Kako da forwardujem GRE kada na ruteru ne postoji ta opcija? Pedja daj neki predlog. Kako si ti konfigurisao tvoj ruter? Aj zahvalicu ti se kad WAR dodje u Uzice na rostilj ;-)



_{[Ovu poruku je menjao Ivic@ dana 18.10.2007. u 00:59 GMT+1]}

Kod mene kuci je Sagem pa ne mogu da proverim, ali cini mi se da treba da koristis opciju NAPT.
Za pocetak prvo podesi DMZ na taj pptp erer pa vidi da li ce tako da radi (DMZ forwarduej sav saobracaj.

Kada tako proradi znaces da je sve ostalo u redu, pa tek tada iskljuci DMZ i podesi forwardovanje portova.

Lepo ti je rekao sdurut. Ne mozes da uradis port forward GRE protokola jer je to besmislica! Nego ti obavezno ukljuci tu opciju "vpn pass through". Pod tim bi trebalo da se podrazumeva propustanje GRE, ESP i slicnih protokola.

Takodje ostavi samo forward TCP porta 1723 na javnu adresu.

Ove dve stvari bi trebalo da su dovoljne da ti proradi PPTP.

Pozdrav
Zoran

U svakom slucaju mozes da odradis pure bridge, i da napravis pppoe konekciju na serveru gde ti je pptp. Na ovaj nacin ce server dobiti javnu IP adresu na svom ppp interfejsu. Naravno ako ti takvo resenje odgovara.

Problem je sto na ovom ruteru ne postoji opcija VPN pass...
Jedino sto moze je da radi u sledecim modovima: DMZ, NAPT, REDIRECT i NONE. Jedino u modu Redirect moze da se se odradi port forwarding




Jos uvek nista nisam uspeo da odradim...

Koliko racunara imas iza tog rutera?
Ako je samo jedan, DMZ ili Bridge mode bi trebalo da ti rese problem, jer ce se sve preusmeravati na taj njega. Mozda je u stanju cak da radi i NAT zajedno sa jednim host-om koji je u DMZ-u.

NAPT, ako je kod tih kineza skracenica pravilno shvacena i iskoriscena, bi morao da odradjuje port forwarding.

Sledeca opcija je kvalitetniji ruter.

Probao sam i ADSL ruterom Linksys BEFSX41 (nisam siguran da je ta oznaka ali je u toj klasi) koji ima opciju VPN pass ali kod njega se ispostavilo da sam firmware ima problem sa VPN konekcijama a pri pokusaju upgrade-a na noviju verziju prijavljuje gresku tako da sam i od toga odustao. Sad mi ostaje da nekako proteram VPN kroz ovaj huawei. Inace iza ima samo jedan komp sa win2003Serverom(RRAS). Sta bi ste mi preporucili ukoliko se odlucim za kupovinu novog ADSL rutera(100-150eura). Bilo bi pozeljno da to bude neki model koji provereno radi VPN passthrough tj da nekome vec sljaka istu stvar.

Evo da odgovorim na svoje postavljeno pitanje:
Da bi se omogucio VPN(pptp)na ADSL ruteru huawei mt882 potrebno je dodati 2 pravila u Advanced>>IP filter

1.Pravilo koje sa public interfejsa propusta protokol broj 47(gre)
action>>accept ;
direction>>incoming ;
interface>>public ;
src address >> any,
dst address >> any ;
protokol >>eq>>47 ;

2.Pravilo koje sa public interfejsa propusta TCP port 1723
action>>accept ;
direction>>incoming ;
interface>>public ;
src address >> any,
dst address >> any ;
protokol >> TCP;
src port >>eq>>1723
dst port>>eq>>1723

Ostale parametre ostaviti na default

ok isti poroblem isti ruter smartax882, dodao sam ta dva pravila, stavio se u DMZ, ali prilikom pokusaja konektovanja na vpn server preko cisco vpn clienta-a ver 5.0.02.0090 dobijam sledecu poruku


Initializing the connection...
Contacting the security gateway at 217.119.240.10...
Authenticating user... //unos user name i pass
Contacting the security gateway at 217.119.240.10...
Secure VPN Connection terminated locally by the Client.
Reason 413: User authentication failed.

Connection terminated on: Mar 21, 2008 17:39:13 Duration: 0 day(s), 00:00.00
Not connected.

da li ima neko neku ideju tipa da li jos treba nesto da se podesi na ovom ruteru i da li nekome radi vpn ok prreko ovog rutera i adsl od telekoma ?

Da li i ti koristis PPTP?

Username i pass si, pretpostavljam, tacno uneo?

za user name i pass sam 100% siguran jer sam pokusao sa unosom pogresnog i jednog i drugog i samo mi ponovo flashuje login screen i tako mogu tri puta pre nego sto mi prijavi error.
a kad unesem ispravne podatke koje sam dobio on nastavi sa uspostavljanjem konekcije i izbaci obavestenje iz gonjeg posta.

takodje sam malo cackao po profilu koji sam dobio pa mogu da kazem sledece informacije :

autentification je group autentification sa oznacenim send CA cert ali nije oznaceno Certificate autentification

iz transport taba:

transparent tuneling je ipsec over UDP(NAT/PAT)

otkaceno je Local LAN access i timeout je stavljen na 90 s (za peer responce timeout)

back up server i dial up tabovi nemaju nikakvih podesavanja,

takodje sa druge strane je neki microsoftov server ,sad ne secam se tacnog imena ali mislim da ima 2008 u imenu ili tipa tako nesto , sve u svemu bi trebalo da je njihov najnoviji (valjda :) )

pokusao sam i da podesim MTU sa 1300 na 1492 ne vredi :(


a za pitanje da li koristim point to point tuneling protocol ne znam da ti odgovorim posto nisam suguran a ne znam kako da proverima na ruteru ili laptopu jedino sto sam nasao na ruteru u podesavanjima u Basic__>WAN setings stoji da je mode PPPoe
tj ovako izgleda:

PVC=pvc-0
VPI/VCI=8/35
ip adress =77.46.222.117
subnet mask= 255.255.255.255
gateway=77.46.222.1
mode=ppp0e
encapulation = LLC

stim sto kao mod mogu da izaberem (kad idem na new) PPPoa, PPPoe, ipoa, pure bridge, bridge+dhcp, bridge+ip adress
za ostalo evo i slika kako to izgleda


da li da probam da stvim ruter od nekih bridge modova , pa da onda on prosledjuje sav saobracaj , stim da i dalje imam konekciju na net


takodje sad sam cackao po services i vidim da je nekoliko disabled a koje mogu da imaju veze sa ovim:
allerter
messenger
routing and remote access
network dde
network dde dsdm
ali kad idem desni klik na njih ima propertis ali ne ocija start, tj siva je i nemogu da kliknem na nju , za razliku od drugih servisa (stop, start, restart)
vise o ovim servisima http://www.ss64.com/ntsyntax/services.html
hvala unapred na savetima :)

_{[Ovu poruku je menjao teuff dana 22.03.2008. u 01:30 GMT+1]}

Hmm...
Jesi li probao da se zakacis sa windows-ovim klijentom?

Uglavnom, koliko sam shvatio, VPN server nije sa tvoje strane mreze nego se na njega kacis preko internet-a. Ako da, pretpostavljamo da su postavke na drugoj strani ispravne?

problem resen, hvala svima na pomoci , bio je problem do profila,, a na ruteru je dovoljno bilo staviti DMZ zone, i hamatchi +cisco vpn ne rade bas zajedno kako treba :(

Da ne postavljam novu temu.
Ja imam isti problem. Imam ovaj adsl huawei mt882 i stavio sam ga u pure bridge mod i radi mi net ali kad napravim konekciju kafirmi preko vpn-a meni prodje autentifikacija i konektujem se na firmu dobijem ip adreso od mog ruter ali nista ne mogu da pingujem.

U firmi imam cisco pix i na njemu je sve odradjeno kako treba jer kad sve to probam sa npr SBB-a meni to radi, kadse nakacim laptopom preko GPRS-a i probam tunel sve mi radi ali sa mojim ADSL-om nece nista?

isti problem novi ruter,

posto mi je stari stradao u oluji, dobio sam ovaj hg510 , em sto smrdi ko nenormalan, nece da prihvati vpn konekciju iako je podesen dmz ka kompu, samo jedan je komp i to prikacen na lan1, vpn klient je cisko klient, i radilo je sve ok na mt882, ali crce, jel moguce jos uvek dobiti te 882, procitao sam negde ovde da ih kao povlace ali opet :),
tj kao error kaze reason 412: remote peer isnt responding

hvala unapred