https://slinkov.ru/openforum/vsluhforumID1/81284.html Есть гей под slackware <br>У него два интерфейса eth0 - в глобальную сеть xxx.xxx.xxx.xxx<br>eth1 - в локалку (192.168.0.0/24).<br>В локалке стоит windows server (192.168.0.201) который авторизирует удаленных пользователей. VPN.<br><br>На фаерволе входящие запросы на порт 1723/tcp разрешены.<br>Прокидываю входящие запросы на порт 1723 с помощью iptables вот так:<br>/usr/sbin/iptables -t nat -A PREROUTING --dst xxx.xxx.xxx.xxx -p tcp --dport 1723 -j DNAT --to-destination 192.168.0.201:1723<br>/usr/sbin/iptables -A FORWARD -i eth1 --dst 192.168.0.201 -p tcp --dport 1723 -j ACCEPT<br><br>Соединение устанавливается, но на этапе проверки пимя пользователя и пароля "отваливается" по таймауту с ошибкой 790 (Удаленный сервер больше не доступен). По логам фервола вижу, что запросы пробрасываюся,<br>Jul 21 23:22:13 hydra kernel: firewall: IN=eth0 OUT=eth1 SRC=yyy.yyy.yyy.yyy DST=192.168.0.201 LEN=52 TOS=0x00 PREC=0x00 TTL=117 ID=5064 PROTO=TCP SPT=12133 DPT=1723 WINDOW=65535 RES=0x00 SYN URGP=0<br>но соединение на этапе проверки имени/пароля https://slinkov.ru/openforum/vsluhforumID1/81284.html#4 Wed, 23 Jul 2008 05:43:43 GMT &gt;и разрешить FORWARD по протоколу GRE <br><br>человек дело говорит. не будет работать без этого.<br>+ чтение логов фаервола сильно помогает при диагностике<br> https://slinkov.ru/openforum/vsluhforumID1/81284.html#3 Wed, 23 Jul 2008 00:47:37 GMT &gt;[оверквотинг удален]<br>&gt;и вот такие правила я пищу для iptables: <br>&gt;/usr/sbin/iptables -t nat -A PREROUTING --dst xxx.xxx.xxx.xxx -p tcp --dport 1723 -j <br>&gt;DNAT --to-destination 192.168.0.201:1723 <br>&gt;/usr/sbin/iptables -A FORWARD -i eth1 --dst 192.168.0.201 -p tcp --dport http://lp.slackwaresupport.com/Slackware/Slackware-12.1/Console/pptp-command/pptp-command-1.21-noarch-2ga.tgz-j <br>&gt;ACCEPT <br>&gt;/usr/sbin/iptables -t nat -A PREROUTING -i eth1 -p 47 -j ACCEPT <br>&gt;<br>&gt;------------------- <br>&gt;<br>&gt;Подскажи где ошибка. Совсем замучался. <br><br>Причем, если поднимаю VPN из локалки, все работает.<br>Из глобальной сети firewall режет порт 1723/tcp<br><br>У тебя есть пример реально работающего скрита для iptable<br> https://slinkov.ru/openforum/vsluhforumID1/81284.html#2 Tue, 22 Jul 2008 22:28:30 GMT &gt;RE:&gt;Есть гей под slackware <br>&gt;незнай какой у вас там гей <br>&gt;<br>&gt;но для того чтобы nat'ить pptp VPN <br>&gt;нужно подгрузить <br>&gt;<br>&gt;nf_nat_proto_gre.ko <br>&gt;nf_nat_pptp.ko <br>&gt;<br>&gt;и разрешить FORWARD по протоколу GRE <br><br>В том то и дело, что эти модули подгружены<br><br>root@hydra:/etc/rc.d# lsmod &#124; grep pptp<br>nf_nat_pptp 6784 0<br>nf_conntrack_pptp 9344 1 nf_nat_pptp<br>nf_conntrack_proto_gre 8192 1 nf_conntrack_pptp<br>nf_nat_proto_gre 6148 1 nf_nat_pptp<br>nf_nat 19500 4 ipt_MASQUERADE,iptable_nat,nf_nat_pptp,nf_nat_proto_gre<br>nf_conntrack 53440 8 ipt_MASQUERADE,iptable_nat,nf_nat_pptp,nf_conntrack_pptp,nf_conntrack_proto_gre,xt_state,nf_nat,nf_conntrack_ipv4<br><br>и вот такие правила я пищу для iptables:<br>/usr/sbin/iptables -t nat -A PREROUTING --dst xxx.xxx.xxx.xxx -p tcp --dport 1723 -j DNAT --to-destination 192.168.0.201:1723<br>/usr/sbin/iptables -A FORWARD -i eth1 --dst 192.168.0.201 -p tcp --dport 1723 -j ACCEPT<br>/usr/sbin/iptables -t nat -A PREROUTING -i eth1 -p https://slinkov.ru/openforum/vsluhforumID1/81284.html#1 Tue, 22 Jul 2008 16:13:43 GMT RE:&gt;Есть гей под slackware <br>незнай какой у вас там гей<br><br>но для того чтобы nat'ить pptp VPN<br>нужно подгрузить <br><br>nf_nat_proto_gre.ko<br>nf_nat_pptp.ko<br><br>и разрешить FORWARD по протоколу GRE<br>