web-dev-qa-db-ja.com

Shorewallがアクティブな場合、PPTP)をpingできません

PptpdサーバーとShorewallを同じサーバーで実行しています。サーバーには2つのイーサネット接続(eth0-> WAN、eth1-> LAN)があり、LAN上のIPは10.11.100.201です。

自宅のコンピューターからVPNトンネルを問題なく確立できますが、VPNサーバーを含むオフィスLAN上のコンピューターにアクセスできません。 VPNトンネルのもう一方の端(10.11.100.20)にpingを実行すると、「宛先ホストに到達できません」というメッセージが表示されます。

しかし、Shorewallをオフにすると、すべてが機能します。

海岸壁の構成に何か問題がありますか?

インターフェイス:

 wan eth0detect dhcp、routefilter、tcpflags 
 lan eth1detect dhcp 
 vpn ppp + 

ゾーン:

 fwファイアウォール
 wan ipv4 
 lan ipv4 
 vpn ipv4 

マスク:

 eth0 eth1 

ポリシー:

 vpn lan ACCEPT 
 lan vpn ACCEPT 
 wan all DROP 
 lan all REJECT 
 fw all ACCEPT 
 all all REJECT 

トンネル:

 pptpserver wan 0.0.0.0/0

更新

私はこれを今までに解決しましたが、なぜこれをしなければならないのかわかりません。とにかく、解決策は別のポリシーを追加することでした:

 vpn all ACCEPT 

ショアウォールにとって、VPN ppp0インターフェイスは他のインターフェイスと同じようにネットワークインターフェイスになると思いましたが、ppp0トラフィックはeth0を通過することを知っているようで、このポリシーを追加しない限り許可されません。これは正しいです?

1
Jonatan

rulesファイルについて言及していません。 rulesファイルに適切なエントリを追加して、pptpサーバーへのTCPポート1723およびGRE(IPプロトコル47)トラフィックを許可しますか? このページ を参照) =詳細については。

更新への応答

vpn all ACCEPTを同等のポリシーセットに置き換えてみてください

vpn fw  ACCEPT
vpn wan ACCEPT
vpn lan ACCEPT

そして、すべてがまだ機能するかどうかをテストします。その場合は、次に、これらのポリシーを1つずつ削除し、毎回すべてが機能するかどうかをテストして、必要な最小限のポリシーセットに到達します。本当に追加する必要がある唯一のポリシーがvpn wan ACCEPTである可能性はありますか?

0
Steven Monday