[zorp-hu] PPTP VPN passthrough

Szilárd Pfeiffer pfeiffer.szilard at balabit.hu
2013. Jan. 23., Sze, 11:24:41 CET


A hivatalos álláspont az, hogy nem csinálunk ilyet, ezért sem
implementáció, sem dokumentáció nincs ezzel kapcsolatban. Ha a PPTP VPN
a Zorp gépen kerül terminálásra, akkor az intranetes gép felé már a
kicsomagolt forgalmat lehet továbbítani, miután az áthaladt a szükséges
proxykon.

Ugyanakkor mégis van erre lehetőség, mivel a kernelbe fordított
netfilter támogatja ezt, van nat helper és conntrack modul is hozzá.
Néhányak sikerről számoltak be a pptp proxy használatáról is.

http://web.archive.org/web/20111105105327/http://www.mgix.com/pptpproxy/pptpproxy-2.9.tar.bz2
http://www.debian-fr.org/multiples-connexions-vpn-pptp-a-travers-iptables-t6050-50.html

A dolog hátulütője, hogy a Zorp maga nem támogat ilyesmit, tehát nem tud
PPTP nat helperként viselkedni, vagyis a 1723-as TCP porton lévő
forgalmat logolja és a beállított szabályok alapján vagy engedi, vagy
nem, és a megfelelő GRE NAT-ot is intézi. 

Praktikusan ahány valós IP van a tűzfalon, annyi intranetes gépet lehet
kiengedni, a TCP 1723-ra és GRE-protokollra SNAT és DNAT használatával
összeköthető az adott szerver a klienssel.

Üdvözlettel:
Pfeiffer Szilárd

On p, 2013-01-18 at 10:25 +0100, Kassai László wrote:
> Sziasztok!
> 
> Zorp 3.3.4-re PPTP VPN passthrough megvalósításhoz
> implementációt/vonatkozó doksit hol találhatnék?
> 
> (külső VPN elérésre lenne szükség belső tartományból)
> 
> Köszönettel:
> Kassai László
> 
> _______________________________________________
> zorp-hu mailing list
> zorp-hu at lists.balabit.hu
> https://lists.balabit.hu/mailman/listinfo/zorp-hu






További információk a(z) zorp-hu levelezőlistáról