Не удается пропинговать PPTP, когда Shorewall активен

У меня есть сервер pptpd и Shorewall, работающие на одном сервере. Сервер имеет два подключения к сети Ethernet (eth0 -> WAN, eth1 -> LAN), а его IP-адрес в локальной сети - 10.11.100.201.

Я могу без проблем установить VPN-туннель со своего домашнего компьютера, но не могу получить доступ ни к каким компьютерам в локальной сети офиса, включая VPN-сервер. Если я пингую другой конец VPN-туннеля (10.11.100.20), я получаю "Узел назначения недоступен".

Но если я выключу Shorewall все работает!

Что-то не так с моей конфигурацией shorewall?

интерфейсы:

wan eth0 обнаруживает dhcp, routefilter, tcpflags
LAN eth1 обнаруживает dhcp
vpn ppp +

зоны:

брандмауэр fw
wan ipv4
LAN IPV4
vpn ipv4

MASQ:

eth0 eth1

Политика:

vpn lan ПРИНЯТЬ lan vpn ПРИНЯТЬ wan all DROP
lan all ОТКЛОНИТЬ fw all ПРИНЯТЬ все all ОТКАЗАТЬ

тоннели:

pptpserver wan 0.0.0.0/0

Обновить

Я уже решил это, но я не уверен, почему я должен это делать. В любом случае, решение было добавить другую политику:

впн все ПРИНЯТЬ

Я думал, что для Shorewall интерфейс VPN ppp0 будет сетевым интерфейсом, как и любой другой, но, похоже, он знает, что трафик ppp0 проходит через eth0 и не пропустит его, пока я не добавлю эту политику. Это правильно?

Источник

1 ответ

Решение

Вы не упомянули свой rules файл. Добавили ли вы соответствующие записи в rules файл, чтобы разрешить TCP-порт 1723 и GRE (IP-протокол 47) трафик на ваш сервер pptp? Смотрите эту страницу для деталей.

Ответ на обновление

Попробуйте заменить vpn all ACCEPT с эквивалентным набором политик

vpn fw  ACCEPT
vpn wan ACCEPT
vpn lan ACCEPT

и проверьте, все ли еще работает. Если это так, попробуйте удалить каждую из этих политик одну за другой, проверяя, все ли работает каждый раз, чтобы перейти к минимальному набору требуемых политик. Возможно ли, что единственная политика, которую вам действительно нужно добавить, это vpn wan ACCEPT?

Источник
Другие вопросы по тегам