Hola!

Acabo de implementar un firewall con iptables, he puesto todo en ACCEPT para probar que funcionara, tanto el INPUT, OUTPUT y FORDWARE, despues ya los cerrare y creare las reglas pero lo he creado muy sencillo simplemente para hacer pruebas en mi casa!

Todo va perfecto, el unico problema es que al conectarme a una VPN externa solo se puede conectar 1 de la red interna, me explico:

Conecto a un Servidor VPN que hay en 254.254.210.2 ( por decir alguna ip externa )

el PC 1 si conecta hacia esa IP se conecta, lo intenta el PC 2 y hacia 254.254.210.2 no puede conectar, se queda en " comprovando usuario y contraseña ) pero si intenta conectar hacia otra VPN distina puede. Si se desconecta el PC1 de 254.254.210.2 el PC2 no puede conectar igualmente, tengo que reiniciar IPTABLES para que pueda conectar. Caso muy raro pero no se que mirar, he montado lo más basico de un firewall para que haga nat y que tenga todo abierto... alguien sabe que puede pasar... parece algo del GRE pero como puedo hacer para que dos PC de mi red conecten a la misma vez a la misma VPN??

Se ve un poco raro, en los logs del servidor de vpn si tienes algun registro del intento de conexion de la segunda maquina o en los logs del firewall tienes algun registro que te diga algo, si pones por default "iptables -P OUTPUT ACCEPT" para que todo el trafico de salida sea aceptado, a mi me parece mas bien que el servidor de vpn es el que esta revotando la segunda conexion, pon tu reglas de iptables para echarles un ojo.

He hecho las siguientes pruebas;

Conectar el router a un PC en monopuesto, prueba ok
Convertir router en multipuesto y conectar hasta 3 PC's hacia la misma VPN = OK

Poner el router tanto en monopuesto y multipuesto y utilizar firewall IPTABLES y solo poder conectar 1 hacia la misma VPN así que es cosa del IPTABLES o el servidor, lo he vuelto a montar de nuevo y todo igual! es más.... tengo configurado un servidor pptpd en mi empresa y hacia ese servidor ni puedo conectar pasando por las IPTABLES ya que con el router directo puedo perfectamente los 3 PC's... se que es raro pero me hace falta pode conectar 3 PC's hacia la misma VPN!

me trae loco!!! alguna regla especial se tiene que poner para este firewall acepte?? todos los imput output y fordware estan en ACCEPT para descartar que algo me frene!... alguna idea!?

que tipo de router es, el servidor donde tienes las iptables en los logs muestra algo, puedes hacer una traza desde las pc hacia la ip del servidor de las vpn, asi podriamos ver en que equipo se queda el salto

siento mi ignorancia pero si me explicas como miro todo eso!

el router es un zyxel p660hw-d1 que lo he probado en monopuesto y en multipuesto así que descartamos router no?

lo de la traza no se a que te refieres?? dudo que sea el remoto ya que sin pasar por IPTABLES si no desde el router directo funciona perfectisimamente 3 PC a la vez!

Tiene que estar el fallo en el IPTABLES y algo del puerto GRE ya que coneca pero se queda en " Comprovando nombre de usuario y contraseña " y con si apunto a un servidor PPTPD ni siquiera 1 se puede conectar! es algo del GRE ( puerto de autentificacioón de VPN ) o algo asi!

Mira primero que tipo de conexion a internet tienes, cable, adsl, E1?
Segundo segun te entendi tienes un router que conectas a un servidor linux con iptables y el servidor lo conectas a la red para darle salida a tus maquinas?
Tercero las maquinas que SO usan linux, windows, mac?
Desde una consola o linea de comandos en las maquinas has esto
tracert xxx.xxx.xxx.xxx ip del servidor de vpn (esto para windows)
traceroute xxx.xxx.xxx.xxx (para linux)
Lo que pasa es que lo que yo veo es que es una bronca entre el server y el router normalmente un servidor linux con iptables configurado para dejar pasar todo no te deberia de dar ese problema, el detalle esta que depende de tu configuracion entre el router y el servidor puedes tener un problema a al hora de compartir los puertos ya que todas las maquinas tratan de acceder al mismo puerto y si tu estas haciendo Nat en el server el router solo ve una ip del servidor entonces las peticiones al mismo puerto estan chocando, en el servidor de iptables en la carpeta /var/log/
hay un archivo messages que es el log trata de hacer la conexion y fijate que pone en ese archivo a lo mejor hay algun mensaje de erro y por ultimo que linux estas usando.

Respondiendo a tus pregunta

Tengo una conexión ADSL 2+ normal, la que te dan por el cable telefonico de toda la vida.. jejej

En lo que se refiere a la salida hacia internet, efectivamente lo hacen a trabes de un mi servidor Centos 5.3 y un IPTABLES que de momento lo tengo todo en ACCEPT. Igualmente lo he probado desde el mismo router y con otro router diferente y hace los mismos sintomas;
Mis 3 maquinas conectadas al router adsl todo funciona al 100% cuando les hago pasar por el IPTABLES solo 1 puede conectar hacia la VPN 254.254.210.2 las otras 2 se quedan en la comprovación del usuari y contraseña ( Destaco que si en el momento que esta 1 maquina conectada hacia esa VPN las demas no pueden conectar hacia esa VPN pero SI hacia otra VPN distinta, el servidor remoto lo descarto ya que si lo haces desde el router si que acepta las 3 conexiones a la vez )


La tercera pregunta; las maquinas cliente, los 3 PC utilizan Windows las 3, pero lo he provado con mi portatil linux y hace lo mismo.

<-- el detalle esta que depende de tu configuracion entre el router y el servidor puedes tener un problema a al hora de compartir los puertos ya que todas las maquinas tratan de acceder al mismo puerto y si tu estas haciendo Nat en el server el router solo ve una ip del servidor entonces las peticiones al mismo puerto estan chocando, -->

Segun esto, con otro router me tendria que funcionar? es problema del router entonces?? he probado de ponerlo en multipueto, en la actualidad lo he vuelto a poner en monopuesto ya que hace lo mismo.


-me tiene desesperado!! en el var/log no veo errores de conexión!

buenas de nuevo!
continuo investigando mi problema y llego a la conclusión despues de haber hecho mil pruebas...

Si pones todo el firewall en ACCEPT incluiendo el INPUT corres el riesgo que si tienes ( en el servidor Linux ) el servicio PPTPD tu red no llegara nunca a conecta hacia otro servidor PPTPD Externo pero si que podra hacerlo hacia un servidor PPTPD WINDOWS 2003, etc... cosa curiosa. Tienes que anular y renegar a tener un servidor PPTPD en el mismo servidor que hace de firewall para poder conectar tu red hacia otra red que tenga PPTPD LINUX.

Lo que si que no puedo hacer aún es conectarme a CUALQUIER SERVIDOR VPN tanto linux como windows, la primera IP privada que se conecte al exterior sera la unica que podra ir a la IP Publica externa hasta que no reinicies el servicio de firewall e iptables... el problema esta en el GRE, esa es la norma que falla y no se porque

Alguna idea!!!??? estoy muy desesperado!!!!!!

Hola de nuevo!

Aún no tengo respuesta sobre este tema, he probado de todo y he prosperado, ahora ya puedo conectarme hacia servidores pptpd pero lo extraño es;

Si me conecto desde la sede 1 hacia la sede 2, desde la sede 2 no puedo conectar hacia la sede 1, es como si GRE solo admitiera 1 sola ip de entrada o salida... alguna idea!?? si reinicio las IPTABLES si que puedo conectar desde la sede 2 hacia la 1 pero entonces desde la 1 hacia la 2 ya no puedo!

Alguien tiene algún ejemplo de iptables con GRE para poder aplicar para hacer pruebas???