Fw Gnu/Linux+vpn PPTP+clientes Windows xp

Tema: 

Estimados,
He estado con alguno problemas con este tipo de diagrama de red:

clientes guindows --->fw+squid linux ----> servidor VPN (con windows)

hasta alli todo lindo.

configure el script iptables; para que pueda admitir la conexion de la vpn asi

$IPTABLES -A OUTPUT -p tcp --sport 1723 -j ACCEPT #hice
$IPTABLES -A OUTPUT -p 47 -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 1723 -j ACCEPT #hice
$IPTABLES -A IMPUT -p 47 -j ACCEPT
$IPTABLES -A INPUT -p udp --sport 4500 -j ACCEPT #hice
$IPTABLES -A OUTPUT -p udp --sport 4500 -j ACCEPT #hice
$IPTABLES -A INPUT -p udp --sport 500 -j ACCEPT #hice
$IPTABLES -A OUTPUT -p udp --sport 500 -j ACCEPT #hice
$IPTABLES -A INPUT -p udp --sport 1701 -j ACCEPT #hice
$IPTABLES -A OUTPUT -p udp --sport 1701 -j ACCEPT #hice
$IPTABLES -A OUTPUT -p 50 -j ACCEPT

bueno con este script logre que una maquina de la red interna (clientes guindows) se conecte pero la pregunta es, si alguien ha logrado conectarse en una misma res con un mismo usuario a un servidor a la vez.
Se puede ???, ocurrencias de los jefes ? :(

Gracias de antemano..

Comentarios

No entiendo muy bien,

Imagen de Monkito

No entiendo muy bien, quieres que varios clientes de la red interna se conecten con el servidor vpn que se encuentra al otro lado del gateway?, con el nat debería ser suficiente...

counter.li.org

Cogito Ergo Sum

------------
counter.li.org

Cogito Ergo Sum

quieres que varios clientes

Imagen de morpheuss_ec

quieres que varios clientes de la red interna se conecten con el servidor vpn que se encuentra al otro lado del gateway?
Exacto, de que estoy leyendo es un problema de pptp (maldito protocolo de M$), entonce, guindows lo tiene parchado, para el kernel linux hay q activar el modulo gre
modprobe ip_gre
pero tampoco :(.

q esctracto de iptables podria ayudarme..... adjunto mi script de iptables:

#!/bin/sh
# iptables, by Technion
# $Id: iptables,v 1.33 2002/11/20 23:22:16 technion Exp $
# chkconfig: 2345 08 80
# description: Script for setting IPTABLES rules
# processname: iptables

# Is this script to be run on Red Hat Linux? If not, set to "NO"
REDHAT="YES"

# Network information you will need to adjust
INTERNALIF="eth2"
INTERNALNET="10.0.0.0/24"
INTERNALBCAST="10.0.0.255"
EXTERNALIF="eth0"
#MYADDR="1.2.3.4" # Only needed for DNAT, leave out otherwise

# Pathnames
DMESG="/bin/dmesg"
IPTABLES="`which iptables`"
MODPROBE="/sbin/modprobe"

# This is a batch of Red Hat Linux-specific commands
# that enable a user to call the script with a start/stop/restart
# argument.
if [ X"$REDHAT" = X"YES" ]; then
. /etc/rc.d/init.d/functions
case "$1" in
stop)
action "Shutting down firewall:" echo
$IPTABLES -F
$IPTABLES -P FORWARD DROP
exit 0
;;
status)
echo "The status command is not supported for iptables"
exit 0
;;
restart|reload)
$0 stop
exec $0 start
;;
start)
action "Starting Firewall:" echo
;;
*)
echo "Usage: firewall (start|stop|restart)"
exit 1
esac
fi

################################################################
#Insert modules- should be done automatically if needed
dmesg -n 1 #Kill copyright display on module load
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_gre
#
## Flush everything, start from scratch
#
# Incoming packets from the outside network
$IPTABLES -F INPUT
# Outgoing packets from the internal network
$IPTABLES -F OUTPUT
# Forwarding/masquerading
$IPTABLES -F FORWARD
#Nat table
$IPTABLES -t nat -F
##Setup sysctl controls which affect tcp/ip

#
#Disabling IP Spoofing attacks.
#Comment this line out when using IPSEC
echo 2 > /proc/sys/net/ipv4/conf/all/rp_filter

#Don't respond to broadcast pings
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo "1" > /proc/sys/net/ipv4/icmp_ratelimit
echo "1" > /proc/sys/net/ipv4/icmp_ratemask

#Defragment all Packets
#Default now

#Enable forwarding
echo 1 >/proc/sys/net/ipv4/ip_forward

#Block source routing
echo 1 >/proc/sys/net/ipv4/conf/all/accept_source_route

#Kill timestamps. These have been the subject of a recent bugtraq thread
echo 0 > /proc/sys/net/ipv4/tcp_timestamps

#Enable SYN Cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

#Kill redirects
echo 0 >/proc/sys/net/ipv4/conf/all/accept_redirects

#Enable bad error message protection
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

#Allow dynamic ip addresses
##echo "1" > /proc/sys/net/ipv4/ip_dynaddr

#Log martians (packets with impossible addresses)
#RiVaL said that certain NICs don't like this. Comment out if necessary.
echo 1 >/proc/sys/net/ipv4/conf/all/log_martians

#Set out local port range
echo "32768 61000" >/proc/sys/net/ipv4/ip_local_port_range

#Reduce DoS'ing ability by reducing timeouts
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
echo 1 > /proc/sys/net/ipv4/tcp_window_scaling
echo 0 > /proc/sys/net/ipv4/tcp_sack
echo 1280 > /proc/sys/net/ipv4/tcp_max_syn_backlog

##Set basic rules
#
#Note that unlike ipchains, rules passing through a FORWARD chain do NOT
#also have to pass through an INPUT chain.

#Kill ANY stupid packets, including
#-Packets that are too short to have a full ICMP/UDP/TCP header
#- TCP and UDP packets with zero (illegal) source and destination ports
#-Illegal combinations of TCP flags
#-Zero-length (illegal) or over-length TCP and IP options,
# or options after the END-OF-OPTIONS option
#-Fragments of illegal length or offset (e.g., Ping of Death).
#Above list ripped from http://www.linux-mag.com/2000-01/bestdefense_02.html

#This has been found to be a little buggy. Removed for now.
##$IPTABLES -A INPUT -m unclean -j DROP
##$IPTABLES -A FORWARD -m unclean -j DROP

#Kill invalid packets (illegal combinations of flags)
$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -m state --state INVALID -j DROP

# Allow all connections on the internal interface
#

$IPTABLES -A INPUT -i lo -j ACCEPT

#Kill connections to the local interface from the outside world.
$IPTABLES -A INPUT -d 127.0.0.0/8 -j REJECT

#Allow unlimited traffic from internal network using legit addresses
$IPTABLES -A INPUT -i $INTERNALIF -s $INTERNALNET -j ACCEPT
#
#Allow IPV6 tunnel traffic
#$IPTABLES -A INPUT -p ipv6 -j ACCEPT

#Allow IPSEC tunnel traffic
#$IPTABLES -A INPUT -p 50 -j ACCEPT
#Allow all traffic from the ipsec device to the internal network
#$IPTABLES -A FORWARD -i ipsec0 -o $INTERNALIF -j ACCEPT
#Allow key negotiation
#$IPTABLES -A INPUT -p udp --dport 500 -j ACCEPT

#Kill anything from outside claiming to be from internal network
$IPTABLES -A INPUT -i $EXTERNALIF -s $INTERNALNET -j REJECT

##ICMP
#ping don't forward pings going inside
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -o $INTERNALIF -j REJECT
#ping flood protection
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j DROP
#Deny icmp to broadcast address
$IPTABLES -A INPUT -p icmp -d $INTERNALBCAST -j DROP

#Allow all other icmp
$IPTABLES -A INPUT -p icmp -j ACCEPT

##Allow established connections
#Unlike ipchains, we don't have to go through the business of allowing
#a local port range- just allow all connections already established.

$IPTABLES -t nat -A PREROUTING -s $INTERNALNET -p tcp --dport 443 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A PREROUTING -s $INTERNALNET -p tcp --dport 80 -j REDIRECT --to-port 3128

#$IPTABLES -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
#$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

#$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
### $IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-dest 200.81.81.132:80
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#para Net2Phone el Ejecutivo
##$IPTABLES -t nat -A PREROUTING -p tcp -d 200.81.81.130 --dport 21000:21050 -j DNAT --to 200.81.81.186:21000-21050
##$IPTABLES -t nat -A PREROUTING -p udp -d 200.81.81.130 --dport 4000:4050 -j DNAT --to 200.81.81.186:4000-4050

#Note that unlike ipchains, the following must be enabled even with masquerading
#Don't forward SMB related traffic
$IPTABLES -A FORWARD -o $EXTERNALIF -p tcp --dport 137 -j REJECT
$IPTABLES -A FORWARD -o $EXTERNALIF -p tcp --dport 138 -j REJECT
$IPTABLES -A FORWARD -o $EXTERNALIF -p tcp --dport 139 -j REJECT
$IPTABLES -A FORWARD -o $EXTERNALIF -p udp --dport 137 -j REJECT
$IPTABLES -A FORWARD -o $EXTERNALIF -p udp --dport 138 -j REJECT
$IPTABLES -A FORWARD -o $EXTERNALIF -p udp --dport 139 -j REJECT

$IPTABLES -A INPUT -i $EXTERNALIF -p udp --dport 137 -j REJECT

# denegado impresion a la externa
$IPTABLES -A INPUT -p tcp --dport 631 -j DROP
$IPTABLES -A INPUT -p udp --dport 631 -j DROP
$IPTABLES -A INPUT -i $EXTERNALIF -p tcp --dport 631 -j REJECT
$IPTABLES -A INPUT -i $EXTERNALIF -p udp --dport 631 -j REJECT

#Samba Share
#$IPTABLES -A INPUT -p tcp --dport 137 -j ACCEPT
#$IPTABLES -A INPUT -p udp --dport 137 -j ACCEPT
#$IPTABLES -A INPUT -p tcp --dport 138 -j ACCEPT
#$IPTABLES -A INPUT -p udp --dport 138 -j ACCEPT
#$IPTABLES -A INPUT -p tcp --dport 139 -j ACCEPT
#$IPTABLES -A INPUT -p udp --dport 139 -j ACCEPT
#
#Allow ALL other forwarding going out
$IPTABLES -A FORWARD -o $EXTERNALIF -i $INTERNALIF -j ACCEPT

#Allow replies coming in

$IPTABLES -A FORWARD -i $EXTERNALIF -m state --state ESTABLISHED,RELATED -j ACCEPT

#Whack allowances
#Allow DHCP- Optus users need this
#$IPTABLES -A INPUT -p udp -d 255.255.255.255 --dport 68 -j ACCEPT

#Allow yourself to be a DHCP server for your inside network
#Necessary because the default rule allowing valid addresses ignores broadcast
#$IPTABLES -A INPUT -i $INTERNALIF -p tcp --sport 68 --dport 67 -j ACCEPT
#$IPTABLES -A INPUT -i $INTERNALIF -p udp --sport 68 --dport 67 -j ACCEPT

#Allow nameserver packets. Different versions of iptables seem to error here.
#Comment out if necessary.

cat /etc/resolv.conf | \
awk '/^nameserver/ {print $2}' | \
xargs -n1 $IPTABLES -A INPUT -p udp --sport 53 -j ACCEPT -s

#Allow Telstra hearbeat
#This section is propz to Defed
#$IPTABLES -A INPUT -p udp --sport 5050 -j ACCEPT
#$IPTABLES -A INPUT -p udp --sport 5051 -j ACCEPT

#From here on, we're dealing with connection attempts.
#The -m limit is a DoS protection on connects
#First we allow a certain amount of connections per second
#DROP the rest (so we don't DoS ourself with rejections)
#We don't limit normal packets (!syn) by allowing the rest
##Basic services. Uncomment to allow in.
# ftp-data
$IPTABLES -A INPUT -p tcp --dport 20 -j ACCEPT
# ftp
$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT
# ssh
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
# Conecion al BDD
$IPTABLES -A INPUT -p tcp --dport 3306 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 3306 -j ACCEPT
#webmin
$IPTABLES -A INPUT -p tcp --dport 40350 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 10000 -j ACCEPT
# cambio de contrasena
$IPTABLES -A INPUT -p tcp --dport 20000 -j ACCEPT
#squid
#$IPTABLES -A INPUT -p tcp --dport 8080 -j ACCEPT
#telnet
#$IPTABLES -A INPUT -p tcp --dport 23 -j ACCEPT

# smtp One per second limt -burst rate of ten
$IPTABLES -A INPUT -p tcp --dport 25 --syn -m limit --limit 1/s \
--limit-burst 10 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 25 --syn -j DROP
$IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT

# DNS
$IPTABLES -A INPUT -p tcp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT
# http
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
# Tomcat
$IPTABLES -A INPUT -p tcp --dport 8007 -j ACCEPT
$IPTABLES -A INPUT -p udp --dport 8007 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 8080 -j ACCEPT
# POP-3
$IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT
# identd
#$IPTABLES -A INPUT -p tcp --dport 113 -j ACCEPT
# https
#$IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT
#VNC Server
#$IPTABLES -A INPUT -p tcp --dport 5801 -j ACCEPT
#$IPTABLES -A INPUT -p tcp --dport 5901 -j ACCEPT
#$IPTABLES -A INPUT -p tcp --dport 6001 -j ACCEPT
#############################################
$IPTABLES -A IMPUT -p 47 -j ACCEPT
$IPTABLES -A OUTPUT -p 47 -j ACCEPT
$IPTABLES -A FORWARD -p 47 -j ACCEPT
# Esto es para Servidores
$IPTABLES -A INPUT -p tcp -d 0.0.0.0/0 --destination-port 1723 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -s 0.0.0.0/0 --source-port 1723 -j ACCEPT
# Esto es para clientes
$IPTABLES -A INPUT -p tcp -s 0.0.0.0/0 --source-port 1723 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -d 0.0.0.0/0 --destination-port 1723 -j ACCEPT
# Estas Son reglas existentes PARA VPN
$IPTABLES -A OUTPUT -p tcp --sport 1723 -j ACCEPT #hice
$IPTABLES -A OUTPUT -p 47 -j ACCEPT
$IPTABLES -A INPUT -p tcp --sport 1723 -j ACCEPT #hice
$IPTABLES -A INPUT -p udp --sport 4500 -j ACCEPT #hice
$IPTABLES -A OUTPUT -p udp --sport 4500 -j ACCEPT #hice
$IPTABLES -A INPUT -p udp --sport 500 -j ACCEPT #hice
$IPTABLES -A OUTPUT -p udp --sport 500 -j ACCEPT #hice
$IPTABLES -A INPUT -p udp --sport 1701 -j ACCEPT #hice
$IPTABLES -A OUTPUT -p udp --sport 1701 -j ACCEPT #hice
$IPTABLES -A OUTPUT -p 50 -j ACCEPT
# Nuevas Reglas para VPN
$IPTABLES -A FORWARD -s 10.0.0.0/24 -d 10.0.3.0/24 -j ACCEPT
$IPTABLES -A FORWARD -d 10.0.0.0/24 -s 10.0.3.0/24 -j ACCEPT

#
##DNAT
#Modify addresses and uncomment to allow DNAT (port forwarding)

#Send web requests to an internal machine
#Send mail to an internal machine
#$IPTABLES -A PREROUTING -t nat -i $EXTERNALIF -p tcp -d $MYADDR --dport 80 \
# -j DNAT --to 192.168.0.10:80
#$IPTABLES -A FORWARD -i $EXTERNALIF -p tcp -d 192.168.0.10 --dport 80 -j ACCEPT

#$IPTABLES -A PREROUTING -t nat -i $EXTERNALIF -p tcp -d $MYADDR --dport 25 \
# -j DNAT --to 192.168.0.10:25
#$IPTABLES -A FORWARD -i $EXTERNALIF -p tcp -d 192.168.0.10 --dport 25 -j ACCEPT
# iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 21000 -j DNAT --to-destination 192.168.1.1-192.168.1.10
# iptables -t nat -A PREROUTING -p udp -d 15.45.23.67 --dport 4000 -j DNAT --to-destination 192.168.1.1-192.168.1.10
##Some ports should be denied and logged.
$IPTABLES -A INPUT -p tcp --dport 1433 -m limit -j LOG \
--log-prefix "Firewalled packet: MSSQL "

$IPTABLES -A INPUT -p tcp --dport 1433 -j DROP
$IPTABLES -A INPUT -p tcp --dport 6670 -m limit -j LOG \
--log-prefix "Firewalled packet: Deepthrt "
$IPTABLES -A INPUT -p tcp --dport 6670 -j DROP
$IPTABLES -A INPUT -p tcp --dport 6711 -m limit -j LOG \
--log-prefix "Firewalled packet: Sub7 "
$IPTABLES -A INPUT -p tcp --dport 6711 -j DROP
$IPTABLES -A INPUT -p tcp --dport 6712 -m limit -j LOG \
--log-prefix "Firewalled packet: Sub7 "
$IPTABLES -A INPUT -p tcp --dport 6712 -j DROP
$IPTABLES -A INPUT -p tcp --dport 6713 -m limit -j LOG \
--log-prefix "Firewalled packet: Sub7 "
$IPTABLES -A INPUT -p tcp --dport 6713 -j DROP

$IPTABLES -A INPUT -p tcp --dport 12345 -m limit -j LOG \
--log-prefix "Firewalled packet: Netbus "
$IPTABLES -A INPUT -p tcp --dport 12345 -j DROP
$IPTABLES -A INPUT -p tcp --dport 12346 -m limit -j LOG \
--log-prefix "Firewalled packet: Netbus "
$IPTABLES -A INPUT -p tcp --dport 12346 -j DROP
$IPTABLES -A INPUT -p tcp --dport 20034 -m limit -j LOG \
--log-prefix "Firewalled packet: Netbus "
$IPTABLES -A INPUT -p tcp --dport 20034 -j DROP
$IPTABLES -A INPUT -p tcp --dport 31337 -m limit -j LOG \
--log-prefix "Firewalled packet: BO "
$IPTABLES -A INPUT -p tcp --dport 31337 -j DROP
$IPTABLES -A INPUT -p tcp --dport 6000 -m limit -j LOG \
--log-prefix "Firewalled packet: XWin "
$IPTABLES -A INPUT -p tcp --dport 6000 -j DROP

#Traceroutes depend on finding a rejected port. DROP the ones it uses

$IPTABLES -A INPUT -p udp --dport 33434:33523 -j DROP

#Don't log ident because it gets hit all the time eg connecting to an irc server
$IPTABLES -A INPUT -p tcp --dport 113 -j REJECT

#Don't log igmp. Some people get too many of these
$IPTABLES -A INPUT -p igmp -j REJECT

#Don't log web or ssl because people surfing for long times lose connection
#tracking and cause the system to create a new one, flooding logs.
$IPTABLES -A INPUT -p tcp --dport 80 -j REJECT
$IPTABLES -A INPUT -p tcp --dport 443 -j REJECT

##Catch all rules.
#iptables reverts to these if it hasn't matched any of the previous rules.
#Log. There's no point logging noise. There's too much of it.
#Just log connection requests
$IPTABLES -A INPUT -p tcp --syn -m limit --limit 5/minute -j LOG \
--log-prefix "Firewalled packet:"
$IPTABLES -A FORWARD -p tcp --syn -m limit --limit 5/minute -j LOG \
--log-prefix "Firewalled packet:"
#Reject
$IPTABLES -A INPUT -p tcp -j REJECT --reject-with tcp-reset
$IPTABLES -A INPUT -p all -j DROP
$IPTABLES -A FORWARD -p tcp -j REJECT --reject-with tcp-reset
$IPTABLES -A FORWARD -p all -j DROP
#Accept it anyway if it's only output
$IPTABLES -A OUTPUT -j ACCEPT
#Masquerade internal connections going out.
$IPTABLES -A POSTROUTING -t nat -o $EXTERNALIF -j MASQUERADE

exit 0

"Como no sabian q era imposible lo hicieron"
(anònimo)
"Prefiero que mi mente se abra movida por la curiosidad .a que se cierre movida por la convicción"
(G.Spence)
"Matrix es el mundo que

"Como no sabian q era imposible lo hicieron"
(anònimo)
"Prefiero que mi mente se abra movida por la curiosidad .a que se cierre movida por la convicción"
(G.Spence)
"Matrix es el mundo que

Tampoco entiendo bien

Imagen de PowerNet

Que tal.

No entiendo bien lo que estas tratando de hacer, No se si la estructura que pones es de tu red interna, si es asi no es necesario la VPN, para hacer vpn se debería tener mas o menos la siguiente grafica :

clientes Windows ---> fw+squid linux ----> INTERNET <---- servidor VPN (con windows)

Por otro lado no creo que puedas conectarte con el MISMO usuario al mismo servidor (valga la redundancia)..

De pronto puedes manejar la siguiente estructura para crear un tunel entre 2 servidores Linux ( e incluso puede ser entre Linux- Cisco o Cisco - Cisco) y con esto tendrías acceso a cualquier máquinas de las redes privadas de lado y lado ya que es como si fuera una sola red interna.

red lan 1---> Servidor Linux1 ----> INTERNET <---- Servidor Linux 2 <---- red lan 2

Para Routers se hace lo siguiente:

Router 1
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
interface Serial0
ip address 172.16.4.1 255.255.255.252
interface Tunnel0
ip address 10.0.0.1 255.255.255.252
tunnel source Serial0
tunnel destination 172.16.4.2

Router 2
interface FastEthernet0
ip address 191.168.2.1 255.255.255.0
interface Serial0
ip address 172.16.4.2 255.255.255.252
interface Tunnel0
ip address 10.0.0.2 255.255.255.252
tunnel source Serial0/0
tunnel destination 172.16.4.1

Y lo que resta es crear las rutas para que el trafico que vaya a lass redes LAN se vaya por el tunel de la siguiente manera:
ip route 192.168.1.0 255.255.255.255.0 10.0.0.1 --> En el router 2
ip route 192.168.2.0 255.255.255.255.0 10.0.0.2 --> En el router 1

Nota:- Debes tener el IOS si mal no recuerdo 12.1 como mínimo para que funcione, esto le he tenido funcionando en Cisco 1605 y 1710 ..

Para los Linux básicamente se hace lo mismo de la siguiente manera (te copio la configuracion que encontre en Internet pero que si funciona, no encuentro la configuracion que tenia por eso no te la paso, pero la que esta mas abajo mas o menos se ):

(Linux 1)
ip tunnel add tuna mode gre remote 22.22.22.22 local 11.11.11.11 ttl 255
ip link set tuna up
ip addr add 192.168.1.1 dev tuna
ip route add 192.168.2.0/24 dev tuna

(Linux 2)
ip tunnel add tunb mode gre remote 11.11.11.11 local 22.22.22.22 ttl 255
ip link set tunb up
ip addr add 192.168.2.1 dev tunb
ip route add 192.168.1.0/24 dev tunb

Nota:- Esto lo he tenido funcionando en distribuciones Redhat, Whitebox y Fedora.

Espero te sirva..

Att.
PowerNet

Cita: bueno con este script

Imagen de RazaMetaL

[quote]bueno con este script logre que una maquina de la red interna (clientes guindows) se conecte pero la pregunta es, si alguien ha logrado conectarse en una misma res con un mismo usuario a un servidor a la vez.
Se puede ???, ocurrencias de los jefes ? [/quote]

Se puede lograr pero con openvnp, tambien se puede lograr con ipsec, no se si sea posible con PPTP, nunca lo he utilizado. Por que no pruebas instalando openvpn en el servidor windows?

------------

Antes de preguntar visita el [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

 

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});