Давно не было необходимости, но дебиан, в котором все работало и только обновлялся, перестал пускать клиентам gre и 1723 Клиенты (ноуты с виндой 7 и 8 и 10) на сторонний сервер пытаются поднять vpn (pptp) и у всех ошибка. либо не настроено прохождение пакетов GRE либо порт закрыт. эти клиенты с мобильного интернета и из другого офиса с аппаратным роутером удачно создают vpn.
iptables с сервера.
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N allowed
-N bad_tcp_packets
-N icmp_packets
-N tcp_packets
-N udp_packets
-A INPUT -p icmp -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT
-A INPUT -i eth0 -p gre -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -s ЛОКАЛЬНЫЙДИАПАЗОН -i eth1 -j ACCEPT
-A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
-A INPUT -s ВНЕШНИЙ -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 60700 -j ACCEPT
-A INPUT -p udp -m udp --dport 60700 -j ACCEPT
-A INPUT -d ВНЕШНИЙ -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -j tcp_packets
-A INPUT -i eth0 -p udp -j udp_packets
-A INPUT -i eth0 -p icmp -j icmp_packets
-A INPUT -p tcp -j bad_tcp_packets
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -p gre -j ACCEPT
-A FORWARD -p gre -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 1723 -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p gre -j ACCEPT
-A OUTPUT -p gre -j ACCEPT
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A tcp_packets -p tcp -m tcp --dport 20 -j allowed
-A tcp_packets -p tcp -m tcp --dport 21 -j allowed
-A tcp_packets -p tcp -m tcp --dport 22 -j allowed
-A tcp_packets -p tcp -m tcp --dport 443 -j allowed
-A tcp_packets -p tcp -m tcp --dport 1723 -j allowed
-A udp_packets -p udp -m udp --dport 53 -j ACCEPT
-A udp_packets -p tcp -m tcp --dport 53 -j ACCEPT
(убрал явные правила на проброс портов и адресов внешних интерфейсов)
загружены /sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe nf_nat_pptp
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc
/sbin/modprobe ip_gre
/sbin/modprobe ip_nat_pptp
мозг уже сломал что нужно сделать. провайдер ничего не режет. но не поднимаются туннели. даже telnet vpn-server 1723 молчит.
