PPTP forwarding to Win2K srvr inside

PPTP uses TCP protocol on port 1723 as well as protocol 47 (GRE).  The packet filter rules don't allow for protocol 47 (GRE), so you'd have to create a packet filter rule specifically for your win2k server which lets anything go to or from it.  You can use the filtering on windows to make that box safe.  

This is only my guess and I'll be trying it myself soon.

I'm in the same boat.

VPN Win2K Server on 192.168.2.10

Using NAT.

Clients seem to connect but timeout at login/pass with error 721 like the original post here.
I have setup NAT rules for PPTP & GRE but not having a lot of joy here.  I can PPTP out to my works PPTP server fine, but my work box has a static public IP address.

I am guessing NAT is failing to pass stuff correctly ?  I see PPTP TIME_WAIT when I do a netstat on the client.
 
Anyone have PPTP working with Win2K and private IP's ?

It appears GRE isn't passing via NAT ?

With me it isn't working either. Has anyone been successfull yet ? Reading the numerous posts in here everybody is having problems with it, but there no solution mentioned anywhere, even from the people of Astaro itself.

Franc.

With me it isn't working either. Has anyone been successfull yet ? Reading the numerous posts in here everybody is having problems with it, but there no solution mentioned anywhere, even from the people of Astaro itself.

Franc.

in very old Version 2 post the GRE protocol has NOT been installed to forward in ASL.  They said at one time that had plans to configure the firewall to forward the GRE.   If they did it I doubt since so many ppl can't seem to do it.

Hello alltogether,

the implemented modules ip_nat_proto_grea and 
ip_conntrack_proto_gre are the latest available
netfilter patches. They work for masquerading
PPTP traffic but not for SNAT/DNAT.

The only solution is to run the server with
public IP addresses in the DMZ.

Sorry for the negative reply but it is not in
our hands. Hopefully the netfilter developer
will spend some time to implement complete
NAT support for PPTP.

read you
o|iver

I feel VPN servers, whether IPSEC or PPTP should be run in the DMZ anyways. No problem here doing that =)

Sure I agree, but our DMZ is made up of private ip-adresses (back to back config, 2 firewalls and DMZ between them). So for us it's a 'no go'.

Franc.

Well crap.

I only have private IP's inside, whether DMZ or not.

Mind me asking which version of netfilter you are using in Astaro so I can pester the netfilter people.

An update for you all on this issue:

On Thu, Jun 20, 2002 at 09:06:29AM +0800, Simon Shaw wrote:
> Hi,
> I am using Astaro, a linux based firewall product.
> (www.astaro.org)
> 
> We are having problems with ipfilter and connecting to Windows 2000 Server 
> PPTP behind NAT.
> The issue is that GRE (P 47) is not getting passed correctly to private IP's.
> 
> See...
> the implemented modules ip_nat_proto_grea and
> ip_conntrack_proto_gre are the latest available
> netfilter patches. They work for masquerading

> PPTP traffic but not for SNAT/DNAT.

they are never meant for being used with DNAT.  Please read the comments
at top of the .c files, they clearly point out that this is not yet supported.

=== AND HERE ===

On Thu, Jun 20, 2002 at 08:50:42PM +0800, Simon Shaw wrote:
> Are there any ETA's on support for this ?

as soon as somebody either

a) writes the necessary code because he needs pptp dnat for himself
b) funds development of the necessarry code

  [:(]

Hello All,

I realize this post is a few months old, but I am curious if any resolution has/is being worked on.  I have emailed netfilter in the past, but have not received any responses.