Problemas con enrutamiento VPN al reemplazar ISA con Linux

To: debian-user-spanish@lists.debian.org
Subject: Problemas con enrutamiento VPN al reemplazar ISA con Linux
From: kazabe <kazabe@gmail.com>
Date: Thu, 6 Nov 2008 22:43:45 -0500
Message-id: <c0e50df10811061943u699af8f6re6073020a27b29bb@mail.gmail.com>

Holas.

Despues de reemplazar un servidor ISA con un enrutador en linux (100%
Etch) se me estan presentando problemas con los servicios VPN
Publicados.  Aunque los usuarios externos pueden conectarse a la VPN,
no pueden llegar a ningun equipo de la red local.

Este es el esquema general de la red:

|||\_ Internet _/|||-------|||\_ Linux _/|||-------|||\_ ISA 2004
_/|||-------|||\_LAN_/|||

Y estas son las tablas de enrutamiento

Kernel IP routing table
Destination       Gateway          Genmask          Flags Metric Ref
 Use Iface
192.168.10.2     0.0.0.0           255.255.255.255  UH    0      0        0 tun0
190.12.23.192   0.0.0.0           255.255.255.192   U     0      0        0 eth1
192.168.0.0       0.0.0.0           255.255.255.0      U     0      0
      0 eth2
192.168.12.0     0.0.0.0           255.255.255.0      U     0      0
     0 eth2
192.168.10.0     192.168.10.2  255.255.255.0     UG    0      0        0 tun0
192.168.222.0   0.0.0.0           255.255.255.0      U     0      0
    0 vmnet8
0.0.0.0             190.12.23.193   0.0.0.0             UG    0      0
       0 eth1

Interfaz WAN es 190.12.23.194
Interfaz LAN es 192.168.0.3
IP Servidor ISA 192.168.0.1

Basicamente la VPN la publico reenviando todas las peticiones externas
del protocolo 47 (Gre IP) y puerto 1723 hacia el ISA.

-A INPUT -p gre -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -m state --state NEW -j ACCEPT
-A FORWARD -d 192.168.6.5 -i eth1 -p gre -m state --state NEW -j ACCEPT
-A FORWARD -d 192.168.6.5 -i eth1 -p tcp -m tcp --dport 1723 -m state
--state NEW -j ACCEPT

La misma configuracion la tengo en varios servidores, y funciona sin
problemas;  Lo unico particular de este, es que tiene el ISA que antes
daba la cara a internet, y es el que toda la red local continua usando
como puerta de enlace (solamente el ISA usa al linux como puerta de
enlace).

Si la VPN se esta conectando sin problemas, supongo que el fallo debe
estar en el enrutamiento, o alguna politica faltante en el firewall.
El problema es que no se como descartar eso.

Como podria lograr por ejemplo que si consulto el puerto 1723 de
cualquier interfaz del linux, me responda directamente el 1723 del
servidor ISA?  (algo asi como una DMZ).

Continuare googleando buscando como solucionar este problema, y de
antemano agradezco cualquier ayuda que la lista me pueda aportar

saludos

-- 
«Existen dos cosas infinitas:
el universo y la estupidez humana... y no estoy muy seguro de la primera» :
Albert Einstein

Reply to:

Follow-Ups:
- Re: Problemas con enrutamiento VPN al reemplazar ISA con Linux
  - From: Roberto León López <i32lelor.debian@gmail.com>

Prev by Date: Re: Normas [ No OT]
Next by Date: Re: KDE no carga después de reiniciar Lenny [Solucionado]
Previous by thread: Problemas con enrutamiento VPN al reemplazar ISA con Linux
Next by thread: Re: Problemas con enrutamiento VPN al reemplazar ISA con Linux
Index(es):
- Date
- Thread