Re: Problemas con enrutamiento VPN al reemplazar ISA con Linux

To: debian-user-spanish@lists.debian.org
Cc: debian-user-spanish@lists.debian.org
Subject: Re: Problemas con enrutamiento VPN al reemplazar ISA con Linux
From: Roberto León López <i32lelor.debian@gmail.com>
Date: Mon, 17 Nov 2008 08:41:11 +0100
Message-id: <1226907671.5461.2.camel@i32lelor-desktop>
In-reply-to: <c0e50df10811061943u699af8f6re6073020a27b29bb@mail.gmail.com>
References: <c0e50df10811061943u699af8f6re6073020a27b29bb@mail.gmail.com>

El jue, 06-11-2008 a las 22:43 -0500, kazabe escribió:
> Holas.
> 
> Despues de reemplazar un servidor ISA con un enrutador en linux (100%
> Etch) se me estan presentando problemas con los servicios VPN
> Publicados.  Aunque los usuarios externos pueden conectarse a la VPN,
> no pueden llegar a ningun equipo de la red local.
> 
> Este es el esquema general de la red:
> 
> |||\_ Internet _/|||-------|||\_ Linux _/|||-------|||\_ ISA 2004
> _/|||-------|||\_LAN_/|||
> 
> Y estas son las tablas de enrutamiento
> 
> Kernel IP routing table
> Destination       Gateway          Genmask          Flags Metric Ref
>  Use Iface
> 192.168.10.2     0.0.0.0           255.255.255.255  UH    0      0        0 tun0
> 190.12.23.192   0.0.0.0           255.255.255.192   U     0      0        0 eth1
> 192.168.0.0       0.0.0.0           255.255.255.0      U     0      0
>       0 eth2
> 192.168.12.0     0.0.0.0           255.255.255.0      U     0      0
>      0 eth2
> 192.168.10.0     192.168.10.2  255.255.255.0     UG    0      0        0 tun0
> 192.168.222.0   0.0.0.0           255.255.255.0      U     0      0
>     0 vmnet8
> 0.0.0.0             190.12.23.193   0.0.0.0             UG    0      0
>        0 eth1
> 
> Interfaz WAN es 190.12.23.194
> Interfaz LAN es 192.168.0.3
> IP Servidor ISA 192.168.0.1
> 
> Basicamente la VPN la publico reenviando todas las peticiones externas
> del protocolo 47 (Gre IP) y puerto 1723 hacia el ISA.
> 
> -A INPUT -p gre -m state --state NEW -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 1723 -m state --state NEW -j ACCEPT
> -A FORWARD -d 192.168.6.5 -i eth1 -p gre -m state --state NEW -j ACCEPT
> -A FORWARD -d 192.168.6.5 -i eth1 -p tcp -m tcp --dport 1723 -m state
> --state NEW -j ACCEPT
> 
> La misma configuracion la tengo en varios servidores, y funciona sin
> problemas;  Lo unico particular de este, es que tiene el ISA que antes
> daba la cara a internet, y es el que toda la red local continua usando
> como puerta de enlace (solamente el ISA usa al linux como puerta de
> enlace).
> 
> Si la VPN se esta conectando sin problemas, supongo que el fallo debe
> estar en el enrutamiento, o alguna politica faltante en el firewall.
> El problema es que no se como descartar eso.
> 
> Como podria lograr por ejemplo que si consulto el puerto 1723 de
> cualquier interfaz del linux, me responda directamente el 1723 del
> servidor ISA?  (algo asi como una DMZ).
> 
> Continuare googleando buscando como solucionar este problema, y de
> antemano agradezco cualquier ayuda que la lista me pueda aportar
> 
> saludos
> 
> -- 
> «Existen dos cosas infinitas:
> el universo y la estupidez humana... y no estoy muy seguro de la primera» :
> Albert Einstein
> 
> 
Esos equipos de la LAN tienen que tener ademas de su gateway que me
imagino que no coincide con el host de la VPN,,,, un segundo gateway o
ruta que es la maquina VPN, para que el tráfico de vuelta llegue.

Por ejemplo este 2ª gateway se puede propagar por dhcp, o en el caso de
que configures tcp/ip a mano en estas 3º maquinas de la LAN lo tendrás
que especificara mano con el tipico route add........ hacia la maquina
VPN.

Saludos.

Reply to:

References:
- Problemas con enrutamiento VPN al reemplazar ISA con Linux
  - From: kazabe <kazabe@gmail.com>

Prev by Date: Recupera tu bookmarks.html en Firefox 3
Next by Date: Re: apt-get update error: E: Dynamic MMap ran out of room
Previous by thread: Problemas con enrutamiento VPN al reemplazar ISA con Linux
Next by thread: Re: KDE no carga después de reiniciar Lenny [Solucionado]
Index(es):
- Date
- Thread