Re: Problemas con enrutamiento VPN al reemplazar ISA con Linux
El jue, 06-11-2008 a las 22:43 -0500, kazabe escribió:
> Holas.
>
> Despues de reemplazar un servidor ISA con un enrutador en linux (100%
> Etch) se me estan presentando problemas con los servicios VPN
> Publicados. Aunque los usuarios externos pueden conectarse a la VPN,
> no pueden llegar a ningun equipo de la red local.
>
> Este es el esquema general de la red:
>
> |||\_ Internet _/|||-------|||\_ Linux _/|||-------|||\_ ISA 2004
> _/|||-------|||\_LAN_/|||
>
> Y estas son las tablas de enrutamiento
>
> Kernel IP routing table
> Destination Gateway Genmask Flags Metric Ref
> Use Iface
> 192.168.10.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
> 190.12.23.192 0.0.0.0 255.255.255.192 U 0 0 0 eth1
> 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0
> 0 eth2
> 192.168.12.0 0.0.0.0 255.255.255.0 U 0 0
> 0 eth2
> 192.168.10.0 192.168.10.2 255.255.255.0 UG 0 0 0 tun0
> 192.168.222.0 0.0.0.0 255.255.255.0 U 0 0
> 0 vmnet8
> 0.0.0.0 190.12.23.193 0.0.0.0 UG 0 0
> 0 eth1
>
> Interfaz WAN es 190.12.23.194
> Interfaz LAN es 192.168.0.3
> IP Servidor ISA 192.168.0.1
>
> Basicamente la VPN la publico reenviando todas las peticiones externas
> del protocolo 47 (Gre IP) y puerto 1723 hacia el ISA.
>
> -A INPUT -p gre -m state --state NEW -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 1723 -m state --state NEW -j ACCEPT
> -A FORWARD -d 192.168.6.5 -i eth1 -p gre -m state --state NEW -j ACCEPT
> -A FORWARD -d 192.168.6.5 -i eth1 -p tcp -m tcp --dport 1723 -m state
> --state NEW -j ACCEPT
>
> La misma configuracion la tengo en varios servidores, y funciona sin
> problemas; Lo unico particular de este, es que tiene el ISA que antes
> daba la cara a internet, y es el que toda la red local continua usando
> como puerta de enlace (solamente el ISA usa al linux como puerta de
> enlace).
>
> Si la VPN se esta conectando sin problemas, supongo que el fallo debe
> estar en el enrutamiento, o alguna politica faltante en el firewall.
> El problema es que no se como descartar eso.
>
> Como podria lograr por ejemplo que si consulto el puerto 1723 de
> cualquier interfaz del linux, me responda directamente el 1723 del
> servidor ISA? (algo asi como una DMZ).
>
> Continuare googleando buscando como solucionar este problema, y de
> antemano agradezco cualquier ayuda que la lista me pueda aportar
>
> saludos
>
> --
> «Existen dos cosas infinitas:
> el universo y la estupidez humana... y no estoy muy seguro de la primera» :
> Albert Einstein
>
>
Esos equipos de la LAN tienen que tener ademas de su gateway que me
imagino que no coincide con el host de la VPN,,,, un segundo gateway o
ruta que es la maquina VPN, para que el tráfico de vuelta llegue.
Por ejemplo este 2ª gateway se puede propagar por dhcp, o en el caso de
que configures tcp/ip a mano en estas 3º maquinas de la LAN lo tendrás
que especificara mano con el tipico route add........ hacia la maquina
VPN.
Saludos.
Reply to: