El jue, 06-11-2008 a las 22:43 -0500, kazabe escribió: > Holas. > > Despues de reemplazar un servidor ISA con un enrutador en linux (100% > Etch) se me estan presentando problemas con los servicios VPN > Publicados. Aunque los usuarios externos pueden conectarse a la VPN, > no pueden llegar a ningun equipo de la red local. > > Este es el esquema general de la red: > > |||\_ Internet _/|||-------|||\_ Linux _/|||-------|||\_ ISA 2004 > _/|||-------|||\_LAN_/||| > > Y estas son las tablas de enrutamiento > > Kernel IP routing table > Destination Gateway Genmask Flags Metric Ref > Use Iface > 192.168.10.2 0.0.0.0 255.255.255.255 UH 0 0 0 > tun0 > 190.12.23.192 0.0.0.0 255.255.255.192 U 0 0 0 > eth1 > 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 > 0 eth2 > 192.168.12.0 0.0.0.0 255.255.255.0 U 0 0 > 0 eth2 > 192.168.10.0 192.168.10.2 255.255.255.0 UG 0 0 0 tun0 > 192.168.222.0 0.0.0.0 255.255.255.0 U 0 0 > 0 vmnet8 > 0.0.0.0 190.12.23.193 0.0.0.0 UG 0 0 > 0 eth1 > > Interfaz WAN es 190.12.23.194 > Interfaz LAN es 192.168.0.3 > IP Servidor ISA 192.168.0.1 > > Basicamente la VPN la publico reenviando todas las peticiones externas > del protocolo 47 (Gre IP) y puerto 1723 hacia el ISA. > > -A INPUT -p gre -m state --state NEW -j ACCEPT > -A INPUT -p tcp -m tcp --dport 1723 -m state --state NEW -j ACCEPT > -A FORWARD -d 192.168.6.5 -i eth1 -p gre -m state --state NEW -j ACCEPT > -A FORWARD -d 192.168.6.5 -i eth1 -p tcp -m tcp --dport 1723 -m state > --state NEW -j ACCEPT > > La misma configuracion la tengo en varios servidores, y funciona sin > problemas; Lo unico particular de este, es que tiene el ISA que antes > daba la cara a internet, y es el que toda la red local continua usando > como puerta de enlace (solamente el ISA usa al linux como puerta de > enlace). > > Si la VPN se esta conectando sin problemas, supongo que el fallo debe > estar en el enrutamiento, o alguna politica faltante en el firewall. > El problema es que no se como descartar eso. > > Como podria lograr por ejemplo que si consulto el puerto 1723 de > cualquier interfaz del linux, me responda directamente el 1723 del > servidor ISA? (algo asi como una DMZ). > > Continuare googleando buscando como solucionar este problema, y de > antemano agradezco cualquier ayuda que la lista me pueda aportar > > saludos > > -- > «Existen dos cosas infinitas: > el universo y la estupidez humana... y no estoy muy seguro de la primera» : > Albert Einstein > > Esos equipos de la LAN tienen que tener ademas de su gateway que me imagino que no coincide con el host de la VPN,,,, un segundo gateway o ruta que es la maquina VPN, para que el tráfico de vuelta llegue.
Por ejemplo este 2ª gateway se puede propagar por dhcp, o en el caso de que configures tcp/ip a mano en estas 3º maquinas de la LAN lo tendrás que especificara mano con el tipico route add........ hacia la maquina VPN. Saludos. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
