Problemas con enrutamiento VPN al reemplazar ISA con Linux

2008-11-06 Thread kazabe 
Holas.

Despues de reemplazar un servidor ISA

|||\_ Internet _/|||---|||\_ Linux _/|||---|||\_ ISA 2004
_/|||---|||\_LAN_/|||

-- 
«Existen dos cosas infinitas:
el universo y la estupidez humana... y no estoy muy seguro de la primera» :
Albert Einstein


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Problemas con enrutamiento VPN al reemplazar ISA con Linux

2008-11-06 Thread kazabe 
Holas.

Despues de reemplazar un servidor ISA con un enrutador en linux (100%
Etch) se me estan presentando problemas con los servicios VPN
Publicados.  Aunque los usuarios externos pueden conectarse a la VPN,
no pueden llegar a ningun equipo de la red local.

Este es el esquema general de la red:

|||\_ Internet _/|||---|||\_ Linux _/|||---|||\_ ISA 2004
_/|||---|||\_LAN_/|||

Y estas son las tablas de enrutamiento

Kernel IP routing table
Destination   Gateway  Genmask  Flags Metric Ref
 Use Iface
192.168.10.2 0.0.0.0   255.255.255.255  UH0  00 tun0
190.12.23.192   0.0.0.0   255.255.255.192   U 0  00 eth1
192.168.0.0   0.0.0.0   255.255.255.0  U 0  0
  0 eth2
192.168.12.0 0.0.0.0   255.255.255.0  U 0  0
 0 eth2
192.168.10.0 192.168.10.2  255.255.255.0 UG0  00 tun0
192.168.222.0   0.0.0.0   255.255.255.0  U 0  0
0 vmnet8
0.0.0.0 190.12.23.193   0.0.0.0 UG0  0
   0 eth1

Interfaz WAN es 190.12.23.194
Interfaz LAN es 192.168.0.3
IP Servidor ISA 192.168.0.1

Basicamente la VPN la publico reenviando todas las peticiones externas
del protocolo 47 (Gre IP) y puerto 1723 hacia el ISA.

-A INPUT -p gre -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -m state --state NEW -j ACCEPT
-A FORWARD -d 192.168.6.5 -i eth1 -p gre -m state --state NEW -j ACCEPT
-A FORWARD -d 192.168.6.5 -i eth1 -p tcp -m tcp --dport 1723 -m state
--state NEW -j ACCEPT

La misma configuracion la tengo en varios servidores, y funciona sin
problemas;  Lo unico particular de este, es que tiene el ISA que antes
daba la cara a internet, y es el que toda la red local continua usando
como puerta de enlace (solamente el ISA usa al linux como puerta de
enlace).

Si la VPN se esta conectando sin problemas, supongo que el fallo debe
estar en el enrutamiento, o alguna politica faltante en el firewall.
El problema es que no se como descartar eso.

Como podria lograr por ejemplo que si consulto el puerto 1723 de
cualquier interfaz del linux, me responda directamente el 1723 del
servidor ISA?  (algo asi como una DMZ).

Continuare googleando buscando como solucionar este problema, y de
antemano agradezco cualquier ayuda que la lista me pueda aportar

saludos

-- 
«Existen dos cosas infinitas:
el universo y la estupidez humana... y no estoy muy seguro de la primera» :
Albert Einstein


--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: Problemas con enrutamiento VPN al reemplazar ISA con Linux

2008-11-16 Thread Roberto León López 
El jue, 06-11-2008 a las 22:43 -0500, kazabe escribió:
> Holas.
> 
> Despues de reemplazar un servidor ISA con un enrutador en linux (100%
> Etch) se me estan presentando problemas con los servicios VPN
> Publicados.  Aunque los usuarios externos pueden conectarse a la VPN,
> no pueden llegar a ningun equipo de la red local.
> 
> Este es el esquema general de la red:
> 
> |||\_ Internet _/|||---|||\_ Linux _/|||---|||\_ ISA 2004
> _/|||---|||\_LAN_/|||
> 
> Y estas son las tablas de enrutamiento
> 
> Kernel IP routing table
> Destination   Gateway  Genmask  Flags Metric Ref
>  Use Iface
> 192.168.10.2 0.0.0.0   255.255.255.255  UH0  00 
> tun0
> 190.12.23.192   0.0.0.0   255.255.255.192   U 0  00 
> eth1
> 192.168.0.0   0.0.0.0   255.255.255.0  U 0  0
>   0 eth2
> 192.168.12.0 0.0.0.0   255.255.255.0  U 0  0
>  0 eth2
> 192.168.10.0 192.168.10.2  255.255.255.0 UG0  00 tun0
> 192.168.222.0   0.0.0.0   255.255.255.0  U 0  0
> 0 vmnet8
> 0.0.0.0 190.12.23.193   0.0.0.0 UG0  0
>0 eth1
> 
> Interfaz WAN es 190.12.23.194
> Interfaz LAN es 192.168.0.3
> IP Servidor ISA 192.168.0.1
> 
> Basicamente la VPN la publico reenviando todas las peticiones externas
> del protocolo 47 (Gre IP) y puerto 1723 hacia el ISA.
> 
> -A INPUT -p gre -m state --state NEW -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 1723 -m state --state NEW -j ACCEPT
> -A FORWARD -d 192.168.6.5 -i eth1 -p gre -m state --state NEW -j ACCEPT
> -A FORWARD -d 192.168.6.5 -i eth1 -p tcp -m tcp --dport 1723 -m state
> --state NEW -j ACCEPT
> 
> La misma configuracion la tengo en varios servidores, y funciona sin
> problemas;  Lo unico particular de este, es que tiene el ISA que antes
> daba la cara a internet, y es el que toda la red local continua usando
> como puerta de enlace (solamente el ISA usa al linux como puerta de
> enlace).
> 
> Si la VPN se esta conectando sin problemas, supongo que el fallo debe
> estar en el enrutamiento, o alguna politica faltante en el firewall.
> El problema es que no se como descartar eso.
> 
> Como podria lograr por ejemplo que si consulto el puerto 1723 de
> cualquier interfaz del linux, me responda directamente el 1723 del
> servidor ISA?  (algo asi como una DMZ).
> 
> Continuare googleando buscando como solucionar este problema, y de
> antemano agradezco cualquier ayuda que la lista me pueda aportar
> 
> saludos
> 
> -- 
> «Existen dos cosas infinitas:
> el universo y la estupidez humana... y no estoy muy seguro de la primera» :
> Albert Einstein
> 
> 
Esos equipos de la LAN tienen que tener ademas de su gateway que me
imagino que no coincide con el host de la VPN un segundo gateway o
ruta que es la maquina VPN, para que el tráfico de vuelta llegue.

Por ejemplo este 2ª gateway se puede propagar por dhcp, o en el caso de
que configures tcp/ip a mano en estas 3º maquinas de la LAN lo tendrás
que especificara mano con el tipico route add hacia la maquina
VPN.

Saludos.


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]