Problemilla al reemplazar ISA por Linux

kazabe kazabe en gmail.com
Sab Nov 15 14:16:11 CLST 2008 

Holas.

Despues de reemplazar un servidor ISA con un enrutador en linux (100% Etch)
se me estan presentando problemas con los servicios  VPN Publicados.  Aunque
los usuarios externos pueden conectarse a la VPN, no pueden llegar a ningun
equipo de la red local.

Este es el esquema general de la red:

|||\_ Internet _/|||-------|||\_ Linux _/|||-------|||\_ ISA 2004
_/|||-------|||\_LAN_/|||

Y estas son las tablas de enrutamiento

Kernel IP routing table
Destination       Gateway          Genmask          Flags Metric Ref
 Use Iface
192.168.10.2     0.0.0.0           255.255.255.255  UH    0      0        0
tun0
190.12.23.192   0.0.0.0           255.255.255.192   U     0      0        0
eth1
192.168.0.0       0.0.0.0           255.255.255.0      U     0      0      0
eth2
192.168.12.0     0.0.0.0           255.255.255.0      U     0      0     0
eth2
0.0.0.0             190.12.23.193   0.0.0.0             UG    0      0
0 eth1

Interfaz WAN es 190.12.23.194
Interfaz LAN es 192.168.0.3
IP Servidor ISA 192.168.0.1

Basicamente la VPN la publico reenviando todas las peticiones externas del
protocolo 47 (Gre IP) y puerto 1723 hacia el ISA.

-A INPUT -p gre -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1723 -m state --state NEW -j ACCEPT
-A FORWARD -d 192.168.6.5 -i eth1 -p gre -m state --state NEW -j ACCEPT
-A FORWARD -d 192.168.6.5 -i eth1 -p tcp -m tcp --dport 1723 -m state
--state NEW -j ACCEPT

La misma configuracion la tengo en varios servidores, y funciona sin
problemas;  Lo unico particular de este, es que tiene el ISA que antes daba
la cara a internet, y es el que toda la red local continua usando como
puerta de enlace (solamente el ISA usa al linux como puerta de enlace).

Si la VPN se esta conectando sin problemas, supongo que el fallo debe estar
en el enrutamiento, o alguna politica faltante en el firewall.
El problema es que no se como descartar eso.

Como podria lograr por ejemplo que si consulto el puerto 1723 de cualquier
interfaz del linux, me responda directamente el 1723 del
servidor ISA?  (algo asi como una DMZ).

Continuare googleando buscando como solucionar este problema, y de antemano
agradezco cualquier ayuda que la lista me pueda aportar

saludos

-- 
«Existen dos cosas infinitas:
el universo y la estupidez humana... y no estoy muy seguro de la primera» :
Albert Einstein

Más información sobre la lista de distribución Linux