AYUDA!!! Problema 2 router adsl en una misma LAN

cenvione

Lanero Regular
23 Jul 2008
9
Tengo una instalacion con 1 router + fw + dmz + lan.

Quiero añadir un segundo router para que todo el trafico smtp/pop3 vaya por el nuevo router y haciendo nat pase al servidor establecido para tal fin en la dmz.

Con un solo router va todo bien , pero añadiendo el segundo router, no se ve desde fuera ninguno de los servidores de la dmz , pero si se puede salir a internet a traves de el.

Para poner el segundo router he puesto entre el fw y los dos router adsl un pequeño hub.

No se si el problema son las rutas ...

El primer router es un eficient y el segundo un 3com 812, he probado cambiando el 3com por un zyxel y hace lo mismo.
 
Espere, podria hacer un dibujito de que es lo que quiere que no entendi?

Ok le mando un pequeño esquema.

Lo que quiero es hacer que todo el correo entre y salga por el router2 - 192.168.2.3 y que ciertas web accedan a traves de ambos router dependiendo de los DNS.

Ahora lo tenia con un solo router, el 192.168.2.2 haciendo nat al servidor de correo y al de web, pero al poner el segundo router no me hace el nat a ninguno de ellos ..

Un saludo.
 

Archivos adjuntos

  • grafica_inet_dmz_lan.jpg
    grafica_inet_dmz_lan.jpg
    51.4 KB · Visitas: 255
entonces a ver, usted quiere que todo el correo entre por el router 2.
Muy probablemente el asunto es que si la puerta de enlace predeterminada es el router 1 tenga que hacer doble NAT con el router 2 para que el paquete no se embolate. Es decir que cuando el router 2 contacte al servidor de correo la conexion sea a su nombre y no a la del cliente externo (tengo un escenario similar en mi empresa y me toca hacerlo asi para que funcione.
 
entonces a ver, usted quiere que todo el correo entre por el router 2.
Muy probablemente el asunto es que si la puerta de enlace predeterminada es el router 1 tenga que hacer doble NAT con el router 2 para que el paquete no se embolate. Es decir que cuando el router 2 contacte al servidor de correo la conexion sea a su nombre y no a la del cliente externo (tengo un escenario similar en mi empresa y me toca hacerlo asi para que funcione.


Efectivamente la puerta de enlace predeterminada es el router1 , pero donde hago el doble nat en el FW , en el router1 en el router2.


Otra prueba que podria hacer seria poner dos router 3com , ya que el efficient solo adminte una conexion lan, pinchar el router1 al fw, pinchar el router2 en una de las cuatro bocas libres del router1 y hacer nat en el router1 ... no lo se deberia de probarlo.


Gracias.
 
cual es el GW(Gateway) del firewall y cual el del servidor de correo? se que suena muy obvio peor necesito tener claro eso.
 
cual es el GW(Gateway) del firewall y cual el del servidor de correo? se que suena muy obvio peor necesito tener claro eso.


El Fw tiene 3 placas, eth0:192.168.1.1 (Lan), eth1:192.168.2.1 (Internet) y eth2:192.168.3.1 (DMZ).

Ahora de momento que es como funciona, el GW del firewall es el router1 (192.168.2.2) y el GW del servidor de correo/dns y del servidor web es el fw (192.168.3.1).
 
Le toca entonces hacerse el NAT doble en el router 2. Para que "engañe al firewall" esto solo soluciona el problema del correo.
 
Le toca entonces hacerse el NAT doble en el router 2. Para que "engañe al firewall" esto solo soluciona el problema del correo.

Cuando se refiere a hacer el doble nat es hacer nat tanto en el router1 como en el dos, y para el acceso desde el exterior al servidor web por el router2 me pasaria lo mismo??.

Gracias pero es que sigo sin verlo claro..
 
Usted entiende el concepto de NAT?

En principio creo que si, pero me esta poniendo en duda.

Yo estoy utilizando NAT desde el Router1 al FW y desde el router2 al FW.
En el FW recojo lo paquetes y por NAT los reenvio otra vez al destino correcto (servidor web y correo) , igual estoy abusando del nat y me esta generando estos poblemas , ya que podria hacer nat desde el router1 y router2 directamente al servidor de destino ...

Me estoy liando ...
 
El NAT como usted lo menciona lo esta haciendo en una sola direccion es decir de salida correo->firewall->routers. Cuando yo digo haga doble nat es hacerlo en dos direcciones es decir, no solamente de salida sino tambien de entrada. Entonces cuando algo llega al router2 por ejemplo el lo pasa al firewall como si fuera de el y no como si fuera del cliente (que es lo que pasa ahora) maso me di a entender?

Igual esta bien lo que me esta diciendo pero sabe que es NAT exactamente?
 
El NAT como usted lo menciona lo esta haciendo en una sola direccion es decir de salida correo->firewall->routers. Cuando yo digo haga doble nat es hacerlo en dos direcciones es decir, no solamente de salida sino tambien de entrada. Entonces cuando algo llega al router2 por ejemplo el lo pasa al firewall como si fuera de el y no como si fuera del cliente (que es lo que pasa ahora) maso me di a entender?

Igual esta bien lo que me esta diciendo pero sabe que es NAT exactamente?

Ok, es cierto solo lo estaba haciendo en una direccion que es en este caso de entrada
routers->firewall->correo ó routers->firewall->web , pero no lo hago de salida, la salida la gestiono solo por el gw, y aqui puede estar el problema.

A grandes rasgos el NAT es cambiar en tiempo real la direccion origen en cada paquete de salida por una nueva establecida.
 
Momento es al contrario, usted lo hace es de salida (porque cambia las direcciones de adentro cuando salen) lo otro es redireccion de puertos(no entra al tema). El problema esta en que como tiene dos routers le tiene que decir al que no es el default GW que cambie la direccion de la emisor (source) a la de el mismo. (como cuando se hace hacia afuera).

Entonces la idea es decirle al router que haga eso, aunque no todos los routers aceptan eso.

Si me explique maso que debe hacer?
 
Momento es al contrario, usted lo hace es de salida (porque cambia las direcciones de adentro cuando salen) lo otro es redireccion de puertos(no entra al tema). El problema esta en que como tiene dos routers le tiene que decir al que no es el default GW que cambie la direccion de la emisor (source) a la de el mismo. (como cuando se hace hacia afuera).

Entonces la idea es decirle al router que haga eso, aunque no todos los routers aceptan eso.

Si me explique maso que debe hacer?


Bueno como me estaba liando , he repasado toda la configuracion y es la siguiente:

FIREWALL -- 192.168.1.1 -- 192.168.2.1 -- 192.168.3.1
==============================================
# Redireccion de Puertos
# Enrutado DNS LAN --> DMZ
$IPTABLES -t nat -A PREROUTING -p udp -i $PLACA_LAN -d 192.168.3.2 --dport 53 -j DNAT --to-destination 192.168.3.2:53 //Servidor DNS

# Enrutado de SMTP EXTERIOR --> DMZ
$IPTABLES -t nat -A PREROUTING -p tcp -i $PLACA_EXTENA -d 192.168.2.1 --dport 25 -j DNAT --to-destination 192.168.3.2:25 //Servidor correo

# Enrutado de POP3 EXTERIOR --> DMZ
$IPTABLES -t nat -A PREROUTING -p tcp -i $PLACA_EXTERNA -d 192.168.2.1 --dport 110 -j DNAT --to-destination 192.168.3.2:110 //Servidor correo

# enrutado de entrada ADSL puerto 80, desde el router ADSL se hace NAPT a
# 192.168.2.1 y desde aqui se reenvia al servidor de web
$IPTABLES -t nat -A PREROUTING -p tcp -i $PLACA_EXTERNA -d 192.168.2.1 --dport 80 -j DNAT --to-destination 192.168.3.3:80 //Servidor web

# enrutado del Servidor DNS --> EXTERIOR
$IPTABLES -t nat -A PREROUTING -p udp -i $PLACA_DMZ -d 192.168.3.1 -j DNAT --to-destination $ROUTER1

# Cambio de direccion origen
# Salida de Internet
$IPTABLES -t nat -A POSTROUTING -o $PLACA_EXTERNA -j SNAT --to-source 192.168.2.1

ROUTER1 -- 129.168.2.2
===================
[FONT=Arial+Negrita0]Configured NAPT Servers[/FONT]
[FONT=Arial+Negrita0][FONT=Arial+Negrita0]Transport Service Server [/FONT][/FONT]
[FONT=Arial+Negrita0]tcp 80/http 192.168.2.1[/FONT][FONT=Arial+Negrita0]
tcp 25/smtp 192.168.2.1
udp 53/domain 192.168.2.1
tcp 110/pop3 192.168.2.1
tcp 53/domain 192.168.2.1


ROUTER2 -- 129.168.2.3
====================
PAT
Public TCP Port Pivate Ip Address Private Tcp Port
80 192.168.3.3 80

Como ves en ambos router estoy haciedo redireccion de puertos no NAT como dije al principio , tambien hago redirección de puertos en el FW, aunque en la salida a internet si hago NAT.


Espero que con estas notas nos centremos un poco mas en la configuracion . El problema es acceder desde el exterior por el router2 al servidor de correo ó web. Por el router1 tal y como esta funciona todo bien.

Gracias y perdona por todo este lío.



Un saludo
[/FONT]
 
si el problema es el router 2, y en el router es donde hay que hacer el doble nat por lo que expuse anteriormente. La otra seria que usara el FW con otra tarjeta de red y conectara directamente los dos routers a el y de ahi hiciera el "doble" NAT. Porque si los routers son de esos que entregan las ISP dudo que sea posible.
 
si el problema es el router 2, y en el router es donde hay que hacer el doble nat por lo que expuse anteriormente. La otra seria que usara el FW con otra tarjeta de red y conectara directamente los dos routers a el y de ahi hiciera el "doble" NAT. Porque si los routers son de esos que entregan las ISP dudo que sea posible.


Gracias lo comprobaré este fin de semana ...


El poner otra tarjeta de red en el FW , no tengo espacio, solo me admite 3 tarjetas como maximo, pero podria crearme un alias o una segunda ip en la tarjeta de salida a internet y jugar con esa segunda ip en el router2.
 
La verdad acabo de cambiar de opinion, no creo que otra tarjeta de red funcione tocaria alguien ams experto en linux ayudara.
 

Los últimos temas