Estoy hasta los mismísimos ******* de probar aparatos para poder configurar una conexión web decente en mi empresa. Me dedico a la informática de forma un poco elemental y de bajo coste.
Con lo cual he caido en las garras de aparatos tales como. Routers 3com 812, firewall zywal 10w. y otros tantos. efficient 5600, etc.
bueno el tema es lo siguiente.... ninguno de los apartos me deja del todo satisfecho.
actualmente la mejor configuraic´çon que tengo es la de un router 3com 812 con el firewall zywall 10w.
y empiezan mis dolores de cabeza.
caso 1:
3com en monopuesto y firewall con nat:
bien... pues hasta aquí todo bien... funciona a las mil maravillas, pero aparte de los servicios propios de mi servidor (que no son pocos, DNS. correo web, web, ssl, correo smtp, y pop, terminal server, y alguna chorrada mas) tengo que redirigir algunos puertos externos a otros pc's de la red. por ejemplo puerto emule para varios pc's. puerto de terminal server para mi pc particular. puertos para otros aparatos de monitorización.
Problema! El Zywall 10w solo me deja declarar 11 mapeos de puertos... y lo peor no es eso. sino que no me hace port translating, sino que obligatoriamente me lso deja en el mismo puerto (esto último es lo de menos).
La ventaja que obtengo es que con una sola regla DNS en el servidor interno puedo acceder al servidor teclando la ip externa haciendo un triagle route y el firewall me la devuelve al servidor en cuestión.... es decir desde los pc's internos puedo acceder a la ip externa tal como si estuviera en el exterior (el firewall no se queda la conexión al menos que coincida con un puerto suyo).
como con 11 mapeos de puertos me quedo extremadamente corto decidí probra el caso 2
CASO 2:
Router 3com en multipuesto
Lan_1 IP 172.16.0.1/C
Lan_2 IP 192.168.10.1/C
WAN IP X.X.X.X/XX
default workstation 172.16.0.2
Firewall ZyWALL 10W
WAN IP 172.16.0.2/C
LAN IP 10.0.0.1/C
Servidor
LAN_1 192.168.10.200/C
LAN_2 10.0.0.2/C
UNICO GATEWAY 10.0.0.1
(con esto obligo al servidor a pasar por el firewall y las conexiones entrantes mas de lo mismo)
Resto de PC's
192.168.10.X/C
Gateway 192.168.10.1
Con esto dejo los pc's normales conectando directamente a través del 3com812 hacia internet.
pero el 3com 812 pasa todas las entrantes que no pasen por NAT a la 172.16.0.2 (firewall), el firewall le pasa con sus respectivas reglas de filtrado... unas cuantas cosillas al servidor en 10.0.0.2
todo esto funcionaaaaaaa el servidor es accesible desde internet. el servidor puede tener acceso a internet, los pc's de la oficina tienen acceso a internet.
pero!!!.... jodido "pero!"... pasa lo mismo que si pongo un 3com 812 en multipuesto solo con mapeo de puertos a algun server interno.
NO REALIZA TRIANGLE ROUTE
es decir cuando desde la red interna busco por la IP externa.
me contesta el router 3com 812 (en cualkier servicio y puerto, no pasa el requerimineto hacia el servidor o su respectivo destinatario).
A ver, alguien sabe como activarlo desde CLI? o alguna solución con rutas? se puede crear una loopback en el router? pq de momento no me deja!
Y NOOOOOOO!!!! NO quiero definir vistas en el DNS del servidor. Ni HOSTS, NI NADA!!!1 tiene que haber una manera decento como ofrecen casi todos los routers menos el 5600 y el 812 (ya no conosco otros)
TAMPOCO QUIERO tener que redirigir el tráfico internet con un programa a lo winroute a través del servidor.
si no os habeis dado cuenta esta configuración se basa en seguridad.
y eso es lo que quiero.
me da igual que peten los pc's de usuario. pero el servidor tiene que ser intocable.
y no deben pasar rutas a través de el.
inclusive he eliminado las rutas internas que unen el loopback de windows 2000 server de las dos tarjetas de red para que no sepan la una de la otra.
y con el administrador del invento en cuestión digo que programas usan unas y cuales otras. y en muy contados casos las dos.
Tiene que haber una manera correcta de hacer esto.
que me devuelva la conexión al servidor desde los pc's locales cuando buscan por la ip externa
otra cosa es que el correo tiene que ser accesible desde los dos lados... con la configuración anterior lo eran. ahora hay uan configuración para la red interna y otra para la externa .... PUES NOOOO. los usuarios son cazurros y no entienden de diferentes configuraciones y pq
otros son lso que tienen portátiles y se lo llevan a casa lo conectan allí y quieren ver el correo. pues no pueden pq tienen una dirección ip privada.
ALGUIEN HA PODIDO DARLE LA VUELTA A UN CASO PARECIDO CON EL 812???? O TENGO QUE COMPRAR UN ROUTER ZyXEL QUE "SI" ME LO PERMITE?
de verdad me choca pensar que un router que permite tanta manipulación (para lo que cuesta y lo que ocupa) no pueda resolver este simple tropiezo. Cuando otros mas caros y menos configurables lo hacen de manera predeterminada.
SALUDOS Y GRACIAS.