Jump to content

Recommended Posts

Есть HW1000 к нему подключена локальная сеть и 2 VPN канала с удаленных областей с HW100. Нужно чтобы удаленные области имели выход в интернет и могли работать с сетью.

Я добавил в NAT правило для подмены адреса для подсети удаленных областей и тогда происходит то что весь трафик проходящий через координатор HW1000(а весь трафик воле не волей и так идет через координатор) производит подмену и в итоге при обращении в локальную сеть трафик приходит уже с подменой. Да выход в интернет работает при таких настройках но мне требуется в локальной сети на серверах видеть реальный ip так как некоторые сервисы работают с ip и дают определенные возможности в зависимости от того от куда пришел трафик.

Можно произвести настройку так чтобы подмена ip происходила только в определенных условиях например только при обращении к порту 80? Или чтобы подмена происходила только при обращении в сеть интернет?

Share this post


Link to post
Share on other sites

Запросто, в секции [nat] firewall.conf указываете rule= num (номер правила) change src=(адрес координатора):dynamic proto any from 192.168.201.0/24:80 (тогда подмена будет только при обращении к 80 порту) to (адрес назначения):80

Share this post


Link to post
Share on other sites

Если вы прочитаете руководство к администрированию то в пункте Синтаксис правил трансляции адресов можно прочитать такую особенность:

Для трансляции адреса отправителя лексема  from указывает набор адресов внутренней сети, которые будут подвергаться трансляции, при этом в лексеме  from можно указывать только адреса, диапазоны адресов и маски, а также их списки. Указывать порты или диапазоны портов нельзя.

Ну и я конечно пробовал он не дает сохранить такое правило.

Share this post


Link to post
Share on other sites

 

4 часа назад, tello сказал:

Можно произвести настройку так чтобы подмена ip происходила только в определенных условиях например только при обращении к порту 80? 

В from действительно нельзя, а вот to (192.0.2.1,192.0.2.2):22 - никто вам не мешает.

Share this post


Link to post
Share on other sites

Я так понимаю, вы не желаете ознакомится с руководством администратора HW1000.

Тогда я сделаю еще одну цитату из того же раздела что и в прошлый раз "Синтаксис правил трансляции адресов":

Для трансляции адреса отправителя (динамическая трансляция адресов) в лексеме
proto должно быть указано  any , а в лексеме  to должно быть указано  anyip .

Конечно попробовал и он не дает сохранить подобное правило. Да и если честно не пойму как мне это поможет не буду же я писать правила для каждого сайта в интернете.

Share this post


Link to post
Share on other sites

С документацией-то я пожелал ознакомиться. ПАК ViPNet Coordinator HW 3. Руководство администратора, стр. 146. 

Цитата

Примеры полных правил трансляции адресов:
 Для трансляции адреса отправителя:
rule= num 10 change src=194.87.0.8:dynamic proto any from 192.168.201.0/24 to (192.0.2.1,192.0.2.2):22
 Для трансляции адреса получателя:
rule= num 100 change dst=10.0.0.7:8080 proto tcp from 192.0.2.1-192.0.2.10 to 194.87.0.8:80

Но информация не соответствует действительности, на ПАК правило не применяется.

Share this post


Link to post
Share on other sites

Видать устарела ваша документация, да и пример,странный:

rule= num 10 change src=194.87.0.8:dynamic proto any from 192.168.201.0/24 to (192.0.2.1,192.0.2.2):22

Была бы притензия на то что порты можно указать только для tcp протокола а указано any. Хотя не знаю от куда это взято.

Share this post


Link to post
Share on other sites

Версию координатора напишите. На старых версиях нельзя в секции Нат при изменении адреса источника было указывать назначение, теперь можно. Поэтому все зависит от версии рег файлов 3.6 или 3.7 и версии ПО на HW1000.

Share this post


Link to post
Share on other sites

Версии HW1000 G2  2.5(203) и HW1000 G2  2.6(205) а ПО VipNet Coordinator 3.6.4 на обоих

Share this post


Link to post
Share on other sites

 С такими версиями в секции нат нельзя указывать назначение для правила. Самый верный способ на выходе в инет поставить маршрутер и на нем уже натить.

P.S. Версии 2 уже не сертифицированы, обновляйтесь до 3, а там и с натом проблема пройдет.

Share this post


Link to post
Share on other sites

Вы что то путаете. На сайте сейчас есть сертификаты на HW1000 v2 и они еще не просрочены.

Я может что то не заметил но я вроде не видел HW 1000 v3 у ИнфоТекс, хотя возможно вы подразумеваете HW 3 .

Share this post


Link to post
Share on other sites

У меня есть схожая проблема - требуется разный NAT на двух разных интерфейсах. Вот думаю - если правилами forward , которые должны к правилам NAT прилагаться, порты уточнить? Заработают два ната или нет?

[nat]
rule= num 1 proto any from 10.0.0.0/23 to anyip   change src=10.1.1.1:dynamic
rule= num 2 proto any from 10.0.0.0/23 to anyip   change src=10.2.1.1:dynamic

[forward]
rule= num 1 proto tcp from 10.0.0.0/23 to 10.1.1.5:80   pass
rule= num 2 proto tcp from 10.0.0.0/23 to 10.2.1.5:8080   pass


 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.