NAT для интернета и работа в общей сети.

[tello]

Есть HW1000 к нему подключена локальная сеть и 2 VPN канала с удаленных областей с HW100. Нужно чтобы удаленные области имели выход в интернет и могли работать с сетью.

Я добавил в NAT правило для подмены адреса для подсети удаленных областей и тогда происходит то что весь трафик проходящий через координатор HW1000(а весь трафик воле не волей и так идет через координатор) производит подмену и в итоге при обращении в локальную сеть трафик приходит уже с подменой. Да выход в интернет работает при таких настройках но мне требуется в локальной сети на серверах видеть реальный ip так как некоторые сервисы работают с ip и дают определенные возможности в зависимости от того от куда пришел трафик.

Можно произвести настройку так чтобы подмена ip происходила только в определенных условиях например только при обращении к порту 80? Или чтобы подмена происходила только при обращении в сеть интернет?

[Kirsav123]

Запросто, в секции [nat] firewall.conf указываете rule= num (номер правила) change src=(адрес координатора):dynamic proto any from 192.168.201.0/24:80 (тогда подмена будет только при обращении к 80 порту) to (адрес назначения):80

[tello]

Если вы прочитаете руководство к администрированию то в пункте Синтаксис правил трансляции адресов можно прочитать такую особенность:

Для трансляции адреса отправителя лексема  from указывает набор адресов внутренней сети, которые будут подвергаться трансляции, при этом в лексеме  from можно указывать только адреса, диапазоны адресов и маски, а также их списки. Указывать порты или диапазоны портов нельзя.

Ну и я конечно пробовал он не дает сохранить такое правило.

[Kirsav123]

 

4 часа назад, tello сказал:

Можно произвести настройку так чтобы подмена ip происходила только в определенных условиях например только при обращении к порту 80? 

В from действительно нельзя, а вот to (192.0.2.1,192.0.2.2):22 - никто вам не мешает.

[tello]

Я так понимаю, вы не желаете ознакомится с руководством администратора HW1000.

Тогда я сделаю еще одну цитату из того же раздела что и в прошлый раз "Синтаксис правил трансляции адресов":

Для трансляции адреса отправителя (динамическая трансляция адресов) в лексеме
proto должно быть указано  any , а в лексеме  to должно быть указано  anyip .

Конечно попробовал и он не дает сохранить подобное правило. Да и если честно не пойму как мне это поможет не буду же я писать правила для каждого сайта в интернете.

[Kirsav123]

С документацией-то я пожелал ознакомиться. ПАК ViPNet Coordinator HW 3. Руководство администратора, стр. 146. 

Цитата

Примеры полных правил трансляции адресов:
 Для трансляции адреса отправителя:
rule= num 10 change src=194.87.0.8:dynamic proto any from 192.168.201.0/24 to (192.0.2.1,192.0.2.2):22
 Для трансляции адреса получателя:
rule= num 100 change dst=10.0.0.7:8080 proto tcp from 192.0.2.1-192.0.2.10 to 194.87.0.8:80

Но информация не соответствует действительности, на ПАК правило не применяется.

[tello]

Видать устарела ваша документация, да и пример,странный:

rule= num 10 change src=194.87.0.8:dynamic proto any from 192.168.201.0/24 to (192.0.2.1,192.0.2.2):22

Была бы притензия на то что порты можно указать только для tcp протокола а указано any. Хотя не знаю от куда это взято.

[KIV]

Версию координатора напишите. На старых версиях нельзя в секции Нат при изменении адреса источника было указывать назначение, теперь можно. Поэтому все зависит от версии рег файлов 3.6 или 3.7 и версии ПО на HW1000.

[tello]

Версии HW1000 G2  2.5(203) и HW1000 G2  2.6(205) а ПО VipNet Coordinator 3.6.4 на обоих

[KIV]

 С такими версиями в секции нат нельзя указывать назначение для правила. Самый верный способ на выходе в инет поставить маршрутер и на нем уже натить.

P.S. Версии 2 уже не сертифицированы, обновляйтесь до 3, а там и с натом проблема пройдет.

[tello]

Вы что то путаете. На сайте сейчас есть сертификаты на HW1000 v2 и они еще не просрочены.

Я может что то не заметил но я вроде не видел HW 1000 v3 у ИнфоТекс, хотя возможно вы подразумеваете HW 3 .

[diis]

У меня есть схожая проблема - требуется разный NAT на двух разных интерфейсах. Вот думаю - если правилами forward , которые должны к правилам NAT прилагаться, порты уточнить? Заработают два ната или нет?

[nat]
rule= num 1 proto any from 10.0.0.0/23 to anyip   change src=10.1.1.1:dynamic
rule= num 2 proto any from 10.0.0.0/23 to anyip   change src=10.2.1.1:dynamic

[forward]
rule= num 1 proto tcp from 10.0.0.0/23 to 10.1.1.5:80   pass
rule= num 2 proto tcp from 10.0.0.0/23 to 10.2.1.5:8080   pass