правило для "iplir conf firewall"

[Vlad08 0]

 

 

Добрый день!

подскажите правило для "iplir conf firewall" для того чтобы видеть туннелируемые узлы. В  «iplir conf» секции координатора туннель прописан

[kpys 0]

Если не заморачиваться, то

rule= num 1 proto any from any to any	pass

 

[kpys 0]

в секции [tunnel] естественно

[Vlad08 0]

Это правило есть

[kpys 0]

тунели работают? Что конкретно Вы хотите "видеть"?

[Vlad08 0]

Машины которые стоят за координатором не видят туннелируемый сервер, координатор eth0 внешняя сеть, eth1 локальная пинги проходят "iplir ping" оба кординатора видят друг друга. Хочу, что бы туннели работали, как сделать не знаю

[ingenico 0]

Проверьте маршрутизацию. Куда отправляют ответ туннелируемые ресурсы? Если на Координаторе не включен NAT, то туннелируемые запросы от Клиентов к ресурсам идут через Координатор с исходным IP-source. Поэтому defaul gateway на ресурсах должен смотреть на Координатор или добавьте на них соответствующий маршрут. Или правило NAT в Координатор.

[Vlad08 0]

Да, я хотел узнать как правильно прописать правило в nat

[ingenico 0]

Я у себя в секции [NAT] прописал просто   rule= num 1 proto any from anyip to anyip change src=X.X.X.X:dynamic

где X.X.X.X адрес Координатора "смотрящий" на туннелируемые ресурсы.

Натится всё. Удаленные Клиента из Интернета нормально подключаются.

Можно более точные правила прописать, если известна адресация Клиентов.

[Vlad08 0]

В 08.07.2016в16:15, ingenico сказал:

В 08.07.2016в16:15, ingenico сказал:

rule= num 1 proto any from anyip to anyip change src=X.X.X.X:dynamic

Прописал это правило в секции nat, но по прежнему нет пинга 8.8.8.8 с машины которая стоит за координатором, может ли быть проблема в фаерволе этой машины?

 

 

[ingenico 0]

Вроде речь шла о доступе на туннелируемые ресурсы, а не в Интернет (адрес 8.8.8.8).

Уточните (или лучше нарисуйте) вашу схему. Кто с кем не может связываться?

[Vlad08 0]

Да, всем спасибо за помощь, есть доступ к туннелям и к 8.8.8.8