DimmKo Опубликовано 28 Апреля 2017 Жалоба Поделиться Опубликовано 28 Апреля 2017 Добрый день, подскажите, пожалуйста, если кто что знает. Проблема: есть ViPnet Coordinator (3.x.x) на Linux, есть ПК1 с Windows и ПК2 ViPnet УКЦ тоже на Windows. ПК1 и ПК2 находятся в разных сетях, у Coordinator 2 сетевые карты, которые смотрят в обе сети. Необходимо получить доступ по RDP на ПК2 (ViPnet Administrator УКЦ). Что было сделано: на Coordinator (eth1 10.1.0.44, eth2 - 10.0.0.2) в iptables прописаны след правила: iptables -t nat -A POSTROUTING --out-interface eth1 -j MASQUERADE iptables -A FORWARD --in-interface eth2 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -i eth2 -m tcp --dport 3389 -j DNAT --to-destination 10.0.0.7:3389 После этого сохранил и перезапустил Iptables. Попробовал подключиться - работает. Хотел второй раз проверить - не работает. Удаленный стол пытается соединиться, но потом отваливается через длительное время. Всё это настраивалось людьми, которых уже нет. Сам вот застрял и не могу понять в чем может быть причина. Если кто-то что-то может подсказать, пожалуйста, помогите. Спасибо. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 28 Апреля 2017 Жалоба Поделиться Опубликовано 28 Апреля 2017 Вам однозначно необходимо прописывать все правила в ПО ViPNet, МЭ, встроенный в ПО ViPNet не будет работать с iptables, об этом явно написано в документации: не гарантируется нормальная работа ПО ViPNet Coordinator Linux на одном компьютере совместно со сторонними средствами преобразования трафика, со сторонними средствами защиты, работающими на канальном, сетевом или транспортном уровне (в частности, ipchains и iptables), и со сторонними средствами шифрования трафика (IPSec и так далее). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vintik Опубликовано 28 Апреля 2017 Жалоба Поделиться Опубликовано 28 Апреля 2017 Обычно в комплекте Администратора есть 3 клиента, один точно стоит на УКЦ + ЦУС скорее всего у вас, потому вам бы себе надо поставить второго, чтоб и канал был шифрованный и не кто лишний не лез. И не будет проблем с РДП. В данном случае скорее всего у вас Випнет во 2-м режиме, потом он всё верно делает. что всяких левых не пускает. Я кстате надеюсь что люди которые настраивали по ещё есть, просто у вас не работают. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
DimmKo Опубликовано 28 Апреля 2017 Автор Жалоба Поделиться Опубликовано 28 Апреля 2017 1 час назад, zero сказал: Вам однозначно необходимо прописывать все правила в ПО ViPNet, МЭ, встроенный в ПО ViPNet не будет работать с iptables, об этом явно написано в документации: не гарантируется нормальная работа ПО ViPNet Coordinator Linux на одном компьютере совместно со сторонними средствами преобразования трафика, со сторонними средствами защиты, работающими на канальном, сетевом или транспортном уровне (в частности, ipchains и iptables), и со сторонними средствами шифрования трафика (IPSec и так далее). Спасибо большое за ваш ответ. Буду тогда пробовать настраивать это в МЭ. Поищу соответствующую литературу. 15 минуту назад, Vintik сказал: Обычно в комплекте Администратора есть 3 клиента, один точно стоит на УКЦ + ЦУС скорее всего у вас, потому вам бы себе надо поставить второго, чтоб и канал был шифрованный и не кто лишний не лез. И не будет проблем с РДП. В данном случае скорее всего у вас Випнет во 2-м режиме, потом он всё верно делает. что всяких левых не пускает. Я кстате надеюсь что люди которые настраивали по ещё есть, просто у вас не работают. Увы, на втором не могу поставить клиента. Думал как раз его через Coordinator пустить, раз тот в обе сети смотрит. Буду пытаться сделать так, как написал Zero. Люди те есть, конечно, просто мы с ними не алё больше.))) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vintik Опубликовано 28 Апреля 2017 Жалоба Поделиться Опубликовано 28 Апреля 2017 Так у вас есть доступ к ЦУС же? Впишите в тунель IP вашего ПК, отправьте обновление на координатор и он должен пусть вас как доверенного. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
DimmKo Опубликовано 28 Апреля 2017 Автор Жалоба Поделиться Опубликовано 28 Апреля 2017 3 минуты назад, Vintik сказал: Так у вас есть доступ к ЦУС же? Впишите в тунель IP вашего ПК, отправьте обновление на координатор и он должен пусть вас как доверенного. Доступ есть, но он такой замороченный. Подробности не могу сказать, сами понимаете. Ладно, буду пробовать варианты. Жаль, конечно, что iptables не работает, это помогло бы скорее. Спасибо большое за помощь. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KIV Опубликовано 8 Мая 2017 Жалоба Поделиться Опубликовано 8 Мая 2017 Есть ещё туннелирование через ssh. Может вам подойдёт? И никаких правил писать не придется. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vintik Опубликовано 8 Мая 2017 Жалоба Поделиться Опубликовано 8 Мая 2017 Через ssh разве не на координатор? Тут я понял задача попасть на АРМ с ЦУС. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KIV Опубликовано 10 Мая 2017 Жалоба Поделиться Опубликовано 10 Мая 2017 Я так понимаю с тачки на вроде, через Linux координатор на админа попасть нужно. SSH до координатора + туннель до админа. Самое то. Кстати работает и HWшках. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
DimmKo Опубликовано 3 Июля 2018 Автор Жалоба Поделиться Опубликовано 3 Июля 2018 В 10.05.2017 в 03:55, KIV сказал: Я так понимаю с тачки на вроде, через Linux координатор на админа попасть нужно. SSH до координатора + туннель до админа. Самое то. Кстати работает и HWшках. Год спустя я победил RDP тем способом, что вы предложили. Спасибо! P.S. Конечно, я не год это делал, просто отпала тогда надобность резко, а сейчас вновь понадобилось. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KIV Опубликовано 4 Июля 2018 Жалоба Поделиться Опубликовано 4 Июля 2018 Ну здорово. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.