Jump to content

Recommended Posts

Добрый день!

Есть у защищённого АП (випнет версии 4) в связях координатор, у координатора есть туннели. Доступа к координатору нет (межсетевое).

Есть возможность закрыть/открыть доступ с этих туннелей только с определённых адресов? Например через фильтр защищённой сети.

Share this post


Link to post
Share on other sites

Попробовать можно, если полномочия разделены у вас, то можете так же просто удалять их у клиентов которым не нужны они, но тут есть опасение, что после обновления информации ключевой они будут появляться если установлены через ЦУС.

Как вариант, если они все через ваш координатор ходят, на нём запретить в МЭ или что у вас там на выходе и эфект должен быть анадгичный.

На пример там тунель на 11.0.0.15 (и какой там его реальный IP) вы у себя на МЭ (который на границе) зарещате их на IP 1,5,6,9,15,20,23,29 и должно работать.

Share this post


Link to post
Share on other sites
9 часов назад, Vintik сказал:

Попробовать можно, если полномочия разделены у вас, то можете так же просто удалять их у клиентов которым не нужны они, но тут есть опасение, что после обновления информации ключевой они будут появляться если установлены через ЦУС

На координаторе туннель, например, 192.168.0.1-192.168.0.254, этот координатор в связи с АП с установленным випнет клиентом. Можно, да, на самом клиенте в настройках этого координатора, на вкладке туннель, удалить туннели,  и оставить только нужные адреса, но, как Вы правильно сказали, при обновлении справочников эти туннели встанут обратно. Решение временное, и больше похоже на костыль.

9 часов назад, Vintik сказал:

Как вариант, если они все через ваш координатор ходят, на нём запретить в МЭ или что у вас там на выходе и эфект должен быть анадгичный.

На пример там тунель на 11.0.0.15 (и какой там его реальный IP) вы у себя на МЭ (который на границе) зарещате их на IP 1,5,6,9,15,20,23,29 и должно работать.

Так это работает, если координатор сам туннелирует клиентов, разве нет? Т.е., если АП с випнет клиентом имеет в связях координатор соседа, то свой координатор может не принимать участия в обмене. По крайней мере в моём координаторе в журнале пакетов я не вижу обмена между АП и координатором соседа, а значит и зафильтровать не могу.

Share this post


Link to post
Share on other sites
44 минуты назад, w03zd8rc сказал:

Так это работает, если координатор сам тунн....

На сколько я понимаю, тунели "расширяют" клиенту "маршрутную карту" (я не спец. потому извиняюсь за такие названия), но точно знаю, что есть вот в организации випнет клиент и тунели и они не как не могут пробиться на ВЭБку по нему... потом становится ясно, что это же конечно МЭ (прокси) у них рубит левые IP. Так что думаю вы можете попробовать и думаю должно работать т.к. тунели не предполагают же "заворачивать" всё и это на IP координатора отправлять...

По крайне мере не раз видел такое (аналогия с ФИС-ФРДО, думаю знаете про таких). Так что попробовать можно. По крайне мере если ТАМ где то нет прав, то тут у вас есть все права, даже на отдельном МЭ (на пример в любом АЗИ сейчас они есть, в каспере на пример) у клиентов которым нельзя кому - "сюда и сюда" - разрешаете им "туда и туда" а всё остальное рубите.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.