kulbik Опубликовано 5 Февраля 2018 Жалоба Поделиться Опубликовано 5 Февраля 2018 Добрый день. Сеть 1 координатор + 250 клиентов. Шлюз с интернетом, маршрутизацией и firewall на линуксе без Vipnet. Соответственно все клиенты на шлюзе представляются одним IP Координатора. Понадобилось организовать авторизацию клиентов (сейчас инет либо всем либо никому). Можно ли сделать чтобы шлюз видел IP клиентов и клиенты обращались к нему. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
basid Опубликовано 5 Февраля 2018 Жалоба Поделиться Опубликовано 5 Февраля 2018 Чтобы открытый трафик шёл через имеющийся шлюз, маршрут по умолчанию должен быть установлен на этот шлюз, а не на координатор. Далее надо сделать так, чтобы при это не отваливался защищённый трафик. Начать следует с того, чтобы сделать проброс UDP-трафика ViPNet-сети на координатор. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kulbik Опубликовано 5 Февраля 2018 Автор Жалоба Поделиться Опубликовано 5 Февраля 2018 28 минут назад, basid сказал: Чтобы открытый трафик шёл через имеющийся шлюз, маршрут по умолчанию должен быть установлен на этот шлюз, а не на координатор. Далее надо сделать так, чтобы при это не отваливался защищённый трафик. Начать следует с того, чтобы сделать проброс UDP-трафика ViPNet-сети на координатор. наверное важное уточнение не уточнил) вникаю только в структуру сети и в VipNet сетка головного офиса 10.0.32.0/24 (корд, шлюз Linux, несколько компов) у компов в головном офисе нет проблем с доступом. но существует еще 48 терр.подразделений 10.20.212.0/24, 10.20.213./24 итд, 1интерфейс корда - Локальная сеть 2интерфейс корда - КСПД (в ней все терр.подразделения) 3интерфейс корда-инет канал для мобильных клиентов в прокси на тачках стоит адрес шлюза и все что должно работать работает, если правило на шлюзе позволяет корду это. В Тунелируемых адресах есть IP шлюза и он пингуется. Но шлюз все запросы получает исключительно от IP корда. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
basid Опубликовано 5 Февраля 2018 Жалоба Поделиться Опубликовано 5 Февраля 2018 Ясвасхудею ... "Маршрутиризация" подразумевает "маршрутиризация в обособленном (широковещательном) сегменте локальной сети". И для этого есть важные причины. Если вам требуется "фигурное управление доступом в территориально-обособленных подразделениях", то в каждом таком подразделении должен быть шлюз с нужной функциональностью. Таким шлюзом может быть и координатор и "какой-нить микротик", но вариант с микротиком будет дешевле. Хотя, с моей кочки зрения, в сети ViPNet должно быть по координатору на каждой площадке. И эту статью надо просто заложить в расходы на развёртывание защищённой сети. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KIV Опубликовано 5 Февраля 2018 Жалоба Поделиться Опубликовано 5 Февраля 2018 Ковыряйте в сторону отказа от NATa на координаторе. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
w03zd8rc Опубликовано 6 Февраля 2018 Жалоба Поделиться Опубликовано 6 Февраля 2018 Вообще к випнету это отношение почти не имеет. Предположим сеть за координатором имеет адресацию 10.0.0.0/20, координатор в этой сети имеет адрес 10.0.0.1, с другой стороны адрес координатора 10.10.10.1, шлюза linux 10.10.10.2. Координатор у Вас выступает шлюзом по умолчанию для сети (т.е. для сети 10.0.0.0/20 шлюз 10.0.0.1). У самого координатора шлюз 10.10.10.2. Скорей всего на координаторе у Вас настроен нат: [nat] rule= proto any from 10.0.0.0/20 to anyip change src=10.10.10.1 Его надо убрать. НО это не заработает, пока linux шлюз не узнает о Вашей сети за координатором, соответственно необходимо будет ещё добавить маршрут на linux: route add -net 10.0.0.0/20 gw 10.10.10.1 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kulbik Опубликовано 6 Февраля 2018 Автор Жалоба Поделиться Опубликовано 6 Февраля 2018 2 часа назад, w03zd8rc сказал: Скорей всего на координаторе у Вас настроен нат: [nat] rule= proto any from 10.0.0.0/20 to anyip change src=10.10.10.1 Корд програмный. Спасибо за наводку попробую покопать!!! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.