Vipnet client + шлюз без Vipnet

[kulbik]

Добрый день.

Сеть 1 координатор + 250 клиентов. Шлюз с интернетом, маршрутизацией и firewall на линуксе без Vipnet. Соответственно все клиенты на шлюзе представляются одним IP Координатора. Понадобилось организовать авторизацию клиентов (сейчас инет либо всем либо никому). Можно ли сделать чтобы шлюз видел IP клиентов и клиенты обращались к нему.

[basid]

Чтобы открытый трафик шёл через имеющийся шлюз, маршрут по умолчанию должен быть установлен на этот шлюз, а не на координатор.
Далее надо сделать так, чтобы при это не отваливался защищённый трафик. Начать следует с того, чтобы сделать проброс UDP-трафика ViPNet-сети на координатор.

[kulbik]

28 минут назад, basid сказал:

Чтобы открытый трафик шёл через имеющийся шлюз, маршрут по умолчанию должен быть установлен на этот шлюз, а не на координатор.
Далее надо сделать так, чтобы при это не отваливался защищённый трафик. Начать следует с того, чтобы сделать проброс UDP-трафика ViPNet-сети на координатор.

наверное важное уточнение не уточнил) вникаю только в структуру сети и в VipNet

сетка головного офиса 10.0.32.0/24 (корд, шлюз Linux, несколько компов) у компов в головном офисе нет проблем с доступом. но существует еще 48 терр.подразделений  10.20.212.0/24, 10.20.213./24 итд,

1интерфейс корда - Локальная сеть 

2интерфейс корда - КСПД (в ней все терр.подразделения)

3интерфейс корда-инет канал для мобильных клиентов

в прокси на тачках стоит адрес шлюза и все что должно работать работает, если правило на шлюзе позволяет корду это. В Тунелируемых адресах есть IP шлюза и он пингуется. Но шлюз все запросы получает исключительно от IP корда.

[basid]

Ясвасхудею ...
"Маршрутиризация" подразумевает "маршрутиризация в обособленном (широковещательном) сегменте локальной сети". И для этого есть важные причины.

Если вам требуется "фигурное управление доступом в территориально-обособленных подразделениях", то в каждом таком подразделении должен быть шлюз с нужной функциональностью.
Таким шлюзом может быть и координатор и "какой-нить микротик", но вариант с микротиком будет дешевле. Хотя, с моей кочки зрения, в сети ViPNet должно быть по координатору на каждой площадке. И эту статью надо просто заложить в расходы на развёртывание защищённой сети.

[KIV]

Ковыряйте в сторону отказа от NATa на координаторе.

[w03zd8rc]

Вообще к випнету это отношение почти не имеет.

Предположим сеть за координатором имеет адресацию 10.0.0.0/20, координатор в этой сети имеет адрес 10.0.0.1,  с другой стороны адрес координатора 10.10.10.1, шлюза linux 10.10.10.2.

Координатор у Вас выступает шлюзом по умолчанию для сети (т.е. для сети 10.0.0.0/20 шлюз 10.0.0.1). У самого координатора  шлюз 10.10.10.2.

Скорей всего на координаторе у Вас настроен нат:

[nat]
rule= proto any from 10.0.0.0/20 to anyip   change src=10.10.10.1

Его надо убрать.

НО это не заработает, пока linux шлюз не узнает о Вашей сети за координатором, соответственно необходимо будет ещё добавить маршрут на linux:

route add -net 10.0.0.0/20 gw 10.10.10.1

 

[kulbik]

2 часа назад, w03zd8rc сказал:

Скорей всего на координаторе у Вас настроен нат:

[nat]
rule= proto any from 10.0.0.0/20 to anyip   change src=10.10.10.1

 

 

 

Корд програмный. Спасибо за наводку попробую покопать!!!