Jump to content

Recommended Posts

Добрый день.

Сеть 1 координатор + 250 клиентов. Шлюз с интернетом, маршрутизацией и firewall на линуксе без Vipnet. Соответственно все клиенты на шлюзе представляются одним IP Координатора. Понадобилось организовать авторизацию клиентов (сейчас инет либо всем либо никому). Можно ли сделать чтобы шлюз видел IP клиентов и клиенты обращались к нему.

Share this post


Link to post
Share on other sites

Чтобы открытый трафик шёл через имеющийся шлюз, маршрут по умолчанию должен быть установлен на этот шлюз, а не на координатор.
Далее надо сделать так, чтобы при это не отваливался защищённый трафик. Начать следует с того, чтобы сделать проброс UDP-трафика ViPNet-сети на координатор.

Share this post


Link to post
Share on other sites
28 минут назад, basid сказал:

Чтобы открытый трафик шёл через имеющийся шлюз, маршрут по умолчанию должен быть установлен на этот шлюз, а не на координатор.
Далее надо сделать так, чтобы при это не отваливался защищённый трафик. Начать следует с того, чтобы сделать проброс UDP-трафика ViPNet-сети на координатор.

наверное важное уточнение не уточнил) вникаю только в структуру сети и в VipNet

сетка головного офиса 10.0.32.0/24 (корд, шлюз Linux, несколько компов) у компов в головном офисе нет проблем с доступом. но существует еще 48 терр.подразделений  10.20.212.0/24, 10.20.213./24 итд,

1интерфейс корда - Локальная сеть 

2интерфейс корда - КСПД (в ней все терр.подразделения)

3интерфейс корда-инет канал для мобильных клиентов

в прокси на тачках стоит адрес шлюза и все что должно работать работает, если правило на шлюзе позволяет корду это. В Тунелируемых адресах есть IP шлюза и он пингуется. Но шлюз все запросы получает исключительно от IP корда.

123.jpg

Share this post


Link to post
Share on other sites

Ясвасхудею ...
"Маршрутиризация" подразумевает "маршрутиризация в обособленном (широковещательном) сегменте локальной сети". И для этого есть важные причины.

Если вам требуется "фигурное управление доступом в территориально-обособленных подразделениях", то в каждом таком подразделении должен быть шлюз с нужной функциональностью.
Таким шлюзом может быть и координатор и "какой-нить микротик", но вариант с микротиком будет дешевле. Хотя, с моей кочки зрения, в сети ViPNet должно быть по координатору на каждой площадке. И эту статью надо просто заложить в расходы на развёртывание защищённой сети.

Share this post


Link to post
Share on other sites

Ковыряйте в сторону отказа от NATa на координаторе.

Share this post


Link to post
Share on other sites

Вообще к випнету это отношение почти не имеет.

Предположим сеть за координатором имеет адресацию 10.0.0.0/20, координатор в этой сети имеет адрес 10.0.0.1,  с другой стороны адрес координатора 10.10.10.1, шлюза linux 10.10.10.2.

Координатор у Вас выступает шлюзом по умолчанию для сети (т.е. для сети 10.0.0.0/20 шлюз 10.0.0.1). У самого координатора  шлюз 10.10.10.2.

Скорей всего на координаторе у Вас настроен нат:

[nat]
rule= proto any from 10.0.0.0/20 to anyip   change src=10.10.10.1

Его надо убрать.

НО это не заработает, пока linux шлюз не узнает о Вашей сети за координатором, соответственно необходимо будет ещё добавить маршрут на linux:

route add -net 10.0.0.0/20 gw 10.10.10.1

 

Share this post


Link to post
Share on other sites
2 часа назад, w03zd8rc сказал:

Скорей всего на координаторе у Вас настроен нат:


[nat]
rule= proto any from 10.0.0.0/20 to anyip   change src=10.10.10.1

 

 

 

Корд програмный. Спасибо за наводку попробую покопать!!!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.