Перейти к контенту

Рекомендуемые сообщения

Добрый день!

Имеется программный ViPNet Coordinator 4.3, который является сервером соединений для ViPNet Coordinator HW100.

На сервере с программным координатором поднят веб-сервер, на аппаратном прокси. За аппаратным стоит машина, с которой нужно получить доступ к веб-серверу через прокси. Проблема в том, что при попытке на него попасть через браузер появляется ошибка:

Доступ запрещен 
Запрашиваемый адрес недоступен 
Система контроля доступа блокирует выполнение Вашего запроса.

В журнале событий пакеты, проходящие через прокси не отображаются и не совсем понятно, что именно блокирует.

Координаторы друг друга видят, в фильтрах защищенной сети открыт полный доступ между ними. 

 

Безымянный.png

Ссылка на комментарий
Поделиться на других сайтах

АРМ, который за HW100, с которого пытаетесь выйти в сегменте тунелируемой сети? На Win Coor 4.3 в журналах смотрите какие события. Скорее всего где то фильтры наверно не так настроены.

Ссылка на комментарий
Поделиться на других сайтах

Предположу, что если ПК, за HW100 прописан в туннеле, то на Coordinator 4.3 должно быть написано следующее правило:

firewall tunnel add src (IP ПК) dst 11.0.0.1 tsp dport 8002 pass

 

Ссылка на комментарий
Поделиться на других сайтах

 Если тот ПК, что на схеме самый правый, не в тоннеле за HW 100, то схема эта не будет работать, это нарушение системы безопасности, как Вам и пишет ПО, так на защищённый узел может попасть не туннелируемый и не защищённый трафик по защищенному каналу. Ведь между HW и Coordinator 4.3 канал шифруется?

  Настраивайте штатную схему с туннелированием или у Вас ПК "справа" много, а HW может туннелировать только 5-10 из них?

Ссылка на комментарий
Поделиться на других сайтах

1 час назад, zero сказал:

 Если тот ПК, что на схеме самый правый, не в тоннеле за HW 100, то схема эта не будет работать, это нарушение системы безопасности, как Вам и пишет ПО, так на защищённый узел может попасть не туннелируемый и не защищённый трафик по защищенному каналу. Ведь между HW и Coordinator 4.3 канал шифруется?

  Настраивайте штатную схему с туннелированием или у Вас ПК "справа" много, а HW может туннелировать только 5-10 из них?

Ага, вы как всегда правы синелицый :-)

А правильно ли я понимаю, что может 5-10 одновременно подключённых, но остальных может быть сотни и тысячи? Я только не как не пойму как он определяет когда у него 5 подключено? На пример можно "загнать" диапазон на 100 узлов и будет подключать то 1 то 50 то 100-й и при этом все будут работать прекрасно, но если одновременно 1,2,3,4,5 подключатся, то уже 50 и 100 будут в очереди ждать или как то прерывисто работать.

Ссылка на комментарий
Поделиться на других сайтах

9 часов назад, zero сказал:

 Если тот ПК, что на схеме самый правый, не в тоннеле за HW 100, то схема эта не будет работать, это нарушение системы безопасности, как Вам и пишет ПО, так на защищённый узел может попасть не туннелируемый и не защищённый трафик по защищенному каналу. Ведь между HW и Coordinator 4.3 канал шифруется?

  Настраивайте штатную схему с туннелированием или у Вас ПК "справа" много, а HW может туннелировать только 5-10 из них?

Да всё так, правая машина не в туннеле. Я думал, что раз мы подключаемся к 11.0.0.1 через прокси-сервер поднятый на HW100, траффик будет считаться защищенным.

Спасибо за ответы, придётся все АРМы туннелировать, правда 10 адресов в лицензии все равно не хватит.

Изменено пользователем Simeon
Ссылка на комментарий
Поделиться на других сайтах

А сколько их у вас всего и какая точно модель HW100?

https://infotecs.ru/product/vipnet-coordinator-hw100.html

Если верить описанию то:

ViPNet Coordinator HW100 A/B (HW100 X8) - Максимальное количество узлов, туннелируемых координатором = 2\5 туннелируемых узла
ViPNet Coordinator HW100 C  (HW100 X3) - Максимальное количество узлов, туннелируемых координатором = 10 туннелируемых узлов
ViPNet Coordinator HW100 C  (HW100 N1/N2/N3) - Максимальное количество узлов, туннелируемых координатором = 10 туннелируемых узлов

Потому - если у вас реально 100-ка то "выше головы не прыгнешь" и вам надо или будет просто работать уступая время (распределяя) или подумать о 1000 или программном координаторе.

Ссылка на комментарий
Поделиться на других сайтах

В данном сегменте 13 АРМ за железкой,  стоит Coordinator HW100 C. Тысячник почти в два раза дороже сотки, сегментов у нас много, а машин в них не очень и ставить всем 1000 довольно накладно, а программные у нас сейчас стоят, мы их как раз меняем на аппаратные.

Все таки интересно почему прокси на HW100 не упаковывает пакеты в туннель, как мне кажется это логично.

Ссылка на комментарий
Поделиться на других сайтах

1 час назад, Simeon сказал:

Все таки интересно почему прокси на HW100 не упаковывает пакеты в туннель, как мне кажется это логично.

Пакеты в туннель можно упаковываь, если они пришли с туннелируемого адреса. А у вас они приходят от неизвестно кого. И то, что они потом пойдут от адреса прокси только Ваш частный случай. Завтра кто-нибудь попытается настроить натирование адреса источника и тоже столкнётся с проблемами.

  Общая идея такова, что в защищённую сеть может попасть открытый трафик только с туннелируемых адресов и ни от кого более. Всё остальное или нарушение ИБ или попытка обойти лицензионные ограничения производителя. 

1 час назад, Simeon сказал:

В данном сегменте 13 АРМ за железкой,  стоит Coordinator HW100 C

 Ограничение на количество туннелей берется не прото так, а исходя из производительности ПАК. При интенсивном трафике со всех 13 ПК её может не хватить.  И что лучше один раз купить более производительное оборудование и забыть про этот объект или постоянно выслушивать жалобы, почему всё так медленно работает.

Ссылка на комментарий
Поделиться на других сайтах

4 часа назад, Simeon сказал:

В данном сегменте 13 АРМ за железкой,  стоит Coordinator HW100 C. Тысячник почти в два раза дороже сотки, сегментов у нас много, а машин в них не очень и ставить всем 1000 довольно накладно, а программные у нас сейчас стоят, мы их как раз меняем на аппаратные.

Все таки интересно почему прокси на HW100 не упаковывает пакеты в туннель, как мне кажется это логично.

https://infotecs.ru/about/press-centr/publikatsii/printsipy-marshrutizatsii-i-preobrazovaniya-ip-trafika-v-vpn-seti-sozdannoy-s-ispolzovaniem-tekhnolo.html

Прокси просто подменят адреса, но не как не инкасулирует и т.п. трафик открытый продолжает идти.

Ссылка на комментарий
Поделиться на других сайтах

Откуда? L2 Over IP да, а чистый L2 ранее заверяли нет. Ну и тут я понял не чего без второго HW не получится по L2 который есть, правда ограничение в 15 точек маловато, но в целом это было и есть не плохое решение и даже работает.

Ссылка на комментарий
Поделиться на других сайтах

39 минут назад, Vintik сказал:

чистый L2

Что такое чистый L2? Как это должно работать через шифрованный канал?

 

40 минут назад, Vintik сказал:

ограничение в 15 точек маловато

  В документации на 4.2 написано про 31 сегмент.

Ссылка на комментарий
Поделиться на других сайтах

Ну как? Я думаю вы лучше меня знаете, кадры L2 шифруются и и передаются. Я имел введу, что координаторы Инфотекс между собой по L3 только работают, а у КБ есть шлюзы которые умеют и по L2 соединяться.

31 сегмент это хорошо! Значит я напутал, когда встретил они могли только 1 такой делать и когда меня просили "Ну 1 соединение же сделал, сделайте ещё 3 и потом ещё 12" Потому на тот момент и запомнил, что благо хоть 15 заработало тогда, не считая "0"-й. У КБ на тот момент по моему было 255 и разница конечно колосальная. К тому же даже те 15 было "везением" т.к. тогда, тут на форуме читал как люди пытались это сделать на обещенной 4-й, но оказалось, что не сработало и они оказались в пролёте. В 4.2 им обещали исправить и поправили. Даже отлично заработало и не важно уже были не какие тунели т.к. за HW сетевик отлично всё сделал как им надо (а вернее даже как и было) на цисках и д.р. нормальном оборудовании и HW тут просто "кушали" L2 не кому не мешая и на другой стороне это выкак.. ой)) выходило вопчем всё отлично.

Мне лично понравилось.

А по L3 тунелю от вас не услышал ответ, про ограничения. Или вы сами тоже не понимаете что будет, если даже как тут надо людям 13 хостов, а тунелей у них только 10? Мне кажется всё бы работало, но просто пока 10 заняты 3 бы ждали. Ограничения там условно я думаю т.к. взять тот же Линуксовый там же даже на 1 интерфейсе можно хоть 100 тунелей делать, а на HW их 4 шт по 100 МБ, тунель всяко по интернету пошёл, а у многих даже и 10 МБ нет, так что они всё равно его не перепрыгнут и с випнет и без него.

Ссылка на комментарий
Поделиться на других сайтах

16 часов назад, Vintik сказал:

А по L3 тунелю от вас не услышал ответ, про ограничения. Или вы сами тоже не понимаете что будет, если даже как тут надо людям 13 хостов, а тунелей у них только 10?

 Если "надо" 13, то нужно брать оборудование, которое 13 может, а не то,  которое подешевле и пытаться обойти нештатными способами ограничения производителя.

 И будет, так как Вы описываете: 10 будут работать, а 3 ждать, пока кто-то из 10 не перестанет работать, но чтобы заставить работать все 13 одновременно на обычной HW 100 - не получится штатно. 

16 часов назад, Vintik сказал:

Ограничения там условно я думаю т.к. взять тот же Линуксовый

Линуксовый можно построить на ксеонах и с ОЗУ хоть 128Гб, а у HW 100 процессор не такой мощный и памяти не сильно много. 

Ссылка на комментарий
Поделиться на других сайтах

3 часа назад, zero сказал:

 Если "надо" 13, то нужно брать оборудование, которое 13 может, а не то,  которое подешевле и пытаться обойти нештатными способами ограничения производителя.

 И будет, так как Вы описываете: 10 будут работать, а 3 ждать, пока кто-то из 10 не перестанет работать, но чтобы заставить работать все 13 одновременно на обычной HW 100 - не получится штатно. 

Линуксовый можно построить на ксеонах и с ОЗУ хоть 128Гб, а у HW 100 процессор не такой мощный и памяти не сильно много. 

Понятно, но я думаю "глюки" это уже проблема клиента, Производитель заявляет на нормальную работу 10 тунелей, подключайте 100 но это уже ваши проблемы. У них может активность еденичная, положить на шару документик, потом через час-два забрать и всё.

Спасибо за подтверждение.

Сегодня как раз была работа с тунелями и т.к. раз в году это вижу, то пришлось немного подумать и в итоге понял, что если тунель на координаторе в ручную прописать, то каким то образом надо потом на ответной стороне это указать т.к. это же не через ЦУС. А тут скорее всего произошло так: 1) Выдали им ДСТ и забыли там дать право на тунели (лиц. на обычный Win координатор где 5 шт. по умолчанию, а у них было 0) 2) ДСТ новую не дали, через ЦУС кол-во прописали 5 и пришло обновление. 3) добавили 2 IP на координаторе, по журналу всё прекрасно, он их перехватывает (хотя поставили его на Вин 10 и наверно повезло что там работает даже), но толку от этого мало, т.к доступа на другую сторону в тунель координатора 1 не проходит не чего. Предполагаю что на той стороне то не указано, что на координаторе 2 тунели 2-IP вот и всё. 

Так и не смог связаться там не с кем, кто отлично помогал в отпуске и теперь наверно придётся дожидаться его. А он до этого 3 раза помогал т.к. кто то на той стороне постоянно что то забывает :-) 

Ссылка на комментарий
Поделиться на других сайтах

В 21.03.2018 в 17:42, zero сказал:

 Ограничение на количество туннелей берется не прото так, а исходя из производительности ПАК. При интенсивном трафике со всех 13 ПК её может не хватить.  И что лучше один раз купить более производительное оборудование и забыть про этот объект или постоянно выслушивать жалобы, почему всё так медленно работает.

Понятно что офтоп но все же. Очень неудачным является отсутствие промежуточных решений между 100 и 1000. Причем дело не только в различной стоимости. Как выше уже говорили частенько на практике, канал до 10 МБит, за ним допустим 11 АРМ, Серверного помещения нет, шкафа нет, в лучшем случае коммутационный ящик. Вот куда в этой схеме лепить hw1000? Тут наличие хотя бы HW1000 в компактном исполнении или чего-то промежуточного для малых офисов из разряда 50 туннелей позволило закрыть бы существенное число проблем, как при проектировании, так и при реализации. Где то все таки есть просчет по охвату рынка.

Ссылка на комментарий
Поделиться на других сайтах

1 час назад, Sarkan сказал:

канал до 10 МБит, за ним допустим 11 АРМ

А принципиально ли именно туннелировать их всех не самым мощным из ПАК? Для таких случаев проще поставить на каждый АРМ по клиенту. Или только на "лишний" одиннадцатый. 

Ссылка на комментарий
Поделиться на других сайтах

Ну решить проблему можно всегда. В отдельных случаях приходиться ставить клиент, в том числе и для такого обхода ограничений туннеля.

Но по сути дела это "костыль" при условии что нет необходимости использования остального функционала клиента, а нужно просто допустить абонентов к туннелируемому узлу.

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...

Важная информация

Продолжая пользоваться сайтом вы принимаете Условия использования.