Доступ к Веб-серверу через прокси

[Simeon]

Добрый день!

Имеется программный ViPNet Coordinator 4.3, который является сервером соединений для ViPNet Coordinator HW100.

На сервере с программным координатором поднят веб-сервер, на аппаратном прокси. За аппаратным стоит машина, с которой нужно получить доступ к веб-серверу через прокси. Проблема в том, что при попытке на него попасть через браузер появляется ошибка:

Доступ запрещен 
Запрашиваемый адрес недоступен 
Система контроля доступа блокирует выполнение Вашего запроса.

В журнале событий пакеты, проходящие через прокси не отображаются и не совсем понятно, что именно блокирует.

Координаторы друг друга видят, в фильтрах защищенной сети открыт полный доступ между ними. 

 

[Vintik]

Рисуйте схему (набросками) тогда вам более менее внятно подскажут.

[Simeon]

Ну как-то так

[Vintik]

АРМ, который за HW100, с которого пытаетесь выйти в сегменте тунелируемой сети? На Win Coor 4.3 в журналах смотрите какие события. Скорее всего где то фильтры наверно не так настроены.

[veselov-pv]

Предположу, что если ПК, за HW100 прописан в туннеле, то на Coordinator 4.3 должно быть написано следующее правило:

firewall tunnel add src (IP ПК) dst 11.0.0.1 tsp dport 8002 pass

 

[zero]

 Если тот ПК, что на схеме самый правый, не в тоннеле за HW 100, то схема эта не будет работать, это нарушение системы безопасности, как Вам и пишет ПО, так на защищённый узел может попасть не туннелируемый и не защищённый трафик по защищенному каналу. Ведь между HW и Coordinator 4.3 канал шифруется?

  Настраивайте штатную схему с туннелированием или у Вас ПК "справа" много, а HW может туннелировать только 5-10 из них?

[Vintik]

  20.03.2018 в 14:41, zero сказал:

 Если тот ПК, что на схеме самый правый, не в тоннеле за HW 100, то схема эта не будет работать, это нарушение системы безопасности, как Вам и пишет ПО, так на защищённый узел может попасть не туннелируемый и не защищённый трафик по защищенному каналу. Ведь между HW и Coordinator 4.3 канал шифруется?

  Настраивайте штатную схему с туннелированием или у Вас ПК "справа" много, а HW может туннелировать только 5-10 из них?

Расширить  

Ага, вы как всегда правы синелицый :-)

А правильно ли я понимаю, что может 5-10 одновременно подключённых, но остальных может быть сотни и тысячи? Я только не как не пойму как он определяет когда у него 5 подключено? На пример можно "загнать" диапазон на 100 узлов и будет подключать то 1 то 50 то 100-й и при этом все будут работать прекрасно, но если одновременно 1,2,3,4,5 подключатся, то уже 50 и 100 будут в очереди ждать или как то прерывисто работать.

[Simeon]

  20.03.2018 в 14:41, zero сказал:

 Если тот ПК, что на схеме самый правый, не в тоннеле за HW 100, то схема эта не будет работать, это нарушение системы безопасности, как Вам и пишет ПО, так на защищённый узел может попасть не туннелируемый и не защищённый трафик по защищенному каналу. Ведь между HW и Coordinator 4.3 канал шифруется?

  Настраивайте штатную схему с туннелированием или у Вас ПК "справа" много, а HW может туннелировать только 5-10 из них?

Расширить  

Да всё так, правая машина не в туннеле. Я думал, что раз мы подключаемся к 11.0.0.1 через прокси-сервер поднятый на HW100, траффик будет считаться защищенным.

Спасибо за ответы, придётся все АРМы туннелировать, правда 10 адресов в лицензии все равно не хватит.

Изменено 21 Марта 2018 пользователем Simeon

[Vintik]

А сколько их у вас всего и какая точно модель HW100?

https://infotecs.ru/product/vipnet-coordinator-hw100.html

Если верить описанию то:

ViPNet Coordinator HW100 A/B (HW100 X8) - Максимальное количество узлов, туннелируемых координатором = 2\5 туннелируемых узла
ViPNet Coordinator HW100 C  (HW100 X3) - Максимальное количество узлов, туннелируемых координатором = 10 туннелируемых узлов
ViPNet Coordinator HW100 C  (HW100 N1/N2/N3) - Максимальное количество узлов, туннелируемых координатором = 10 туннелируемых узлов

Потому - если у вас реально 100-ка то "выше головы не прыгнешь" и вам надо или будет просто работать уступая время (распределяя) или подумать о 1000 или программном координаторе.

[Simeon]

В данном сегменте 13 АРМ за железкой,  стоит Coordinator HW100 C. Тысячник почти в два раза дороже сотки, сегментов у нас много, а машин в них не очень и ставить всем 1000 довольно накладно, а программные у нас сейчас стоят, мы их как раз меняем на аппаратные.

Все таки интересно почему прокси на HW100 не упаковывает пакеты в туннель, как мне кажется это логично.

[zero]

  21.03.2018 в 06:25, Simeon сказал:

Все таки интересно почему прокси на HW100 не упаковывает пакеты в туннель, как мне кажется это логично.

Расширить  

Пакеты в туннель можно упаковываь, если они пришли с туннелируемого адреса. А у вас они приходят от неизвестно кого. И то, что они потом пойдут от адреса прокси только Ваш частный случай. Завтра кто-нибудь попытается настроить натирование адреса источника и тоже столкнётся с проблемами.

  Общая идея такова, что в защищённую сеть может попасть открытый трафик только с туннелируемых адресов и ни от кого более. Всё остальное или нарушение ИБ или попытка обойти лицензионные ограничения производителя. 

  21.03.2018 в 06:25, Simeon сказал:

В данном сегменте 13 АРМ за железкой,  стоит Coordinator HW100 C

Расширить  

 Ограничение на количество туннелей берется не прото так, а исходя из производительности ПАК. При интенсивном трафике со всех 13 ПК её может не хватить.  И что лучше один раз купить более производительное оборудование и забыть про этот объект или постоянно выслушивать жалобы, почему всё так медленно работает.

[Vintik]

Или надо было континет брать, на L2 делать и производительности там в разу больше.

[Vintik]

  21.03.2018 в 06:25, Simeon сказал:

В данном сегменте 13 АРМ за железкой,  стоит Coordinator HW100 C. Тысячник почти в два раза дороже сотки, сегментов у нас много, а машин в них не очень и ставить всем 1000 довольно накладно, а программные у нас сейчас стоят, мы их как раз меняем на аппаратные.

Все таки интересно почему прокси на HW100 не упаковывает пакеты в туннель, как мне кажется это логично.

Расширить  

https://infotecs.ru/about/press-centr/publikatsii/printsipy-marshrutizatsii-i-preobrazovaniya-ip-trafika-v-vpn-seti-sozdannoy-s-ispolzovaniem-tekhnolo.html

Прокси просто подменят адреса, но не как не инкасулирует и т.п. трафик открытый продолжает идти.

[zero]

  21.03.2018 в 10:27, Vintik сказал:

на L2 делать

Расширить  

L2 есть и на ViPNet.  

[Vintik]

Откуда? L2 Over IP да, а чистый L2 ранее заверяли нет. Ну и тут я понял не чего без второго HW не получится по L2 который есть, правда ограничение в 15 точек маловато, но в целом это было и есть не плохое решение и даже работает.

[zero]

  21.03.2018 в 14:26, Vintik сказал:

чистый L2

Расширить  

Что такое чистый L2? Как это должно работать через шифрованный канал?

 

  21.03.2018 в 14:26, Vintik сказал:

ограничение в 15 точек маловато

Расширить  

  В документации на 4.2 написано про 31 сегмент.

[Vintik]

Ну как? Я думаю вы лучше меня знаете, кадры L2 шифруются и и передаются. Я имел введу, что координаторы Инфотекс между собой по L3 только работают, а у КБ есть шлюзы которые умеют и по L2 соединяться.

31 сегмент это хорошо! Значит я напутал, когда встретил они могли только 1 такой делать и когда меня просили "Ну 1 соединение же сделал, сделайте ещё 3 и потом ещё 12" Потому на тот момент и запомнил, что благо хоть 15 заработало тогда, не считая "0"-й. У КБ на тот момент по моему было 255 и разница конечно колосальная. К тому же даже те 15 было "везением" т.к. тогда, тут на форуме читал как люди пытались это сделать на обещенной 4-й, но оказалось, что не сработало и они оказались в пролёте. В 4.2 им обещали исправить и поправили. Даже отлично заработало и не важно уже были не какие тунели т.к. за HW сетевик отлично всё сделал как им надо (а вернее даже как и было) на цисках и д.р. нормальном оборудовании и HW тут просто "кушали" L2 не кому не мешая и на другой стороне это выкак.. ой)) выходило вопчем всё отлично.

Мне лично понравилось.

А по L3 тунелю от вас не услышал ответ, про ограничения. Или вы сами тоже не понимаете что будет, если даже как тут надо людям 13 хостов, а тунелей у них только 10? Мне кажется всё бы работало, но просто пока 10 заняты 3 бы ждали. Ограничения там условно я думаю т.к. взять тот же Линуксовый там же даже на 1 интерфейсе можно хоть 100 тунелей делать, а на HW их 4 шт по 100 МБ, тунель всяко по интернету пошёл, а у многих даже и 10 МБ нет, так что они всё равно его не перепрыгнут и с випнет и без него.

[zero]

  21.03.2018 в 17:09, Vintik сказал:

А по L3 тунелю от вас не услышал ответ, про ограничения. Или вы сами тоже не понимаете что будет, если даже как тут надо людям 13 хостов, а тунелей у них только 10?

Расширить  

 Если "надо" 13, то нужно брать оборудование, которое 13 может, а не то,  которое подешевле и пытаться обойти нештатными способами ограничения производителя.

 И будет, так как Вы описываете: 10 будут работать, а 3 ждать, пока кто-то из 10 не перестанет работать, но чтобы заставить работать все 13 одновременно на обычной HW 100 - не получится штатно. 

  21.03.2018 в 17:09, Vintik сказал:

Ограничения там условно я думаю т.к. взять тот же Линуксовый

Расширить  

Линуксовый можно построить на ксеонах и с ОЗУ хоть 128Гб, а у HW 100 процессор не такой мощный и памяти не сильно много. 

[Vintik]

  22.03.2018 в 11:28, zero сказал:

 Если "надо" 13, то нужно брать оборудование, которое 13 может, а не то,  которое подешевле и пытаться обойти нештатными способами ограничения производителя.

 И будет, так как Вы описываете: 10 будут работать, а 3 ждать, пока кто-то из 10 не перестанет работать, но чтобы заставить работать все 13 одновременно на обычной HW 100 - не получится штатно. 

Линуксовый можно построить на ксеонах и с ОЗУ хоть 128Гб, а у HW 100 процессор не такой мощный и памяти не сильно много. 

Расширить  

Понятно, но я думаю "глюки" это уже проблема клиента, Производитель заявляет на нормальную работу 10 тунелей, подключайте 100 но это уже ваши проблемы. У них может активность еденичная, положить на шару документик, потом через час-два забрать и всё.

Спасибо за подтверждение.

Сегодня как раз была работа с тунелями и т.к. раз в году это вижу, то пришлось немного подумать и в итоге понял, что если тунель на координаторе в ручную прописать, то каким то образом надо потом на ответной стороне это указать т.к. это же не через ЦУС. А тут скорее всего произошло так: 1) Выдали им ДСТ и забыли там дать право на тунели (лиц. на обычный Win координатор где 5 шт. по умолчанию, а у них было 0) 2) ДСТ новую не дали, через ЦУС кол-во прописали 5 и пришло обновление. 3) добавили 2 IP на координаторе, по журналу всё прекрасно, он их перехватывает (хотя поставили его на Вин 10 и наверно повезло что там работает даже), но толку от этого мало, т.к доступа на другую сторону в тунель координатора 1 не проходит не чего. Предполагаю что на той стороне то не указано, что на координаторе 2 тунели 2-IP вот и всё. 

Так и не смог связаться там не с кем, кто отлично помогал в отпуске и теперь наверно придётся дожидаться его. А он до этого 3 раза помогал т.к. кто то на той стороне постоянно что то забывает :-) 

[Sarkan]

  21.03.2018 в 07:42, zero сказал:

 Ограничение на количество туннелей берется не прото так, а исходя из производительности ПАК. При интенсивном трафике со всех 13 ПК её может не хватить.  И что лучше один раз купить более производительное оборудование и забыть про этот объект или постоянно выслушивать жалобы, почему всё так медленно работает.

Расширить  

Понятно что офтоп но все же. Очень неудачным является отсутствие промежуточных решений между 100 и 1000. Причем дело не только в различной стоимости. Как выше уже говорили частенько на практике, канал до 10 МБит, за ним допустим 11 АРМ, Серверного помещения нет, шкафа нет, в лучшем случае коммутационный ящик. Вот куда в этой схеме лепить hw1000? Тут наличие хотя бы HW1000 в компактном исполнении или чего-то промежуточного для малых офисов из разряда 50 туннелей позволило закрыть бы существенное число проблем, как при проектировании, так и при реализации. Где то все таки есть просчет по охвату рынка.

[zero]

  27.03.2018 в 05:52, Sarkan сказал:

канал до 10 МБит, за ним допустим 11 АРМ

Расширить  

А принципиально ли именно туннелировать их всех не самым мощным из ПАК? Для таких случаев проще поставить на каждый АРМ по клиенту. Или только на "лишний" одиннадцатый. 

[Sarkan]

Ну решить проблему можно всегда. В отдельных случаях приходиться ставить клиент, в том числе и для такого обхода ограничений туннеля.

Но по сути дела это "костыль" при условии что нет необходимости использования остального функционала клиента, а нужно просто допустить абонентов к туннелируемому узлу.

[Vintik]

Зато если клиента поставите на ноут, он станет мобильным и не зависимым :-)