Jump to content

Recommended Posts

Добрый день!

Имеется программный ViPNet Coordinator 4.3, который является сервером соединений для ViPNet Coordinator HW100.

На сервере с программным координатором поднят веб-сервер, на аппаратном прокси. За аппаратным стоит машина, с которой нужно получить доступ к веб-серверу через прокси. Проблема в том, что при попытке на него попасть через браузер появляется ошибка:

Доступ запрещен 
Запрашиваемый адрес недоступен 
Система контроля доступа блокирует выполнение Вашего запроса.

В журнале событий пакеты, проходящие через прокси не отображаются и не совсем понятно, что именно блокирует.

Координаторы друг друга видят, в фильтрах защищенной сети открыт полный доступ между ними. 

 

Безымянный.png

Share this post


Link to post
Share on other sites

Рисуйте схему (набросками) тогда вам более менее внятно подскажут.

Share this post


Link to post
Share on other sites

АРМ, который за HW100, с которого пытаетесь выйти в сегменте тунелируемой сети? На Win Coor 4.3 в журналах смотрите какие события. Скорее всего где то фильтры наверно не так настроены.

Share this post


Link to post
Share on other sites

Предположу, что если ПК, за HW100 прописан в туннеле, то на Coordinator 4.3 должно быть написано следующее правило:

firewall tunnel add src (IP ПК) dst 11.0.0.1 tsp dport 8002 pass

 

Share this post


Link to post
Share on other sites

 Если тот ПК, что на схеме самый правый, не в тоннеле за HW 100, то схема эта не будет работать, это нарушение системы безопасности, как Вам и пишет ПО, так на защищённый узел может попасть не туннелируемый и не защищённый трафик по защищенному каналу. Ведь между HW и Coordinator 4.3 канал шифруется?

  Настраивайте штатную схему с туннелированием или у Вас ПК "справа" много, а HW может туннелировать только 5-10 из них?

Share this post


Link to post
Share on other sites
1 час назад, zero сказал:

 Если тот ПК, что на схеме самый правый, не в тоннеле за HW 100, то схема эта не будет работать, это нарушение системы безопасности, как Вам и пишет ПО, так на защищённый узел может попасть не туннелируемый и не защищённый трафик по защищенному каналу. Ведь между HW и Coordinator 4.3 канал шифруется?

  Настраивайте штатную схему с туннелированием или у Вас ПК "справа" много, а HW может туннелировать только 5-10 из них?

Ага, вы как всегда правы синелицый :-)

А правильно ли я понимаю, что может 5-10 одновременно подключённых, но остальных может быть сотни и тысячи? Я только не как не пойму как он определяет когда у него 5 подключено? На пример можно "загнать" диапазон на 100 узлов и будет подключать то 1 то 50 то 100-й и при этом все будут работать прекрасно, но если одновременно 1,2,3,4,5 подключатся, то уже 50 и 100 будут в очереди ждать или как то прерывисто работать.

Share this post


Link to post
Share on other sites
9 часов назад, zero сказал:

 Если тот ПК, что на схеме самый правый, не в тоннеле за HW 100, то схема эта не будет работать, это нарушение системы безопасности, как Вам и пишет ПО, так на защищённый узел может попасть не туннелируемый и не защищённый трафик по защищенному каналу. Ведь между HW и Coordinator 4.3 канал шифруется?

  Настраивайте штатную схему с туннелированием или у Вас ПК "справа" много, а HW может туннелировать только 5-10 из них?

Да всё так, правая машина не в туннеле. Я думал, что раз мы подключаемся к 11.0.0.1 через прокси-сервер поднятый на HW100, траффик будет считаться защищенным.

Спасибо за ответы, придётся все АРМы туннелировать, правда 10 адресов в лицензии все равно не хватит.

Edited by Simeon

Share this post


Link to post
Share on other sites

А сколько их у вас всего и какая точно модель HW100?

https://infotecs.ru/product/vipnet-coordinator-hw100.html

Если верить описанию то:

ViPNet Coordinator HW100 A/B (HW100 X8) - Максимальное количество узлов, туннелируемых координатором = 2\5 туннелируемых узла
ViPNet Coordinator HW100 C  (HW100 X3) - Максимальное количество узлов, туннелируемых координатором = 10 туннелируемых узлов
ViPNet Coordinator HW100 C  (HW100 N1/N2/N3) - Максимальное количество узлов, туннелируемых координатором = 10 туннелируемых узлов

Потому - если у вас реально 100-ка то "выше головы не прыгнешь" и вам надо или будет просто работать уступая время (распределяя) или подумать о 1000 или программном координаторе.

Share this post


Link to post
Share on other sites

В данном сегменте 13 АРМ за железкой,  стоит Coordinator HW100 C. Тысячник почти в два раза дороже сотки, сегментов у нас много, а машин в них не очень и ставить всем 1000 довольно накладно, а программные у нас сейчас стоят, мы их как раз меняем на аппаратные.

Все таки интересно почему прокси на HW100 не упаковывает пакеты в туннель, как мне кажется это логично.

Share this post


Link to post
Share on other sites
1 час назад, Simeon сказал:

Все таки интересно почему прокси на HW100 не упаковывает пакеты в туннель, как мне кажется это логично.

Пакеты в туннель можно упаковываь, если они пришли с туннелируемого адреса. А у вас они приходят от неизвестно кого. И то, что они потом пойдут от адреса прокси только Ваш частный случай. Завтра кто-нибудь попытается настроить натирование адреса источника и тоже столкнётся с проблемами.

  Общая идея такова, что в защищённую сеть может попасть открытый трафик только с туннелируемых адресов и ни от кого более. Всё остальное или нарушение ИБ или попытка обойти лицензионные ограничения производителя. 

1 час назад, Simeon сказал:

В данном сегменте 13 АРМ за железкой,  стоит Coordinator HW100 C

 Ограничение на количество туннелей берется не прото так, а исходя из производительности ПАК. При интенсивном трафике со всех 13 ПК её может не хватить.  И что лучше один раз купить более производительное оборудование и забыть про этот объект или постоянно выслушивать жалобы, почему всё так медленно работает.

Share this post


Link to post
Share on other sites

Или надо было континет брать, на L2 делать и производительности там в разу больше.

Share this post


Link to post
Share on other sites
4 часа назад, Simeon сказал:

В данном сегменте 13 АРМ за железкой,  стоит Coordinator HW100 C. Тысячник почти в два раза дороже сотки, сегментов у нас много, а машин в них не очень и ставить всем 1000 довольно накладно, а программные у нас сейчас стоят, мы их как раз меняем на аппаратные.

Все таки интересно почему прокси на HW100 не упаковывает пакеты в туннель, как мне кажется это логично.

https://infotecs.ru/about/press-centr/publikatsii/printsipy-marshrutizatsii-i-preobrazovaniya-ip-trafika-v-vpn-seti-sozdannoy-s-ispolzovaniem-tekhnolo.html

Прокси просто подменят адреса, но не как не инкасулирует и т.п. трафик открытый продолжает идти.

Share this post


Link to post
Share on other sites
8 минут назад, Vintik сказал:

на L2 делать

L2 есть и на ViPNet.  

Share this post


Link to post
Share on other sites

Откуда? L2 Over IP да, а чистый L2 ранее заверяли нет. Ну и тут я понял не чего без второго HW не получится по L2 который есть, правда ограничение в 15 точек маловато, но в целом это было и есть не плохое решение и даже работает.

Share this post


Link to post
Share on other sites
39 минут назад, Vintik сказал:

чистый L2

Что такое чистый L2? Как это должно работать через шифрованный канал?

 

40 минут назад, Vintik сказал:

ограничение в 15 точек маловато

  В документации на 4.2 написано про 31 сегмент.

Share this post


Link to post
Share on other sites

Ну как? Я думаю вы лучше меня знаете, кадры L2 шифруются и и передаются. Я имел введу, что координаторы Инфотекс между собой по L3 только работают, а у КБ есть шлюзы которые умеют и по L2 соединяться.

31 сегмент это хорошо! Значит я напутал, когда встретил они могли только 1 такой делать и когда меня просили "Ну 1 соединение же сделал, сделайте ещё 3 и потом ещё 12" Потому на тот момент и запомнил, что благо хоть 15 заработало тогда, не считая "0"-й. У КБ на тот момент по моему было 255 и разница конечно колосальная. К тому же даже те 15 было "везением" т.к. тогда, тут на форуме читал как люди пытались это сделать на обещенной 4-й, но оказалось, что не сработало и они оказались в пролёте. В 4.2 им обещали исправить и поправили. Даже отлично заработало и не важно уже были не какие тунели т.к. за HW сетевик отлично всё сделал как им надо (а вернее даже как и было) на цисках и д.р. нормальном оборудовании и HW тут просто "кушали" L2 не кому не мешая и на другой стороне это выкак.. ой)) выходило вопчем всё отлично.

Мне лично понравилось.

А по L3 тунелю от вас не услышал ответ, про ограничения. Или вы сами тоже не понимаете что будет, если даже как тут надо людям 13 хостов, а тунелей у них только 10? Мне кажется всё бы работало, но просто пока 10 заняты 3 бы ждали. Ограничения там условно я думаю т.к. взять тот же Линуксовый там же даже на 1 интерфейсе можно хоть 100 тунелей делать, а на HW их 4 шт по 100 МБ, тунель всяко по интернету пошёл, а у многих даже и 10 МБ нет, так что они всё равно его не перепрыгнут и с випнет и без него.

Share this post


Link to post
Share on other sites
16 часов назад, Vintik сказал:

А по L3 тунелю от вас не услышал ответ, про ограничения. Или вы сами тоже не понимаете что будет, если даже как тут надо людям 13 хостов, а тунелей у них только 10?

 Если "надо" 13, то нужно брать оборудование, которое 13 может, а не то,  которое подешевле и пытаться обойти нештатными способами ограничения производителя.

 И будет, так как Вы описываете: 10 будут работать, а 3 ждать, пока кто-то из 10 не перестанет работать, но чтобы заставить работать все 13 одновременно на обычной HW 100 - не получится штатно. 

16 часов назад, Vintik сказал:

Ограничения там условно я думаю т.к. взять тот же Линуксовый

Линуксовый можно построить на ксеонах и с ОЗУ хоть 128Гб, а у HW 100 процессор не такой мощный и памяти не сильно много. 

Share this post


Link to post
Share on other sites
3 часа назад, zero сказал:

 Если "надо" 13, то нужно брать оборудование, которое 13 может, а не то,  которое подешевле и пытаться обойти нештатными способами ограничения производителя.

 И будет, так как Вы описываете: 10 будут работать, а 3 ждать, пока кто-то из 10 не перестанет работать, но чтобы заставить работать все 13 одновременно на обычной HW 100 - не получится штатно. 

Линуксовый можно построить на ксеонах и с ОЗУ хоть 128Гб, а у HW 100 процессор не такой мощный и памяти не сильно много. 

Понятно, но я думаю "глюки" это уже проблема клиента, Производитель заявляет на нормальную работу 10 тунелей, подключайте 100 но это уже ваши проблемы. У них может активность еденичная, положить на шару документик, потом через час-два забрать и всё.

Спасибо за подтверждение.

Сегодня как раз была работа с тунелями и т.к. раз в году это вижу, то пришлось немного подумать и в итоге понял, что если тунель на координаторе в ручную прописать, то каким то образом надо потом на ответной стороне это указать т.к. это же не через ЦУС. А тут скорее всего произошло так: 1) Выдали им ДСТ и забыли там дать право на тунели (лиц. на обычный Win координатор где 5 шт. по умолчанию, а у них было 0) 2) ДСТ новую не дали, через ЦУС кол-во прописали 5 и пришло обновление. 3) добавили 2 IP на координаторе, по журналу всё прекрасно, он их перехватывает (хотя поставили его на Вин 10 и наверно повезло что там работает даже), но толку от этого мало, т.к доступа на другую сторону в тунель координатора 1 не проходит не чего. Предполагаю что на той стороне то не указано, что на координаторе 2 тунели 2-IP вот и всё. 

Так и не смог связаться там не с кем, кто отлично помогал в отпуске и теперь наверно придётся дожидаться его. А он до этого 3 раза помогал т.к. кто то на той стороне постоянно что то забывает :-) 

Share this post


Link to post
Share on other sites
В 21.03.2018 в 17:42, zero сказал:

 Ограничение на количество туннелей берется не прото так, а исходя из производительности ПАК. При интенсивном трафике со всех 13 ПК её может не хватить.  И что лучше один раз купить более производительное оборудование и забыть про этот объект или постоянно выслушивать жалобы, почему всё так медленно работает.

Понятно что офтоп но все же. Очень неудачным является отсутствие промежуточных решений между 100 и 1000. Причем дело не только в различной стоимости. Как выше уже говорили частенько на практике, канал до 10 МБит, за ним допустим 11 АРМ, Серверного помещения нет, шкафа нет, в лучшем случае коммутационный ящик. Вот куда в этой схеме лепить hw1000? Тут наличие хотя бы HW1000 в компактном исполнении или чего-то промежуточного для малых офисов из разряда 50 туннелей позволило закрыть бы существенное число проблем, как при проектировании, так и при реализации. Где то все таки есть просчет по охвату рынка.

Share this post


Link to post
Share on other sites
1 час назад, Sarkan сказал:

канал до 10 МБит, за ним допустим 11 АРМ

А принципиально ли именно туннелировать их всех не самым мощным из ПАК? Для таких случаев проще поставить на каждый АРМ по клиенту. Или только на "лишний" одиннадцатый. 

Share this post


Link to post
Share on other sites

Ну решить проблему можно всегда. В отдельных случаях приходиться ставить клиент, в том числе и для такого обхода ограничений туннеля.

Но по сути дела это "костыль" при условии что нет необходимости использования остального функционала клиента, а нужно просто допустить абонентов к туннелируемому узлу.

Share this post


Link to post
Share on other sites

Зато если клиента поставите на ноут, он станет мобильным и не зависимым :-)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.