Jump to content
Sign in to follow this  
komtrud1174

Всегда ли координатор работает по порту 55777 ?

Recommended Posts

Здравствуйте, скажите, пожалуйста, всегда ли координатор работает по порту 5577 или можно его изменить?

Сформулирую вопрос подробнее: 
Допустим, я настраиваю свой ПАК с типом МСЭ - "со статической трансляцией".
Для этого я 
во-первых: настраиваю на пограничном МЭ правило типа "если приходят пакеты с портом 55555, то направить их на ПАК"
во-вторых: на самом ПАК в собственной секции [ID] выставляю usefirewall = on, firewallip = 77.255.2.96 (белый айпи), port = 55555. в секции [dynamic] параметр dynamic_proxy = off.
Означает ли это что ПАК теперь работает по порту 55555 в обе стороны. Или же в технологии випнет всегда неизменно работает порт 55777 и, максимум , что я могу сделать - настроить на местном МЭ проброс порта типа "входящие пакеты с портом 55555 перенаправлять на местынй ПАК и с изменеием порта в 55777" ? Надеюсь нормально объяснил!

Share this post


Link to post
Share on other sites
46 минут назад, komtrud1174 сказал:

на самом ПАК в собственной секции [ID] выставляю usefirewall = on, firewallip = 77.255.2.96 (белый айпи), port = 55555

 Вы все понимаете верно, "ПАК теперь работает по порту 55555 в обе стороны", но на самом МЭ одного только правила ""если приходят пакеты с портом 55555, то направить их на ПАК"" может быть недостаточно, так как оно как-бы действует только на входящий трафик, а исходящий от ПАК может попадать под обычный нат и на выходе порт будет перескакиват на рандомный из диапазона от 1024 до 65535. Это легко можно будет увидеть на любом удалённом координаторе, связанным с Вашим.

 

44 минуты назад, komtrud1174 сказал:

firewallip = 77.255.2.96 (белый айпи

Можно не выставлять, этот адрес регистрируется по информации из входящего пакета. 

Еще посмотрите, чтобы в собственной секции в proxyid не было чьего-нибудь идентификатора.

 А вообще параметры доступа нужно выставлять в ЦУС, чтобы потом не забивать их вручную на каждом координаторе и клиенте.

Share this post


Link to post
Share on other sites

Дело в том, что у нас уже давно есть в сети программный координатор, который уже давно и  по сей день работает.

Поставили также ПАК с целью настроить его также, параллельно, по такому же принципу, как и программный.

Соответственно и настроили ПАК по подобию программного, только порт сделали не 55777, а 55796.

Соответственно и на пограничном МЭ создали правило, аналогичное как для программного. Прикладываю скриншот, как оно настроено сейчас и работает! Т.е. вот такая настройка для программного координатора сейчас работает.

Цель подключить таким же образом ПАК, но по другому порту, с целью чтобы он туннелировал определенные ресурсы.

схема NAT.png

Share this post


Link to post
Share on other sites

Что переживать-то?
Когда настроен проброс портов (static PAT) странно ожидать, чтобы на приём работала статика, а в обратную сторону динамика.
Поэтому, для внешнего мира, второй координатор "работает на порту проброса".

P.S. Лично я бы поставил два разные порты инкапсуляции для всех координаторов, которые должны быть доступны извне и делал бы проброс не меняя номер порта.

Share this post


Link to post
Share on other sites
2 часа назад, basid сказал:

...и делал бы проброс не меняя номер порта.

Вот это один из вопросов, который меня держит в неведении, нужно ли перебрасывать порт с 55796 на 55777 или же ПАК будет свободно общаться на порту, отличном от 55777

Share this post


Link to post
Share on other sites
15 минут назад, komtrud1174 сказал:

ПАК будет свободно общаться на порту, отличном от 55777

Будет свободно. Ему всё равно с какого порта слать трафик.  И на какой принимать тоже.

И у Вас на роутере есть возможность включить лог для каждого правила, чтобы убедиться, что этот проброс работатет корректно, неплохая кстати возможность. 

Share this post


Link to post
Share on other sites

Порт инкапсуляции может быть любым.
Сделать его одинаковым на всех интерфейсах, включая транслируемые - логично.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.