komtrud1174 Опубликовано 2 Апреля 2018 Жалоба Поделиться Опубликовано 2 Апреля 2018 Здравствуйте, скажите, пожалуйста, всегда ли координатор работает по порту 5577 или можно его изменить? Сформулирую вопрос подробнее: Допустим, я настраиваю свой ПАК с типом МСЭ - "со статической трансляцией". Для этого я во-первых: настраиваю на пограничном МЭ правило типа "если приходят пакеты с портом 55555, то направить их на ПАК" во-вторых: на самом ПАК в собственной секции [ID] выставляю usefirewall = on, firewallip = 77.255.2.96 (белый айпи), port = 55555. в секции [dynamic] параметр dynamic_proxy = off. Означает ли это что ПАК теперь работает по порту 55555 в обе стороны. Или же в технологии випнет всегда неизменно работает порт 55777 и, максимум , что я могу сделать - настроить на местном МЭ проброс порта типа "входящие пакеты с портом 55555 перенаправлять на местынй ПАК и с изменеием порта в 55777" ? Надеюсь нормально объяснил! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 2 Апреля 2018 Жалоба Поделиться Опубликовано 2 Апреля 2018 46 минут назад, komtrud1174 сказал: на самом ПАК в собственной секции [ID] выставляю usefirewall = on, firewallip = 77.255.2.96 (белый айпи), port = 55555 Вы все понимаете верно, "ПАК теперь работает по порту 55555 в обе стороны", но на самом МЭ одного только правила ""если приходят пакеты с портом 55555, то направить их на ПАК"" может быть недостаточно, так как оно как-бы действует только на входящий трафик, а исходящий от ПАК может попадать под обычный нат и на выходе порт будет перескакиват на рандомный из диапазона от 1024 до 65535. Это легко можно будет увидеть на любом удалённом координаторе, связанным с Вашим. 44 минуты назад, komtrud1174 сказал: firewallip = 77.255.2.96 (белый айпи Можно не выставлять, этот адрес регистрируется по информации из входящего пакета. Еще посмотрите, чтобы в собственной секции в proxyid не было чьего-нибудь идентификатора. А вообще параметры доступа нужно выставлять в ЦУС, чтобы потом не забивать их вручную на каждом координаторе и клиенте. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
komtrud1174 Опубликовано 3 Апреля 2018 Автор Жалоба Поделиться Опубликовано 3 Апреля 2018 Дело в том, что у нас уже давно есть в сети программный координатор, который уже давно и по сей день работает. Поставили также ПАК с целью настроить его также, параллельно, по такому же принципу, как и программный. Соответственно и настроили ПАК по подобию программного, только порт сделали не 55777, а 55796. Соответственно и на пограничном МЭ создали правило, аналогичное как для программного. Прикладываю скриншот, как оно настроено сейчас и работает! Т.е. вот такая настройка для программного координатора сейчас работает. Цель подключить таким же образом ПАК, но по другому порту, с целью чтобы он туннелировал определенные ресурсы. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
basid Опубликовано 3 Апреля 2018 Жалоба Поделиться Опубликовано 3 Апреля 2018 Что переживать-то? Когда настроен проброс портов (static PAT) странно ожидать, чтобы на приём работала статика, а в обратную сторону динамика. Поэтому, для внешнего мира, второй координатор "работает на порту проброса". P.S. Лично я бы поставил два разные порты инкапсуляции для всех координаторов, которые должны быть доступны извне и делал бы проброс не меняя номер порта. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
komtrud1174 Опубликовано 3 Апреля 2018 Автор Жалоба Поделиться Опубликовано 3 Апреля 2018 2 часа назад, basid сказал: ...и делал бы проброс не меняя номер порта. Вот это один из вопросов, который меня держит в неведении, нужно ли перебрасывать порт с 55796 на 55777 или же ПАК будет свободно общаться на порту, отличном от 55777 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 3 Апреля 2018 Жалоба Поделиться Опубликовано 3 Апреля 2018 15 минут назад, komtrud1174 сказал: ПАК будет свободно общаться на порту, отличном от 55777 Будет свободно. Ему всё равно с какого порта слать трафик. И на какой принимать тоже. И у Вас на роутере есть возможность включить лог для каждого правила, чтобы убедиться, что этот проброс работатет корректно, неплохая кстати возможность. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
basid Опубликовано 3 Апреля 2018 Жалоба Поделиться Опубликовано 3 Апреля 2018 Порт инкапсуляции может быть любым. Сделать его одинаковым на всех интерфейсах, включая транслируемые - логично. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.