Пробросить чужую сеть за ViPNet Coordinator HW 1000

[ank0l0g 0]

Всем добрый день.

Есть сеть филалов с типом подключения L2 и с выходом в Интерент из одного из них.
В филиалах свои подсети.
В каждом из филиалов установлены ViPNet Coordinator HW 1000.
Координаторы настроены на пропускание всех этих сетей и выход в Интернет. Т.е. все всё видят внутри.

На территории одно филиала арендовалась сторонняя контора.
Необходимо дать им Интернет (смотреть странички web и online касса), но так что бы эта контора(новая подсеть) не видила сети организации и наоборот.

Никогда не занимался настройкой ViPNet Coordinator HW 1000.
Та контора что нам настривала развалилась.
Доки читаю но ничего толком не понимаю.

Натолкните куда копать.
Если есть примеры настройки буду признателен.

Логины пароли от железок есть.

[R.Sheyn 0]

Ну если это действительно отдельная подсеть, то правилами межсетевого экрана как и на обычном маршрутизаторе. Вообще нерлохо было бы схему приложить

[ank0l0g 0]

Всем добрый день.

Схема примерно следующая.
Необходимо добавить и вытолкнуть подсеть VLAN20 10.1.1.0/24 в Филиале1(1)
Все потры на всех железках в access.
Как понимаю необходимо перевести порты на Qtech и Vipnet в trunk с пробросом внутри access портов.
То же проделать и на железках в ЦОД(12).
Верно?
Или с vipnet какой то другой механизм?

[R.Sheyn 0]

А 10.1.1.254 это что такое? qteс? это что за железка, маршрутизатор?

Сейчас в интернет у Вас как ходят, по маршрутизации просто или координатора в ЦОДе туннелирует диапазоны интернет адресов?

[ank0l0g 0]

Qtech коммутатор L2+.
На нем созданы Vlan'ы.
Vlan10 - влан филиала.
Vlan20 - новая чужая подсеть.

Наверное какая то маршрутизация на координаторах.
На коммутаторах qtech нет никакой маршрутизации.
Для сетей филиалов шлюз по умолчанию координатор.

[KIV 0]

Фильтры форвард открытого трафика - вот что вам нужно настроить на координаторе филиала и ЦОДа + не забывайте про маршрутизацию, что бы сеть арендатора была известна на всем пути движения трафика до NAT устройства.

[ank0l0g 0]

День добрый.

Не могли бы скинуть пример комманд?
Как мне добавить маршрут на сеть о котрой координатор ничего не знает, ни к какому интерфейсу она пока не привязана.
Необходимо настраивать координатор интерфейс смотрящий внутрь сети.
Добавлять на нем Vlan'ы этих сетй?

[KIV 0]

Ну vlan использовать или физический порт отдельный это вам решать. inet route add 10.1.1.0 gw адресшлюза netmask 255.255.255.0. Ну адрес шлюза сами поставите. А вообще admin guide почитайте там все с картинками написано.

[ank0l0g 0]

В iplir.conf необходимо что либо прописывать?

Если я использую физический порт необходимо прописывать маршрут "inet route add 10.1.1.0 gw адрес шлюза netmask 255.255.255.0. Ну адрес шлюза сами поставите. "?

На физическом интерфейсе прописал IP адрес. Данные отобразились в iplir.conf. Надо ли на всех остальных координаторах исправлять подобным образом iplir.conf? Если да то какого рода информацию необходимо внести. Данные о новой сети?

[KIV 0]

iplir.conf править не нужно.

[ank0l0g 0]

День добрый.

На координаторах других филиалах, в iplir.conf в блоке относящегося к филиалу1, не надо прописывать информацию о пробрасываемой сети "tunnel= 10.1.1.1-10.1.1.254 to 10.1.1.1-10.1.1.254" ? 
На физическом интерфейсе прописал IP адрес, соответственно появился маршрут

C>* 1.1.1.0/24 is directly connected, eth3

При этом маршрут по умолчанию такой
S>* 0.0.0.0/0 [10/0] via 172.3.0.66, eth1

Т.е. все пакеты с координатора слать на qtech (коммутатор).
Необходимо ли прописывать маршрут "inet route add 10.1.1.0 next-hop 172.3.0.66 netmask 255.255.255.0" ?

Что с маршрутом что без вижу 100.3.2.1, в Интернет не пускает

Делаю tracert 8.8.4.4
получаю

1 1.1.1.254 сообщает: Заданная сеть недоступна.

При этом в журнале на данном интерфейсе нет никаких данных.