VipNet Client 4.3 через Microsoft TMG

[AleksGhost]

Добрый день!

Сейчас на нашем предприятии используется VipNet Client 3.6 для доступа к системе ЭТРАН РЖД.
В связи с выходом новых операционных систем типа Windows 10 возникла необходимость перехода на версию VipNet Client 4.3.
Но тут возникла проблема - дело в том что в версии VipNet Client 4.3 отсутствует возможность настройки клиента через межсетевой экран со статической трансляцией адресов.
Отсутствует поле где указывается внешний адрес и порт инкапсуляции, какими мы пользовались для настройки доступа клиентов.

Подскажите как решить данную проблему?

Как настроить клиентов 4.3 для работы через MicroSoft TMG?

[Vintik]

У вас наверно какая то специальная версия, может для вас писали её, т.к. вроде больше чем 3.2 не было сборок и на этом всё закончилось.

На второе версия 3 уже давно потеряла браво на использование по требованию ФСБ и только из за разных сложностей остаётся пока в работе или там где использую просто для себя.

Про настройки не совсем понятно т.к. обычно вы настраиваете рабочее место (сеть), а в 4-м очень хорошо сделано, что он сам "понимает" теперь динамика или статика там на координаторе и находит его. Или я просто не понял что у вас точно было. Я уверен если отписать к администрации вашей системы, там точно должны сказать т.к. думаю это всё же не просто так и потому 4-я версия это им уже известно.

[zero]

1 час назад, AleksGhost сказал:

Как настроить клиентов 4.3 для работы через MicroSoft TMG? 

Динамическая трансляция по протоколу UDP.  В 4-ом клиенте всегда динамика. Можно зафиксировать порт UDP:

 

 

[AleksGhost]

14 часов назад, zero сказал:

Динамическая трансляция по протоколу UDP.  В 4-ом клиенте всегда динамика. Можно зафиксировать порт UDP:

Пробовал фиксировать, однако не работает. Отсюда и возник вопрос.
Может можно вернуть это поле внешнего адреса или прописать его где-нибудь в реестре?
Может есть более подробная инструкция по каждому пункту настроек. Какая настройка за что отвечает?
Типа пошаговой схемы как работает VipNet Client и какие настройки использует на каждом шаге?

15 часов назад, Vintik сказал:

а в 4-м очень хорошо сделано, что он сам "понимает" теперь динамика или статика там на координаторе и находит его

До координатора как раз еще добраться нада. И клиент VipNet ничего в прокси MS TMG к сожалению не понимает.

Схема подключения клиентов Client->MS TMG->InterNet->Coordinator РЖД

[Vintik]

Странно, а ваш прокси раньше как пропускал?

Я бы на вашем месте собрал краткое описание, ка на пример вы тут начали мин. схему рисовать, но только чуть более детальную и хорошо если с пока рабочей схемой и адресами, но только всё это НЕ ТУТ показывать (т.к. это может быть тоже вашей конфой) а именно но сапорт инфотекса отписать. Они могут вам точно ответить.

[AleksGhost]

Клиенты 3.6 и сейчас работают.
Но эти клиенты не работают на Windows 10.
Клиенты 4.3 работают на на Windows 10, но не работают через TMG, так как в настройках клиента убрали поле внешнего адреса.

[KIV]

Извините за неполезность инфы, но по факту TMG мертв и клиент 3.х тоже - итого решаете проблемы которых не должно быть. Надо на NGFW менять TMG.

Можно попробовать решить проблему как это делали с UserGate - сделать проброс порта координатора из внутренней сети на внешний адрес координатора и у клиента указать в IP адресах адрес TMG. Ещё у 4 ого координатора есть возможность работать по tcp как раз для решения проблем с прокси - может это вариант.

[AleksGhost]

1 час назад, KIV сказал:

Извините за неполезность инфы, но по факту TMG мертв и клиент 3.х тоже - итого решаете проблемы которых не должно быть. Надо на NGFW менять TMG.

Конечно поддержка TMG прекращена, но достойную замену по возможностям и функционалу очень трудно подобрать. Да и заем менять если работает как часы. Замена требует инвестиций. И просто так на большом предприятии >700 компов заменить прокси не тривиальная задача. VipNet Client 3.6 через него работал проблема как с новой 4.3 версией. Поэтому решаю одну проблему за 1 раз.  

Координатором рулить нет возможности. Так как у РЖД свои правила, и заморочки и ради 1 клиента из сотен никто париться не будет. С ними очень трудно что-то порешать.

[zero]

29 минут назад, AleksGhost сказал:

VipNet Client 3.6

Никогда такой версии не было. На 3.2 все закончилось.

29 минут назад, AleksGhost сказал:

проблема как с новой 4.3 версией

 Если уйти от Випнет. Допустим Вам надо выпустить 10 ПК в интернет через нат на TMG. Динамический нат. На ПК Вы же ничего нигде не задаете, кроме шлюза. Никакие порты не фиксируете, ибо они динамически выделяются из пула 1024-65535. 

А для Випнет такой же нат, но для UDP протокола. И тоже нет никакой необходимости фиксировать порт.

С клиента уёдет пакет с произвольного порта из диапазона 1024-65535 по протоколу upd на адрес координатора, порт 55777 (или какой там у вас в настройках стоит). Этот пакет нужно занатить во внешний адрес Вашего TMG, порт источника можно не трогать. Ну и пропустить пакет от координатора обратно на клиент. Всё.

Неужели TMG такой древний, что не умеет делать динамический нат? Может обсуждение стоит вести на форуме TMG? А если действительно не умеет, то выкинуть его нужно было уже давно и без всякого сожаления.

5 часов назад, AleksGhost сказал:

И клиент VipNet ничего в прокси MS TMG к сожалению не понимает.

Уже предложили Выше использовать tcp-туннель, но это должно поддерживаться со стороны координатора. И прокси должен работать в прозрачном режиме, а координатор на 80 порту, так как задать адрес и порт прокси в клиенте нельзя.

[AleksGhost]

21 час назад, Vintik сказал:

вроде больше чем 3.2 не было сборок и на этом всё закончилось.

Вы правы я тут ошибся в версии. Видимо с CryptoPro запомнился номер (последняя версия VipNet Client которая у меня есть 3.2.12)

Но суть моей проблемы к сожалению это не решает.

[R.Sheyn]

Вам уже все ответили по сути проблемы, настройте нормально nat. Весь функционал ната поддерживался еще в ISA, уже не говоря про TMG.

[AleksGhost]

В 07.09.2018 в 15:11, R.Sheyn сказал:

Вам уже все ответили по сути проблемы, настройте нормально nat. Весь функционал ната поддерживался еще в ISA, уже не говоря про TMG.

Все настроено нормально. Работает множество клиентов, приложений и серверов. Кроме новой версии VipNet Client.

К сожалению видимо действительно по сути проблемы никто тут не может подсказать. Это нужно к разработчикам. Тему можно закрыть.

[azz]

Не уверен, что разработчики или поддержка Инфотекс будут разбираться с Вашим межсетевым экраном.

[AleksGhost]

1 час назад, azz сказал:

Не уверен, что разработчики или поддержка Инфотекс будут разбираться с Вашим межсетевым экраном.

Дело же не в межсетевом экране.

Зато комментаторов, которые даже не пытаются понять суть проблемы полно.

[azz]

А Вы на своём МЭ видите трафик udp 55777? Зафикируйте udp порт инкапсуляции в клиенте, пропишите маршрут до координатора через Ваш МЭ, проверьте, что трафик доходит до Вашего МЭ и выходит с него, если у Вас статическая трансляция(ViPNet Client 4 будет каждый раз использовать случайный порт источника), то подмените порт источника на 55777, чтобы входящий трафик был по тому же порту.

[R.Sheyn]

2 часа назад, AleksGhost сказал:

Дело же не в межсетевом экране.

Зато комментаторов, которые даже не пытаются понять суть проблемы полно.

Ну конечно не в МЭ. У всей страны работает через что только возможно, через линуксы, домашние роутеры, циски, фортигейты и чекпоинты, даже через траффик инспекторы, только через коварный TMG не работает и это конечно означает, что проблема в випнет клиенте.

[Vintik]

3 часа назад, R.Sheyn сказал:

Ну конечно не в МЭ. У всей страны работает через что только возможно, через линуксы, домашние роутеры, циски, фортигейты и чекпоинты, даже через траффик инспекторы, только через коварный TMG не работает и это конечно означает, что проблема в випнет клиенте.

Ого - какой хороший, не пропускает всякие левые пакетики значит :-)))))

Я думаю они просто на 3-й версии до победного будут держаться, в принципе это возможно, но не правильно. 

[AleksGhost]

Спасибо товарищам, Zero и azz за подсказки. (остальные только флудят  )
Поковыряюсь еще. По результатам отпишу.

 

[Success]

В 11.09.2018 в 06:01, AleksGhost сказал:

Спасибо товарищам, Zero и azz за подсказки. (остальные только флудят  )
Поковыряюсь еще. По результатам отпишу.

 

Здравствуйте!

Возникла такая же проблема, только используется ISA Server 2006.

VipNet Client 4.3 без настроек межсетевого экрана не соединяется с координатором.

Вы не решили проблему?

[Success]

Если автор темы не решил проблему и заглянет снова, или кто то с такой же проблемой наткнется на эту ветку, то напишу какое решение для себя нашел.

В моем случае соединение с координатором не устанавливалось, так как ранее для работы с VipNet 3.2 были созданы правила на ИСЕ

1. Отправить udp 55777

2. получить udp 55777

В этом случае по логам данные шли от клиента к прокси, от него координатору, обратно на прокси и на этом все.

Создал другие правила вместо старых

1. отправить получить udp 55777

2. получить отправить udp 55777

И все заработало. Причем по логам видно что достаточно первого правила.

Так что зря ИСУ здесь ругали.

[zero]

30 минут назад, Success сказал:

Так что зря ИСУ здесь ругали.

Главное, чтобы не ругали ViPNet, он не виноват!