В чем разница между фильтром открытой сети и туннелированием в vipnet client?

[АЕвгеньев]

В организации имеются серверы на которых не установлено по vipnet client . Для того, чтобы организовать к ним доступ с конкретного сетевого узла необходимо в vipnet client этого узла через режим администратора включить фильтр открытой сети - и этого достаточно (а по идее еще нужно на координаторе прописать в туннелях ip адрес сервера). Так в чем разница между туннелированием и фильтром открытой сети? И обязательно ли прописывать туннель до сетевого узла, если можно обоитись только фильтром открытой сети?

[R.Sheyn]

Разница в том, что при туннелировании создается т.н. "полутуннель", т.е. трафик от клиента до координатора шифруется, а если нет туннелируете, то трафик идет нешифрованным. Вот и выбирайте нужно вам шифрование между випнет клиентом и координатором или нет.

[АЕвгеньев]

то есть для организации доступа к узлу все же достаточно только фильтра открытой сети, но трафик при этом будет не шифрованным. А делая туннелирование мы только шифруем трафик и именно на организацию доступа к узлу туннелирование никак не влияет. Я правильно понял?

[R.Sheyn]

Если говорить очень поверхностно, то верно. Но на самом деле нюансов много, но все объяснять - это перепечатывать документацию.

[Vintik]

В 26.09.2018 в 12:48, R.Sheyn сказал:

Разница в том, что при туннелировании создается т.н. "полутуннель", т.е. трафик от клиента до координатора шифруется, а если нет туннелируете, то трафик идет нешифрованным. Вот и выбирайте нужно вам шифрование между випнет клиентом и координатором или нет.

Вы не чего не путаете? У ниж же Випнет Клиент - если он запущен то всё уже шифруется до координатора и не как иначе (вы посмотрите журнал или перехватите пакеты) или вы назвали координатором - сервер? 

Фильтр открытой сети блокирует всё, что не имеет випнет в связях, потому это нормальная работа и конечно вам надо прописать 1 правило, и указать IP который надо пропускать. Как только вы это указали - вход свободный и вы спокойно получаете доступ к своим серверам.

С другой стороны, скорее всего R.Sheyn по умолчанию предположил схему, когда сервер находится за координатором (или клиенты, смысл один и тот же) и тогда, когда вы прописываете IP серверов, Випнет клиенты уже распознают его как "свой" и работать начинает фильтр закрытой сети (где без настройки обычно всё разрешено), а ПК С Випнет клиентами действительно начинают шифровать пакеты на сервер до координатора, но за ним он расшифровывает и отправляет всё открыто т.к. иначе тот не поймёт что это ему такое идёт. Ну а если вы в одной связки, то в Клиентах Випнет обратите внимание - обычно там не зря галочка стоит "не туннелировать внутренние адреса"  - потому что они то легко начнут шифровать, для них это не проблема, но проблема будет у тех кто внутри сети не сможет расшифровать, что им там шлют.

Потому если вы в одной сети все, то настраивайте МЭ и всё, если же у вас клиенты удалённо или бывает что надо где то из вне подключиться с ПК где випнет (конечно с учётом что они до координатора из вне достучатся), то туннель тут будет очень хорошо.

 

[R.Sheyn]

Я имел ввиду схему, когда сервер и випнет клиенты в разных подсетях, которые маршрутизируются через координатор. В такой схеме, если координатор туннелирует адрес сервер, то трафик от клиента до координатора шифруется, а если не туннелирует, то клиент отправляет открытый трафик, в таком случае необходимо настраивать фильтры открытой сети на клиете и форвард на координаторе.

А если клиент и сервер в одно подсети, то координатор здесь вообще не при чем, трафик пойдет напрямую из-за того, что как Вы правильно заметили, адреса своей сети по умолчанию не туннелируются.

[Vintik]

Спасибо за уточнение, я так и подумал потом. По началу когда прочитал вашу фразу "т.е. трафик от клиента до координатора шифруется, а если нет туннелируете, то трафик идет нешифрованным. " - без уточнения которое сейчас привели, выглядело как будто Випнет Клиент вовсе просто так стоит. Но те кто в курсе думаю поняли всё верно.