Aleks_A Опубликовано 15 Октября 2018 Жалоба Поделиться Опубликовано 15 Октября 2018 Доброго времени суток! Попробую описать проблему, с которой столкнулась наша администрация. Есть небольшое муниципальное образование, откуда пришёл сигнал SOS (помогите нам настроить защищённую сеть VipNet для доступа к закрытой части портала ССТУ.РФ). Выезд на место показал, что физически всё подключено верно (сетка небольшая и состоит всего из трёх ПК, роутера и координатора). Для наглядности приложен набросок того что есть. Суть проблемы в том, что пользователь ПК1 (подключенный через HW100) не может подключится пол адресу 172.16.52.13/ssturf (закрытая платформа по Астраханской области). Поэтому, возможности работать с АРМ ОДПГ нет. Связавшись со службой поддержки (электронное правительство нашей области) выяснилось, что требуется открыть порт TCP 22/порт 55777 UDP в настройках NAT роутера на серый IP адрес координатора (что было сделано) и отключить Firewall. Как стало известно (от Ростелекома - нашего провайдера) в режиме прозрачного моста Firewall не активен. После проделанных манипуляций белый айпишник координатора так и остался недоступен (в центре поддержки, как мне объяснили, его не видят по сети, а следовательно нет связи с главным координатором). Вот такая петрушка Сам я всё больше подозреваю роутер (sagemcom f@st 2804 v7) и в частности - режим моста. Может есть ещё моменты (настройки), на которые стоит обратить внимание? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 15 Октября 2018 Жалоба Поделиться Опубликовано 15 Октября 2018 Что есть режим моста в вашем понимании? Сначала Вы пишете, что адрес у координатора серый, а затем, что недоступен белый адрес? Затем непонятки с сетью 192.168.х.х. Там какая маска? 23 или шире? порты вы открыли, а snat написали? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
basid Опубликовано 15 Октября 2018 Жалоба Поделиться Опубликовано 15 Октября 2018 "Пользователь, подключенный через HW100" не сможет подключиться просто потому, что сеть этого HW100 не является дружественной сети ССТУ. "Подружиться" с ССТУ невозможно, поскольку для ССТУ запрещено создание доверительных отношений. Следовательно, для ПК1 должна быть "проторена дорожка" в обход координатора. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 15 Октября 2018 Жалоба Поделиться Опубликовано 15 Октября 2018 40 минут назад, basid сказал: "Пользователь, подключенный через HW100" не сможет подключиться просто потому, что сеть этого HW100 не является дружественной сети ССТУ. "Подружиться" с ССТУ невозможно, поскольку для ССТУ запрещено создание доверительных отношений. Следовательно, для ПК1 должна быть "проторена дорожка" в обход координатора. Ну если это не ССТУшная "сотка", то либо в обход, либо обновляться на 4.2.4 и включать прохождение пакетов для других випнет сетей. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Aleks_A Опубликовано 15 Октября 2018 Автор Жалоба Поделиться Опубликовано 15 Октября 2018 Благодарю за оперативные ответы! Да, на рисунке небольшая опечатка вышла. Первый интерфейс координатора (LAN1) - с адресом 192.168.1.10 Вот что по настройкам DCHP (роутера): IP адрес: 192.168.1.1 маска подсети: 255.255.255.0 Режим DHCP: DHCP Server диапазон IP адресов:192.168.1.10 - 192.168.1.200 шлюз по умолчанию: 192.168.1.1 Настройки WAN тип физичеcкого интерфейса WAN: Ethernet WAN тип интерфейса: Bridge Включить Firewall: Да Включить IGMP:Да Включить DNS: Да VLAN: Отключён Напрягает то, что напротив "Включить Firewall" отмечена галочка, которую нельзя никак снять Получается, что она неактивная, ну тогда опция тоже должна быть деактивирована по идее... Насчёт SNAT - нет, не указывал (не совсем понятно где прописывать и в каком разделе). Порты прописал во вкладке: Маршрутизация/NAT/Виртуальный сервер (вот такая табличка) Имя сервера Протокол IP-адрес LAN Порт LAN IP -адрес WAN Порт WAN Состояние port1 tcp 192.168.1.10 22-22 WAN0 22-22 вкл port2 udp 192.168.1.10 55777-55777 WAN0 55777-55777 вкл Возможно и прописал некорректно Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 16 Октября 2018 Жалоба Поделиться Опубликовано 16 Октября 2018 У вас hw для vipnet сети ссту настроен или для другой сети? Кто настраивал? У вас доступ на hw есть? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Aleks_A Опубликовано 16 Октября 2018 Автор Жалоба Поделиться Опубликовано 16 Октября 2018 Координатор сконфигурирован Инфраструктурным центром электронного правительства Астраханской обл (ими же и предоставлен) и доступа к нему нет. Нам поручена задача физически подключить и обеспечить доступ к интернету. Просто, вопросы связанные с доступом к ССТУ висят уже квартал с небольшим, поэтому и пытаемся разобраться сами. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 16 Октября 2018 Жалоба Поделиться Опубликовано 16 Октября 2018 38 минут назад, Aleks_A сказал: Координатор сконфигурирован Инфраструктурным центром электронного правительства Астраханской обл (ими же и предоставлен) и доступа к нему нет. Нам поручена задача физически подключить и обеспечить доступ к интернету. Просто, вопросы связанные с доступом к ССТУ висят уже квартал с небольшим, поэтому и пытаемся разобраться сами. Ну в таком случае пусть сами и разбираются. очевидно, что тут не заходя на координатор проблему не решить. Может они при настройке ошиблись где-нибудь в одной цифре. По ssh кстати он отвечает, там что пусть подключаются удаленно и смотрят в чем проблема. З.Ы. Атата надо сделать "Инфраструктурному центру электронного правительства Астраханской обл", за то, что они 22 порт для открытого трафика открыли ) Правила пользования не соблюдают. Там небось вовсю брутфорсят уже координатор. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.