Jump to content

Recommended Posts

Доброго времени суток! Попробую описать проблему, с которой столкнулась наша администрация. Есть небольшое муниципальное образование, откуда пришёл сигнал SOS (помогите нам настроить защищённую сеть VipNet для доступа к закрытой части портала ССТУ.РФ). Выезд на место показал, что физически всё подключено верно (сетка небольшая и состоит всего из трёх ПК, роутера и координатора). Для наглядности приложен набросок того что есть. Суть проблемы в том, что пользователь ПК1 (подключенный через HW100) не может подключится пол адресу 172.16.52.13/ssturf (закрытая платформа по Астраханской области). Поэтому, возможности работать с АРМ ОДПГ нет. Связавшись со службой поддержки (электронное правительство нашей области) выяснилось, что требуется открыть порт TCP 22/порт 55777 UDP в настройках NAT роутера на серый IP адрес координатора (что было сделано) и отключить Firewall. Как стало известно (от Ростелекома - нашего провайдера) в режиме прозрачного моста Firewall не активен. После проделанных манипуляций белый айпишник координатора так и остался недоступен (в центре поддержки, как мне объяснили, его не видят по сети, а следовательно нет связи с главным координатором). Вот такая петрушка:( Сам я всё больше подозреваю роутер (sagemcom f@st 2804 v7) и в частности - режим моста. Может есть ещё моменты (настройки), на которые стоит обратить внимание?   

Диаграмма1.jpg

Share this post


Link to post
Share on other sites

Что есть режим моста в вашем понимании? Сначала Вы пишете, что адрес у координатора серый, а затем, что недоступен белый адрес?

Затем непонятки с сетью 192.168.х.х. Там какая маска? 23 или шире? порты вы открыли, а snat написали?

Share this post


Link to post
Share on other sites

"Пользователь, подключенный через HW100" не сможет подключиться просто потому, что сеть этого HW100 не является дружественной сети ССТУ.
"Подружиться" с ССТУ невозможно, поскольку для ССТУ запрещено создание доверительных отношений.

Следовательно, для ПК1 должна быть "проторена дорожка" в обход координатора.

Share this post


Link to post
Share on other sites
40 минут назад, basid сказал:

"Пользователь, подключенный через HW100" не сможет подключиться просто потому, что сеть этого HW100 не является дружественной сети ССТУ.
"Подружиться" с ССТУ невозможно, поскольку для ССТУ запрещено создание доверительных отношений.

Следовательно, для ПК1 должна быть "проторена дорожка" в обход координатора.

Ну если это не ССТУшная "сотка", то  либо в обход, либо обновляться на 4.2.4 и включать прохождение пакетов для других випнет сетей.

Share this post


Link to post
Share on other sites

Благодарю за оперативные ответы! Да, на рисунке небольшая опечатка вышла. Первый интерфейс координатора (LAN1) - с адресом 192.168.1.10 Вот что по настройкам DCHP (роутера):

                     IP адрес: 192.168.1.1

                     маска подсети: 255.255.255.0

                      Режим DHCP: DHCP Server

                      диапазон IP адресов:192.168.1.10 - 192.168.1.200

                      шлюз по умолчанию: 192.168.1.1

 

Настройки WAN

               тип физичеcкого интерфейса WAN: Ethernet WAN

                тип интерфейса: Bridge

                Включить Firewall: Да

                Включить IGMP:Да

                Включить DNS: Да

                  VLAN: Отключён

 

Напрягает то, что напротив "Включить Firewall" отмечена галочка, которую нельзя никак снять:( Получается, что она неактивная, ну тогда опция тоже должна быть деактивирована по идее... 

Насчёт SNAT - нет, не указывал (не совсем понятно где прописывать и в каком разделе). 

Порты прописал во вкладке: Маршрутизация/NAT/Виртуальный сервер  (вот такая табличка)

Имя сервера        Протокол           IP-адрес LAN           Порт LAN            IP -адрес WAN              Порт WAN           Состояние

port1                            tcp                     192.168.1.10              22-22                        WAN0                         22-22                      вкл

port2                            udp                     192.168.1.10        55777-55777                WAN0                   55777-55777              вкл

 

Возможно и прописал некорректно

Share this post


Link to post
Share on other sites

У вас hw для vipnet сети ссту настроен или для другой сети? Кто настраивал? У вас доступ на hw есть?

Share this post


Link to post
Share on other sites

Координатор сконфигурирован Инфраструктурным центром электронного правительства Астраханской обл (ими же и предоставлен) и доступа к нему нет. Нам поручена задача физически подключить и обеспечить доступ к интернету. Просто, вопросы связанные с доступом к ССТУ висят уже квартал с небольшим, поэтому и пытаемся разобраться сами.

Share this post


Link to post
Share on other sites
38 минут назад, Aleks_A сказал:

Координатор сконфигурирован Инфраструктурным центром электронного правительства Астраханской обл (ими же и предоставлен) и доступа к нему нет. Нам поручена задача физически подключить и обеспечить доступ к интернету. Просто, вопросы связанные с доступом к ССТУ висят уже квартал с небольшим, поэтому и пытаемся разобраться сами.

Ну в таком случае пусть сами и разбираются. очевидно, что тут не заходя на координатор проблему не решить. Может они при настройке ошиблись где-нибудь в одной цифре. По ssh кстати он отвечает, там что пусть подключаются удаленно и смотрят в чем проблема.

З.Ы. Атата надо сделать  "Инфраструктурному центру электронного правительства Астраханской обл", за то, что они 22 порт для открытого трафика открыли ) Правила пользования не соблюдают. Там небось вовсю брутфорсят уже координатор.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.