Jump to content
Sign in to follow this  
zv0r

Доступ к защищенному ресурсу через туннель по реальному IP-адресу (дополнительному)

Recommended Posts

Добрый день.

В сети имеется защищенный узел с 2-мя IP адресами. Хочу получить к нему доступ с незащищенного узла через туннель.

ViPNet Client (172.16.0.2, 172.16.0.100) <--> HW-1000 <--> HW-100 <--> Незащищенный узел (172.17.0.0/16).

Собственно, проблема в том, что защищенный узел виден по адресу 172.16.0.2, но не виден по адресу 172.16.0.100. Для теста в МЭ клиента разрешен вообще весь трафик во всех направлениях. Адрес 172.16.0.2 не туннелируется. 172.16.0.100 добавлен в туннель.

Читаю справку по конфигурационным файлам. Там написано "В каждой секции [id] может быть указано любое количество параметров accessiplist — по количеству адресов доступа к узлу. Причем в первом параметре accessiplist каждой секции в качестве адреса доступа должен быть указан тот же адрес, что и в параметре firewallip данной секции."

Радостный иду в # iplir config, привожу секцию [id] для узла к следующему виду

на HW-100:

[id]
id= 0x00000010
name= АП ФИЛИАЛ 0
ip= 172.16.0.2, 11.0.0.7
ip= 172.16.0.100, 11.1.0.7
accessip= 172.16.0.2
firewallip= 172.16.0.2
accessiplist= 172.16.0.2, auto, 172.16.0.2, 0, manual
accessiplist= 172.16.0.100, auto, 172.16.0.100, 1, manual
port= 55777
proxyid= 0x0000000a
dynamic_timeout= 25
virtualip= 11.0.0.7
visibility= real
version= 4.30-0

на HW-1000:

[id]
id= 0x00000010
name= АП ФИЛИАЛ 0
ip= 172.16.0.2, 11.0.0.9
ip= 172.16.0.100, 11.1.0.9
accessip= 172.16.0.2
firewallip= 172.16.0.2
accessiplist= 172.16.0.2, auto, 172.16.0.2, 0, manual
accessiplist= 172.16.0.100, auto, 172.16.0.100, 1, manual
port= 55777
proxyid= 0xfffffffe
dynamic_timeout= 25
virtualip= 11.0.0.9
visibility= real
version= 4.30-0

Ткните, пожалуйста, что я делаю не так?

Share this post


Link to post
Share on other sites

Ну на самом деле в accessip встает тот адрес, с которого приходит трафик, двух accessip быть не может. Таким образом тут только на клиенте настраивать, чтобы он с 0.100 обращался в сторону координатора.

Share this post


Link to post
Share on other sites
33 минуты назад, R.Sheyn сказал:

Ну на самом деле в accessip встает тот адрес, с которого приходит трафик, двух accessip быть не может. Таким образом тут только на клиенте настраивать, чтобы он с 0.100 обращался в сторону координатора.

Вот же ж. А зачем же они тогда accessiplist придумали? Спасибо за информацию :)

Share this post


Link to post
Share on other sites
6 минут назад, zv0r сказал:

Вот же ж. А зачем же они тогда accessiplist придумали? Спасибо за информацию :)

Ну его можно использовать между узлами, которые стоят в статике, с помощью метрик покрутить приоритетный адрес доступа, но это все еще должно накладываться на маршрутизацию....В реальной жизни он используется только при организации альтернативных каналов между координаторами.

В случае с клиентом, клиент постоянно шлет keepalive пакеты. С какого адреса эти пакеты приходят, тот(или соответствующий ему виртуальный) координатор и ставит в accessip.

Share this post


Link to post
Share on other sites
20 часов назад, zv0r сказал:

Добрый день.

В сети имеется защищенный узел с 2-мя IP адресами. Хочу получить к нему доступ с незащищенного узла через туннель.

ViPNet Client (172.16.0.2, 172.16.0.100) <--> HW-1000 <--> HW-100 <--> Незащищенный узел (172.17.0.0/16).

Собственно, проблема в том, что защищенный узел виден по адресу 172.16.0.2, но не виден по адресу 172.16.0.100. Для теста в МЭ клиента разрешен вообще весь трафик во всех направлениях. Адрес 172.16.0.2 не туннелируется. 172.16.0.100 добавлен в туннель.

Нет, нет, друг, ты что-то совсем неправильно понимаешь ситуацию. Если у тебя ЗАЩИЩЕННЫЙ узел, то его адреса не надо добавлять в туннели!!! Туннелируются ТОЛЬКО открытые узлы, узел випнет никогда не туннелируется, это противоречит логике. Само понятие туннелируемых ресурсов придумано и предназначено для открытых узлов.

Share this post


Link to post
Share on other sites
3 часа назад, komtrud1174 сказал:

Нет, нет, друг, ты что-то совсем неправильно понимаешь ситуацию. Если у тебя ЗАЩИЩЕННЫЙ узел, то его адреса не надо добавлять в туннели!!! Туннелируются ТОЛЬКО открытые узлы, узел випнет никогда не туннелируется, это противоречит логике. Само понятие туннелируемых ресурсов придумано и предназначено для открытых узлов.

Наверно, название темы и правда не очень правильно написал. Защищенные узлы я не добавляю в туннель, потому что будут конфликты, я об этом знаю. Проблема просто в том, что лицензий на ПО мало, экономим, поэтому на сервер, где крутится ЦУС и УКЦ я накинул еще пару сервисов, но доступ к ним хочу осуществлять по другому IP. И проблема как раз в том, что когда в удаленных филиалах я выставляю видимость для защищенного узла в real, видится только основной IP, по дополнительному никак не достучаться.

UPD: перечитал первое свое сообщение и понял, что действительно тупанул. Конечно же, 172.16.0.100 тоже не туннеллируется.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.