Перейти к контенту

Рекомендуемые сообщения

есть несколько филиалов, до некоторых есть требования по шифрованию ГОСТ, закупили VipNet Coordinaror'ы, остальные филиалы остаются на IPSec + есть удаленные пользователи, которым надо попадать из дома в любой из филиалов (одни цепляются через L2TP over IPSec на роутер, другие через VipNet Client через випнет координатор),

вопрос заключается в том, чтобы грамотно расположить випнет и его клиентами и роутер с ipsec'ом + L2TP over IPSec и его клиентами, так, чтобы и ВСЕ УДАЛЕННЫЕ пользователи могли ходить в любой сегмент сети, т.е. клиент L2TP мог через центратный роутер попадать в филиал, который защищен випнетом, а VipNet Clien мог попасть в через IPSec в другой офис.

т.е. что мне поставить первым: випнет или роутер на границу с инетом? какие порты и протоколы закидывать на роутер или випнет, для корректной работы?

1. инет-випнет-роутер-лвс,

2. инет-роутер-випнет-лвс.

для лвс нужен инет, т.е. на одном из (роутре или випнет) нужен будет побнимать nat.

Ссылка на комментарий
Поделиться на других сайтах

18 минут назад, pl84 сказал:

есть несколько филиалов, до некоторых есть требования по шифрованию ГОСТ, закупили VipNet Coordinaror'ы, остальные филиалы остаются на IPSec + есть удаленные пользователи, которым надо попадать из дома в любой из филиалов (одни цепляются через L2TP over IPSec на роутер, другие через VipNet Client через випнет координатор),

вопрос заключается в том, чтобы грамотно расположить випнет и его клиентами и роутер с ipsec'ом + L2TP over IPSec и его клиентами, так, чтобы и ВСЕ УДАЛЕННЫЕ пользователи могли ходить в любой сегмент сети, т.е. клиент L2TP мог через центратный роутер попадать в филиал, который защищен випнетом, а VipNet Clien мог попасть в через IPSec в другой офис.

т.е. что мне поставить первым: випнет или роутер на границу с инетом? какие порты и протоколы закидывать на роутер или випнет, для корректной работы?

1. инет-випнет-роутер-лвс,

2. инет-роутер-випнет-лвс.

для лвс нужен инет, т.е. на одном из (роутре или випнет) нужен будет побнимать nat.

лучше второй вариант, так как через випнет c ipsec могут быть проблемы.

Ссылка на комментарий
Поделиться на других сайтах

 

 

у меня вопрос заключается в том, что на випнете мы указываем внешнюю сеть и внутреннюю, соответственно все, что прилетает на внутренюю сеть через внешний интерфейс должно быть шифровано, а от роутера к нему будет лететь не шифрованный траффик!!! и он его будет дропать... как выйти из этой ситуации? поднять отдельные сабы? т.е. на внешний интерфейс повесить адрес + отдельно саб и этот саб обозвать внутренним?

 

требуется, чтобы все клиенты 1-3 могли попасть в любой офис для работы с внутренними ресурсами

VipNet LAN.jpg

Ссылка на комментарий
Поделиться на других сайтах

2 часа назад, pl84 сказал:

у меня вопрос заключается в том, что на випнете мы указываем внешнюю сеть и внутреннюю, соответственно все, что прилетает на внутренюю сеть через внешний интерфейс должно быть шифровано, а от роутера к нему будет лететь не шифрованный траффик!!! и он его будет дропать

неверная концепция, никаких внешних и внутренних сетей в понимании випнета нет.

для работы айписечников в гост офисах вы адреса айписечников должны добавить в туннели координатора, на роутере маршрут до гостовых офисов через координатор, он зашифрует в гост и отправит в гостовый офис.

Но вообще, если вот вас прямо обязали использовать гост для некоторых офисов, то эта схема вообще нелигитимна, так как у вас трафик из этих офисов до айписечников пойдет через интернет(т.е. выйдет за конроллируемую зону) без госта. С точки зрения регулятора трафик в Интернет уйдет незащищенным.

 

1007909309_VipNetLAN.jpg.ef65bd718bd5910a5fda1543bfc6d656.jpg

Ссылка на комментарий
Поделиться на других сайтах

большое спасибо,

остался вопрос по тунелируемым адресам, т.е. то, что на "внешнем" интерфейсе прилетают адреса, которые в тунелях прописаны не будут дропаться? и будут считаться "своими"?

Ссылка на комментарий
Поделиться на других сайтах

3 минуты назад, pl84 сказал:

большое спасибо,

остался вопрос по тунелируемым адресам, т.е. то, что на "внешнем" интерфейсе прилетают адреса, которые в тунелях прописаны не будут дропаться? и будут считаться "своими"?

Не будут. У випнетов нет никаких зон безопасности.

Но как я уже написал регуляторы это не одобрят. Все удаленные сотрудники, которые будут работать с ресурсами гост офисов должны использовать vipnet client.

Ссылка на комментарий
Поделиться на других сайтах

випнет клиенты ожидают закупки, изначально ошиблись и купили не те лицензии, поэтому пока вот так... а работать людям надо.

а вот еще такой вопрос: когда делаешь первую настройку випнета, то он спрашивает про NAT вроде, стоит ли устройство за натом или нет, мне требуется заново перенастроить випнет или это через ЦУС можно поправить?

Ссылка на комментарий
Поделиться на других сайтах

В 10.03.2020 в 17:02, pl84 сказал:

випнет клиенты ожидают закупки, изначально ошиблись и купили не те лицензии, поэтому пока вот так... а работать людям надо.

....

С этого и надо было начинать, а то правильно R.Sheyn подсказывает, смотришь на то что делается и непонятно зачем всё это есть это без толку (в плане регуляторов) делаете ГОСТ и тут же рябом "открытая сеть". А так уже более верно, что это подготовительные работы и в итоге все места будут переведены, а пока рассматривается альтернативный вариант пусконаладки чтоб не останавливался тех. процесс.

Ссылка на комментарий
Поделиться на других сайтах

В 10.03.2020 в 14:02, pl84 сказал:

а вот еще такой вопрос: когда делаешь первую настройку випнета, то он спрашивает про NAT вроде, стоит ли устройство за натом или нет, мне требуется заново перенастроить випнет или это через ЦУС можно поправить?

что с этим делать теперь?)))

Ссылка на комментарий
Поделиться на других сайтах

В 12.03.2020 в 08:06, pl84 сказал:

что с этим делать теперь?)))

в зависимости от версий можно изменить настройки из ЦУС или же перенастроить вручную.

в каких то версиях настройки в ЦУС только для первоначальной настройки, т.е. они применяются только, когда разворачиваете dst.

Ссылка на комментарий
Поделиться на других сайтах

Те заново переконфигурировать устройство? Или будет достаточно зайти по удаленке и в файле поправить? После этого в цусе требуется какие-то изменения производить? 

Ссылка на комментарий
Поделиться на других сайтах

5 часов назад, pl84 сказал:

Те заново переконфигурировать устройство? Или будет достаточно зайти по удаленке и в файле поправить? После этого в цусе требуется какие-то изменения производить? 

Достаточно зайти и поправить. В цусе ничего менять не надо.

Ссылка на комментарий
Поделиться на других сайтах

настроит DNAT на роутере ( udp/55777), как проверить, что работает?

окно телнета висит, никакого вывода, только отваливается по таймауту

Ссылка на комментарий
Поделиться на других сайтах

2 минуты назад, pl84 сказал:

настроит DNAT на роутере ( udp/55777), как проверить, что работает?

окно телнета висит, никакого вывода, только отваливается по таймауту

так telnet по tcp работает.

попробуйте PortQry или nmap или netcat

Ссылка на комментарий
Поделиться на других сайтах

c:\PortQryV2>PortQry -n ***.***.***.*** -p udp -e 55777

Querying target system called:

 ***.***.***.***
Attempting to resolve IP address to a name...

Failed to resolve IP address to name

querying...

UDP port 55777 (unknown service): LISTENING or FILTERED

с инеткомпа, випнет подключен напрямую в инет тоже в другом городе... что-то не так...

на випнетах нет в логах попыток соединиться по порту 55777 и адреса , на котором висит другой випнет

Ссылка на комментарий
Поделиться на других сайтах

Переиграли схему, тк не поняли и сразу, что там не только 55777 порт, а 2046-2048, 5000-5003 и другие...

 

Теперь сложность другая, на одном випнета включили nat, инет есть, а удаленную сетку не видно... Пока не включить нат на другой стороне тоже... Почему так? Вроде все верно было настроено,

на удаленной же стороне включён нат, но он не работает, те инет на компах отсутствует... Комы отвечают, что не найдена сеть, если пинговать 8.8.8.8...

Ссылка на комментарий
Поделиться на других сайтах

ошибка была найдена, все заработало, спасибо за ответы,

остался только 2 вопроса

1. по ДНС:

1.1 клиент в списке тунелируемых адресов сидит за роутером, т.к. комп без клиента -> роутер со службой DNS-Relay (в качестве сервера днс указан адрес випнета) -> випнет - ДНС не работает!,

1.2. если на роутерес прописать в качестве серверов ДНС гугл, то клиент работает,

1.3. если у клиента прописать в качестве днс випнет, то работает...

почему через роутер не работает ДНС?

 

2. по определению сетей:

2.1 каким образом ВИПНЕТ определяет сети как открытые, защищенные?

2.2. не мог подключиться на вебку с локального адреса, которых в тунелируемых находттся, пока не прописал отдельное правило в открытых сетях...

Ссылка на комментарий
Поделиться на других сайтах

1 час назад, pl84 сказал:

почему через роутер не работает ДНС?

скорее всего потому, что адрес роутера не в туннелируемых, и поэтому запросы от него как от релея блокируются.

1 час назад, pl84 сказал:

каким образом ВИПНЕТ определяет сети как открытые, защищенные?

В терминологии випнет узлы бывают открытые, туннелируемые и защищенные. Защищенные это с випнет клиентом, откртые это без клиента и которые не в списке туннелей, туннелируемые соответственно без клиента в списке туннелей.

1 час назад, pl84 сказал:

не мог подключиться на вебку с локального адреса, которых в тунелируемых находттся, пока не прописал отдельное правило в открытых сетях...

все правильно, потому что для туннелируемых разрешен транзитный трафик через випнет, а это трафик не транзитный, а открытый локальный.

Ссылка на комментарий
Поделиться на других сайтах

15 часов назад, pl84 сказал:

а 2046-2048, 5000-5003 и другие...

это порты внутри инкапсулированных пакетов, открывать их не требуется.

Ссылка на комментарий
Поделиться на других сайтах

17 часов назад, R.Sheyn сказал:

это порты внутри инкапсулированных пакетов, открывать их не требуется.

в момент, когда переиграли и поставили випнет вместо роутера, ранее планировали именно роутер в инет выпускать, а за ним уже випнет, на удаленный випнет не приходило даже попыток соединиться, т.е. журнал регистрации пакетов был пустой,

как только випнет стал вперед, тунель тут же поднялся и появились пакеты по этим портам

+ в iplir было замечено, что на одном випнете порт 55777 висит, а на другом (который как раз прятали за нат он каждый раз менялся при формировании справочников: 55877, 55897 и тд...) - почему так? возможно из-за этого и была сложность...

17 часов назад, R.Sheyn сказал:

скорее всего потому, что адрес роутера не в туннелируемых, и поэтому запросы от него как от релея блокируются.

В терминологии випнет узлы бывают открытые, туннелируемые и защищенные. Защищенные это с випнет клиентом, откртые это без клиента и которые не в списке туннелей, туннелируемые соответственно без клиента в списке туннелей.

все правильно, потому что для туннелируемых разрешен транзитный трафик через випнет, а это трафик не транзитный, а открытый локальный.

1. адрес роутера в списке туннелируемых адресов, т.е. стыковочная сеть между роутером и випнетом вся тунелируется,

2-3. спасибо за пояснение, теперь все ясно.

Ссылка на комментарий
Поделиться на других сайтах

  • 2 недели спустя...

Может кому интересно будет, решение вопроса найдено. 

Нашли ошибку в маршрутной информации, поправили, все адреса стали доступны, 

Прокинули порты и протоколы на роутер, l2tp over ipsec, все работает хорошо, правда не сразу завелось, в пт не работало, а в вт на следующей недели пробуем, работает, мистика... 

 

Главное, что все работает

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...

Важная информация

Продолжая пользоваться сайтом вы принимаете Условия использования.