pl84 Опубликовано 10 Марта 2020 Жалоба Поделиться Опубликовано 10 Марта 2020 есть несколько филиалов, до некоторых есть требования по шифрованию ГОСТ, закупили VipNet Coordinaror'ы, остальные филиалы остаются на IPSec + есть удаленные пользователи, которым надо попадать из дома в любой из филиалов (одни цепляются через L2TP over IPSec на роутер, другие через VipNet Client через випнет координатор), вопрос заключается в том, чтобы грамотно расположить випнет и его клиентами и роутер с ipsec'ом + L2TP over IPSec и его клиентами, так, чтобы и ВСЕ УДАЛЕННЫЕ пользователи могли ходить в любой сегмент сети, т.е. клиент L2TP мог через центратный роутер попадать в филиал, который защищен випнетом, а VipNet Clien мог попасть в через IPSec в другой офис. т.е. что мне поставить первым: випнет или роутер на границу с инетом? какие порты и протоколы закидывать на роутер или випнет, для корректной работы? 1. инет-випнет-роутер-лвс, 2. инет-роутер-випнет-лвс. для лвс нужен инет, т.е. на одном из (роутре или випнет) нужен будет побнимать nat. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 10 Марта 2020 Жалоба Поделиться Опубликовано 10 Марта 2020 18 минут назад, pl84 сказал: есть несколько филиалов, до некоторых есть требования по шифрованию ГОСТ, закупили VipNet Coordinaror'ы, остальные филиалы остаются на IPSec + есть удаленные пользователи, которым надо попадать из дома в любой из филиалов (одни цепляются через L2TP over IPSec на роутер, другие через VipNet Client через випнет координатор), вопрос заключается в том, чтобы грамотно расположить випнет и его клиентами и роутер с ipsec'ом + L2TP over IPSec и его клиентами, так, чтобы и ВСЕ УДАЛЕННЫЕ пользователи могли ходить в любой сегмент сети, т.е. клиент L2TP мог через центратный роутер попадать в филиал, который защищен випнетом, а VipNet Clien мог попасть в через IPSec в другой офис. т.е. что мне поставить первым: випнет или роутер на границу с инетом? какие порты и протоколы закидывать на роутер или випнет, для корректной работы? 1. инет-випнет-роутер-лвс, 2. инет-роутер-випнет-лвс. для лвс нужен инет, т.е. на одном из (роутре или випнет) нужен будет побнимать nat. лучше второй вариант, так как через випнет c ipsec могут быть проблемы. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
pl84 Опубликовано 10 Марта 2020 Автор Жалоба Поделиться Опубликовано 10 Марта 2020 а как тогда юзера L2TP смогут попасть в шифрованный канал? какой порт прокидывать для работы ВИПнета? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
pl84 Опубликовано 10 Марта 2020 Автор Жалоба Поделиться Опубликовано 10 Марта 2020 у меня вопрос заключается в том, что на випнете мы указываем внешнюю сеть и внутреннюю, соответственно все, что прилетает на внутренюю сеть через внешний интерфейс должно быть шифровано, а от роутера к нему будет лететь не шифрованный траффик!!! и он его будет дропать... как выйти из этой ситуации? поднять отдельные сабы? т.е. на внешний интерфейс повесить адрес + отдельно саб и этот саб обозвать внутренним? требуется, чтобы все клиенты 1-3 могли попасть в любой офис для работы с внутренними ресурсами Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 10 Марта 2020 Жалоба Поделиться Опубликовано 10 Марта 2020 2 часа назад, pl84 сказал: у меня вопрос заключается в том, что на випнете мы указываем внешнюю сеть и внутреннюю, соответственно все, что прилетает на внутренюю сеть через внешний интерфейс должно быть шифровано, а от роутера к нему будет лететь не шифрованный траффик!!! и он его будет дропать неверная концепция, никаких внешних и внутренних сетей в понимании випнета нет. для работы айписечников в гост офисах вы адреса айписечников должны добавить в туннели координатора, на роутере маршрут до гостовых офисов через координатор, он зашифрует в гост и отправит в гостовый офис. Но вообще, если вот вас прямо обязали использовать гост для некоторых офисов, то эта схема вообще нелигитимна, так как у вас трафик из этих офисов до айписечников пойдет через интернет(т.е. выйдет за конроллируемую зону) без госта. С точки зрения регулятора трафик в Интернет уйдет незащищенным. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 10 Марта 2020 Жалоба Поделиться Опубликовано 10 Марта 2020 3 часа назад, pl84 сказал: какой порт прокидывать для работы ВИПнета? по дефолту udp/55777 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
pl84 Опубликовано 10 Марта 2020 Автор Жалоба Поделиться Опубликовано 10 Марта 2020 большое спасибо, остался вопрос по тунелируемым адресам, т.е. то, что на "внешнем" интерфейсе прилетают адреса, которые в тунелях прописаны не будут дропаться? и будут считаться "своими"? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 10 Марта 2020 Жалоба Поделиться Опубликовано 10 Марта 2020 3 минуты назад, pl84 сказал: большое спасибо, остался вопрос по тунелируемым адресам, т.е. то, что на "внешнем" интерфейсе прилетают адреса, которые в тунелях прописаны не будут дропаться? и будут считаться "своими"? Не будут. У випнетов нет никаких зон безопасности. Но как я уже написал регуляторы это не одобрят. Все удаленные сотрудники, которые будут работать с ресурсами гост офисов должны использовать vipnet client. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
pl84 Опубликовано 10 Марта 2020 Автор Жалоба Поделиться Опубликовано 10 Марта 2020 випнет клиенты ожидают закупки, изначально ошиблись и купили не те лицензии, поэтому пока вот так... а работать людям надо. а вот еще такой вопрос: когда делаешь первую настройку випнета, то он спрашивает про NAT вроде, стоит ли устройство за натом или нет, мне требуется заново перенастроить випнет или это через ЦУС можно поправить? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vintik Опубликовано 11 Марта 2020 Жалоба Поделиться Опубликовано 11 Марта 2020 В 10.03.2020 в 17:02, pl84 сказал: випнет клиенты ожидают закупки, изначально ошиблись и купили не те лицензии, поэтому пока вот так... а работать людям надо. .... С этого и надо было начинать, а то правильно R.Sheyn подсказывает, смотришь на то что делается и непонятно зачем всё это есть это без толку (в плане регуляторов) делаете ГОСТ и тут же рябом "открытая сеть". А так уже более верно, что это подготовительные работы и в итоге все места будут переведены, а пока рассматривается альтернативный вариант пусконаладки чтоб не останавливался тех. процесс. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
pl84 Опубликовано 12 Марта 2020 Автор Жалоба Поделиться Опубликовано 12 Марта 2020 В 10.03.2020 в 14:02, pl84 сказал: а вот еще такой вопрос: когда делаешь первую настройку випнета, то он спрашивает про NAT вроде, стоит ли устройство за натом или нет, мне требуется заново перенастроить випнет или это через ЦУС можно поправить? что с этим делать теперь?))) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 13 Марта 2020 Жалоба Поделиться Опубликовано 13 Марта 2020 В 12.03.2020 в 08:06, pl84 сказал: что с этим делать теперь?))) в зависимости от версий можно изменить настройки из ЦУС или же перенастроить вручную. в каких то версиях настройки в ЦУС только для первоначальной настройки, т.е. они применяются только, когда разворачиваете dst. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
pl84 Опубликовано 13 Марта 2020 Автор Жалоба Поделиться Опубликовано 13 Марта 2020 Те заново переконфигурировать устройство? Или будет достаточно зайти по удаленке и в файле поправить? После этого в цусе требуется какие-то изменения производить? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 13 Марта 2020 Жалоба Поделиться Опубликовано 13 Марта 2020 5 часов назад, pl84 сказал: Те заново переконфигурировать устройство? Или будет достаточно зайти по удаленке и в файле поправить? После этого в цусе требуется какие-то изменения производить? Достаточно зайти и поправить. В цусе ничего менять не надо. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
pl84 Опубликовано 14 Марта 2020 Автор Жалоба Поделиться Опубликовано 14 Марта 2020 Большое спасибо за помощь Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
pl84 Опубликовано 20 Марта 2020 Автор Жалоба Поделиться Опубликовано 20 Марта 2020 настроит DNAT на роутере ( udp/55777), как проверить, что работает? окно телнета висит, никакого вывода, только отваливается по таймауту Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 20 Марта 2020 Жалоба Поделиться Опубликовано 20 Марта 2020 2 минуты назад, pl84 сказал: настроит DNAT на роутере ( udp/55777), как проверить, что работает? окно телнета висит, никакого вывода, только отваливается по таймауту так telnet по tcp работает. попробуйте PortQry или nmap или netcat Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
pl84 Опубликовано 20 Марта 2020 Автор Жалоба Поделиться Опубликовано 20 Марта 2020 В 10.03.2020 в 13:32, R.Sheyn сказал: по дефолту udp/55777 вот тут написали, что UDP.... блин.. точно.. же... по tcp telnet.... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
pl84 Опубликовано 20 Марта 2020 Автор Жалоба Поделиться Опубликовано 20 Марта 2020 c:\PortQryV2>PortQry -n ***.***.***.*** -p udp -e 55777 Querying target system called: ***.***.***.*** Attempting to resolve IP address to a name... Failed to resolve IP address to name querying... UDP port 55777 (unknown service): LISTENING or FILTERED с инеткомпа, випнет подключен напрямую в инет тоже в другом городе... что-то не так... на випнетах нет в логах попыток соединиться по порту 55777 и адреса , на котором висит другой випнет Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
pl84 Опубликовано 22 Марта 2020 Автор Жалоба Поделиться Опубликовано 22 Марта 2020 Переиграли схему, тк не поняли и сразу, что там не только 55777 порт, а 2046-2048, 5000-5003 и другие... Теперь сложность другая, на одном випнета включили nat, инет есть, а удаленную сетку не видно... Пока не включить нат на другой стороне тоже... Почему так? Вроде все верно было настроено, на удаленной же стороне включён нат, но он не работает, те инет на компах отсутствует... Комы отвечают, что не найдена сеть, если пинговать 8.8.8.8... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
pl84 Опубликовано 23 Марта 2020 Автор Жалоба Поделиться Опубликовано 23 Марта 2020 ошибка была найдена, все заработало, спасибо за ответы, остался только 2 вопроса 1. по ДНС: 1.1 клиент в списке тунелируемых адресов сидит за роутером, т.к. комп без клиента -> роутер со службой DNS-Relay (в качестве сервера днс указан адрес випнета) -> випнет - ДНС не работает!, 1.2. если на роутерес прописать в качестве серверов ДНС гугл, то клиент работает, 1.3. если у клиента прописать в качестве днс випнет, то работает... почему через роутер не работает ДНС? 2. по определению сетей: 2.1 каким образом ВИПНЕТ определяет сети как открытые, защищенные? 2.2. не мог подключиться на вебку с локального адреса, которых в тунелируемых находттся, пока не прописал отдельное правило в открытых сетях... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 23 Марта 2020 Жалоба Поделиться Опубликовано 23 Марта 2020 1 час назад, pl84 сказал: почему через роутер не работает ДНС? скорее всего потому, что адрес роутера не в туннелируемых, и поэтому запросы от него как от релея блокируются. 1 час назад, pl84 сказал: каким образом ВИПНЕТ определяет сети как открытые, защищенные? В терминологии випнет узлы бывают открытые, туннелируемые и защищенные. Защищенные это с випнет клиентом, откртые это без клиента и которые не в списке туннелей, туннелируемые соответственно без клиента в списке туннелей. 1 час назад, pl84 сказал: не мог подключиться на вебку с локального адреса, которых в тунелируемых находттся, пока не прописал отдельное правило в открытых сетях... все правильно, потому что для туннелируемых разрешен транзитный трафик через випнет, а это трафик не транзитный, а открытый локальный. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 23 Марта 2020 Жалоба Поделиться Опубликовано 23 Марта 2020 15 часов назад, pl84 сказал: а 2046-2048, 5000-5003 и другие... это порты внутри инкапсулированных пакетов, открывать их не требуется. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
pl84 Опубликовано 24 Марта 2020 Автор Жалоба Поделиться Опубликовано 24 Марта 2020 17 часов назад, R.Sheyn сказал: это порты внутри инкапсулированных пакетов, открывать их не требуется. в момент, когда переиграли и поставили випнет вместо роутера, ранее планировали именно роутер в инет выпускать, а за ним уже випнет, на удаленный випнет не приходило даже попыток соединиться, т.е. журнал регистрации пакетов был пустой, как только випнет стал вперед, тунель тут же поднялся и появились пакеты по этим портам + в iplir было замечено, что на одном випнете порт 55777 висит, а на другом (который как раз прятали за нат он каждый раз менялся при формировании справочников: 55877, 55897 и тд...) - почему так? возможно из-за этого и была сложность... 17 часов назад, R.Sheyn сказал: скорее всего потому, что адрес роутера не в туннелируемых, и поэтому запросы от него как от релея блокируются. В терминологии випнет узлы бывают открытые, туннелируемые и защищенные. Защищенные это с випнет клиентом, откртые это без клиента и которые не в списке туннелей, туннелируемые соответственно без клиента в списке туннелей. все правильно, потому что для туннелируемых разрешен транзитный трафик через випнет, а это трафик не транзитный, а открытый локальный. 1. адрес роутера в списке туннелируемых адресов, т.е. стыковочная сеть между роутером и випнетом вся тунелируется, 2-3. спасибо за пояснение, теперь все ясно. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
pl84 Опубликовано 3 Апреля 2020 Автор Жалоба Поделиться Опубликовано 3 Апреля 2020 Может кому интересно будет, решение вопроса найдено. Нашли ошибку в маршрутной информации, поправили, все адреса стали доступны, Прокинули порты и протоколы на роутер, l2tp over ipsec, все работает хорошо, правда не сразу завелось, в пт не работало, а в вт на следующей недели пробуем, работает, мистика... Главное, что все работает Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.