Интернет через головной координатор

[Sergey01]

Добрый день.

Прошу помощи. Есть головной офис А и доп офис Б, между ними два координатора HW1000 и HW50 (недавно купленные). В головном офисе на координаторе HW1000 режим за NAT cо статическим ip от роутера провайдера (проброс портов настроен), в доп офисе координатор с динамическим режимом, сервером ip адресов является координатор HW1000 из головного офиса. В локальных сетях двух офисов указаны туннелированные IP компьютеров (vipnet client не используем), сеть функционирует пинги ходят в обе стороны. Но есть задача: необходимо выпустить в интернет компьютеры офиса через координатор HW1000 из головного офиса, возможно ли это и как это организовать?

[AntonNil]

у вас и так вроде должен быть интернет в допофисе. хв50 шлюз по-умолчанию? на хв1000 шлюз по-умолчанию роутер провайдера? нат поднят, должно работать. если нет, то смотрите журнал пакетов на хв1000.

[Sergey01]

Интернет в офисе есть только через офисный HW50 при настройке NAT и транзитных пакетов на нем

[Sergey01]

Уточню. На HW1000 NAT настроен и транзитные фильтры открытой сети для внешнего интерфейса этого координатора, компьютеры за этим координатором выходят в интернет. Компьютеры офиса видят компьютеры головного офиса, но выхода в интернет нет. При этом, при попытке выхода в интернет с компа офиса в логах двух координаторов нет записей (registerall включен). В офисе на компе шлюз по умолчанию координатор HW50

[AntonNil]

Ну на хв50 пакеты должны быть, хотя бы заблокированные.

Включите прокси на хв1000

[R.Sheyn]

17 часов назад, Sergey01 сказал:

Но есть задача: необходимо выпустить в интернет компьютеры офиса через координатор HW1000 из головного офиса, возможно ли это и как это организовать?

Необходимо на HW1000 туннелировать публичные адреса.

[Sergey01]

24 минуты назад, AntonNil сказал:

Ну на хв50 пакеты должны быть, хотя бы заблокированные.

Включите прокси на хв1000

Прокси включен. На hw 50 без правил nat и транзитных фильтров нашел пакеты блокированные. Транзитный пакет блокирован фильтром открытой сети. Добавляю правило в транзитные фильтры разрешать трафик с ip подсети офиса назначени InternetIP. После этого блокированные пакеты отсутствуют интернет тоже отсутствует. Как я понимаю надо Nat еще настраивать на HW50, но не так чтобы интернет трафик пошел через него, а через HW1000. Если просто делаю трансляцию подсети офиса на внешний интерфейс hw50 то интернет есть, но интернет трафик естественно идет через их ip,а как вы поняли мне не это нужно. Спасибо что помогаете.

24 минуты назад, R.Sheyn сказал:

Необходимо на HW1000 туннелировать публичные адреса.

Не совсем понял

[Sergey01]

25 минут назад, R.Sheyn сказал:

Необходимо на HW1000 туннелировать публичные адреса.

У меня в списках туннелируемых узлов только внутренние ip компов. Нужно туннелировать публичные адреса координаторов?

[AntonNil]

1 час назад, Sergey01 сказал:

У меня в списках туннелируемых узлов только внутренние ip компов. Нужно туннелировать публичные адреса координаторов?

Он имеет ввиду что надо в туннель хв1000 прописать все адреса интернета. тогда хв50 будет знать куда отправлять пакеты на публичные интернетовские адреса

[AntonNil]

1 час назад, Sergey01 сказал:

Прокси включен

Так пропишите его в браузере. На хв1000 стоит обычный squid

[Sergey01]

4 минуты назад, AntonNil сказал:

Он имеет ввиду что надо в туннель хв1000 прописать все адреса интернета. тогда хв50 будет знать куда отправлять пакеты на публичные интернетовские адреса

Надо попробовать, где это делается?

 

3 минуты назад, AntonNil сказал:

Так пропишите его в браузере. На хв1000 стоит обычный squid

Он в прозрачном режиме, его не надо прописывать по идее, сейчас попробую

[volosnikov]

2 часа назад, R.Sheyn сказал:

Необходимо на HW1000 туннелировать публичные адреса.

Давно хотел попробовать:

tunnel 0.0.0.0 - 255.255.255.255

 

[Sergey01]

16 минут назад, volosnikov сказал:

Давно хотел попробовать:

tunnel 0.0.0.0 - 255.255.255.255

 

Incorrect last virtual address for tunnel= 0.0.0.0-255.255.255.255 to 0.0.0.0-255.255.255.255. You must change the starting virtual address of the range so that the first octet of the last virtual address does not exceed 223.

 

1 час назад, Sergey01 сказал:

Надо попробовать, где это делается?

 

Он в прозрачном режиме, его не надо прописывать по идее, сейчас попробую

не помогло прописывание ip прокси в браузере

[volosnikov]

4 минуты назад, Sergey01 сказал:

Incorrect last virtual address for tunnel= 0.0.0.0-255.255.255.255 to 0.0.0.0-255.255.255.255. You must change the starting virtual address of the range so that the first octet of the last virtual address does not exceed 223.

0.0.0.1 - 255.255.255.0

?

[Sergey01]

7 минут назад, volosnikov сказал:

0.0.0.1 - 255.255.255.0

?

Incorrect last virtual address for tunnel= 0.0.0.1-255.255.255.0 to 0.0.0.0-255.255.254.255. You must change the starting virtual address of the range so that the first octet of the last virtual address does not exceed 223.
 

Тоже самое

[volosnikov]

0.0.0.0  99.255.255.255
100.0.0.0 199.255.255.255
200.0.0.0 255.255.255.255

 

[R.Sheyn]

Коллеги, ну это же вы все адреса взяли, погуглите диапазоны публичных

Начинается с 1.0.0.0-9.255.255.255 итд.

[Sergey01]

0.0.0.0  99.255.255.255

Добавил, но результата нет. 

 

[Sergey01]

В логах hw50 ошибок нет. Вижу запись пропущен незашифрванный локальный ip, но он идет с компа IP 192.168.52.20 до вн. интерфейса HW50 192.168.52.2, но если NAT не трогаем на HW50, пакеты разве уйдут дальше?
 

[Sergey01]

NATом c hw50 получается завернуть трафик указав ip назначения внешний интерфейс hw1000 (виртуальный ip), трафик пошел, сайты открываются, но не все, ip на компе офиса во внешке определяется как ip головного офиса. Правильно понимаю что сайты из диапазона 0.0.0.0  99.255.255.255 теперь туннелируемые узлы и имеют доступ к 192.168.52.20 то есть к компу офиса, это ведь не безопасно получается?

[Sergey01]

Без туннелирования интернет ресурсов невозможно реализовать мою задачу?

 

[volosnikov]

Поставить там прокси