AlterEgO Опубликовано 24 Октября 2006 Жалоба Поделиться Опубликовано 24 Октября 2006 Мне нужно поставить координатор за шлюзом.В качестве шлюза могут выступать или сервер или cisco-маршрутизатор. (Это две ситуации, но хотелось бы обе решить)Возможно ли это, если координатор должен обслуживать входящие пакеты? (как реализовать?!)Предполагаю форвардинг портов со стороны шлюза, а вот как быть с самим координатором, ведь у него будет исходящий IP локальной сети. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 24 Октября 2006 Жалоба Поделиться Опубликовано 24 Октября 2006 AlterEgOПара встречных вопросов:1) Не совсем понятна схема включения координатора. Он какой? Однокарточный?2) Что такоеисходящий IP локальной сети Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AlterEgO Опубликовано 24 Октября 2006 Автор Жалоба Поделиться Опубликовано 24 Октября 2006 1) Однокарточный - локальная сеть.Координатор соединяет инет и локалку. Выход в инет через шлюз (сервер или циска, принцип будет тот же, если хоть один решить)2) Вот знал бы я точно как работает координатор, то сказал бы Но я подразумевал то, что IP у координатора будет только локальной сети. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 24 Октября 2006 Жалоба Поделиться Опубликовано 24 Октября 2006 AlterEgOТ.е. насколько я Вас понял, Ваш координатор стоит внутри локальной сети. Выход в Инет осуществляется через некий шлюз (ПК или "железка" - не принципиально.)На шлюзе необходимо прописать правило пропуска пакетов по порту UDP 55777 (стандартный порт для ViPNet).Соответственно эти пакеты должны маршрутизироваться на и с координатор(а). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
intellegent Опубликовано 24 Октября 2006 Жалоба Поделиться Опубликовано 24 Октября 2006 1) Однокарточный - локальная сеть.Координатор соединяет инет и локалку. Выход в инет через шлюз (сервер или циска, принцип будет тот же, если хоть один решить)2) Вот знал бы я точно как работает координатор, то сказал бы Но я подразумевал то, что IP у координатора будет только локальной сети.Однокарточный координатор работать будет и ничего по портам разводить не надо, NAT только нужен, т.к. не пустите же его в серыми адресами в инет. Для все клиентов стоящих за ним, координатор является прокси-сервером, т.е. он проксирует защищенный трафик. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AlterEgO Опубликовано 24 Октября 2006 Автор Жалоба Поделиться Опубликовано 24 Октября 2006 Форвардить порты надо! Иначе входящие соединения не будут знать куда ходить (входящие, не вызванные координатором, забыл термин :-) )До идеи о NAT я дошёл, пробую реализовать редиректом адреса. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
intellegent Опубликовано 25 Октября 2006 Жалоба Поделиться Опубликовано 25 Октября 2006 Форвардить порты надо! Иначе входящие соединения не будут знать куда ходить (входящие, не вызванные координатором, забыл термин :-) )До идеи о NAT я дошёл, пробую реализовать редиректом адреса.Значит так:1) по-умолчанию все зашифрованные пакеты выходящие за пределы LAN инкапсулируются в UDP 55777;2) если в сети ставится одновременно несколько точек с ПО ViPNet Client и все они должны общаться с другими узлами VPN через каналы интернет, то тогда само ПО ViPNet Client должно быть разведено по портам - отсюда следует форвард портов на граничном устройстве, т.е. проброс пакетов извне вовнутрь на какой-то назначенный на Client порт;2) если в сети кроме ViPNet Client используется ViPNet Coordinator, то тогда все пакеты должны идти через Coordinator, порт по-умолчанию см. выше, соответсвенно если используется что-то типа Cisco PIX (stateful inspection), то требуется только разрешить входящие пакеты на outside интерфейс протокол udp port 55777в сторону Coordinator;3) если же iptables, то в форуме смотри ниже, там были примеры что и как делать. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.