Jump to content

Recommended Posts

Мне нужно поставить координатор за шлюзом.

В качестве шлюза могут выступать или сервер или cisco-маршрутизатор. (Это две ситуации, но хотелось бы обе решить)

Возможно ли это, если координатор должен обслуживать входящие пакеты? (как реализовать?!)

Предполагаю форвардинг портов со стороны шлюза, а вот как быть с самим координатором, ведь у него будет исходящий IP локальной сети.

Share this post


Link to post
Share on other sites

AlterEgO

Пара встречных вопросов:

1) Не совсем понятна схема включения координатора. Он какой? Однокарточный?

2) Что такое

исходящий IP локальной сети

Share this post


Link to post
Share on other sites

1) Однокарточный - локальная сеть.

Координатор соединяет инет и локалку. Выход в инет через шлюз (сервер или циска, принцип будет тот же, если хоть один решить)

2) Вот знал бы я точно как работает координатор, то сказал бы :) Но я подразумевал то, что IP у координатора будет только локальной сети.

Share this post


Link to post
Share on other sites

AlterEgO

Т.е. насколько я Вас понял, Ваш координатор стоит внутри локальной сети. Выход в Инет осуществляется через некий шлюз (ПК или "железка" - не принципиально.)

На шлюзе необходимо прописать правило пропуска пакетов по порту UDP 55777 (стандартный порт для ViPNet).

Соответственно эти пакеты должны маршрутизироваться на и с координатор(а).

Share this post


Link to post
Share on other sites
1) Однокарточный - локальная сеть.

Координатор соединяет инет и локалку. Выход в инет через шлюз (сервер или циска, принцип будет тот же, если хоть один решить)

2) Вот знал бы я точно как работает координатор, то сказал бы :) Но я подразумевал то, что IP у координатора будет только локальной сети.

Однокарточный координатор работать будет и ничего по портам разводить не надо, NAT только нужен, т.к. не пустите же его в серыми адресами в инет. Для все клиентов стоящих за ним, координатор является прокси-сервером, т.е. он проксирует защищенный трафик.

Share this post


Link to post
Share on other sites

Форвардить порты надо! Иначе входящие соединения не будут знать куда ходить (входящие, не вызванные координатором, забыл термин :-) )

До идеи о NAT я дошёл, пробую реализовать редиректом адреса.

Share this post


Link to post
Share on other sites
Форвардить порты надо! Иначе входящие соединения не будут знать куда ходить (входящие, не вызванные координатором, забыл термин :-) )

До идеи о NAT я дошёл, пробую реализовать редиректом адреса.

Значит так:

1) по-умолчанию все зашифрованные пакеты выходящие за пределы LAN инкапсулируются в UDP 55777;

2) если в сети ставится одновременно несколько точек с ПО ViPNet Client и все они должны общаться с другими узлами VPN через каналы интернет, то тогда само ПО ViPNet Client должно быть разведено по портам - отсюда следует форвард портов на граничном устройстве, т.е. проброс пакетов извне вовнутрь на какой-то назначенный на Client порт;

2) если в сети кроме ViPNet Client используется ViPNet Coordinator, то тогда все пакеты должны идти через Coordinator, порт по-умолчанию см. выше, соответсвенно если используется что-то типа Cisco PIX (stateful inspection), то требуется только разрешить входящие пакеты на outside интерфейс протокол udp port 55777в сторону Coordinator;

3) если же iptables, то в форуме смотри ниже, там были примеры что и как делать.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.