клиент с внутренним IP

[dron]

насколько я понял, если клиент стоит на компе с внутренним ip, за NATом, и к шлюзу, на котором этот NAT поднят нет доступа(т.е. нет возможности установить там Proxy VipNet или организовать UDP Proxy), то связь с защищенной сеткой такому клиенту не установить. У меня верные представления? Спасибо! :?:

[Гость]

Если речь идет об обычном статическом NAT, то настроив работу ViPNet Клиента за внешним UDP-Proxy и указав в качестве внешнего

IP-адреса firewall внешний реальный адрес, под которым видна эта машина снаружи, то все должно работать.

[dron]

Nat естественно динамический. В том то и проблема, что машину на которой стоит клиент снаружи никак не увидеть. К тому же нет никакой возможности настроить соответствие между портами на шлюзе с внешним ip и портами машины с клиентом. При использовании клиент сервером протокола tcp, никакой загвоздки бы не было, а вот udp... Конечно динамический nat организовывает временное соответствие портов при посылке udp пакета с клиентской машины, но оно по умолчанию равняется 2 минутам, а если учесть, что по дороге natов несколько и скорость фиговая...

Вот меня и интересует расчитан ли данный продукт на такую ситуацию, может коль уж используется udp, клиент при отсутствии ответа от сервера передает пакет еще раз, для организации еще одного временного соответствия на шлюзе с NATом. Может как то это можно настроить? Господа администраторы, ну что же вы молчите!!??

[PinG]

Текущие версии ПО не поддерживают работу с динамическим NAT, как штатную функцию. Однако, практический опыт эксплуатации показывает, что в ряде случаев такая работа оказывается возможной.

При этом, естественно, инициатива соединения должна исходить от клиента за NAT. Для этого требуется, чтобы NAT принимал удаленные пакеты на порт с номером destination-порта отправляемых пакетов. Что касается проблем с UDP, то здесь вопрос не столь однозначен: если приложение на клиенте работает по TCP, то соединение будет поддерживаться стеком OC автоматически. Драйвер ViPNet будет производить инкапсуляцию в UDP, все это происходит на сетевом уровне, поэтому транспортный просто будет "не в курсе".

В будущих версиях предполагается встраивание поддержки динамического NAT - будет возможна работа с произвольным распределением портов на NAT.

[dron]

Вот чего я и ждал!! Большое спасибо за разъяснения. Но все же не совсем понятно, зачем взаимодействие вашего клиент-сервера реализовано на udp? Ведь если б драйвер устанавливал tcp соединение с сервером и инкапсулировал всю фигню в tcp пакет, то проблем не возникало бы и с динамическим натом...

[PinG]

UDP-инкапсуляция на данный момент является уже почти стандартом для VPN средств. В отличии от TCP она позволяет минимизировать накладные расходы на поддержание защищенного канала. Реализовать поддержку UDP проще чем TCP, т.к. драйвер защиты должен будет повторить функционал стека для TCP, находясь при этом на уровне IP. Поэтому выбор UDP - это просто компромисс :wink:

Хотелось бы отметить, что ViPNet поддерживает также инкапсуляцию в IP с собственным номером протокола, но эта функция используется только в том случае, если нет преобразования адресов по пути следования пакетов.

Различия в Клиенте и Координаторе здесь никакого нет, оба поддерживают один и тот же функционал при работе через внешние прокси/файрволы. Координатор дополнительно поддерживает каскадирование и разграничение доступа по интерфейсам.

Будущие версии ViPNet будут поддерживать работу с динамическим NAT путем анализа на принимающей стороне номеров портов стороны передающей. Сейчас принимающая сторона отправляет пакет на заданный в настройках порт.

[Василий]

Прошу объяснить что такое NAT. Или хотя бы ссылочку - где почитать.

[PinG]

Почитать можно здесь http://www.citforum.ru/cgi-bin/yandmarkup?...6&PageNum=0 :roll:

[Гость Ev_An]

Ссылка пустая. Может еще есть другие.

[Maxvit]

http://www.techno.spb.ru/technology/nat.htm

http://www.chelcom.ru/~rav/nat-paper-html/nat.html