Сетевая Связанность Vipnet

[dda]

Здравствуйте! Сразу оговорюсь Vip Net только начали изучать и находимся на этапе принятия решения о его использования. Поизучали документацию туманным остался один вопрос. Представлю сразу схему гипотетической защищенной сети на словах. Итак. Имеется дата-центр с двумя координаторами (настроен межсерверный канал) на одном из координаторов тунелирование до незащищенных серверов на другом координаторе (имеет реальный IP-адрес в интернете) зарегестрированны все клиенты (АП) причем находятся они в географически разных регионах и подключены в интернет по-разному в том числе и через сотовых операторов, а так-же через провайдеров, выдающих "серые" ip-адреса. Все больше координаторов нет. Настроена связь на уровне ТК все со всеми. Получаются что настроены полутунели(в случае АП и Дата-центра). Понятно что АП могут работать за разными NAT-ами и прочими маршрутизаторами. В первом тех. задании на незащищенных серверах работали какие то сервисы (например WEB-сервер и сервер SQL) и каждый абонентский пункт инициировал с ними соединение и соответствено происходил какой-либо обмен данными. Сейчас возникла потребность что-бы на абонентских пунктах тоже работала пара сервисов (SQL-сервер и WEB-сервер) и сервер из дата-центра (или любой АП из защищенной сети) должен инициировать соединение с АП где работают вышеописаные сервисы. Всвязи с этим вопросы:

1. Есть ли какие-то сложности при выполнении вышеописаных задач?

2. По каким IP-адресам добиратся до защищенных компьютеров (конкретно АП) если у них "серые IP" и расположение за неизвестным DIN-nat?, возможно ли использовать виртуальные IP? Как на брать в Web-браузере на АП для доступа к WEB-серверу на другом АП (http://какой IP:8078).

3. Где более подробно прочитать про адресацию в Vip-Net (желательно с примерами)?

Вопросы конечно немного дилетантские но и обращаюсь я к специалистам за помощью. Заранее благодарен.

[AnTonN(c)]

Сейчас возникла потребность что-бы на абонентских пунктах тоже работала пара сервисов (SQL-сервер и WEB-сервер) и сервер из дата-центра (или любой АП из защищенной сети) должен инициировать соединение с АП где работают вышеописаные сервисы.

АП, который будет инициировать соединение с др. АП должны быть связаны по ТК и обращения должны идти по адресам видимости. Туннелируемые ресурсы, инициирующие соединение до АП, должны обращаться на ip-адрес видимости (реальный или виртуальный) этого АП на координаторе, который их туннелирует, и, соответственно, запросы от туннелей маршрутизировать на координатор.

1. Есть ли какие-то сложности при выполнении вышеописаных задач?

Для кого как. Лично для меня это несложно.

2. По каким IP-адресам добиратся до защищенных компьютеров (конкретно АП) если у них "серые IP" и расположение за неизвестным DIN-nat?, возможно ли использовать виртуальные IP? Как на брать в Web-браузере на АП для доступа к WEB-серверу на другом АП (http://какой IP:8078).

Обращение с АП или туннеля необходимо вести на адрес видимости в ViPNet Client/Координатор.

3. Где более подробно прочитать про адресацию в Vip-Net (желательно с примерами)?

В учебных материалах подробно описана технология виртуальных ip-адресов. В доке тоже есть, но не так подробно, но, думаю, должно хватить для понимания.

Также советую в данной схеме подключения все АП выставлять в динамику через координатор, а координатор в статику без фиксации. В общем, если будет проверка соединения (ф5) с клиентом/координатором, то обращения будут проходить. В противном случае (есть ф5, но соединения не устанавливаются) надо смотреть на прикладной/сетевой уровень: сетевые фильтры (firewll) и маршрутизация.

[dda]

Спасибо за ответ. То есть, если я Вас правильно понял использовать виртуальные IP-адреса для вышеописанной задачи возможно если их разрешить. Иногда бывает что в Мониторе IP-адреса видимости выглядят как <0.0.0.0>. Т.е если у нужного нам АП в мониторе (на нашем АП) есть виртуальный IP-адрес то обращение к нему (например из браузера) можно инициировать по виртуальному ip-адресу.