Перейти к контенту

Прокси-Сервер И Випнет

kosta9999
 Поделиться

Рекомендуемые сообщения

kosta9999

kosta9999

Опубликовано
Опубликовано

Имеется сеть из нескольких машин 192.168.1.0/24

Имеется внешний адрес ууу.ууу.ууу.ууу/28

Машины стоят за прокси-сервером на FBSD.

Шлюз у всех прописан 192.168.1.1

В ipnat.rules пишу:

map l01 ууу.ууу.ууу.ууу/28 port 55777 -> 192.168.1.0/24

rdr fxp1 ууу.ууу.ууу.ууу/28 port 55777 -> 192.168.1.155 55777 udp

и никакого эффекта не видит 192.168.1.155 координаторов сети Випнет :(

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

Имеется сеть из нескольких машин 192.168.1.0/24

Имеется внешний адрес ууу.ууу.ууу.ууу/28

Машины стоят за прокси-сервером на FBSD.

Шлюз у всех прописан 192.168.1.1

В ipnat.rules пишу:

map l01 ууу.ууу.ууу.ууу/28 port 55777 -> 192.168.1.0/24

rdr fxp1 ууу.ууу.ууу.ууу/28 port 55777 -> 192.168.1.155 55777 udp

и никакого эффекта не видит 192.168.1.155 координаторов сети Випнет :(

Вообще, для работы VipNet достаточно, чтобы:

  1. Файервол пропускал пакеты UDP 55777 во внешку (пробрасывать порт для клиента не нужно);
  2. Происходило бы NATирование компьютера с клиентом.

Не силён в настройках unix-файерволов, но меня смущает как вы прокинули порт 55777. Его не нужно делать торчащим наружу. Тем более, при нескольких клиентах в одной сети это не будет работать.

Ссылка на комментарий
Поделиться на других сайтах
kosta9999

kosta9999

Опубликовано
  • Автор
Опубликовано

NAT - исключен. Увы.

Файервол пропускал пакеты UDP 55777 во внешку (пробрасывать порт для клиента не нужно);

Это я так понимаю в ipfw смотреть?

Примерно так:

/sbin/ipfw -q add pass udp from 192.168.0.155 to any 55777 #где ip рабочей станции на которой стоит ВИПНЕТ

/sbin/ipfw -q add pass udp from any 87 to 192.168.0.155

Ссылка на комментарий
Поделиться на других сайтах
intellegent

intellegent

Опубликовано
Опубликовано

NAT - исключен. Увы.

Файервол пропускал пакеты UDP 55777 во внешку (пробрасывать порт для клиента не нужно);

Это я так понимаю в ipfw смотреть?

Примерно так:

/sbin/ipfw -q add pass udp from 192.168.0.155 to any 55777 #где ip рабочей станции на которой стоит ВИПНЕТ

/sbin/ipfw -q add pass udp from any 87 to 192.168.0.155

ViPNet не работает через прокси. Пока ;)

Сейчас нужен NAT. В случае, если в сети нет Координатора и есть несколько Клиентов, лучшим вариантом будет NAPT или PAT - подмена в исходящих пакетах адресе источника в ууу.ууу.ууу.ууу/28 и подмена исходящего порта в случайно выбранный. Если такой вариант не подходит, то придется всех клиентов разводить по портам - каждому клиенту назначать уникальный порт для работы (одному 55777, другому 55778, третьему 55779 и т.д.). Затем для каждого клиента на Вашем firewall писать правила статического проброса

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

ViPNet не работает через прокси. Пока ;)

Сейчас нужен NAT. В случае, если в сети нет Координатора и есть несколько Клиентов, лучшим вариантом будет NAPT или PAT - подмена в исходящих пакетах адресе источника в ууу.ууу.ууу.ууу/28 и подмена исходящего порта в случайно выбранный. Если такой вариант не подходит, то придется всех клиентов разводить по портам - каждому клиенту назначать уникальный порт для работы (одному 55777, другому 55778, третьему 55779 и т.д.). Затем для каждого клиента на Вашем firewall писать правила статического проброса

Согласен. Под натом я имел ввиду все виды NAT. Оптимальная трансляция - один порт на один единственный внешний адрес от одного единственного внутреннего адреса - и безопасно, и работать всё будет.

Ссылка на комментарий
Поделиться на других сайтах
  • 2 недели спустя...
kosta9999

kosta9999

Опубликовано
  • Автор
Опубликовано

Поднял второй сервер, пересобрал на нем ядро с опциями IPFIREWALL и IPDIVERT и пустил все через него.

Добавил правила

/sbin/ipfw -q add pass udp from 192.168.0.*** to any 55777

/sbin/ipfw -q add pass udp from any 87 to 192.168.0.***

В сетевых настройках Випнетовских машин в качестве гетвея указал адрес сервера с файрволом.

Координаторов увидел. Для каждой машины правда пришлось прописывать...

Ну еще кучу портов бы надо открывать. Вроде насколько я слышал tp-порты с 2010 по 2050 нужно открыть?

Ссылка на комментарий
Поделиться на других сайтах
slavanchuk

slavanchuk

Опубликовано
Опубликовано

Випнет в сети Интернет (через NAT) работает по одному UDP порту - 55777 (по умолчанию). Если внутри сети и узлы доступны по бродкасту, то используются порты:

  • 2046-2047 UDP (для синхронизации адресов, чата и проверки соединения);
  • 5000-5003 TCP (для MFTP);

Иные порты открывать не нужно.

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
 Поделиться
Перейти к списку тем
×
×
  • Создать...

Важная информация

Продолжая пользоваться сайтом вы принимаете Условия использования.

  Я согласен