kosta9999 Опубликовано 20 Ноября 2012 Жалоба Поделиться Опубликовано 20 Ноября 2012 Имеется сеть из нескольких машин 192.168.1.0/24Имеется внешний адрес ууу.ууу.ууу.ууу/28Машины стоят за прокси-сервером на FBSD.Шлюз у всех прописан 192.168.1.1В ipnat.rules пишу:map l01 ууу.ууу.ууу.ууу/28 port 55777 -> 192.168.1.0/24rdr fxp1 ууу.ууу.ууу.ууу/28 port 55777 -> 192.168.1.155 55777 udpи никакого эффекта не видит 192.168.1.155 координаторов сети Випнет Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 20 Ноября 2012 Жалоба Поделиться Опубликовано 20 Ноября 2012 Имеется сеть из нескольких машин 192.168.1.0/24Имеется внешний адрес ууу.ууу.ууу.ууу/28Машины стоят за прокси-сервером на FBSD.Шлюз у всех прописан 192.168.1.1В ipnat.rules пишу:map l01 ууу.ууу.ууу.ууу/28 port 55777 -> 192.168.1.0/24rdr fxp1 ууу.ууу.ууу.ууу/28 port 55777 -> 192.168.1.155 55777 udpи никакого эффекта не видит 192.168.1.155 координаторов сети Випнет Вообще, для работы VipNet достаточно, чтобы:Файервол пропускал пакеты UDP 55777 во внешку (пробрасывать порт для клиента не нужно);Происходило бы NATирование компьютера с клиентом.Не силён в настройках unix-файерволов, но меня смущает как вы прокинули порт 55777. Его не нужно делать торчащим наружу. Тем более, при нескольких клиентах в одной сети это не будет работать. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kosta9999 Опубликовано 21 Ноября 2012 Автор Жалоба Поделиться Опубликовано 21 Ноября 2012 NAT - исключен. Увы.Файервол пропускал пакеты UDP 55777 во внешку (пробрасывать порт для клиента не нужно);Это я так понимаю в ipfw смотреть?Примерно так:/sbin/ipfw -q add pass udp from 192.168.0.155 to any 55777 #где ip рабочей станции на которой стоит ВИПНЕТ/sbin/ipfw -q add pass udp from any 87 to 192.168.0.155 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
intellegent Опубликовано 21 Ноября 2012 Жалоба Поделиться Опубликовано 21 Ноября 2012 NAT - исключен. Увы.Файервол пропускал пакеты UDP 55777 во внешку (пробрасывать порт для клиента не нужно);Это я так понимаю в ipfw смотреть?Примерно так:/sbin/ipfw -q add pass udp from 192.168.0.155 to any 55777 #где ip рабочей станции на которой стоит ВИПНЕТ/sbin/ipfw -q add pass udp from any 87 to 192.168.0.155ViPNet не работает через прокси. Пока Сейчас нужен NAT. В случае, если в сети нет Координатора и есть несколько Клиентов, лучшим вариантом будет NAPT или PAT - подмена в исходящих пакетах адресе источника в ууу.ууу.ууу.ууу/28 и подмена исходящего порта в случайно выбранный. Если такой вариант не подходит, то придется всех клиентов разводить по портам - каждому клиенту назначать уникальный порт для работы (одному 55777, другому 55778, третьему 55779 и т.д.). Затем для каждого клиента на Вашем firewall писать правила статического проброса Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 21 Ноября 2012 Жалоба Поделиться Опубликовано 21 Ноября 2012 ViPNet не работает через прокси. Пока Сейчас нужен NAT. В случае, если в сети нет Координатора и есть несколько Клиентов, лучшим вариантом будет NAPT или PAT - подмена в исходящих пакетах адресе источника в ууу.ууу.ууу.ууу/28 и подмена исходящего порта в случайно выбранный. Если такой вариант не подходит, то придется всех клиентов разводить по портам - каждому клиенту назначать уникальный порт для работы (одному 55777, другому 55778, третьему 55779 и т.д.). Затем для каждого клиента на Вашем firewall писать правила статического пробросаСогласен. Под натом я имел ввиду все виды NAT. Оптимальная трансляция - один порт на один единственный внешний адрес от одного единственного внутреннего адреса - и безопасно, и работать всё будет. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kosta9999 Опубликовано 30 Ноября 2012 Автор Жалоба Поделиться Опубликовано 30 Ноября 2012 Поднял второй сервер, пересобрал на нем ядро с опциями IPFIREWALL и IPDIVERT и пустил все через него.Добавил правила/sbin/ipfw -q add pass udp from 192.168.0.*** to any 55777/sbin/ipfw -q add pass udp from any 87 to 192.168.0.***В сетевых настройках Випнетовских машин в качестве гетвея указал адрес сервера с файрволом.Координаторов увидел. Для каждой машины правда пришлось прописывать...Ну еще кучу портов бы надо открывать. Вроде насколько я слышал tp-порты с 2010 по 2050 нужно открыть? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 30 Ноября 2012 Жалоба Поделиться Опубликовано 30 Ноября 2012 Випнет в сети Интернет (через NAT) работает по одному UDP порту - 55777 (по умолчанию). Если внутри сети и узлы доступны по бродкасту, то используются порты:2046-2047 UDP (для синхронизации адресов, чата и проверки соединения);5000-5003 TCP (для MFTP);Иные порты открывать не нужно. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.