Jump to content

Recommended Posts

Имеется сеть из нескольких машин 192.168.1.0/24

Имеется внешний адрес ууу.ууу.ууу.ууу/28

Машины стоят за прокси-сервером на FBSD.

Шлюз у всех прописан 192.168.1.1

В ipnat.rules пишу:

map l01 ууу.ууу.ууу.ууу/28 port 55777 -> 192.168.1.0/24

rdr fxp1 ууу.ууу.ууу.ууу/28 port 55777 -> 192.168.1.155 55777 udp

и никакого эффекта не видит 192.168.1.155 координаторов сети Випнет :(

Share this post


Link to post
Share on other sites

Имеется сеть из нескольких машин 192.168.1.0/24

Имеется внешний адрес ууу.ууу.ууу.ууу/28

Машины стоят за прокси-сервером на FBSD.

Шлюз у всех прописан 192.168.1.1

В ipnat.rules пишу:

map l01 ууу.ууу.ууу.ууу/28 port 55777 -> 192.168.1.0/24

rdr fxp1 ууу.ууу.ууу.ууу/28 port 55777 -> 192.168.1.155 55777 udp

и никакого эффекта не видит 192.168.1.155 координаторов сети Випнет :(

Вообще, для работы VipNet достаточно, чтобы:

  1. Файервол пропускал пакеты UDP 55777 во внешку (пробрасывать порт для клиента не нужно);
  2. Происходило бы NATирование компьютера с клиентом.

Не силён в настройках unix-файерволов, но меня смущает как вы прокинули порт 55777. Его не нужно делать торчащим наружу. Тем более, при нескольких клиентах в одной сети это не будет работать.

Share this post


Link to post
Share on other sites

NAT - исключен. Увы.

Файервол пропускал пакеты UDP 55777 во внешку (пробрасывать порт для клиента не нужно);

Это я так понимаю в ipfw смотреть?

Примерно так:

/sbin/ipfw -q add pass udp from 192.168.0.155 to any 55777 #где ip рабочей станции на которой стоит ВИПНЕТ

/sbin/ipfw -q add pass udp from any 87 to 192.168.0.155

Share this post


Link to post
Share on other sites

NAT - исключен. Увы.

Файервол пропускал пакеты UDP 55777 во внешку (пробрасывать порт для клиента не нужно);

Это я так понимаю в ipfw смотреть?

Примерно так:

/sbin/ipfw -q add pass udp from 192.168.0.155 to any 55777 #где ip рабочей станции на которой стоит ВИПНЕТ

/sbin/ipfw -q add pass udp from any 87 to 192.168.0.155

ViPNet не работает через прокси. Пока ;)

Сейчас нужен NAT. В случае, если в сети нет Координатора и есть несколько Клиентов, лучшим вариантом будет NAPT или PAT - подмена в исходящих пакетах адресе источника в ууу.ууу.ууу.ууу/28 и подмена исходящего порта в случайно выбранный. Если такой вариант не подходит, то придется всех клиентов разводить по портам - каждому клиенту назначать уникальный порт для работы (одному 55777, другому 55778, третьему 55779 и т.д.). Затем для каждого клиента на Вашем firewall писать правила статического проброса

Share this post


Link to post
Share on other sites

ViPNet не работает через прокси. Пока ;)

Сейчас нужен NAT. В случае, если в сети нет Координатора и есть несколько Клиентов, лучшим вариантом будет NAPT или PAT - подмена в исходящих пакетах адресе источника в ууу.ууу.ууу.ууу/28 и подмена исходящего порта в случайно выбранный. Если такой вариант не подходит, то придется всех клиентов разводить по портам - каждому клиенту назначать уникальный порт для работы (одному 55777, другому 55778, третьему 55779 и т.д.). Затем для каждого клиента на Вашем firewall писать правила статического проброса

Согласен. Под натом я имел ввиду все виды NAT. Оптимальная трансляция - один порт на один единственный внешний адрес от одного единственного внутреннего адреса - и безопасно, и работать всё будет.

Share this post


Link to post
Share on other sites

Поднял второй сервер, пересобрал на нем ядро с опциями IPFIREWALL и IPDIVERT и пустил все через него.

Добавил правила

/sbin/ipfw -q add pass udp from 192.168.0.*** to any 55777

/sbin/ipfw -q add pass udp from any 87 to 192.168.0.***

В сетевых настройках Випнетовских машин в качестве гетвея указал адрес сервера с файрволом.

Координаторов увидел. Для каждой машины правда пришлось прописывать...

Ну еще кучу портов бы надо открывать. Вроде насколько я слышал tp-порты с 2010 по 2050 нужно открыть?

Share this post


Link to post
Share on other sites

Випнет в сети Интернет (через NAT) работает по одному UDP порту - 55777 (по умолчанию). Если внутри сети и узлы доступны по бродкасту, то используются порты:

  • 2046-2047 UDP (для синхронизации адресов, чата и проверки соединения);
  • 5000-5003 TCP (для MFTP);

Иные порты открывать не нужно.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.