Будет Ли Работать Такая Схема?

[kolkiysh]

Уважаемы Гуру, не до конца понимаю внутреннюю маршрутизацию аппаратного шлюза HW1000(VipNET Coordinator Linux). Подскажите, будет ли работать схема

Необходимо осуществить доступ туннелируемых ПК к удаленному координатору. Также необходимо динамически осуществлять доступ АРМ(автоматизированные рабочие места) либо к защищенной сети либо к Интернет. Динамически в смысле постепенно переводить АРМы из Интернет в защищенную сеть, без перенастройки HW1000. Все адреса указаны в качестве примера.

Шлюз доступа в интернет 192.168.1.1 ---- коммутатор---- к нему подключены АРМ, жувущие в подсети шлюза Интернет - 192.168.1.ХХХ

---- к нему же подключен HW1000 двумя интерфейсами. один 192.168.1.2, другой 192.1.1.2, шлюз доступа на координаторе указан 192.168.1.1

На HW1000 проброшен туннель 192.1.1.ХХХ-192.1.1.YYY.

Будут ли АРМы живущие в подсети 192.168.1.ХХХ иметь доступ в Интернет по незащищенному каналу - будут

Будет ли HW1000 иметь доступ к координатору входящих соединений при соответствующей настройке аппарата - будет

При переводе АРМа в подсеть 192.1.1.X и указании в качестве шлюза по умолчанию интерфейса HW1000 192.1.1.2 будет ли АРМ иметь доступ к защищенной сети - ??? То есть сможет ли HW1000 маршрутизировать пакеты от туннеля 192.1.1.ХХХ-192.1.1.YYY к интерфейсу 192.168.1.2 и обратно?

[slavanchuk]

Уточните, пожалуйста. Что вы имеете ввиду под динамическим доступом в Интенет. Перключаться между режимами работы может VipNet Client, а всё что есть на HW1000 без перенастройки - это распределение времени работы правил.

[kolkiysh]

Уточните, пожалуйста. Что вы имеете ввиду под динамическим доступом в Интенет. Перключаться между режимами работы может VipNet Client, а всё что есть на HW1000 без перенастройки - это распределение времени работы правил.

Динамически в смысле постепенно переводить АРМы из Интернет в защищенную сеть, без перенастройки HW1000.

Есть необходимость не сразу, одновременно, на всех машинах осуществить доступ к защищенной сети, а постепенно, не меняя ни аппаратной, ни программной составляющих(за исключением перенастройки шлюза по умолчанию на АРМ) подключать машины

а всё что есть на HW1000 без перенастройки - это распределение времени работы правил.

не понял о чем идет речь...вернее не понял формилировки

Перключаться между режимами работы может VipNet Client

Кстати у меня подавляющее большинство рабочих станций под Linux, соответственно и ПО VipNET Coordinator Linux в режиме клиента, ручное конфигурирование файла не подходит.

Исходя из комментария, делаю вывод что не достаточно понятно выразился по структуре существующей схемы. Разверну ее немного.

Есть железный 4-х портовый координатор, на порт №1 подключено NAT устройство, предоставляющее Интернет, порт №2 смотрит во внутреннюю сеть с пулом адресов, отличным от порта №1, DHCP off, рабочие станции без ПО VipNET - туннелируемые. Основной вопрос в том, как осуществляется внутренняя маршрутизация криптошлюза? ему нужно определять направление движения пакетов?

Порт 1 и порт 2 шлюза фактически подключены к одному коммутатору, на коммутатор подключены и вышеуказанный NAT с DHCP on и рабочие станции. Идея в том, что при необходимости использовать защищенный канал на туннелируемом компе, у него в качестве шлюза по умолчанию указывается адрес порта №2 криптошлюза, если нужен не защищенный канал, то в качестве шлюза по умолчанию указывается адрес NAT устройства(в данном случае указывается авто получение адреса, DHCP on). То есть в ЛВС реализованы две подсети.

В итоге все ПК будут туннелироваться, но на данный момент это не приемлемо, а криптошлюз нужно установить сейчас, без нарушения работы существующей сети, и без последующей перенастройки криптошлюза.