Jump to content
mav

Два Випнет Координатора За Одним Nat Устройством.

Recommended Posts

могут ли работать не конфликтуя с внешними узлами через интернет?

суть проблемы

стоит циска ASA 5520 на неё подходит один интернет канал. за циской в сегменте 192.168.1.* стоят два випнет координатора один от сети Дети России, второй от нашей корпоративной. В циске настроены проброс портов 55777 на ip координатора Дети России, 55888 на координатор корпоративный.

Корпоративный координатор по мимо обслуживания нашей сети (сами мы и 18 удаленных офисов где стоят так же координаторы защищающие свои сегменты сети) подружен с сетями Роструда и СМЭВа, ПФР, и еще пару сетей, с ними связь отличная и идет именно через интернет. С 18ю филиалами до недавнего времени связь шла через сеть Ростелекома по MPLS (они давали нам внешние ip давали ADSL модемы и внутри себя маршуртизировали) связь тоже работала стабильно. Сейчас у нас идет постепенный отказ от MPLS и делаем подключение филиалы через интернет. Вроде все настраиваю, я их внешние ip пингую, они мой внешний пингуют, по журналу ip пакетов вижу что идет обмен зашифрованным трафиком, но по F5 проверки соединения идет запись что его нету, и собственно на их ресурсы как и они на наши находящиеся за координаторами выйти не можем.

Тип межсетевого экрана стоит - с динамической трансляцией адресов. Использую виртуальные ip адреса.

Может помимо портов 55888-55777 и 2046 надо еще какие то открывать? или это от того что за одним NAT устройством находятся два випнет координатора? или может еще что то?

Связь странным образом в пятницу поднялась, проработала до сегодня до обеда и оборвалась сов семи настроенными через интернет координаторами филиалов.

Share this post


Link to post
Share on other sites

На "центральном" координаторе пропишите статическую трансляцию без фиксации адреса. Адреса доступа к другим координаторам корректные?

Share this post


Link to post
Share on other sites

прописал, но я так понимаю что бы это однозначно работало и что бы мой координатор был доступен из вне, надо на циске прописать правила NAT. отсюда и вопрос, есть ли еще какие то специфические порты которые надо однозначно там прописать для этого координатора. Сейчас у меня там прописаны UDP\TCP 55888 и TCP\UDP2046

Адреса доступа к другим координаторам корректные.

Share this post


Link to post
Share on other sites

ПО ViPNet работает по одному порту. По умолчанию - это 55777. Весь шифрованный трафик инкапсулируется в udp:55777 и не важно какой был до этого протокол.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.