mav Опубликовано 4 Февраля 2013 Жалоба Поделиться Опубликовано 4 Февраля 2013 могут ли работать не конфликтуя с внешними узлами через интернет?суть проблемыстоит циска ASA 5520 на неё подходит один интернет канал. за циской в сегменте 192.168.1.* стоят два випнет координатора один от сети Дети России, второй от нашей корпоративной. В циске настроены проброс портов 55777 на ip координатора Дети России, 55888 на координатор корпоративный.Корпоративный координатор по мимо обслуживания нашей сети (сами мы и 18 удаленных офисов где стоят так же координаторы защищающие свои сегменты сети) подружен с сетями Роструда и СМЭВа, ПФР, и еще пару сетей, с ними связь отличная и идет именно через интернет. С 18ю филиалами до недавнего времени связь шла через сеть Ростелекома по MPLS (они давали нам внешние ip давали ADSL модемы и внутри себя маршуртизировали) связь тоже работала стабильно. Сейчас у нас идет постепенный отказ от MPLS и делаем подключение филиалы через интернет. Вроде все настраиваю, я их внешние ip пингую, они мой внешний пингуют, по журналу ip пакетов вижу что идет обмен зашифрованным трафиком, но по F5 проверки соединения идет запись что его нету, и собственно на их ресурсы как и они на наши находящиеся за координаторами выйти не можем.Тип межсетевого экрана стоит - с динамической трансляцией адресов. Использую виртуальные ip адреса.Может помимо портов 55888-55777 и 2046 надо еще какие то открывать? или это от того что за одним NAT устройством находятся два випнет координатора? или может еще что то?Связь странным образом в пятницу поднялась, проработала до сегодня до обеда и оборвалась сов семи настроенными через интернет координаторами филиалов. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 4 Февраля 2013 Жалоба Поделиться Опубликовано 4 Февраля 2013 На "центральном" координаторе пропишите статическую трансляцию без фиксации адреса. Адреса доступа к другим координаторам корректные? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
mav Опубликовано 5 Февраля 2013 Автор Жалоба Поделиться Опубликовано 5 Февраля 2013 прописал, но я так понимаю что бы это однозначно работало и что бы мой координатор был доступен из вне, надо на циске прописать правила NAT. отсюда и вопрос, есть ли еще какие то специфические порты которые надо однозначно там прописать для этого координатора. Сейчас у меня там прописаны UDP\TCP 55888 и TCP\UDP2046Адреса доступа к другим координаторам корректные. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 5 Февраля 2013 Жалоба Поделиться Опубликовано 5 Февраля 2013 ПО ViPNet работает по одному порту. По умолчанию - это 55777. Весь шифрованный трафик инкапсулируется в udp:55777 и не важно какой был до этого протокол. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.