Jump to content
mav

Два Випнет Координатора За Одним Nat Устройством.

Recommended Posts

могут ли работать не конфликтуя с внешними узлами через интернет?

суть проблемы

стоит циска ASA 5520 на неё подходит один интернет канал. за циской в сегменте 192.168.1.* стоят два випнет координатора один от сети Дети России, второй от нашей корпоративной. В циске настроены проброс портов 55777 на ip координатора Дети России, 55888 на координатор корпоративный.

Корпоративный координатор по мимо обслуживания нашей сети (сами мы и 18 удаленных офисов где стоят так же координаторы защищающие свои сегменты сети) подружен с сетями Роструда и СМЭВа, ПФР, и еще пару сетей, с ними связь отличная и идет именно через интернет. С 18ю филиалами до недавнего времени связь шла через сеть Ростелекома по MPLS (они давали нам внешние ip давали ADSL модемы и внутри себя маршуртизировали) связь тоже работала стабильно. Сейчас у нас идет постепенный отказ от MPLS и делаем подключение филиалы через интернет. Вроде все настраиваю, я их внешние ip пингую, они мой внешний пингуют, по журналу ip пакетов вижу что идет обмен зашифрованным трафиком, но по F5 проверки соединения идет запись что его нету, и собственно на их ресурсы как и они на наши находящиеся за координаторами выйти не можем.

Тип межсетевого экрана стоит - с динамической трансляцией адресов. Использую виртуальные ip адреса.

Может помимо портов 55888-55777 и 2046 надо еще какие то открывать? или это от того что за одним NAT устройством находятся два випнет координатора? или может еще что то?

Связь странным образом в пятницу поднялась, проработала до сегодня до обеда и оборвалась сов семи настроенными через интернет координаторами филиалов.

Share this post


Link to post
Share on other sites

На "центральном" координаторе пропишите статическую трансляцию без фиксации адреса. Адреса доступа к другим координаторам корректные?

Share this post


Link to post
Share on other sites

прописал, но я так понимаю что бы это однозначно работало и что бы мой координатор был доступен из вне, надо на циске прописать правила NAT. отсюда и вопрос, есть ли еще какие то специфические порты которые надо однозначно там прописать для этого координатора. Сейчас у меня там прописаны UDP\TCP 55888 и TCP\UDP2046

Адреса доступа к другим координаторам корректные.

Share this post


Link to post
Share on other sites

ПО ViPNet работает по одному порту. По умолчанию - это 55777. Весь шифрованный трафик инкапсулируется в udp:55777 и не важно какой был до этого протокол.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.