heirhabarov Опубликовано 4 Февраля 2013 Жалоба Поделиться Опубликовано 4 Февраля 2013 Добрый день.На границе сети установили Coordinator HW1000. Одним интерфейсом координатор напрямую подключен в Интернет (без ната), другим в DMZ корпоративной сети. Ниже схема:На координаторе настроено тунелирование 3 узлов внутренней сети: 10.20.10.3, 172.16.10.11 и 172.16.10.36. Для данных узлов маршрутом по умолчанию является межсетевой экран CheckPoint, делящий корпоративную сеть на несколько сегментов. На чекпоинте прописан маршрут к виртуальной подсети координатора непосредственно через координатор. Хотим предоставить удалённому клиенту с установленным ViPNet Client к тунелируемым координатором узлам. Пинг с удалённого клиента до каждого из тунелируемых узлов доходит без проблем, доступ к веб серверу на узле 10.20.10.3 имеется, к DNS-серверу по UDP на 172.16.10.11 имеется, а вот доступ по RDP у злу 172.16.10.36, а также к любой другой TCP службе на узлах 172 подсети отсутствует. На тунелируемых узлах и на чекпоинте обмен трафиком с 10.20.10.8 (адрес координатора) точно разрешён, для проверки даже пробовали полностью отключать все фильтрующие правила на чекпоинте. На координаторе в журнале пакетов в момент попытки установить с удалённого узла RDP соединение c 172.16.10.36 видно следующее (172.16.32.1-172.16.32.254 - диапазон виртуальных адресов, настроенный на координаторе):При этом, если например на 172.16.10.36 установить випент клиент и исключить данный узел из тунелируемых, то никаких проблем с доступом TCP службам нет. Помогите разобраться!!!! Уже неделю ломаю голову над возникшей проблемой!!!! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 4 Февраля 2013 Жалоба Поделиться Опубликовано 4 Февраля 2013 Если в журнале только эти записи, то это говорит о том, что нет обратных пакетов. 45 событие на внешнем интерфейсе - входящий пакет расшифрован, 63 событие на внутреннем - пропущен. Должно быть событие 63 на внутреннем интерфейсе с ВХОДЯЩИМ пакетом. Могу порекомендовать использовать wireshark в сегментах сети. Если что, то выкладывай дампы сюда, разберемся. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
heirhabarov Опубликовано 5 Февраля 2013 Автор Жалоба Поделиться Опубликовано 5 Февраля 2013 Тему можно закрывать. Разобрались. Когда-то давно на коммутаторе, в который подключены тунелируемые сервера из 172 сегмента, были настроены ACL-и, про которые все забыли. Эти ACL-и блокировали доступ. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.