Перейти к контенту

Проблема С Доступом К Tcp Службам Тунелируемых Узлов


Рекомендуемые сообщения

Добрый день.

На границе сети установили Coordinator HW1000. Одним интерфейсом координатор напрямую подключен в Интернет (без ната), другим в DMZ корпоративной сети. Ниже схема:

e66788897c05d96b039e7fb6616cb865.png

На координаторе настроено тунелирование 3 узлов внутренней сети: 10.20.10.3, 172.16.10.11 и 172.16.10.36. Для данных узлов маршрутом по умолчанию является межсетевой экран CheckPoint, делящий корпоративную сеть на несколько сегментов. На чекпоинте прописан маршрут к виртуальной подсети координатора непосредственно через координатор. Хотим предоставить удалённому клиенту с установленным ViPNet Client к тунелируемым координатором узлам. Пинг с удалённого клиента до каждого из тунелируемых узлов доходит без проблем, доступ к веб серверу на узле 10.20.10.3 имеется, к DNS-серверу по UDP на 172.16.10.11 имеется, а вот доступ по RDP у злу 172.16.10.36, а также к любой другой TCP службе на узлах 172 подсети отсутствует. На тунелируемых узлах и на чекпоинте обмен трафиком с 10.20.10.8 (адрес координатора) точно разрешён, для проверки даже пробовали полностью отключать все фильтрующие правила на чекпоинте. На координаторе в журнале пакетов в момент попытки установить с удалённого узла RDP соединение c 172.16.10.36 видно следующее (172.16.32.1-172.16.32.254 - диапазон виртуальных адресов, настроенный на координаторе):

25073e88a5aea3d856e2e565d064f3ae.png

При этом, если например на 172.16.10.36 установить випент клиент и исключить данный узел из тунелируемых, то никаких проблем с доступом TCP службам нет. Помогите разобраться!!!! Уже неделю ломаю голову над возникшей проблемой!!!!

Ссылка на комментарий
Поделиться на других сайтах

Если в журнале только эти записи, то это говорит о том, что нет обратных пакетов. 45 событие на внешнем интерфейсе - входящий пакет расшифрован, 63 событие на внутреннем - пропущен. Должно быть событие 63 на внутреннем интерфейсе с ВХОДЯЩИМ пакетом. Могу порекомендовать использовать wireshark в сегментах сети. Если что, то выкладывай дампы сюда, разберемся.

Ссылка на комментарий
Поделиться на других сайтах

Тему можно закрывать. Разобрались. Когда-то давно на коммутаторе, в который подключены тунелируемые сервера из 172 сегмента, были настроены ACL-и, про которые все забыли. Эти ACL-и блокировали доступ.

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...

Важная информация

Продолжая пользоваться сайтом вы принимаете Условия использования.