Jump to content
heirhabarov

Проблема С Доступом К Tcp Службам Тунелируемых Узлов

Recommended Posts

Добрый день.

На границе сети установили Coordinator HW1000. Одним интерфейсом координатор напрямую подключен в Интернет (без ната), другим в DMZ корпоративной сети. Ниже схема:

e66788897c05d96b039e7fb6616cb865.png

На координаторе настроено тунелирование 3 узлов внутренней сети: 10.20.10.3, 172.16.10.11 и 172.16.10.36. Для данных узлов маршрутом по умолчанию является межсетевой экран CheckPoint, делящий корпоративную сеть на несколько сегментов. На чекпоинте прописан маршрут к виртуальной подсети координатора непосредственно через координатор. Хотим предоставить удалённому клиенту с установленным ViPNet Client к тунелируемым координатором узлам. Пинг с удалённого клиента до каждого из тунелируемых узлов доходит без проблем, доступ к веб серверу на узле 10.20.10.3 имеется, к DNS-серверу по UDP на 172.16.10.11 имеется, а вот доступ по RDP у злу 172.16.10.36, а также к любой другой TCP службе на узлах 172 подсети отсутствует. На тунелируемых узлах и на чекпоинте обмен трафиком с 10.20.10.8 (адрес координатора) точно разрешён, для проверки даже пробовали полностью отключать все фильтрующие правила на чекпоинте. На координаторе в журнале пакетов в момент попытки установить с удалённого узла RDP соединение c 172.16.10.36 видно следующее (172.16.32.1-172.16.32.254 - диапазон виртуальных адресов, настроенный на координаторе):

25073e88a5aea3d856e2e565d064f3ae.png

При этом, если например на 172.16.10.36 установить випент клиент и исключить данный узел из тунелируемых, то никаких проблем с доступом TCP службам нет. Помогите разобраться!!!! Уже неделю ломаю голову над возникшей проблемой!!!!

Share this post


Link to post
Share on other sites

Если в журнале только эти записи, то это говорит о том, что нет обратных пакетов. 45 событие на внешнем интерфейсе - входящий пакет расшифрован, 63 событие на внутреннем - пропущен. Должно быть событие 63 на внутреннем интерфейсе с ВХОДЯЩИМ пакетом. Могу порекомендовать использовать wireshark в сегментах сети. Если что, то выкладывай дампы сюда, разберемся.

Share this post


Link to post
Share on other sites

Тему можно закрывать. Разобрались. Когда-то давно на коммутаторе, в который подключены тунелируемые сервера из 172 сегмента, были настроены ACL-и, про которые все забыли. Эти ACL-и блокировали доступ.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.