Jump to content
heirhabarov

Проблема С Доступом К Tcp Службам Тунелируемых Узлов

Recommended Posts

Добрый день.

На границе сети установили Coordinator HW1000. Одним интерфейсом координатор напрямую подключен в Интернет (без ната), другим в DMZ корпоративной сети. Ниже схема:

e66788897c05d96b039e7fb6616cb865.png

На координаторе настроено тунелирование 3 узлов внутренней сети: 10.20.10.3, 172.16.10.11 и 172.16.10.36. Для данных узлов маршрутом по умолчанию является межсетевой экран CheckPoint, делящий корпоративную сеть на несколько сегментов. На чекпоинте прописан маршрут к виртуальной подсети координатора непосредственно через координатор. Хотим предоставить удалённому клиенту с установленным ViPNet Client к тунелируемым координатором узлам. Пинг с удалённого клиента до каждого из тунелируемых узлов доходит без проблем, доступ к веб серверу на узле 10.20.10.3 имеется, к DNS-серверу по UDP на 172.16.10.11 имеется, а вот доступ по RDP у злу 172.16.10.36, а также к любой другой TCP службе на узлах 172 подсети отсутствует. На тунелируемых узлах и на чекпоинте обмен трафиком с 10.20.10.8 (адрес координатора) точно разрешён, для проверки даже пробовали полностью отключать все фильтрующие правила на чекпоинте. На координаторе в журнале пакетов в момент попытки установить с удалённого узла RDP соединение c 172.16.10.36 видно следующее (172.16.32.1-172.16.32.254 - диапазон виртуальных адресов, настроенный на координаторе):

25073e88a5aea3d856e2e565d064f3ae.png

При этом, если например на 172.16.10.36 установить випент клиент и исключить данный узел из тунелируемых, то никаких проблем с доступом TCP службам нет. Помогите разобраться!!!! Уже неделю ломаю голову над возникшей проблемой!!!!

Share this post


Link to post
Share on other sites

Если в журнале только эти записи, то это говорит о том, что нет обратных пакетов. 45 событие на внешнем интерфейсе - входящий пакет расшифрован, 63 событие на внутреннем - пропущен. Должно быть событие 63 на внутреннем интерфейсе с ВХОДЯЩИМ пакетом. Могу порекомендовать использовать wireshark в сегментах сети. Если что, то выкладывай дампы сюда, разберемся.

Share this post


Link to post
Share on other sites

Тему можно закрывать. Разобрались. Когда-то давно на коммутаторе, в который подключены тунелируемые сервера из 172 сегмента, были настроены ACL-и, про которые все забыли. Эти ACL-и блокировали доступ.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.