Полутуннель, Координатор Hw1000

[Отдел ИБ]

т.е. мне по идее достаточно сделать следующее:

1) В файле конфигурации в блоке координатора прописать туннелируемый компьютер в формате tunnel= 192.168.25.132-192.168.25.132 to 192.168.25.132-192.168.25.132

2) Задать правило в файерволе разрешающее обмен трафиком (мой предшественник прописывал в разделе транзитных пакетов)

И все? Если в правилах файервола прописать разрешающее правило от туннелируемого компа до компа с випнетом (без указания портов), пинг должен проходить?

[slavanchuk]

т.е. мне по идее достаточно сделать следующее:

1) В файле конфигурации в блоке координатора прописать туннелируемый компьютер в формате tunnel= 192.168.25.132-192.168.25.132 to 192.168.25.132-192.168.25.132

2) Задать правило в файерволе разрешающее обмен трафиком (мой предшественник прописывал в разделе транзитных пакетов)

И все? Если в правилах файервола прописать разрешающее правило от туннелируемого компа до компа с випнетом (без указания портов), пинг должен проходить?

Ну, не уверен насчёт транзитной секции, но, в целом, именно так. Причём, туннели лучше прописывать в ЦУС (хотя, и не обязательно).

[Отдел ИБ]

Ну, не уверен насчёт транзитной секции, но, в целом, именно так. Причём, туннели лучше прописывать в ЦУС (хотя, и не обязательно).

Если в правилах файервола прописать разрешающее правило от туннелируемого компа до компа с випнетом (без указания портов), пинг должен проходить?

У меня не проходил + не проходила связь по порту 475, необходимому для 1С.

[slavanchuk]

Если в правилах файервола прописать разрешающее правило от туннелируемого компа до компа с випнетом (без указания портов), пинг должен проходить?

У меня не проходил + не проходила связь по порту 475, необходимому для 1С.

В случае, если порт не указывается, то открываются все порты. Если что-то не проходит, то нужно смотреть журнал - по какому событию блокируется. Возможно, есть правило более высокого приоритета, которое блокирует Ваш пакет. А, может, и просто другой файервол на компьютере блокирует пакет - нужно смотреть.

[Ice`Hummer]

Ребята, извините, что влезаю в тему, но у меня примерно такая же ситуация и собственно также вопрос по туннелям и полутуннелям. Как через ЦУС можно прописать полутуннель в пределах одной подсети, то бишь. от незащищенного компьютера до АП с випнет клиентом? Все это дело координируется HW1000.

[slavanchuk]

Если у Вас компьютер с vipnet и без него находятся в одной подсети, то о каком шифровании идёт речь? Или у Вас случай с территориально распределённой подсетью? В любом случае прописывается в ЦУС (в адреса прикладной задачи) директивы туннелирования узла без vipnet "S:адрес". Рассылаем справочники. В принципе, полутуннель готов.

[Ice`Hummer]

Если у Вас компьютер с vipnet и без него находятся в одной подсети, то о каком шифровании идёт речь? Или у Вас случай с территориально распределённой подсетью?

Немного неправильно написал. На каждом интерфейсе координатора своя локалка. Нужно от компьютера без випнет клиента с одной подсети подключаться к компьютеру с випнет клиент в другой подсети.

По сути получается полутуннель между 2 подсетями, только роль двух координаторов играют 2 интерфейса одного координатора (если конечно аналогия возможна).

А вот насчет

В любом случае прописывается в ЦУС (в адреса прикладной задачи) директивы туннелирования узла без vipnet "S:адрес". Рассылаем справочники. В принципе, полутуннель готов.

Не могли бы Вы, если это не составит большого труда, более детально рассказать, где именно прописывать адрес для туннелирования.

Как я понимаю на данный момент, надо в регистрации СУ в ПЗ (групповой или индивидуальной?) найти нужный нам АП с випнет-клиентом и для него где-то прописать "S:адрес_узла_из_другой_подсети_без_випнета".

[Ice`Hummer]

Также интересует следующее, нужно ли в данном случае приобретать лицензию на N-ое количество адресов для туннелирования?

[slavanchuk]

Также интересует следующее, нужно ли в данном случае приобретать лицензию на N-ое количество адресов для туннелирования?

В случае с HW1000 дополнительных лицензий на туннели докупать не нужно.

Немного неправильно написал. На каждом интерфейсе координатора своя локалка. Нужно от компьютера без випнет клиента с одной подсети подключаться к компьютеру с випнет клиент в другой подсети.

По сути получается полутуннель между 2 подсетями, только роль двух координаторов играют 2 интерфейса одного координатора (если конечно аналогия возможна).

Не могли бы Вы, если это не составит большого труда, более детально рассказать, где именно прописывать адрес для туннелирования.

Как я понимаю на данный момент, надо в регистрации СУ в ПЗ (групповой или индивидуальной?) найти нужный нам АП с випнет-клиентом и для него где-то прописать "S:адрес_узла_из_другой_подсети_без_випнета".

Аналогия не совсем уместна. Если у Вас подсети никак, кроме чем через координатор не пересекаются, то здесь речь идёт о туннеле. Намного проще настраивается туннель, если координатор - шлюз по умолчанию для узла без vipnet. Думаю, так у Вас и есть. В ЦУСе мы идём в групповую регистрацию, ищём прикладную задачу Hw1000 (или как-то так). Находим наш HW1000 и редактируем ip-адреса. В этом разделе нужно добавить именно ту строчку, которую я Вам описал выше. Рассылаем справочники - и узел туннелируется.

[Ice`Hummer]

Если у Вас подсети никак, кроме чем через координатор не пересекаются, то здесь речь идёт о туннеле. Намного проще настраивается туннель, если координатор - шлюз по умолчанию для узла без vipnet. Думаю, так у Вас и есть.

Да, именно так.

В ЦУСе мы идём в групповую регистрацию, ищём прикладную задачу Hw1000 (или как-то так). Находим наш HW1000 и редактируем ip-адреса. В этом разделе нужно добавить именно ту строчку, которую я Вам описал выше. Рассылаем справочники - и узел туннелируется.

Остался только вопрос по поводу дописываемой строчки.

Вы написали "S:адрес". Адрес - так понимаю компьютера без випнет клиента, т.е. например я добавляю следующий айпишник компа без випнета: "S:192.168.0.36".

А как координатор будет знать, между каким из клиентов випнет и компьютером без випнета строится туннель? И есть ли необходимость дописывать правила в firewall?

[slavanchuk]

Да, это адрес компьютера без vipnet. Вы написали абсолютно правильно, только, естественное, в ЦУСе нужно будеть писать без ковычек. После добавления этой строки, данный узел будет участником VPN сети и ему всё равно с кем организовывать связь. С данным узлом смогут обмениваться данными все, кто связан с данным координатором. Если Вы хотите ограничить доступ узла или к узлу, то Вам необходимо прописать дополнительные ограничения сетевого экрана на HW1000. По умолчанию - всё разрешено.

P.S. Прошу поучаствовать в опросе.

[Ice`Hummer]

Да, это адрес компьютера без vipnet. Вы написали абсолютно правильно, только, естественное, в ЦУСе нужно будеть писать без ковычек. После добавления этой строки, данный узел будет участником VPN сети и ему всё равно с кем организовывать связь. С данным узлом смогут обмениваться данными все, кто связан с данным координатором. Если Вы хотите ограничить доступ узла или к узлу, то Вам необходимо прописать дополнительные ограничения сетевого экрана на HW1000. По умолчанию - всё разрешено.

P.S. Прошу поучаствовать в опросе.

Огромное спасибо за очень доходчивый ответ, все разложили по полочкам.

P.S. Обязательно

[slavanchuk]

Не за что. Если что - обращайтесь.

[Ice`Hummer]

Не за что. Если что - обращайтесь.

Доброго времени суток.

Я был в отпуске недельку, сегодня только удалось проверить работоспособность полутуннеля. Что-то как-то тут не так.

Добавил в ПЗ HW1000 для координатора следующий ip-адрес: S:192.168.0.38.

Сформировал новые справочники и разослал. Теперь на каждом випнет клиенте, если я захожу с правами администратора и просматриваю свойства узла для координатора, там во вкладке туннель есть айпишник компьютера, который я прописывал в ЦУСе.

Пробовал активировать/снимать галочку с "Использовать виртуальные адреса" и пинговать как реальный, так и виртуальный адреса, однако попытки пинговать ни к чему не приводят.

Интересуют 2 вопроса:

1) Адрес 192.168.0.38 находится в подсети, шлюзом у которой является интерфейс 1 координатора (отсчет с нуля). Т.е. вместо виртуального айпишника 11.1.х.х он присваивает айпишник 11.0.х.х. Правильно ли это, и может ли быть связано отсутствие пинга с этим.

2) Вообще должен ли проходить пинг? Как проверить наличие связи по полутуннелю между випнет клиентом и компьютером без випнета?

[slavanchuk]

Пинговаться адрес в общем случае должен. Пинговать его нужно по тому адресу, который выделен жирным шрифтом. Адреса виртуальные и реальные должны различаться (они у Вас и различаются). Виртуальные адреса присваиваются по порядку, начиная с начального адреса, постепенно прибавляя необходимое количество адресов. Чтобы проверить работоспособность туннеля, необходимо пропинговать с туннелируемого компьютера какой-нибудь адрес удалённого клиента. Причём, адрес необходимо брать из настроек iplir в координаторе (accessip), так как он является сервером адресов для туннелируемого компьютера. Отмечу также, что на разных координаторах у одного и того же компьютера могут быть совсем разные адреса. Если у Вас вышеперечисленное не получилось, значит нужно искать проблему в маршрутизации.

[AnTonN(c)]

Связь с туннелирующим координатор есть? f5 проходит? на координаторе проверьте что туннель добавился.

Журналы ip-пакетов анализировали?

[Ice`Hummer]

Связь с туннелирующим координатор есть? f5 проходит? на координаторе проверьте что туннель добавился.

Журналы ip-пакетов анализировали?

На координаторе туннели добавились, в журнале ip-пакетов пропускаются шифрованные пакеты от клиента до пингуемого компьютера без випнета (событие 40).

Однако пинг не проходит, собственно нет ответа от компьютера без випнета в журнале пакетов на координаторе.

Может еще какие-то настройки должны быть.

[Ice`Hummer]

На координаторе туннели добавились, в журнале ip-пакетов пропускаются шифрованные пакеты от клиента до пингуемого компьютера без випнета (событие 40).

Однако пинг не проходит, собственно нет ответа от компьютера без випнета в журнале пакетов на координаторе.

Может еще какие-то настройки должны быть.

В журнале пакетов на координаторе также указано, что входящий и исходящий порты у icmp по нулям

[slavanchuk]

Всё-так, если Вы нарисуете схемку сети с адресами, сетевыми интерфейсами координатор, то будет проще разобраться. А, в целом, настроек никаких быть не должно больше.

[AnTonN(c)]

вот на координаторе никак не может быть события 40 на туннель. Только на клиенте. Ну да ладно...

На туннеле точно шлюз по умолчанию координатор выставлен? а нет ли fw на туннеле? брандмауэр, например.

Совершенно недавно с каспером была такая же петрушка: не ходили пинги до тех пор пока не выгрузили его. Через 3-4 минуты пинга появилась.

[Ice`Hummer]

С маршрутизацией и шлюзами все в порядке, про каспера как-то и не сообразил сразу.

Только после того, как сниффер поставил на компе из внутренней подсети, понял, что каспер может блочить, он оказался со своим встроенным фаейрволлом.

Только вот одна каша осталась, в принципе она важна мне не с практической точки зрения, а для полного понимания картины.

Пинг от VN-клиента по полутуннелю проходит (от компа из внутренней сети ответ приходит). А вот если пинговать наоборот из внутренней сети клиентов, то пинг обрубается. Я это пробовал с выключенными касперами и там, и там. Журналы еще не смотрел, завтра буду. Просто может кто сталкивался.

А вообще, ребята, огромное Вам спасибо за советы. Вы мне очень помогли

[slavanchuk]

Как я уже говорил, необходимо посмотреть - а то ли Вы пингуете. У клиента может быть виртуальный адрес, причём использовать нужно именно тот, который указан как accessip на координаторе. Вы именно его пингуете?