Отдел ИБ Опубликовано 8 Мая 2013 Автор Жалоба Поделиться Опубликовано 8 Мая 2013 т.е. мне по идее достаточно сделать следующее:1) В файле конфигурации в блоке координатора прописать туннелируемый компьютер в формате tunnel= 192.168.25.132-192.168.25.132 to 192.168.25.132-192.168.25.1322) Задать правило в файерволе разрешающее обмен трафиком (мой предшественник прописывал в разделе транзитных пакетов)И все? Если в правилах файервола прописать разрешающее правило от туннелируемого компа до компа с випнетом (без указания портов), пинг должен проходить? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 11 Мая 2013 Жалоба Поделиться Опубликовано 11 Мая 2013 т.е. мне по идее достаточно сделать следующее:1) В файле конфигурации в блоке координатора прописать туннелируемый компьютер в формате tunnel= 192.168.25.132-192.168.25.132 to 192.168.25.132-192.168.25.1322) Задать правило в файерволе разрешающее обмен трафиком (мой предшественник прописывал в разделе транзитных пакетов)И все? Если в правилах файервола прописать разрешающее правило от туннелируемого компа до компа с випнетом (без указания портов), пинг должен проходить?Ну, не уверен насчёт транзитной секции, но, в целом, именно так. Причём, туннели лучше прописывать в ЦУС (хотя, и не обязательно). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Отдел ИБ Опубликовано 12 Мая 2013 Автор Жалоба Поделиться Опубликовано 12 Мая 2013 Ну, не уверен насчёт транзитной секции, но, в целом, именно так. Причём, туннели лучше прописывать в ЦУС (хотя, и не обязательно).Если в правилах файервола прописать разрешающее правило от туннелируемого компа до компа с випнетом (без указания портов), пинг должен проходить?У меня не проходил + не проходила связь по порту 475, необходимому для 1С. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 12 Мая 2013 Жалоба Поделиться Опубликовано 12 Мая 2013 Если в правилах файервола прописать разрешающее правило от туннелируемого компа до компа с випнетом (без указания портов), пинг должен проходить?У меня не проходил + не проходила связь по порту 475, необходимому для 1С.В случае, если порт не указывается, то открываются все порты. Если что-то не проходит, то нужно смотреть журнал - по какому событию блокируется. Возможно, есть правило более высокого приоритета, которое блокирует Ваш пакет. А, может, и просто другой файервол на компьютере блокирует пакет - нужно смотреть. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Ice`Hummer Опубликовано 24 Августа 2013 Жалоба Поделиться Опубликовано 24 Августа 2013 Ребята, извините, что влезаю в тему, но у меня примерно такая же ситуация и собственно также вопрос по туннелям и полутуннелям. Как через ЦУС можно прописать полутуннель в пределах одной подсети, то бишь. от незащищенного компьютера до АП с випнет клиентом? Все это дело координируется HW1000. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 24 Августа 2013 Жалоба Поделиться Опубликовано 24 Августа 2013 Если у Вас компьютер с vipnet и без него находятся в одной подсети, то о каком шифровании идёт речь? Или у Вас случай с территориально распределённой подсетью? В любом случае прописывается в ЦУС (в адреса прикладной задачи) директивы туннелирования узла без vipnet "S:адрес". Рассылаем справочники. В принципе, полутуннель готов. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Ice`Hummer Опубликовано 25 Августа 2013 Жалоба Поделиться Опубликовано 25 Августа 2013 Если у Вас компьютер с vipnet и без него находятся в одной подсети, то о каком шифровании идёт речь? Или у Вас случай с территориально распределённой подсетью?Немного неправильно написал. На каждом интерфейсе координатора своя локалка. Нужно от компьютера без випнет клиента с одной подсети подключаться к компьютеру с випнет клиент в другой подсети.По сути получается полутуннель между 2 подсетями, только роль двух координаторов играют 2 интерфейса одного координатора (если конечно аналогия возможна). А вот насчет В любом случае прописывается в ЦУС (в адреса прикладной задачи) директивы туннелирования узла без vipnet "S:адрес". Рассылаем справочники. В принципе, полутуннель готов.Не могли бы Вы, если это не составит большого труда, более детально рассказать, где именно прописывать адрес для туннелирования.Как я понимаю на данный момент, надо в регистрации СУ в ПЗ (групповой или индивидуальной?) найти нужный нам АП с випнет-клиентом и для него где-то прописать "S:адрес_узла_из_другой_подсети_без_випнета". Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Ice`Hummer Опубликовано 25 Августа 2013 Жалоба Поделиться Опубликовано 25 Августа 2013 Также интересует следующее, нужно ли в данном случае приобретать лицензию на N-ое количество адресов для туннелирования? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 25 Августа 2013 Жалоба Поделиться Опубликовано 25 Августа 2013 Также интересует следующее, нужно ли в данном случае приобретать лицензию на N-ое количество адресов для туннелирования?В случае с HW1000 дополнительных лицензий на туннели докупать не нужно.Немного неправильно написал. На каждом интерфейсе координатора своя локалка. Нужно от компьютера без випнет клиента с одной подсети подключаться к компьютеру с випнет клиент в другой подсети.По сути получается полутуннель между 2 подсетями, только роль двух координаторов играют 2 интерфейса одного координатора (если конечно аналогия возможна).Не могли бы Вы, если это не составит большого труда, более детально рассказать, где именно прописывать адрес для туннелирования.Как я понимаю на данный момент, надо в регистрации СУ в ПЗ (групповой или индивидуальной?) найти нужный нам АП с випнет-клиентом и для него где-то прописать "S:адрес_узла_из_другой_подсети_без_випнета".Аналогия не совсем уместна. Если у Вас подсети никак, кроме чем через координатор не пересекаются, то здесь речь идёт о туннеле. Намного проще настраивается туннель, если координатор - шлюз по умолчанию для узла без vipnet. Думаю, так у Вас и есть. В ЦУСе мы идём в групповую регистрацию, ищём прикладную задачу Hw1000 (или как-то так). Находим наш HW1000 и редактируем ip-адреса. В этом разделе нужно добавить именно ту строчку, которую я Вам описал выше. Рассылаем справочники - и узел туннелируется. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Ice`Hummer Опубликовано 25 Августа 2013 Жалоба Поделиться Опубликовано 25 Августа 2013 Если у Вас подсети никак, кроме чем через координатор не пересекаются, то здесь речь идёт о туннеле. Намного проще настраивается туннель, если координатор - шлюз по умолчанию для узла без vipnet. Думаю, так у Вас и есть. Да, именно так.В ЦУСе мы идём в групповую регистрацию, ищём прикладную задачу Hw1000 (или как-то так). Находим наш HW1000 и редактируем ip-адреса. В этом разделе нужно добавить именно ту строчку, которую я Вам описал выше. Рассылаем справочники - и узел туннелируется.Остался только вопрос по поводу дописываемой строчки.Вы написали "S:адрес". Адрес - так понимаю компьютера без випнет клиента, т.е. например я добавляю следующий айпишник компа без випнета: "S:192.168.0.36".А как координатор будет знать, между каким из клиентов випнет и компьютером без випнета строится туннель? И есть ли необходимость дописывать правила в firewall? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 25 Августа 2013 Жалоба Поделиться Опубликовано 25 Августа 2013 Да, это адрес компьютера без vipnet. Вы написали абсолютно правильно, только, естественное, в ЦУСе нужно будеть писать без ковычек. После добавления этой строки, данный узел будет участником VPN сети и ему всё равно с кем организовывать связь. С данным узлом смогут обмениваться данными все, кто связан с данным координатором. Если Вы хотите ограничить доступ узла или к узлу, то Вам необходимо прописать дополнительные ограничения сетевого экрана на HW1000. По умолчанию - всё разрешено.P.S. Прошу поучаствовать в опросе. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Ice`Hummer Опубликовано 25 Августа 2013 Жалоба Поделиться Опубликовано 25 Августа 2013 Да, это адрес компьютера без vipnet. Вы написали абсолютно правильно, только, естественное, в ЦУСе нужно будеть писать без ковычек. После добавления этой строки, данный узел будет участником VPN сети и ему всё равно с кем организовывать связь. С данным узлом смогут обмениваться данными все, кто связан с данным координатором. Если Вы хотите ограничить доступ узла или к узлу, то Вам необходимо прописать дополнительные ограничения сетевого экрана на HW1000. По умолчанию - всё разрешено.P.S. Прошу поучаствовать в опросе.Огромное спасибо за очень доходчивый ответ, все разложили по полочкам.P.S. Обязательно Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 25 Августа 2013 Жалоба Поделиться Опубликовано 25 Августа 2013 Не за что. Если что - обращайтесь. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Ice`Hummer Опубликовано 2 Сентября 2013 Жалоба Поделиться Опубликовано 2 Сентября 2013 Не за что. Если что - обращайтесь.Доброго времени суток.Я был в отпуске недельку, сегодня только удалось проверить работоспособность полутуннеля. Что-то как-то тут не так.Добавил в ПЗ HW1000 для координатора следующий ip-адрес: S:192.168.0.38.Сформировал новые справочники и разослал. Теперь на каждом випнет клиенте, если я захожу с правами администратора и просматриваю свойства узла для координатора, там во вкладке туннель есть айпишник компьютера, который я прописывал в ЦУСе.Пробовал активировать/снимать галочку с "Использовать виртуальные адреса" и пинговать как реальный, так и виртуальный адреса, однако попытки пинговать ни к чему не приводят.Интересуют 2 вопроса:1) Адрес 192.168.0.38 находится в подсети, шлюзом у которой является интерфейс 1 координатора (отсчет с нуля). Т.е. вместо виртуального айпишника 11.1.х.х он присваивает айпишник 11.0.х.х. Правильно ли это, и может ли быть связано отсутствие пинга с этим.2) Вообще должен ли проходить пинг? Как проверить наличие связи по полутуннелю между випнет клиентом и компьютером без випнета? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 3 Сентября 2013 Жалоба Поделиться Опубликовано 3 Сентября 2013 Пинговаться адрес в общем случае должен. Пинговать его нужно по тому адресу, который выделен жирным шрифтом. Адреса виртуальные и реальные должны различаться (они у Вас и различаются). Виртуальные адреса присваиваются по порядку, начиная с начального адреса, постепенно прибавляя необходимое количество адресов. Чтобы проверить работоспособность туннеля, необходимо пропинговать с туннелируемого компьютера какой-нибудь адрес удалённого клиента. Причём, адрес необходимо брать из настроек iplir в координаторе (accessip), так как он является сервером адресов для туннелируемого компьютера. Отмечу также, что на разных координаторах у одного и того же компьютера могут быть совсем разные адреса. Если у Вас вышеперечисленное не получилось, значит нужно искать проблему в маршрутизации. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 4 Сентября 2013 Жалоба Поделиться Опубликовано 4 Сентября 2013 Связь с туннелирующим координатор есть? f5 проходит? на координаторе проверьте что туннель добавился.Журналы ip-пакетов анализировали? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Ice`Hummer Опубликовано 4 Сентября 2013 Жалоба Поделиться Опубликовано 4 Сентября 2013 Связь с туннелирующим координатор есть? f5 проходит? на координаторе проверьте что туннель добавился.Журналы ip-пакетов анализировали?На координаторе туннели добавились, в журнале ip-пакетов пропускаются шифрованные пакеты от клиента до пингуемого компьютера без випнета (событие 40).Однако пинг не проходит, собственно нет ответа от компьютера без випнета в журнале пакетов на координаторе.Может еще какие-то настройки должны быть. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Ice`Hummer Опубликовано 4 Сентября 2013 Жалоба Поделиться Опубликовано 4 Сентября 2013 На координаторе туннели добавились, в журнале ip-пакетов пропускаются шифрованные пакеты от клиента до пингуемого компьютера без випнета (событие 40).Однако пинг не проходит, собственно нет ответа от компьютера без випнета в журнале пакетов на координаторе.Может еще какие-то настройки должны быть.В журнале пакетов на координаторе также указано, что входящий и исходящий порты у icmp по нулям Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 4 Сентября 2013 Жалоба Поделиться Опубликовано 4 Сентября 2013 Всё-так, если Вы нарисуете схемку сети с адресами, сетевыми интерфейсами координатор, то будет проще разобраться. А, в целом, настроек никаких быть не должно больше. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 4 Сентября 2013 Жалоба Поделиться Опубликовано 4 Сентября 2013 вот на координаторе никак не может быть события 40 на туннель. Только на клиенте. Ну да ладно...На туннеле точно шлюз по умолчанию координатор выставлен? а нет ли fw на туннеле? брандмауэр, например.Совершенно недавно с каспером была такая же петрушка: не ходили пинги до тех пор пока не выгрузили его. Через 3-4 минуты пинга появилась. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Ice`Hummer Опубликовано 5 Сентября 2013 Жалоба Поделиться Опубликовано 5 Сентября 2013 С маршрутизацией и шлюзами все в порядке, про каспера как-то и не сообразил сразу.Только после того, как сниффер поставил на компе из внутренней подсети, понял, что каспер может блочить, он оказался со своим встроенным фаейрволлом.Только вот одна каша осталась, в принципе она важна мне не с практической точки зрения, а для полного понимания картины.Пинг от VN-клиента по полутуннелю проходит (от компа из внутренней сети ответ приходит). А вот если пинговать наоборот из внутренней сети клиентов, то пинг обрубается. Я это пробовал с выключенными касперами и там, и там. Журналы еще не смотрел, завтра буду. Просто может кто сталкивался.А вообще, ребята, огромное Вам спасибо за советы. Вы мне очень помогли Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 6 Сентября 2013 Жалоба Поделиться Опубликовано 6 Сентября 2013 Как я уже говорил, необходимо посмотреть - а то ли Вы пингуете. У клиента может быть виртуальный адрес, причём использовать нужно именно тот, который указан как accessip на координаторе. Вы именно его пингуете? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.