kyd91plik Опубликовано 15 Мая 2013 Жалоба Поделиться Опубликовано 15 Мая 2013 Добрый день.Нужна консультация по организации каскадной схемы подключения Vipnet Coordinator’ов.Схема сети .В Здании1 установлен ПАК ViPNet Coordinator KB1000 Q2. Интерфейсы на нем: eth0 смотрит в интернет, eth1—локалка в данном здании, eth2 –используется для связи с координатором в Здании2.В Здании2 установлен ПАК ViPNet Coordinator HW 1000. Интерфейсы на нем: eth0 служит для связи со Здание1, eth1—локалка в данном здании, eth2 –используется для связи с координатором в Здании3.В Здании3 установлен ПАК ViPNet Coordinator HW 1000. Интерфейсы на нем: eth0 служит для связи со Здание2, eth1—локалка в данном здании.Ip пространство одно на все здания 192.168.1.1-192.168.1.2551) Будет ли работать схема с обозначенными на ней айпи адресами?2) В Здании3 имеется сервер с БД (192.168.1.11), на данном ПК не установлен Vipnet Client (т.е. он является туннелированным ресурсом). Как организовать доступ к БД для ПК из Здания1 и Здания2 без установленного ПО Vipnet?Как правильно прописать туннели? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 15 Мая 2013 Жалоба Поделиться Опубликовано 15 Мая 2013 Интересная у Вас схемка. Она уже работает или это наброски? Все ПК в зданиях являются туннелируемыми компьютерами? Туннели всегда прописываются одинаково - желательно через ЦУС (просто на HW пишется через S:...-.... диапазон адресов, рассылаются справочники). Можно туннели прописать и на конечных устройствах. Неменого непонятно как у Вас происходит маршрутизация - лучше бы, если каждое здание было отдельной подсетью. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kyd91plik Опубликовано 15 Мая 2013 Автор Жалоба Поделиться Опубликовано 15 Мая 2013 Эт пока на бумаге, но ее необходимо реализовать практике. Ip адреса в зданиях из одного пространства, сменить их нет возможности в виду ряда причин и ограничений. А адреса 172.168.1.1 - 172.168.1.4 я предпологаю использовать для связи координаторов. Если я в чем то не прав просьба подсказать в чем именно! Или это можно реализовать каким-то другим способом не меняя локальные айпишники? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 15 Мая 2013 Жалоба Поделиться Опубликовано 15 Мая 2013 Просто нужно же сетевым устройствам как-то маршрутизировать трафик. Можно хотя бы разбить этот диапазон на подсети по маске - тогда диапазон будет один, а подсетей несколько. Так, у Вас все компьютеры будут туннелироваться? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kyd91plik Опубликовано 16 Мая 2013 Автор Жалоба Поделиться Опубликовано 16 Мая 2013 Локалка между зданиями уже работает. Необходимо ток поставить координаторы. Получается что все ПК будут туннелироваться. В Здании3 понятно компы будут напрямую обращаться к серваку и туннелировать необходимо всего один комп с БД(192.168.1.11). А как прописать туннелируемые адреса для ПК из Здания1 и Здания2. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 16 Мая 2013 Жалоба Поделиться Опубликовано 16 Мая 2013 Локалка между зданиями уже работает. Необходимо ток поставить координаторы. Получается что все ПК будут туннелироваться. В Здании3 понятно компы будут напрямую обращаться к серваку и туннелировать необходимо всего один комп с БД(192.168.1.11). А как прописать туннелируемые адреса для ПК из Здания1 и Здания2.Я же написал выше - необходимо через ЦУС прописать туннелируемые адреса (директива S:...-....). Единственное, есть сомнение по поводу маршрутизации этих туннелируемых компьютеров в случае, если всё останется в одной подсети. Диапазон нужно будет разбить. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kyd91plik Опубликовано 16 Мая 2013 Автор Жалоба Поделиться Опубликовано 16 Мая 2013 Посчитал кол-во туннелируемых ПК: Здание2 - 8, Здание1 - 21. Как в таком случае будут настройки на координатроах? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kyd91plik Опубликовано 16 Мая 2013 Автор Жалоба Поделиться Опубликовано 16 Мая 2013 айпишники идут не подряд например Здание2 (1.52, 1.65, 1.66, 1.67, 1.82, 1.106, 1.11, и 1.20) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kyd91plik Опубликовано 16 Мая 2013 Автор Жалоба Поделиться Опубликовано 16 Мая 2013 Получается эт будет выглядеть след образом S: 192.168.1.11, S:192.168.1.20, S: 192.168.1.52, S: 192.168.1.65-192.168.1.67,S: 192.168.1.82, S: 192.168.1.106. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 16 Мая 2013 Жалоба Поделиться Опубликовано 16 Мая 2013 Получается эт будет выглядеть след образом S: 192.168.1.11, S:192.168.1.20, S: 192.168.1.52, S: 192.168.1.65-192.168.1.67,S: 192.168.1.82, S: 192.168.1.106.Как-то так, с той лишь оговоркой, что больше одной директивы S в одной строчке не пишется. И разбросать по нужным координаторам. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kyd91plik Опубликовано 16 Мая 2013 Автор Жалоба Поделиться Опубликовано 16 Мая 2013 Спасибо за оперативные ответы! Попробую реализовать данную схему. И еще один вопрос который меня смущает когда в ЦУСе захожу в информацию о лицензии там есть строчка Адресов для туннелей 0\0. Получается что я не смогу создать туннели согласно схеме? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 16 Мая 2013 Жалоба Поделиться Опубликовано 16 Мая 2013 Спасибо за оперативные ответы! Попробую реализовать данную схему. И еще один вопрос который меня смущает когда в ЦУСе захожу в информацию о лицензии там есть строчка Адресов для туннелей 0\0. Получается что я не смогу создать туннели согласно схеме?Туннельные лицензии распределяются между координаторами при необходимости. HW1000 отличается от других координаторов тем, что у него отсутствует лицензирование туннелируемых компьютеров. Таким образом, туннелируемые лицензии Вам просто-напросто не нужны.Удачи Вам! Будут вопросы - пишите. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kyd91plik Опубликовано 16 Мая 2013 Автор Жалоба Поделиться Опубликовано 16 Мая 2013 Спасибо!) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kyd91plik Опубликовано 20 Мая 2013 Автор Жалоба Поделиться Опубликовано 20 Мая 2013 а возможно ли организовать данную схему если сделать следующее: ПАК ViPNet Coordinator HW поддерживает трансляцию адресов, то есть изменение адреса отправителя или получателя пакета по определенным алгоритмам. Если к примеру прописать правило в секции [nat] файла firewall.confrule= num 4 changge src= 192.168.1.11:dynamic proto any from 172.168.1.1/24 to anyipКак в таком случае прописать туннели если это возможно??? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 20 Мая 2013 Жалоба Поделиться Опубликовано 20 Мая 2013 Так в этом случае происходит же не туннелирование, а трансляция. Но трансляция - это уже понятие из незащищённой сети (открытой). Поэтому с туннелем это не очень согласуется. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kyd91plik Опубликовано 20 Мая 2013 Автор Жалоба Поделиться Опубликовано 20 Мая 2013 трафик ведь между координаторами будет в зашифрованном виде? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 20 Мая 2013 Жалоба Поделиться Опубликовано 20 Мая 2013 а трафик в таком случае шифрованный?Туннелируемый трафик шифрованный только от координатора (между компьютером и координатором всё равно идёт в открытом виде). Если вы будете использовать трансляцию, то после координатор (как я понимаю) будет идти открытый трафик. В VPN смысл в том, что единая адресация без трансляций. А тут Вы пытаетесь внутри VPN сделать трансляцию (не совсем понятно зачем). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kyd91plik Опубликовано 20 Мая 2013 Автор Жалоба Поделиться Опубликовано 20 Мая 2013 Туннелируемый трафик шифрованный только от координатора (между компьютером и координатором всё равно идёт в открытом виде). Если вы будете использовать трансляцию, то после координатор (как я понимаю) будет идти открытый трафик. В VPN смысл в том, что единая адресация без трансляций. А тут Вы пытаетесь внутри VPN сделать трансляцию (не совсем понятно зачем).Эт понятно что трафик от пк до координатора и обратно идет в незашифрованном виде. Мне надо чтоб защита была на участке от координатора до координатора и компьютеры из здания1, здания2 и филиалов могли обращаться к Серверу БД. Вопрос ток как эт организовать мне не совсем ясно. Если были бы разные подсети вопросов нет, а в этих трех зданиях ip пространство одно и поэтому возникает вопрос как эт организовать чтоб работало?! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 20 Мая 2013 Жалоба Поделиться Опубликовано 20 Мая 2013 Эт понятно что трафик от пк до координатора и обратно идет в незашифрованном виде. Мне надо чтоб защита была на участке от координатора до координатора и компьютеры из здания1, здания2 и филиалов могли обращаться к Серверу БД. Вопрос ток как эт организовать мне не совсем ясно. Если были бы разные подсети вопросов нет, а в этих трех зданиях ip пространство одно и поэтому возникает вопрос как эт организовать чтоб работало?!Как я уже и говорил, тут стоит попробовать (если возможно), хотя бы в одном адресном пространстве разбить на подсети по маске. Или, как вариант, пропишите маршруты для каждого конкретного адреса. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kyd91plik Опубликовано 20 Мая 2013 Автор Жалоба Поделиться Опубликовано 20 Мая 2013 Думаете маршруты помогут? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 20 Мая 2013 Жалоба Поделиться Опубликовано 20 Мая 2013 Думаете маршруты помогут?Если маршруты все прописать - то почему бы им и не помочь?! Пакеты будут знать куда идти - и туннели заработают. Конечно, не было времени детально вникнуть в Вашу схему, но, на первый взгляд, должно помочь. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kyd91plik Опубликовано 22 Мая 2013 Автор Жалоба Поделиться Опубликовано 22 Мая 2013 Прописал маршруты и схема заработала на это понадобилось куча времени. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 22 Мая 2013 Жалоба Поделиться Опубликовано 22 Мая 2013 Прописал маршруты и схема заработала на это понадобилось куча времени.Само собой, так как маршрутизация не предусматривает разрыв одной и той же подсети на кучу сегментов. Эта схема была нестандартной и понадобилось нестандартное решение. Могу Вас лишь поздравить. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.