Jump to content
Sign in to follow this  
kyd91plik

Вопрос По Каскадному Подключению Координаторов

Recommended Posts

Добрый день.

Нужна консультация по организации каскадной схемы подключения Vipnet Coordinator’ов.

Схема сети 0987654f87837b87fceda0fdb3b01d8c.jpg.

В Здании1 установлен ПАК ViPNet Coordinator KB1000 Q2. Интерфейсы на нем: eth0 смотрит в интернет, eth1—локалка в данном здании, eth2 –используется для связи с координатором в Здании2.

В Здании2 установлен ПАК ViPNet Coordinator HW 1000. Интерфейсы на нем: eth0 служит для связи со Здание1, eth1—локалка в данном здании, eth2 –используется для связи с координатором в Здании3.

В Здании3 установлен ПАК ViPNet Coordinator HW 1000. Интерфейсы на нем: eth0 служит для связи со Здание2, eth1—локалка в данном здании.

Ip пространство одно на все здания 192.168.1.1-192.168.1.255

1) Будет ли работать схема с обозначенными на ней айпи адресами6b671bf58e0160f27953b69f314aa9f0.jpg?

2) В Здании3 имеется сервер с БД (192.168.1.11), на данном ПК не установлен Vipnet Client (т.е. он является туннелированным ресурсом). Как организовать доступ к БД для ПК из Здания1 и Здания2 без установленного ПО Vipnet?Как правильно прописать туннели?

Share this post


Link to post
Share on other sites

Интересная у Вас схемка. Она уже работает или это наброски? Все ПК в зданиях являются туннелируемыми компьютерами? Туннели всегда прописываются одинаково - желательно через ЦУС (просто на HW пишется через S:...-.... диапазон адресов, рассылаются справочники). Можно туннели прописать и на конечных устройствах. Неменого непонятно как у Вас происходит маршрутизация - лучше бы, если каждое здание было отдельной подсетью.

Share this post


Link to post
Share on other sites

Эт пока на бумаге, но ее необходимо реализовать практике. Ip адреса в зданиях из одного пространства, сменить их нет возможности в виду ряда причин и ограничений. А адреса 172.168.1.1 - 172.168.1.4 я предпологаю использовать для связи координаторов. Если я в чем то не прав просьба подсказать в чем именно! Или это можно реализовать каким-то другим способом не меняя локальные айпишники?

Share this post


Link to post
Share on other sites

Просто нужно же сетевым устройствам как-то маршрутизировать трафик. Можно хотя бы разбить этот диапазон на подсети по маске - тогда диапазон будет один, а подсетей несколько. Так, у Вас все компьютеры будут туннелироваться?

Share this post


Link to post
Share on other sites

Локалка между зданиями уже работает. Необходимо ток поставить координаторы. Получается что все ПК будут туннелироваться. В Здании3 понятно компы будут напрямую обращаться к серваку и туннелировать необходимо всего один комп с БД(192.168.1.11). А как прописать туннелируемые адреса для ПК из Здания1 и Здания2.

Share this post


Link to post
Share on other sites

Локалка между зданиями уже работает. Необходимо ток поставить координаторы. Получается что все ПК будут туннелироваться. В Здании3 понятно компы будут напрямую обращаться к серваку и туннелировать необходимо всего один комп с БД(192.168.1.11). А как прописать туннелируемые адреса для ПК из Здания1 и Здания2.

Я же написал выше - необходимо через ЦУС прописать туннелируемые адреса (директива S:...-....). Единственное, есть сомнение по поводу маршрутизации этих туннелируемых компьютеров в случае, если всё останется в одной подсети. Диапазон нужно будет разбить.

Share this post


Link to post
Share on other sites

Посчитал кол-во туннелируемых ПК: Здание2 - 8, Здание1 - 21. Как в таком случае будут настройки на координатроах?

Share this post


Link to post
Share on other sites

айпишники идут не подряд например Здание2 (1.52, 1.65, 1.66, 1.67, 1.82, 1.106, 1.11, и 1.20)

Share this post


Link to post
Share on other sites

Получается эт будет выглядеть след образом S: 192.168.1.11, S:192.168.1.20, S: 192.168.1.52, S: 192.168.1.65-192.168.1.67,S: 192.168.1.82, S: 192.168.1.106.

Share this post


Link to post
Share on other sites

Получается эт будет выглядеть след образом S: 192.168.1.11, S:192.168.1.20, S: 192.168.1.52, S: 192.168.1.65-192.168.1.67,S: 192.168.1.82, S: 192.168.1.106.

Как-то так, с той лишь оговоркой, что больше одной директивы S в одной строчке не пишется. И разбросать по нужным координаторам.

Share this post


Link to post
Share on other sites

Спасибо за оперативные ответы! Попробую реализовать данную схему. И еще один вопрос который меня смущает когда в ЦУСе захожу в информацию о лицензии там есть строчка Адресов для туннелей 0\0. Получается что я не смогу создать туннели согласно схеме?

Share this post


Link to post
Share on other sites

Спасибо за оперативные ответы! Попробую реализовать данную схему. И еще один вопрос который меня смущает когда в ЦУСе захожу в информацию о лицензии там есть строчка Адресов для туннелей 0\0. Получается что я не смогу создать туннели согласно схеме?

Туннельные лицензии распределяются между координаторами при необходимости. HW1000 отличается от других координаторов тем, что у него отсутствует лицензирование туннелируемых компьютеров. Таким образом, туннелируемые лицензии Вам просто-напросто не нужны.

Удачи Вам! Будут вопросы - пишите.

Share this post


Link to post
Share on other sites

а возможно ли организовать данную схему если сделать следующее: ПАК ViPNet Coordinator HW поддерживает трансляцию адресов, то есть изменение адреса отправителя или получателя пакета по определенным алгоритмам. Если к примеру прописать правило в секции [nat] файла firewall.conf

rule= num 4 changge src= 192.168.1.11:dynamic proto any from 172.168.1.1/24 to anyip

Как в таком случае прописать туннели если это возможно???

Share this post


Link to post
Share on other sites

Так в этом случае происходит же не туннелирование, а трансляция. Но трансляция - это уже понятие из незащищённой сети (открытой). Поэтому с туннелем это не очень согласуется.

Share this post


Link to post
Share on other sites

а трафик в таком случае шифрованный?

Туннелируемый трафик шифрованный только от координатора (между компьютером и координатором всё равно идёт в открытом виде). Если вы будете использовать трансляцию, то после координатор (как я понимаю) будет идти открытый трафик. В VPN смысл в том, что единая адресация без трансляций. А тут Вы пытаетесь внутри VPN сделать трансляцию (не совсем понятно зачем).

Share this post


Link to post
Share on other sites

Туннелируемый трафик шифрованный только от координатора (между компьютером и координатором всё равно идёт в открытом виде). Если вы будете использовать трансляцию, то после координатор (как я понимаю) будет идти открытый трафик. В VPN смысл в том, что единая адресация без трансляций. А тут Вы пытаетесь внутри VPN сделать трансляцию (не совсем понятно зачем).

Эт понятно что трафик от пк до координатора и обратно идет в незашифрованном виде. Мне надо чтоб защита была на участке от координатора до координатора и компьютеры из здания1, здания2 и филиалов могли обращаться к Серверу БД. Вопрос ток как эт организовать мне не совсем ясно. Если были бы разные подсети вопросов нет, а в этих трех зданиях ip пространство одно и поэтому возникает вопрос как эт организовать чтоб работало?!

Share this post


Link to post
Share on other sites

Эт понятно что трафик от пк до координатора и обратно идет в незашифрованном виде. Мне надо чтоб защита была на участке от координатора до координатора и компьютеры из здания1, здания2 и филиалов могли обращаться к Серверу БД. Вопрос ток как эт организовать мне не совсем ясно. Если были бы разные подсети вопросов нет, а в этих трех зданиях ip пространство одно и поэтому возникает вопрос как эт организовать чтоб работало?!

Как я уже и говорил, тут стоит попробовать (если возможно), хотя бы в одном адресном пространстве разбить на подсети по маске. Или, как вариант, пропишите маршруты для каждого конкретного адреса.

Share this post


Link to post
Share on other sites

Думаете маршруты помогут?

Если маршруты все прописать - то почему бы им и не помочь?! Пакеты будут знать куда идти - и туннели заработают. Конечно, не было времени детально вникнуть в Вашу схему, но, на первый взгляд, должно помочь.

Share this post


Link to post
Share on other sites

Прописал маршруты и схема заработала на это понадобилось куча времени.

Share this post


Link to post
Share on other sites

Прописал маршруты и схема заработала на это понадобилось куча времени.

Само собой, так как маршрутизация не предусматривает разрыв одной и той же подсети на кучу сегментов. Эта схема была нестандартной и понадобилось нестандартное решение. Могу Вас лишь поздравить.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.