Вопрос По Каскадному Подключению Координаторов

[kyd91plik]

Добрый день.

Нужна консультация по организации каскадной схемы подключения Vipnet Coordinator’ов.

Схема сети .

В Здании1 установлен ПАК ViPNet Coordinator KB1000 Q2. Интерфейсы на нем: eth0 смотрит в интернет, eth1—локалка в данном здании, eth2 –используется для связи с координатором в Здании2.

В Здании2 установлен ПАК ViPNet Coordinator HW 1000. Интерфейсы на нем: eth0 служит для связи со Здание1, eth1—локалка в данном здании, eth2 –используется для связи с координатором в Здании3.

В Здании3 установлен ПАК ViPNet Coordinator HW 1000. Интерфейсы на нем: eth0 служит для связи со Здание2, eth1—локалка в данном здании.

Ip пространство одно на все здания 192.168.1.1-192.168.1.255

1) Будет ли работать схема с обозначенными на ней айпи адресами?

2) В Здании3 имеется сервер с БД (192.168.1.11), на данном ПК не установлен Vipnet Client (т.е. он является туннелированным ресурсом). Как организовать доступ к БД для ПК из Здания1 и Здания2 без установленного ПО Vipnet?Как правильно прописать туннели?

[slavanchuk]

Интересная у Вас схемка. Она уже работает или это наброски? Все ПК в зданиях являются туннелируемыми компьютерами? Туннели всегда прописываются одинаково - желательно через ЦУС (просто на HW пишется через S:...-.... диапазон адресов, рассылаются справочники). Можно туннели прописать и на конечных устройствах. Неменого непонятно как у Вас происходит маршрутизация - лучше бы, если каждое здание было отдельной подсетью.

[kyd91plik]

Эт пока на бумаге, но ее необходимо реализовать практике. Ip адреса в зданиях из одного пространства, сменить их нет возможности в виду ряда причин и ограничений. А адреса 172.168.1.1 - 172.168.1.4 я предпологаю использовать для связи координаторов. Если я в чем то не прав просьба подсказать в чем именно! Или это можно реализовать каким-то другим способом не меняя локальные айпишники?

[slavanchuk]

Просто нужно же сетевым устройствам как-то маршрутизировать трафик. Можно хотя бы разбить этот диапазон на подсети по маске - тогда диапазон будет один, а подсетей несколько. Так, у Вас все компьютеры будут туннелироваться?

[kyd91plik]

Локалка между зданиями уже работает. Необходимо ток поставить координаторы. Получается что все ПК будут туннелироваться. В Здании3 понятно компы будут напрямую обращаться к серваку и туннелировать необходимо всего один комп с БД(192.168.1.11). А как прописать туннелируемые адреса для ПК из Здания1 и Здания2.

[slavanchuk]

Локалка между зданиями уже работает. Необходимо ток поставить координаторы. Получается что все ПК будут туннелироваться. В Здании3 понятно компы будут напрямую обращаться к серваку и туннелировать необходимо всего один комп с БД(192.168.1.11). А как прописать туннелируемые адреса для ПК из Здания1 и Здания2.

Я же написал выше - необходимо через ЦУС прописать туннелируемые адреса (директива S:...-....). Единственное, есть сомнение по поводу маршрутизации этих туннелируемых компьютеров в случае, если всё останется в одной подсети. Диапазон нужно будет разбить.

[kyd91plik]

Посчитал кол-во туннелируемых ПК: Здание2 - 8, Здание1 - 21. Как в таком случае будут настройки на координатроах?

[kyd91plik]

айпишники идут не подряд например Здание2 (1.52, 1.65, 1.66, 1.67, 1.82, 1.106, 1.11, и 1.20)

[kyd91plik]

Получается эт будет выглядеть след образом S: 192.168.1.11, S:192.168.1.20, S: 192.168.1.52, S: 192.168.1.65-192.168.1.67,S: 192.168.1.82, S: 192.168.1.106.

[slavanchuk]

Получается эт будет выглядеть след образом S: 192.168.1.11, S:192.168.1.20, S: 192.168.1.52, S: 192.168.1.65-192.168.1.67,S: 192.168.1.82, S: 192.168.1.106.

Как-то так, с той лишь оговоркой, что больше одной директивы S в одной строчке не пишется. И разбросать по нужным координаторам.

[kyd91plik]

Спасибо за оперативные ответы! Попробую реализовать данную схему. И еще один вопрос который меня смущает когда в ЦУСе захожу в информацию о лицензии там есть строчка Адресов для туннелей 0\0. Получается что я не смогу создать туннели согласно схеме?

[slavanchuk]

Спасибо за оперативные ответы! Попробую реализовать данную схему. И еще один вопрос который меня смущает когда в ЦУСе захожу в информацию о лицензии там есть строчка Адресов для туннелей 0\0. Получается что я не смогу создать туннели согласно схеме?

Туннельные лицензии распределяются между координаторами при необходимости. HW1000 отличается от других координаторов тем, что у него отсутствует лицензирование туннелируемых компьютеров. Таким образом, туннелируемые лицензии Вам просто-напросто не нужны.

Удачи Вам! Будут вопросы - пишите.

[kyd91plik]

Спасибо!)

[kyd91plik]

а возможно ли организовать данную схему если сделать следующее: ПАК ViPNet Coordinator HW поддерживает трансляцию адресов, то есть изменение адреса отправителя или получателя пакета по определенным алгоритмам. Если к примеру прописать правило в секции [nat] файла firewall.conf

rule= num 4 changge src= 192.168.1.11:dynamic proto any from 172.168.1.1/24 to anyip

Как в таком случае прописать туннели если это возможно???

[slavanchuk]

Так в этом случае происходит же не туннелирование, а трансляция. Но трансляция - это уже понятие из незащищённой сети (открытой). Поэтому с туннелем это не очень согласуется.

[kyd91plik]

трафик ведь между координаторами будет в зашифрованном виде?

[slavanchuk]

а трафик в таком случае шифрованный?

Туннелируемый трафик шифрованный только от координатора (между компьютером и координатором всё равно идёт в открытом виде). Если вы будете использовать трансляцию, то после координатор (как я понимаю) будет идти открытый трафик. В VPN смысл в том, что единая адресация без трансляций. А тут Вы пытаетесь внутри VPN сделать трансляцию (не совсем понятно зачем).

[kyd91plik]

Туннелируемый трафик шифрованный только от координатора (между компьютером и координатором всё равно идёт в открытом виде). Если вы будете использовать трансляцию, то после координатор (как я понимаю) будет идти открытый трафик. В VPN смысл в том, что единая адресация без трансляций. А тут Вы пытаетесь внутри VPN сделать трансляцию (не совсем понятно зачем).

Эт понятно что трафик от пк до координатора и обратно идет в незашифрованном виде. Мне надо чтоб защита была на участке от координатора до координатора и компьютеры из здания1, здания2 и филиалов могли обращаться к Серверу БД. Вопрос ток как эт организовать мне не совсем ясно. Если были бы разные подсети вопросов нет, а в этих трех зданиях ip пространство одно и поэтому возникает вопрос как эт организовать чтоб работало?!

[slavanchuk]

Эт понятно что трафик от пк до координатора и обратно идет в незашифрованном виде. Мне надо чтоб защита была на участке от координатора до координатора и компьютеры из здания1, здания2 и филиалов могли обращаться к Серверу БД. Вопрос ток как эт организовать мне не совсем ясно. Если были бы разные подсети вопросов нет, а в этих трех зданиях ip пространство одно и поэтому возникает вопрос как эт организовать чтоб работало?!

Как я уже и говорил, тут стоит попробовать (если возможно), хотя бы в одном адресном пространстве разбить на подсети по маске. Или, как вариант, пропишите маршруты для каждого конкретного адреса.

[kyd91plik]

Думаете маршруты помогут?

[slavanchuk]

Думаете маршруты помогут?

Если маршруты все прописать - то почему бы им и не помочь?! Пакеты будут знать куда идти - и туннели заработают. Конечно, не было времени детально вникнуть в Вашу схему, но, на первый взгляд, должно помочь.

[kyd91plik]

Прописал маршруты и схема заработала на это понадобилось куча времени.

[slavanchuk]

Прописал маршруты и схема заработала на это понадобилось куча времени.

Само собой, так как маршрутизация не предусматривает разрыв одной и той же подсети на кучу сегментов. Эта схема была нестандартной и понадобилось нестандартное решение. Могу Вас лишь поздравить.