Нет Доступа Из Открытой Сети В Сеть Vipnet

[zvv]

Здравствуйте.

Есть хост в открытой сети, подключен к Координатору (3.2.9 demo) с двумя сетевыми картами. Координатор используется в качестве МЭ. Заданы фильтры открытой сети (по умолчанию) "всё для всех". На внутреннем (открытая сеть) и внешнем интерфейсах Координатора стоит 5 режим. Но при этом, нет доступа (не проходят пинги) из открытой сети (внутр.интерфейс) к хостам за внешним интерфейсом. С Координатора пингуется всё. С хоста открытой сети пинги проходят только до внешнего адреса Координатора.

Благодарю за помощь.

[AnTonN(c)]

Настроены транзитные правила? Что в журнале ip-пакетов?

[zvv]

Настроены транзитные правила? Что в журнале ip-пакетов?

транзитные правила - всё для всех, в журнале пусто

[AnTonN(c)]

Включен ли форвардинг в системе? как посмотреть или включить лучше спросить у google (netsh (по-моему лучший вариант ), реестр...).

[zvv]

Включен ли форвардинг в системе? как посмотреть или включить лучше спросить у google (netsh (по-моему лучший вариант ), реестр...).

Нашел тему "Как включить маршрутизацию пакетов TCP/IP в Microsoft Windows XP", там надо чтоб в

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Внести следующие изменения:

Параметр: IPEnableRouter

Тип данных: REG_DWORD

Значение: 1

Там уже 1 есть.

[MORO]

Если на обоих интерфейсах включен 5-й режим, то предмета для обсуждения ViPNet вообще нет.

Какие транзитные правила...

5-й режим это полное отключение драйвера ViPNet. Т.е. с 5-ым режимом на обоих интерфейсах Ваш "Координатор" уже не Координатор, он работает просто, как обычный роутер, и всё.

P.S.И ещё. Я правильно понимаю, что внешний интерфейс Координатора смотрит в Интернет, и Вы хотите, чтобы машины в ЛВС через Ваш "Координатор" (который просто маршрутизатор) видели ресурсы Интернет?

Если я понимаю правильно, то ничего не выйдет. Роутер просто роутит, не более. Этого мало для того, чтобы компы из ЛВС, имеющие "серые" адреса, могли видеть ресурсы Интернет. Надо ещё NAT поднимать, или proxy.

[zvv]

...

Внешний интерфейс Координатора смотрит в Интранет, с Координатора по внешнему интерфейсу все известные хосты пингуются. Вопрос в том, почему при этом, нет доступа (не проходят пинги) из открытой сети (внутр.интерфейс) к хостам за внешним интерфейсом.

[AnTonN(c)]

MORO прав! 5 режим отключает ViPNet драйвер. Криво прочитал: думал, что на внешнем интерфейсе режим 5.

[zvv]

Интернета нет, proxy не нужен, а с NAT-ом что?

[AnTonN(c)]

А хосты в "Интернет" знают, что в подсеть за координатором надо кидать пакеты на сам координатор? Проще говоря, есть ли обратная маршрутизация?

По мне так проще поднять NAT, чтобы все запросы во внешнюю сеть уходили с адресом координатора. Как сделать? Подробно в доке, которая доступа на офф сайте.

P.S. Я бы включил 2-ой режим безопасности на всех интерфейсах. Если есть firewall, то почему бы его не использовать?

[zvv]

Из документации понял, что NAT можно поднять только с использованием клиентской части (по второй и третьей схеме).

А нужна первая схема без клиентов, но с организацией NAT.

[MORO]

Я так понимаю, у Вас есть две Intranet-сети (назовем так): NET1 и NET2.

Между ними "рубежом" стоит сервер с ПО ViPNet-Координатор.

И Вы хотите, чтобы хосты в NET1 и хосты в NET2 (как я понял и те и другие это обычные открытые хосты, т.е. на них ПО ViPNet-Клиент не установлено) видели друг друга.

Так?

[zvv]

Да, по первой схеме, но net1 - это открытая сеть, а net2 - intranet.

И надо, чтобы определённые хосты в NET1 и определённые хосты в NET2 (и те и другие это обычные открытые хосты, т.е. на них ПО ViPNet-Клиент не установлено) видели друг друга.

Вот пока такая задача...

Изменено 29 Мая 2013 пользователем zvv

[MORO]

"Открытая сеть", "Intranet"... могу только догадываться что Вы подразумеваете под термином "открытая сеть"...

Давайте попробуем так. И та и другая сетки - это ЛВС`ки (может так понятней будет)?

Тогда простой вопрос.

Если Вы вот просто совсем-совсем вырубите vipnet-драйвер (для пущей надёжности перезагрузите сервер и при появлении окна запроса пароля ПО ViPNet нажмите "Отмена" и загрузитесь без защиты трафика), т.е. Ваш сервер - просто сервер, можно считать, что на нем ViPNet`а нет.

Вот при таких условиях Ваши хосты из Net1 и Net2 видят друг друга?

Это я тонко намекаю на то - а настроена ли, в принципе маршрутизация между Net1 и Net2?

[zvv]

При внимательном чтении документации, по моему нашел простой ответ.

Вот когда это работает: "Если координатор использует данный (подключение без использования МЭ) тип соединения и находится на границе двух сегментов сети, то он осуществляет трансляцию сетевых адресов (NAT) для всех ViPNet-соединений в обоих направлениях".

Теперь понятно, что у меня так NAT не заработает, потому, что net1 и net2 - не являются в моём случае сегментами одной сети, потому и все разрешения оказались бесполезными.

[AnTonN(c)]

Все, что цитировалось из документации относится к зашифрованному трафику и никаким образом не затрагивает открытый. Нарисуйте себе схему. Настройте форвард+NAT.

[zvv]

Все, что цитировалось из документации относится к зашифрованному трафику

Понимаю, что имеется ввиду только "для всех ViPNet-соединений в обоих направлениях", а это значит - только зашифрованный трафик, т.е. vipnetКлиент-vipnetСервеp, а задача стоит - сеть без клиентов.

Видимо такая схема или её часть потребуется:"Нередко возникает задача защитить обмен данными между узлами на потенциально опасном участке сети или включить узел в сеть ViPNet, при этом ПО ViPNet на некоторые узлы не может быть установлено. Такая ситуация возможна, если узлы сети представляют собой специализированные устройства (например, IP-АТС или аппаратные IP-телефоны) или серверы (SQL, 1C, DHCP), установка дополнительного ПО на которые нежелательна."

Задача собрать и потестить выделенную цветом часть нижеприведенной схемы.

В итоге такую схему, т.н. "полутуннель".

Узлы туннелирования будем задавать в vipnet-Монитор.

Узел (2) является туннелируемым узлом (без ПО ViPNet, но с защищенным доступом).

Узел (1), соответственно (без ПО ViPNet и является открытым узлом).

[AnTonN(c)]

Так,

на чем вы остановились и какие еще есть проблемы?