zvv Опубликовано 28 Мая 2013 Жалоба Поделиться Опубликовано 28 Мая 2013 Здравствуйте.Есть хост в открытой сети, подключен к Координатору (3.2.9 demo) с двумя сетевыми картами. Координатор используется в качестве МЭ. Заданы фильтры открытой сети (по умолчанию) "всё для всех". На внутреннем (открытая сеть) и внешнем интерфейсах Координатора стоит 5 режим. Но при этом, нет доступа (не проходят пинги) из открытой сети (внутр.интерфейс) к хостам за внешним интерфейсом. С Координатора пингуется всё. С хоста открытой сети пинги проходят только до внешнего адреса Координатора.Благодарю за помощь. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 28 Мая 2013 Жалоба Поделиться Опубликовано 28 Мая 2013 Настроены транзитные правила? Что в журнале ip-пакетов? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zvv Опубликовано 28 Мая 2013 Автор Жалоба Поделиться Опубликовано 28 Мая 2013 Настроены транзитные правила? Что в журнале ip-пакетов?транзитные правила - всё для всех, в журнале пусто Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 28 Мая 2013 Жалоба Поделиться Опубликовано 28 Мая 2013 Включен ли форвардинг в системе? как посмотреть или включить лучше спросить у google (netsh (по-моему лучший вариант ), реестр...). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zvv Опубликовано 28 Мая 2013 Автор Жалоба Поделиться Опубликовано 28 Мая 2013 Включен ли форвардинг в системе? как посмотреть или включить лучше спросить у google (netsh (по-моему лучший вариант ), реестр...). Нашел тему "Как включить маршрутизацию пакетов TCP/IP в Microsoft Windows XP", там надо чтоб вHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersВнести следующие изменения:Параметр: IPEnableRouter Тип данных: REG_DWORD Значение: 1Там уже 1 есть. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
MORO Опубликовано 28 Мая 2013 Жалоба Поделиться Опубликовано 28 Мая 2013 Если на обоих интерфейсах включен 5-й режим, то предмета для обсуждения ViPNet вообще нет. Какие транзитные правила... 5-й режим это полное отключение драйвера ViPNet. Т.е. с 5-ым режимом на обоих интерфейсах Ваш "Координатор" уже не Координатор, он работает просто, как обычный роутер, и всё.P.S.И ещё. Я правильно понимаю, что внешний интерфейс Координатора смотрит в Интернет, и Вы хотите, чтобы машины в ЛВС через Ваш "Координатор" (который просто маршрутизатор) видели ресурсы Интернет?Если я понимаю правильно, то ничего не выйдет. Роутер просто роутит, не более. Этого мало для того, чтобы компы из ЛВС, имеющие "серые" адреса, могли видеть ресурсы Интернет. Надо ещё NAT поднимать, или proxy. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zvv Опубликовано 29 Мая 2013 Автор Жалоба Поделиться Опубликовано 29 Мая 2013 ...Внешний интерфейс Координатора смотрит в Интранет, с Координатора по внешнему интерфейсу все известные хосты пингуются. Вопрос в том, почему при этом, нет доступа (не проходят пинги) из открытой сети (внутр.интерфейс) к хостам за внешним интерфейсом. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 29 Мая 2013 Жалоба Поделиться Опубликовано 29 Мая 2013 MORO прав! 5 режим отключает ViPNet драйвер. Криво прочитал: думал, что на внешнем интерфейсе режим 5. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zvv Опубликовано 29 Мая 2013 Автор Жалоба Поделиться Опубликовано 29 Мая 2013 Интернета нет, proxy не нужен, а с NAT-ом что? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 29 Мая 2013 Жалоба Поделиться Опубликовано 29 Мая 2013 А хосты в "Интернет" знают, что в подсеть за координатором надо кидать пакеты на сам координатор? Проще говоря, есть ли обратная маршрутизация?По мне так проще поднять NAT, чтобы все запросы во внешнюю сеть уходили с адресом координатора. Как сделать? Подробно в доке, которая доступа на офф сайте.P.S. Я бы включил 2-ой режим безопасности на всех интерфейсах. Если есть firewall, то почему бы его не использовать? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zvv Опубликовано 29 Мая 2013 Автор Жалоба Поделиться Опубликовано 29 Мая 2013 Из документации понял, что NAT можно поднять только с использованием клиентской части (по второй и третьей схеме).А нужна первая схема без клиентов, но с организацией NAT. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
MORO Опубликовано 29 Мая 2013 Жалоба Поделиться Опубликовано 29 Мая 2013 Я так понимаю, у Вас есть две Intranet-сети (назовем так): NET1 и NET2.Между ними "рубежом" стоит сервер с ПО ViPNet-Координатор.И Вы хотите, чтобы хосты в NET1 и хосты в NET2 (как я понял и те и другие это обычные открытые хосты, т.е. на них ПО ViPNet-Клиент не установлено) видели друг друга.Так? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zvv Опубликовано 29 Мая 2013 Автор Жалоба Поделиться Опубликовано 29 Мая 2013 (изменено) Да, по первой схеме, но net1 - это открытая сеть, а net2 - intranet.И надо, чтобы определённые хосты в NET1 и определённые хосты в NET2 (и те и другие это обычные открытые хосты, т.е. на них ПО ViPNet-Клиент не установлено) видели друг друга.Вот пока такая задача... Изменено 29 Мая 2013 пользователем zvv Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
MORO Опубликовано 29 Мая 2013 Жалоба Поделиться Опубликовано 29 Мая 2013 "Открытая сеть", "Intranet"... могу только догадываться что Вы подразумеваете под термином "открытая сеть"...Давайте попробуем так. И та и другая сетки - это ЛВС`ки (может так понятней будет)?Тогда простой вопрос.Если Вы вот просто совсем-совсем вырубите vipnet-драйвер (для пущей надёжности перезагрузите сервер и при появлении окна запроса пароля ПО ViPNet нажмите "Отмена" и загрузитесь без защиты трафика), т.е. Ваш сервер - просто сервер, можно считать, что на нем ViPNet`а нет.Вот при таких условиях Ваши хосты из Net1 и Net2 видят друг друга?Это я тонко намекаю на то - а настроена ли, в принципе маршрутизация между Net1 и Net2? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zvv Опубликовано 29 Мая 2013 Автор Жалоба Поделиться Опубликовано 29 Мая 2013 При внимательном чтении документации, по моему нашел простой ответ.Вот когда это работает: "Если координатор использует данный (подключение без использования МЭ) тип соединения и находится на границе двух сегментов сети, то он осуществляет трансляцию сетевых адресов (NAT) для всех ViPNet-соединений в обоих направлениях".Теперь понятно, что у меня так NAT не заработает, потому, что net1 и net2 - не являются в моём случае сегментами одной сети, потому и все разрешения оказались бесполезными. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 29 Мая 2013 Жалоба Поделиться Опубликовано 29 Мая 2013 Все, что цитировалось из документации относится к зашифрованному трафику и никаким образом не затрагивает открытый. Нарисуйте себе схему. Настройте форвард+NAT. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zvv Опубликовано 30 Мая 2013 Автор Жалоба Поделиться Опубликовано 30 Мая 2013 Все, что цитировалось из документации относится к зашифрованному трафикуПонимаю, что имеется ввиду только "для всех ViPNet-соединений в обоих направлениях", а это значит - только зашифрованный трафик, т.е. vipnetКлиент-vipnetСервеp, а задача стоит - сеть без клиентов.Видимо такая схема или её часть потребуется:"Нередко возникает задача защитить обмен данными между узлами на потенциально опасном участке сети или включить узел в сеть ViPNet, при этом ПО ViPNet на некоторые узлы не может быть установлено. Такая ситуация возможна, если узлы сети представляют собой специализированные устройства (например, IP-АТС или аппаратные IP-телефоны) или серверы (SQL, 1C, DHCP), установка дополнительного ПО на которые нежелательна."Задача собрать и потестить выделенную цветом часть нижеприведенной схемы.В итоге такую схему, т.н. "полутуннель". Узлы туннелирования будем задавать в vipnet-Монитор.Узел (2) является туннелируемым узлом (без ПО ViPNet, но с защищенным доступом).Узел (1), соответственно (без ПО ViPNet и является открытым узлом). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 8 Августа 2013 Жалоба Поделиться Опубликовано 8 Августа 2013 Так,на чем вы остановились и какие еще есть проблемы? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.