Jump to content

Recommended Posts

Здравствуйте.

Есть хост в открытой сети, подключен к Координатору (3.2.9 demo) с двумя сетевыми картами. Координатор используется в качестве МЭ. Заданы фильтры открытой сети (по умолчанию) "всё для всех". На внутреннем (открытая сеть) и внешнем интерфейсах Координатора стоит 5 режим. Но при этом, нет доступа (не проходят пинги) из открытой сети (внутр.интерфейс) к хостам за внешним интерфейсом. С Координатора пингуется всё. С хоста открытой сети пинги проходят только до внешнего адреса Координатора.

Благодарю за помощь.

Share this post


Link to post
Share on other sites

Настроены транзитные правила? Что в журнале ip-пакетов?

Share this post


Link to post
Share on other sites

Настроены транзитные правила? Что в журнале ip-пакетов?

транзитные правила - всё для всех, в журнале пусто

Share this post


Link to post
Share on other sites

Включен ли форвардинг в системе? как посмотреть или включить лучше спросить у google (netsh (по-моему лучший вариант ), реестр...).

Share this post


Link to post
Share on other sites
Включен ли форвардинг в системе? как посмотреть или включить лучше спросить у google (netsh (по-моему лучший вариант ), реестр...).

Нашел тему "Как включить маршрутизацию пакетов TCP/IP в Microsoft Windows XP", там надо чтоб в

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Внести следующие изменения:

Параметр: IPEnableRouter

Тип данных: REG_DWORD

Значение: 1

Там уже 1 есть.

Share this post


Link to post
Share on other sites

Если на обоих интерфейсах включен 5-й режим, то предмета для обсуждения ViPNet вообще нет. :)

Какие транзитные правила... ;)

5-й режим это полное отключение драйвера ViPNet. Т.е. с 5-ым режимом на обоих интерфейсах Ваш "Координатор" уже не Координатор, он работает просто, как обычный роутер, и всё.

P.S.И ещё. Я правильно понимаю, что внешний интерфейс Координатора смотрит в Интернет, и Вы хотите, чтобы машины в ЛВС через Ваш "Координатор" (который просто маршрутизатор) видели ресурсы Интернет?

Если я понимаю правильно, то ничего не выйдет. Роутер просто роутит, не более. Этого мало для того, чтобы компы из ЛВС, имеющие "серые" адреса, могли видеть ресурсы Интернет. Надо ещё NAT поднимать, или proxy.

Share this post


Link to post
Share on other sites

...

Внешний интерфейс Координатора смотрит в Интранет, с Координатора по внешнему интерфейсу все известные хосты пингуются. Вопрос в том, почему при этом, нет доступа (не проходят пинги) из открытой сети (внутр.интерфейс) к хостам за внешним интерфейсом.

Share this post


Link to post
Share on other sites

MORO прав! 5 режим отключает ViPNet драйвер. Криво прочитал: думал, что на внешнем интерфейсе режим 5.

Share this post


Link to post
Share on other sites

Интернета нет, proxy не нужен, а с NAT-ом что?

Share this post


Link to post
Share on other sites

А хосты в "Интернет" знают, что в подсеть за координатором надо кидать пакеты на сам координатор? Проще говоря, есть ли обратная маршрутизация?

По мне так проще поднять NAT, чтобы все запросы во внешнюю сеть уходили с адресом координатора. Как сделать? Подробно в доке, которая доступа на офф сайте.

P.S. Я бы включил 2-ой режим безопасности на всех интерфейсах. Если есть firewall, то почему бы его не использовать?

Share this post


Link to post
Share on other sites

Из документации понял, что NAT можно поднять только с использованием клиентской части (по второй и третьей схеме).

А нужна первая схема без клиентов, но с организацией NAT.

1.jpg

Share this post


Link to post
Share on other sites

Я так понимаю, у Вас есть две Intranet-сети (назовем так): NET1 и NET2.

Между ними "рубежом" стоит сервер с ПО ViPNet-Координатор.

И Вы хотите, чтобы хосты в NET1 и хосты в NET2 (как я понял и те и другие это обычные открытые хосты, т.е. на них ПО ViPNet-Клиент не установлено) видели друг друга.

Так?

Share this post


Link to post
Share on other sites

Да, по первой схеме, но net1 - это открытая сеть, а net2 - intranet.

И надо, чтобы определённые хосты в NET1 и определённые хосты в NET2 (и те и другие это обычные открытые хосты, т.е. на них ПО ViPNet-Клиент не установлено) видели друг друга.

Вот пока такая задача...

Edited by zvv

Share this post


Link to post
Share on other sites

"Открытая сеть", "Intranet"... могу только догадываться что Вы подразумеваете под термином "открытая сеть"...

Давайте попробуем так. И та и другая сетки - это ЛВС`ки (может так понятней будет)?

Тогда простой вопрос.

Если Вы вот просто совсем-совсем вырубите vipnet-драйвер (для пущей надёжности перезагрузите сервер и при появлении окна запроса пароля ПО ViPNet нажмите "Отмена" и загрузитесь без защиты трафика), т.е. Ваш сервер - просто сервер, можно считать, что на нем ViPNet`а нет.

Вот при таких условиях Ваши хосты из Net1 и Net2 видят друг друга?

Это я тонко намекаю на то - а настроена ли, в принципе маршрутизация между Net1 и Net2?

Share this post


Link to post
Share on other sites

При внимательном чтении документации, по моему нашел простой ответ.

Вот когда это работает: "Если координатор использует данный (подключение без использования МЭ) тип соединения и находится на границе двух сегментов сети, то он осуществляет трансляцию сетевых адресов (NAT) для всех ViPNet-соединений в обоих направлениях".

Теперь понятно, что у меня так NAT не заработает, потому, что net1 и net2 - не являются в моём случае сегментами одной сети, потому и все разрешения оказались бесполезными.

Share this post


Link to post
Share on other sites

Все, что цитировалось из документации относится к зашифрованному трафику и никаким образом не затрагивает открытый. Нарисуйте себе схему. Настройте форвард+NAT.

Share this post


Link to post
Share on other sites

Все, что цитировалось из документации относится к зашифрованному трафику

Понимаю, что имеется ввиду только "для всех ViPNet-соединений в обоих направлениях", а это значит - только зашифрованный трафик, т.е. vipnetКлиент-vipnetСервеp, а задача стоит - сеть без клиентов.

Видимо такая схема или её часть потребуется:"Нередко возникает задача защитить обмен данными между узлами на потенциально опасном участке сети или включить узел в сеть ViPNet, при этом ПО ViPNet на некоторые узлы не может быть установлено. Такая ситуация возможна, если узлы сети представляют собой специализированные устройства (например, IP-АТС или аппаратные IP-телефоны) или серверы (SQL, 1C, DHCP), установка дополнительного ПО на которые нежелательна."

netmain.jpg

Задача собрать и потестить выделенную цветом часть нижеприведенной схемы.

nettest.jpg

В итоге такую схему, т.н. "полутуннель".

net.jpg

Узлы туннелирования будем задавать в vipnet-Монитор.

Узел (2) является туннелируемым узлом (без ПО ViPNet, но с защищенным доступом).

Узел (1), соответственно (без ПО ViPNet и является открытым узлом).

Share this post


Link to post
Share on other sites

Так,

на чем вы остановились и какие еще есть проблемы?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.