Подключение Защищенного Абонента Через Wan

[Forestbeast]

Здравствуйте.

Прошу помочь решить проблему,решение которой я никак не найду.

есть следующая схема сети:

Абоненты А и Б незащищённые. Абонент В защищён-на нём установлен випнет клиент.

Сети 172.16.1.0/25 и 172.16.1.129/25 туннелируются. В настройках HW и Абонента В это указано.

Для hw маршрутом по умолчанию является коммутатор, находящийся в сети 10.10.1.0/29. На HW1000 прописан статический маршрут к 2.2.2.2.

АП Абонента В принадлежит СМ HW1000.

В настройках Абонента В для HW1000, в графе с реальными IP указаны все три ip hw 1000. Так же указан ip межсетевого экрана - 1.1.1.1. И Адреса тунелируемых устройств - 172.16.1.0/25.

На HW1000 в iplire,в своём блоке указана работа через межсетевой экран(usefirewall) и firewallip=1.1.1.1. Так же этот интерфейс указан как external. В блоке Абонента В я так же ставил usefirewall=on и firewallip=2.2.2.2, но при запуске iplir'a firewallip меняется на 1.1.1.1. в итоге в блоке с Абонентом В указывается ip=192.168.1.x, acessip=192.168.1.x, firewallip=1.1.1.1, и proxyid= id СМ HW1000.

При ICMP запросе от Абонента В до Абонента А в журнале Абонента В отображается зашифрованный пакет от АП Абонента В до СМ HW1000. В журнале HW1000 этот пакет тоже отображается. причём source ip - частный ip Абонента В.

Но reply icmp отправляется hw так же на частный IP адрес Абонента В. И соответственно делает он это на шлюз по умолчанию.

Подскажите, пожалуйста, как указать HW1000 что Абонент В находится за 2.2.2.2?

Думал что нужно нат использовать, но там нет возможности указывать Ip адрес получателя-только anyip. Т.е. если транслировать, то транслировать всё, что приходит на СМ.

В ЦУСе, может что-то не так сконфигурено?У меня не хватает фантазии,чтобы понять в какую сторону копать

[Kurtasanov]

На клиенте В установи режим работы через межсетевой экран с трансляцией адресов и установи Hw1000 как координтор, дополнительно поставь галочку перенаправлять весь трафик. Если все остальные параметры правильно сделал, то должно заработать.

[Forestbeast]

На клиенте В установи режим работы через межсетевой экран с трансляцией адресов и установи Hw1000 как координтор, дополнительно поставь галочку перенаправлять весь трафик. Если все остальные параметры правильно сделал, то должно заработать.

Где находится галочка "перенаправлять весь трафик"?

вот мои настройки:

HW1000

[id]
id= 0******xx
name= HW 1000
filterdefault= pass
ip= 172.16.1.x
ip= 10.10.1.x
ip= 1.1.1.1
tunnel= 172.16.1.x- 172.16.1.x to 172.16.1.x- 172.16.1.x
firewallip= 1.1.1.1
port= 55777
proxyid= 0x00000000
usefirewall= on
fixfirewall= on
virtualip= 10.0.0.1
version= 2.12-1025
[id]
id= 0xffffffff
name= Encrypted broadcasts
filterdefault= drop
filterudp= 137, 137, pass, any
filterudp= 138, 138, pass, any
filterudp= 68, 67, pass, any
filterudp= 67, 68, pass, any
filterudp= 2046, 0-65535, pass, recv
filterudp= 2046, 2046, pass, send
filterudp= 2048, 0-65535, pass, recv
filterudp= 2050, 0-65535, pass, recv
filterudp= 2050, 2050, pass, send
[id]
id= 0xfffffffe
name= Main Filter
filterdefault= pass
[id]
id= 0******x
name= Абонент В
filterdefault= pass
ip= 192.168.1.Х
accessip= 10.0.0.2
firewallip= 2.2.2.2
port= 55777
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.2
version= 3.2-672
[adapter]
name= eth0
ip= 10.10.1.Х
allowtraffic= on
type= internal
[adapter]
name= eth1
ip= 172.16.1.Х
allowtraffic= on
type= internal
[adapter]
name= eth2
ip= 1.1.1.1
allowtraffic= on
type= external

[dynamic]
dynamic_proxy= off
firewallip= 1.1.1.1
port= 55777
forward_id= 0xххххх
always_use_server= off
timeout=



vipnet>
vipnet> iplir show config fi
[settings]
[antispoof]
antispoof=no
[broadcast]
rule= num 1 proto any from anyip to anyip pass
[nat]
[local]
rule= num 1 proto any from anyip to anyip pass
[forward]
rule= num 1 proto any from anyip to anyip pass
[tunnel]
rule= num 1 proto any from any to any pass

абонент:

что в журналах:

что у абонента А

[slavanchuk]

Перенаправлять весь трафик галочка присутствует только в настройке "с динамической трансляцией адресов", насколько я помню.

[Kurtasanov]

В настройках клиента, где у вас на скриншоте указана статическая трансляция , замените на динамическую. У 3g роутера внешний IP динамический и статическая трансляция ему не требуется.

После изменения типа подключения (примеения настроек) в окне випнет клиента нажмине CTRL+R (обновление) и проверьте связь с HW1000. Подождите какое-то время - сразу может не появиться.

[Forestbeast]

В настройках клиента, где у вас на скриншоте указана статическая трансляция , замените на динамическую. У 3g роутера внешний IP динамический и статическая трансляция ему не требуется.

После изменения типа подключения (примеения настроек) в окне випнет клиента нажмине CTRL+R (обновление) и проверьте связь с HW1000. Подождите какое-то время - сразу может не появиться.

Вы имеете динамическую трансляюцию на 3Г роутере?Внешний ИП-белый, он не меняется.

Впрочем после того, как поставил галочку всё заработало

Спасибо большое!

Изменено 12 Августа 2013 пользователем Forestbeast