Василий Опубликовано 17 Октября 2013 Жалоба Поделиться Опубликовано 17 Октября 2013 Добрый день.Необходимо подключить vipnet hw 100 к сети. Координатор стоит за checkpoint. трафик проходящий через ЧП дропаться не будет? был опыт 2 недельного выноса мозга с ЧП. Подскажите пожалуйста на сколько они дружат друг с другом.И еще вопрос. как скросировать данную железку и назначить адреса на интерфесах если она находится внутри сети? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 17 Октября 2013 Жалоба Поделиться Опубликовано 17 Октября 2013 Конфликта быть не должно. Просто нужно разрешить порт VipNet. По умолчанию это - 55777 UDP. Делаете статический NAT (PAT) или в режиме прозрачного экрана. Випнет рассчитан на работу через другие сетевые экраны и NAT (в отличие от АПКШ Континента 3.5, к примеру).А в чём проблема назначения адресов? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Василий Опубликовано 17 Октября 2013 Автор Жалоба Поделиться Опубликовано 17 Октября 2013 как организовать адресацию на внешних и внутренних интерфейсах. внутри сети используется 192,168,2,0/24. я так понимаю то на внешнем должен быть адрес из 192,168,2,0/24 на внутреннем отличный от внешнего типа вот такого 192,168,3,0/24. правильно? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 17 Октября 2013 Жалоба Поделиться Опубликовано 17 Октября 2013 Интерфейс, который смотрит вовне, должен быть с отличным адресом (другая подсеть). А интерфейс, который смотрит в локалку - адрес из этой локалки. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Василий Опубликовано 17 Октября 2013 Автор Жалоба Поделиться Опубликовано 17 Октября 2013 да вот тут то и засада. как чекпоинт увидит координатор с другой подсети. если чекпоинт сидит в 2,0/24 а внешний интерфейс координатора будет допустим в 3,0/24. может чего недопонимаю. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 17 Октября 2013 Жалоба Поделиться Опубликовано 17 Октября 2013 Получается, что у Вас локалка и сетевой экран в одной подсети? Это не совсем правильно. Как раз, чекпоинт и координатор (если вы всё пускаете через два экрана) должны быть в одной подсети. Если Вам координатор нужен только для MFTP, то он может быть и с одним интерфейсом, а если Вы пускаете весь трафик через него, то чекпоинт не должен быть в локальной сети. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Василий Опубликовано 18 Октября 2013 Автор Жалоба Поделиться Опубликовано 18 Октября 2013 Да, локалка и сетевой экран в обной подсети. т.е. один интерфейс чекпоинта смотрит наружу другой внутрь сети. получается что весь трафик проходит через чекпоинт. от координатора нужен только впн туннель. подключаемся к гисгмп. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 18 Октября 2013 Жалоба Поделиться Опубликовано 18 Октября 2013 Если Вам нужен только доступ по VPN, то вы можете точно также использовать только один интерфейс у координатора HW100. Главное - прописать на шлюзе маршрутизацию (до определённых адресов направлять трафик на HW100) или прямо на самих узлах. И у Вас будет доступ в VPN. Не обязательно всё усложнять. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Василий Опубликовано 18 Октября 2013 Автор Жалоба Поделиться Опубликовано 18 Октября 2013 "до определённых адресов направлять трафик на HW100" может с определенных? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 18 Октября 2013 Жалоба Поделиться Опубликовано 18 Октября 2013 Нет. Именно до определённых. Всё-таки в маршрутизации нет понятия "от кого". Есть только понятия "кому" и "куда". А нам нужно пакеты направить по нужному маршруту. Компьютер должен знать куда кидать пакет, чтобы он дошёл до элемента удалённой защищённой сети. Общий маршрут будет таков: узел, маршрутизатор, HW100, маршрутизатор ... удалённый узел. Но чтобы он таковым был, нужно прописать правила в таблице маршрутизации. По умолчанию узел отправляет пакет на свой шлюз, а шлюз (если это не HW100) не знает ничего про защищённую подсеть. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Василий Опубликовано 18 Октября 2013 Автор Жалоба Поделиться Опубликовано 18 Октября 2013 в винде сделать route add -p <удал. сеть> <mask> <адрес координатора>. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Василий Опубликовано 18 Октября 2013 Автор Жалоба Поделиться Опубликовано 18 Октября 2013 Большое Вам спасибо принцип понял думаю дальше буду разбираться сам. Спасибо Вам за помощь. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 18 Октября 2013 Жалоба Поделиться Опубликовано 18 Октября 2013 Не за что. В любом случае, обращайтесь. Задача типовая - тут несложно будет заставить систему работать. Как решите у себя этот вопрос - отпишитесь и закройте тему.P.S. Да, в Windows это route add Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Василий Опубликовано 18 Октября 2013 Автор Жалоба Поделиться Опубликовано 18 Октября 2013 Договорились. Спасибо за помощь. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.