Jump to content

Recommended Posts

Добрый день.

Необходимо подключить vipnet hw 100 к сети. Координатор стоит за checkpoint. трафик проходящий через ЧП дропаться не будет? был опыт 2 недельного выноса мозга с ЧП. Подскажите пожалуйста на сколько они дружат друг с другом.

И еще вопрос. как скросировать данную железку и назначить адреса на интерфесах если она находится внутри сети?

Share this post


Link to post
Share on other sites

Конфликта быть не должно. Просто нужно разрешить порт VipNet. По умолчанию это - 55777 UDP. Делаете статический NAT (PAT) или в режиме прозрачного экрана. Випнет рассчитан на работу через другие сетевые экраны и NAT (в отличие от АПКШ Континента 3.5, к примеру).

А в чём проблема назначения адресов?

Share this post


Link to post
Share on other sites

как организовать адресацию на внешних и внутренних интерфейсах. внутри сети используется 192,168,2,0/24. я так понимаю то на внешнем должен быть адрес из 192,168,2,0/24 на внутреннем отличный от внешнего типа вот такого 192,168,3,0/24. правильно?

Share this post


Link to post
Share on other sites

Интерфейс, который смотрит вовне, должен быть с отличным адресом (другая подсеть). А интерфейс, который смотрит в локалку - адрес из этой локалки.

Share this post


Link to post
Share on other sites

да вот тут то и засада. как чекпоинт увидит координатор с другой подсети. если чекпоинт сидит в 2,0/24 а внешний интерфейс координатора будет допустим в 3,0/24. может чего недопонимаю.

Share this post


Link to post
Share on other sites

Получается, что у Вас локалка и сетевой экран в одной подсети? Это не совсем правильно. Как раз, чекпоинт и координатор (если вы всё пускаете через два экрана) должны быть в одной подсети. Если Вам координатор нужен только для MFTP, то он может быть и с одним интерфейсом, а если Вы пускаете весь трафик через него, то чекпоинт не должен быть в локальной сети.

Share this post


Link to post
Share on other sites

Да, локалка и сетевой экран в обной подсети. т.е. один интерфейс чекпоинта смотрит наружу другой внутрь сети. получается что весь трафик проходит через чекпоинт. от координатора нужен только впн туннель. подключаемся к гисгмп.

Share this post


Link to post
Share on other sites

Если Вам нужен только доступ по VPN, то вы можете точно также использовать только один интерфейс у координатора HW100. Главное - прописать на шлюзе маршрутизацию (до определённых адресов направлять трафик на HW100) или прямо на самих узлах. И у Вас будет доступ в VPN. Не обязательно всё усложнять.

Share this post


Link to post
Share on other sites

Нет. Именно до определённых. Всё-таки в маршрутизации нет понятия "от кого". Есть только понятия "кому" и "куда". А нам нужно пакеты направить по нужному маршруту. Компьютер должен знать куда кидать пакет, чтобы он дошёл до элемента удалённой защищённой сети. Общий маршрут будет таков: узел, маршрутизатор, HW100, маршрутизатор ... удалённый узел. Но чтобы он таковым был, нужно прописать правила в таблице маршрутизации. По умолчанию узел отправляет пакет на свой шлюз, а шлюз (если это не HW100) не знает ничего про защищённую подсеть.

Share this post


Link to post
Share on other sites

Не за что. В любом случае, обращайтесь. Задача типовая - тут несложно будет заставить систему работать. Как решите у себя этот вопрос - отпишитесь и закройте тему.

P.S. Да, в Windows это route add

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.