azizcheg Опубликовано 19 Октября 2013 Жалоба Поделиться Опубликовано 19 Октября 2013 Добрый день.Есть HW1000. Eth1 смотрит в локальную сеть, eth0 - в роутер,который смотрит интернет с внешним IP. Несколько клиентов будут пользоваться через локалку, несколько - через удалённое подключение.Где и какие настройки надо производить?Достаточно ли в ЦУС в "Групповой регистрации узлов в задачах указать внешний IP"? И как удалённый клиенты будут знать этот IP?[клиенты] <-> [коммутатор] <-> [HW1000] <-> [роутер] <-> (Интернет) <-> [клиенты] Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 19 Октября 2013 Жалоба Поделиться Опубликовано 19 Октября 2013 Нужно добавить в справочники директиву, которая бы говорила и внешний и внутренний IP(директива E, насколько я помню, с указанием адресов). Данные адреса будут значиться в справочниках. Чтобы удалённые узлы знали эти адреса, справочники должны поступить на эти абонентские пункты. Но если у Вас DST генерируется после данной настройки, то справочники в него войдут и узлы увидят координатор. Если узлы уже развёрнуты, то придётся либо вручную передать им справочники, либо вручную указать адрес. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
azizcheg Опубликовано 20 Октября 2013 Автор Жалоба Поделиться Опубликовано 20 Октября 2013 Что за директива Е?В ЦУСе я указал (в разделе групповой регистрации узлов в задачах) внешний IP координатора. Внутренний не указывал. И только после этого формировал справочники и передавал DSTшники клиентам. Подключил координатор к роутеру через eth0. Так как координатор стоит за роутером, то, как я понимаю, надо пробрасывать порты. Я закрепил за координатором на роутере определенный IP, пробросил на этот адрес порт 55777 (все протоколы). На клиенте. Настройки - Защищенная сеть.Сервер IP-адресов - мой координатор.Порт инкапсуляции в UDP пакеты - 55777Использовать межсетевой экран - галочка стоитТип межсетевого экрана - со статической трансляцией адресовЗафиксировать внешний IP-адрес доступа через межсетевой экран - птичка стоитВнешний IP-адрес - внешний адрес, который на роутере. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 20 Октября 2013 Жалоба Поделиться Опубликовано 20 Октября 2013 Если вы просто пишете адрес, то это, в принципе, тоже подойдёт. Но правильно писать E:X.X.X.X-Y.Y.Y.Y:OUT:FIX, где X.X.X.X - адрес сетевого интерфейса, а Y.Y.Y.Y - реальный внешний адрес.Для клиента же (если он находится в данной подсети за координатором), то можно указать координатор как сетевой экран.Для випнет достаточно 55777 UDP. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
azizcheg Опубликовано 20 Октября 2013 Автор Жалоба Поделиться Опубликовано 20 Октября 2013 Но правильно писать E:X.X.X.X-Y.Y.Y.Y:OUT:FIX, где X.X.X.X - адрес сетевого интерфейса, а Y.Y.Y.Y - реальный внешний адрес.Это в ЦУСе? Т.е. вместо указания двух адресов (например внутренний 192.168.1.1., внешний 77.88.21.3,) можно сделать запись E:192.168.1.1-77.88.21.3:OUT:FIXЯ правильно понял?Для клиента же (если он находится в данной подсети за координатором), то можно указать координатор как сетевой экран.А если не в данной подсети? Так как я указал ранее? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 20 Октября 2013 Жалоба Поделиться Опубликовано 20 Октября 2013 Да, это указывается в ЦУСе в адресах. Вместо двух записей - одна.Если не в данной подсети, то другие варианты в зависимости от подключения (без экрана, статическая трансляция, динамическая трансляция). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
azizcheg Опубликовано 20 Октября 2013 Автор Жалоба Поделиться Опубликовано 20 Октября 2013 1. Согласно моей схеме[HW1000] <-> [роутер] <-> (Интернет) <-> [клиенты]где роутер - обычный TP-Link - у меня статическая маршрутизация? Или где это узнать?2. Если выбирать динамическую маршрутизацию, то поле "Внешний IP-адрес" не активно и невозможно записать туда необходимый адрес. Там уже записан какой-то другой Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 20 Октября 2013 Жалоба Поделиться Опубликовано 20 Октября 2013 Дело как раз в том, что динамическую адресацию используем тогда, когда адреса меняются. А статику используем, когда известны и мы можем из указать.Если у Вас при доступе к роутеру адреса не меняются, то используйте статическую адресацию (но это применительно к координатору и тех, кто стоит за данным роутером, но не за координатором напрямую). Для внешних клиентов обычно это - динамика. Хотя, в каждом случае может быть по-разному.Если конкретный сетевой узел подключен напрямую к провайдеру и имеет на своём сетевом интерфейсе внешний адрес (адрес интернет), то используем "без МСЭ". Если есть какой-то маршутизатор на границе, то используем статическую или динамическую трансляцию адресов (в зависимости от того, фиксированный ли всегда внешний адрес или нет). Если для сетевого узла координато является маршрутизатором и сетевым экраном (стоит за ним), то используем - "через коордиратор" с указанием этого координатора. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
drogba15 Опубликовано 20 Октября 2013 Жалоба Поделиться Опубликовано 20 Октября 2013 в удаленном клиенте в списке блокированные ip пакеты, блокируется внешник координатора событием 3: ip пакет заблокирован фильтром защищенной сети .Как исправить это? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 21 Октября 2013 Жалоба Поделиться Опубликовано 21 Октября 2013 Не совсем понимаю насколько это относится к теме, но попробую ответить. Во-первых, это событие означает, что Вам необходимо пойти в фильтры защищённой сети и посмотреть каким правилом это может блокироваться. Иногда при переходе на версию 3.2 возникает проблема с конвертацией фильтров, поэтому если это Ваш случай, то попробуйте убить базы фильтров и создать их заново. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.