Jump to content

Recommended Posts

Добрый день.

У нас существует своя ViPNet сеть, все компьютеры данной сети находятся за координатором. Выход в Интернет осуществляется через координатор.

Мы установили ViPNet клиента другой сети в защищаемый периметр нашей сети, но связь этого клиента с его координатором не осуществляется. При проверке соединения, наш координатор блокирует трафик (событие 18). Подскажите, как решить данную проблему?

Share this post


Link to post
Share on other sites

Столкнулся с аналогичной проблемой. Из решений в голову приходит только межсетевое взаимодействие, но нет возможности его организовать..

Share this post


Link to post
Share on other sites

Здравствуйте, я так думаю, что сейчас много кто столкнулся с такой проблемой. Собирали мы стенд, проверяли. Трафик одной сети через другую не идет совсем, единственный вариант, который мы увидели - это если необходима связь с этим координатором временно (к примеру один волшебный день), то переводить координатор на это время в 5 режим, то есть пропускать весь трафик без обработки, иначе- ломать свою схему, либо выводить один компьютер за пределы защищенной сети. Только так, хотя может разработчики и старожилы форума меня поправят.

Share this post


Link to post
Share on other sites

Варианта всего два:

1) Выводить Клиента "не своей" сети в обход "своего" координатора.

2) Делать межсеть. Если это невозможно см. п.1.

Share this post


Link to post
Share on other sites

Вы не тестировали такой вариант? Если координатор перевести на другой порт, т.е. не 55777.

Share this post


Link to post
Share on other sites

Такого не пробовали. Но, думаю, что не поможет, поскольку пакеты другой сети убиваются независимо от протокола и порта. Тем более в таком случае возможен вариант, когда у випнета снесет крышу от совпадения внутренних адресов.

Share this post


Link to post
Share on other sites

Здравствуйте, я так думаю, что сейчас много кто столкнулся с такой проблемой. Собирали мы стенд, проверяли. Трафик одной сети через другую не идет совсем, единственный вариант, который мы увидели - это если необходима связь с этим координатором временно (к примеру один волшебный день), то переводить координатор на это время в 5 режим, то есть пропускать весь трафик без обработки, иначе- ломать свою схему, либо выводить один компьютер за пределы защищенной сети. Только так, хотя может разработчики и старожилы форума меня поправят.

А 5й режим не убьет всю остальную сеть? Клиенты випнет перестанут видеть координатор ведь?

Выход - это либо выводить компьютер за пределы сети, либо 3Г модем :)

Share this post


Link to post
Share on other sites

Вот все именно так, именно убьет. А если в одном здании располагается дцать машин, которые без клиентов, стоят за координатором и их надо на короткий промежуток времениподключить к другой сети VipNet, с которой межсетевое взаимодействие невозможно, 3г модемов не напасешься. Причем не просто 3г или выводить за пределы сети, а именно убивать и сносить свой VipNet. Накатывать клиента другой сети и искать голый выход во внешнюю сеть.

Share this post


Link to post
Share on other sites

[antispoof]

antispoof=no

eth0=external,anypublic

eth1=internal,192.168.1.0/24

[broadcast]

rule= num 1 proto udp from any:68 to any:67 out pass

rule= num 2 proto udp from any:67 to any:68 in pass

rule= num 3 proto udp from any:137 to any:137 pass

rule= num 4 proto udp from any:138 to any:138 pass

rule= num 5 proto udp from any to any:53 pass

[nat]

rule= num 11 proto any from 192.168.1.150 to any change src=95.pub.lic.addr:dynamic

[local]

rule= num 1 proto udp from any:68 to any:67 out pass

rule= num 2 proto udp from any:67 to any:68 in pass

rule= num 3 proto udp from any:137 to any:137 pass

rule= num 4 proto udp from any:138 to any:138 pass

rule= num 5 proto udp from any to any:53 pass

rule= num 6 proto any from 95.pub.lic.addr to 192.168.1.150 pass

rule= num 7 proto any from 192.168.1.150 to 95.pub.lic.addr pass

[forward]

rule= num 101 proto any from 192.168.1.150 to any pass

192.168.1.150 -- это внутри моей локалки АП с випнетом привязанный к Другой ВИПНЕТ сетке .. т.е со своими лицензиями infotecs.re ..

Попробуйте.

Share this post


Link to post
Share on other sites

Обычный конфиг файерволла.

В чем тут особенность применительно к описанной проблеме?

Если выход в Инет происходит через Координатор, то правило NAT для локалки скорее всего уже есть (и IP машины со сторонним ViPNet Клиентом под него попадает). Также скорее всего есть и правило для транзитных пакетов.

Непонятен смысл локальных правил.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.