LexDlx Опубликовано 13 Января 2014 Жалоба Поделиться Опубликовано 13 Января 2014 Ситуация следующая: Координатор имеет 3 интерфейса: 1 корпоративная сеть (условно 192.168.0.0-192.168.255.255), 2 на провайдеров сотовой связи (не интернет, мобильные абоненты получают адреса из корпоративной сети 192.168.100.0-192.168.100.255), 3 интернет.Внутри ведомственной сети есть ресурсы доступ к которым разграничивается по ip, с клиентами работающими через 2 интерфейс проблем нет, но те что через интернет разграничить не удается.Вопрос: можно ли в качестве пула виртуальных ip адресов указать часть своей сети и выпускать их с виртуальными адресами к ресурсам в корпоративной сети за 1 интерфейсом? Если да то как, вроде все перерыл, но пока не складывается.... Ссылка на комментарий Поделиться на других сайтах Прочее
ПлотниковВН Опубликовано 14 Января 2014 Жалоба Поделиться Опубликовано 14 Января 2014 Посмотрите настройки координатора -Правила фильтрации туннелируемого трафика задаются в секции [tunnel] файла конфигурации firewall.conf.iplir stopiplir config firewalliplir startБолее подробное описание в документации Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 15 Января 2014 Жалоба Поделиться Опубликовано 15 Января 2014 Схема полутуннель?Координатор win или lin? Ссылка на комментарий Поделиться на других сайтах Прочее
LexDlx Опубликовано 16 Января 2014 Автор Жалоба Поделиться Опубликовано 16 Января 2014 Координатор lin. Туннели добавлены и работают. Схема полутуннель. Клиенты находящиеся за 2 интерфейсом отлично работают т.к. имеют адреса из моей сети и адреса привязаны к сим-картам (ресурсы к которым предоставляю доступ идентифицируют клиентов по связке логин, пароль и IP). Клиенты со стороны 3 интерфейса светятся случайными адресами интернета, что тянет за собой 2 проблемы: 1) на ресурсах, которые обслуживаю не я, связку логин, пароль и IP получить не могу и подняв нат указать для ряда клиентов один IP я тоже не могу; 2) ядру сети я не имею права указать что они находятся за координатором. В качестве предположения решения проблемы принял следующее: всем клиентам сервер раздает виртуальные IP адреса (в секции [virtualip] указать диапазон адресов из своей сети) и использовать эти адреса для доступа к ресурсам, т.е. ресурс, на котором я не могу установить клиент, пакеты должны приходить с виртуальными адресами vipnet. Вопрос: как это сделать, имеет ли смысл копать в эту сторону вообще и какие иные варианты решения данной проблемы существуют? Ссылка на комментарий Поделиться на других сайтах Прочее
AnTonN(c) Опубликовано 28 Января 2014 Жалоба Поделиться Опубликовано 28 Января 2014 Используйте виртуальные адреса. Такие образом у вас клиент на туннелируемом ресурсе будет виден под одним (виртуальным) адресом. Ссылка на комментарий Поделиться на других сайтах Прочее
Rinya Опубликовано 29 Января 2014 Жалоба Поделиться Опубликовано 29 Января 2014 А что мешает поднять нат на координаторе. пусть клиенты которые не могут на данный момент подключиться, выходят под IP интерфейса координатора со стороны которого стоит ресурс. Ссылка на комментарий Поделиться на других сайтах Прочее
LexDlx Опубликовано 7 Февраля 2014 Автор Жалоба Поделиться Опубликовано 7 Февраля 2014 Нат запрещено использовать, такова политика безопасности организации.Если кому-то интересно. Проблема решалась. При подключении клиента с МЭ с динамической трансляцией туннелируемый ресурс (полутуннелем) видит клиента под виртуальным адресом заданным координатором туннелирующим ресурс. Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения