Jump to content

Recommended Posts

Ситуация следующая: Координатор имеет 3 интерфейса: 1 корпоративная сеть (условно 192.168.0.0-192.168.255.255), 2 на провайдеров сотовой связи (не интернет, мобильные абоненты получают адреса из корпоративной сети 192.168.100.0-192.168.100.255), 3 интернет.

Внутри ведомственной сети есть ресурсы доступ к которым разграничивается по ip, с клиентами работающими через 2 интерфейс проблем нет, но те что через интернет разграничить не удается.

Вопрос: можно ли в качестве пула виртуальных ip адресов указать часть своей сети и выпускать их с виртуальными адресами к ресурсам в корпоративной сети за 1 интерфейсом? Если да то как, вроде все перерыл, но пока не складывается....

Share this post


Link to post
Share on other sites

Посмотрите настройки координатора -Правила фильтрации туннелируемого трафика задаются в секции [tunnel] файла конфигурации firewall.conf.

iplir stop

iplir config firewall

iplir start

Более подробное описание в документации

Share this post


Link to post
Share on other sites

Схема полутуннель?

Координатор win или lin?

Share this post


Link to post
Share on other sites

Координатор lin. Туннели добавлены и работают. Схема полутуннель. Клиенты находящиеся за 2 интерфейсом отлично работают т.к. имеют адреса из моей сети и адреса привязаны к сим-картам (ресурсы к которым предоставляю доступ идентифицируют клиентов по связке логин, пароль и IP). Клиенты со стороны 3 интерфейса светятся случайными адресами интернета, что тянет за собой 2 проблемы: 1) на ресурсах, которые обслуживаю не я, связку логин, пароль и IP получить не могу и подняв нат указать для ряда клиентов один IP я тоже не могу; 2) ядру сети я не имею права указать что они находятся за координатором. В качестве предположения решения проблемы принял следующее: всем клиентам сервер раздает виртуальные IP адреса (в секции [virtualip] указать диапазон адресов из своей сети) и использовать эти адреса для доступа к ресурсам, т.е. ресурс, на котором я не могу установить клиент, пакеты должны приходить с виртуальными адресами vipnet. Вопрос: как это сделать, имеет ли смысл копать в эту сторону вообще и какие иные варианты решения данной проблемы существуют?

Share this post


Link to post
Share on other sites

Используйте виртуальные адреса. Такие образом у вас клиент на туннелируемом ресурсе будет виден под одним (виртуальным) адресом.

Share this post


Link to post
Share on other sites

А что мешает поднять нат на координаторе. пусть клиенты которые не могут на данный момент подключиться, выходят под IP интерфейса координатора со стороны которого стоит ресурс.

Share this post


Link to post
Share on other sites

Нат запрещено использовать, такова политика безопасности организации.

Если кому-то интересно. Проблема решалась. При подключении клиента с МЭ с динамической трансляцией туннелируемый ресурс (полутуннелем) видит клиента под виртуальным адресом заданным координатором туннелирующим ресурс.

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.

×

Important Information

By using this site, you agree to our Terms of Use.