Проблема С Туннелированием Удаленных Клиентов

[Тимур555]

Имеется сеть 192.168.1.0 с 6 клиентами, 3 из которых удаленные, координатор HW1000. Необходимо получить доступ к серверу 172.16.2.8, который находится в другой сети за HW100 (доступа к HW100 нет). В нашей сети все работает нормально. В HW100 прописан туннель 192.168.5.15. HW1000 физически соединен с HW100.

1. В HW1000 присвоил для интерфейса eth1 адрес 192.168.5.15, режим безопасности 4, маршрут задал route add 172.16.2.0 gw 192.168.5.14 netmask 255.255.255.0. HW1000 пинг на 172.16.2.8 проходит. Задал трансляцию IP адресов локальных клиентов 192.168.1.х преобразовать 192.168.5.15. Транзитные фильтры установил пропускать все со всех.

2. На локальном клиенте прописал маршрут 172.16.2.0 mask 255.255.255.0 192.168.5.15. Все ОК. Доступ к серверу 172.16.2.8 получил.

ПРОБЛЕМА с удаленными клиентами. Прописал на них маршрут 172.16.2.0 mask 255.255.255.0 11.0.0.1 (виртуальный адрес HW1000). Но пинг на 172.16.2.8 не проходит и доступа к серверу нет. Как прописать маршруты на клиенте для получения доступа к серверу?

[Alejandro]

Извините, но тяжело понять, что есть - "удаленные клиенты"?

"(доступа к HW100 нет)"- имеется ввиду нет возможности управлять им, с 1000 он доступен(проверка связи)?

У вас в сотке прописан туннелем адресс, который Вы назначили порту тысячника. Зачем? У Вас в таком случае с 100 будет идти нешифрованный трафик туда. Прописан ли в туннелях 100 интересующий Вас адрес?

[Тимур555]

Удаленный клиент - клиент сети Vipnet, имеющий доступ через Интернет.

HW100 находится не в нашей сети и управлять им мы не можем. С 1000 он доступен. Что прописано в 100 не знаю нам лишь предоставили информацию о диапазоне адресов, маске сети, шлюз и DNS-сервер. Всю полученную информацию прописали в 1000.

[Alejandro]

Ууууу, всеже непонятно местами, но, если по аналогии с тем, как у нас было, то:

Доступен ли с удаленного клиента "промежуточный" координатор (Ваш тысячник). Если даже он не доступен, попробуйте у клиента в настройках вашего координатора, на вкладке межсетевой экран вбить ip вашего ната, или координатор имеет сразу белый ip???

Смотрите, тунелируемые адреса - это адреса ресурсов К которым через ДАННЫЙ координатор нужно прокинуть туннель.

Пример:

X.X.X.X - Координатор А - Координатор Б - У.У.У.У

В туннелях координатора А ИКСЫ , Координатора Б -ИГРЕКИ. Так трафик будет идти от иксов до А шифроваться, передаваться на Б- расшифровываться и к игрекам. Если Вы в туннелях А прописали ip порта координатора Б, то координатор Б работает просто как маршрутизатор, так как к нему трафик будет идти открытый, а может вообще "крышу снести", что скорее всего.

Извините, но попробуйте набросать схемку, причем в схемке укажите где и какие НАТы стоят, это немаловажно. Скорее всего сами и разберетесь. А нет, так старшие товарищи тут подскажут.

[Тимур555]

Скидываю более подробную схему http://www.webfile.r...516fe11906cb5b6

[Alejandro]

Итак. Как я это вижу.

Еще немаловажный вопрос: номер сети Випнет один и тотже? Или налажено межсетевое взаимодействие, если номер сети один, то:

Удаленные клиенты у Вас должны быть прописаны (при создании в ЦУСе) на тысячнике, при этом типы коллектива и их и тысячника должны быть связаны с ТК сотки. Далее уж коли локальные работают, их трогать мы не будем. На удаленных заходим под админом, двойной щелчок по тысячнику, вкладка межсетевой экран добавляем 46.16.224.190 ОК. Сервис-настройки- защищенная сеть там: сервер IP тысячник, тип- с динамической трансляцией (самый универсальный) координатор - тоже тысячник. Так у Вас тысячник они увидеть должны. А следом и сотку.

Еще одно: у координаторов в ЦУСе очень желательно сразу прописать IPадреса и тунели. И еще крайне желательно, чтобы в туннелях, судя по Вашей схеме не было пересечения, т.е. у тысячника вообще их нет, а у сотки только адрес сервера. Ну плюс правила трафика сотки и тысячника посмотреть.

[Тимур555]

Еще немаловажный вопрос: номер сети Випнет один и тотже? Или налажено межсетевое взаимодействие

Если имеются ввиду сеть за 1000 и сеть за 100, то разные номера сети. Межсетевое взаимодействие не налажено

Удаленные клиенты у Вас должны быть прописаны (при создании в ЦУСе) на тысячнике, при этом типы коллектива и их и тысячника должны быть связаны с ТК сотки. Далее уж коли локальные работают, их трогать мы не будем. На удаленных заходим под админом, двойной щелчок по тысячнику, вкладка межсетевой экран добавляем 46.16.224.190 ОК. Сервис-настройки- защищенная сеть там: сервер IP тысячник, тип- с динамической трансляцией (самый универсальный) координатор - тоже тысячник. Так у Вас тысячник они увидеть должны

Подскажите как типы коллектива 1000 связать с ТК 100. Все остальное сделал и удаленный клиент видит 1000, но все, что стоит за 100 нет.

Ну плюс правила трафика сотки и тысячника посмотреть.

Какие правила прописать и где. Я пока прописал в SGA транзитные, локальные и широковещательные фильтры все со всех

[Alejandro]

Так, а теперь давайте разбираться. Не раз сталкивался с фишкой VipNet: без межсетевого взаимодействия пакеты одной сети в другой будут блокироваться. Значит, получается у Вас картина такая шифрованный трафик идет от клиента к координатору, там расшифровывается и передается на другой координатор открытым трафиком, там шифруется (если на клиентов) или нет, если на ресурсы.

Вот извините Бога ради, но приведу аналогию. Вы банк- купили крутой и дорогой сейф, а деньги и ценные бумаги отправляете в другой банк таксистом, без сопровождения.

Еще может быть отчасти оправдано, если у Вас эти 2 координатора в одном здании, если нет, то это ОЧЕНЬ плохо.

Что бы я сделал. Между Вашими сетями наладил бы межсетевое взаимодействие. В книжках подробно описано как это делать с экспортом, ответным экспортом и так далее. Сразу для тк клиентов и координатора Вы пропишете связь с этой соткой. Все. Обновляете ключики на тысячнике и клиентах и должно получиться. Тогда клиенты шифрованным трафиком отправляют на 1000, а он перенаправляет опять же шифрованным трафиком на 100, а тот уже расшифровывает и открытым в свой туннель. Это правильно, с моей точки зрения. Очень рекомендую Вам связаться с администратором другой сети и обговорить вопрос межсетевого взаимодействия.

Смотрите, на будущее сразу. Если говорите о Випнете и спрашивают доступен или нет. Это имеется в виду не пинг, а проверка доступности посредствам випнета(кнопка проверить соединение в клиенте и SGA или команда iplir ping в ПАКах) У вас сейчас 1000 без межсетевого взаимодействия ну никак не может увидеть 100, пинговать - да, видеть нет.

Как вариант решения проблемы на вашем этапе (но это очень неправильно) в 1000 поставьте туннелем адрес 100 и туннель 100. тогда открытым трафиком он будет туда отправлять.

[Тимур555]

в 1000 поставьте туннелем адрес 100 и туннель 100. тогда открытым трафиком он будет туда отправлять.

Правильно ли я Вас понял: "в 1000 поставьте туннелем адрес 100" - в SGA во вкладке туннели прописать 192.168.15.24 (адрес второго интерфейса 100). А где прописать "туннель 100"

[Alejandro]

Да, можете в SGA, можете ручками в iplir config. Ну Вы говорили в первом сообщении, что в 100 туннелем является адрес порта 1000, с той стороны есть уже. И попробуйте в настройках удаленного клиента поставить галку, весь трафик с внешними узлами через координатор. Но вообще какая-то страшная кроказябра выходит )))))) Да и в маршрутах попробуйте не виртуальный адрес 1000, а реальный.

[Тимур555]

Да, можете в SGA, можете ручками в iplir config. Ну Вы говорили в первом сообщении, что в 100 туннелем является адрес порта 1000, с той стороны есть уже. И попробуйте в настройках удаленного клиента поставить галку, весь трафик с внешними узлами через координатор. Но вообще какая-то страшная кроказябра выходит )))))) Да и в маршрутах попробуйте не виртуальный адрес 1000, а реальный.

Галка стоит, в SGA туннель прописал. По поводу реальных адресов: с удаленного клиента пинг на реальный адрес 1000 не проходит, а на виртуальный адрес 1000 проходит. При трассировке на 172.16.5.5 с удаленного клиента пакеты идут 1. 192.168.0.1 2. 192.168.130.1 и далее теряются. Скорее всего не правильно прописан маршрут: route add 172.16.5.5 mask 255.255.255.0 10.0.0.1 (прописывал и реальный адрес координатора).

[Alejandro]

Так галочку использовать виртуальные ip Вы снимали в настройках клиента?

[Тимур555]

Так галочку использовать виртуальные ip Вы снимали в настройках клиента?

Снял только. Теперь с удаленного клиента пинг на виртуальный адрес не проходит, а на реальный адрес координатора проходит. При трассировке с удаленного клиента на реальный адрес HW1000 1 шаг * * * 2 шаг * * * 3 шаг реальный адрес HW1000. Пинг на реальный адрес HW100 не проходит.

[Тимур555]

Большое спасибо. Проблема решена. Прописал туннель в SGA. На удаленном клиенте в 1000 прописал туннель и убрал галочку использовать виртуальные адреса в туннелях и все ОК.