Удаленный Клиент Firewall

[Отдел ИБ]

Доброго времени суток.

Имеется топология, приведенная на рисунке. У сети 1 адресация 172.20.0.0/16. У сети 2 адресация 192.168.0.0/16.

Маршрутизатор, через который осуществляется доступ в Интернет, имеет белый статический IP. Интерфейс координатора eth0 является внутренним, eth1 - внешним (ip-адрес 172.20.36.99). В сети 1 на некоторых компьютерах установлен Vipnet Client. В сети 2 все компьютеры без VipNet Сlient. Удаленный клиент имеет динамический внешний IP.

Возникла необходимость получить доступ с удаленного ноутбука, на котором установлен VipNet Client, к компьютерам из внутренней сети (Сеть 2 - см. рис).

Вопросы:

1) Если в ЦУСе для координатора я пропишу полутуннели на необходимые IP-адреса в Сети 2 и добавлю разрешающие правила в firewall на HW1000, то компьютеры с установленным VipNet Client и прописанными в firewall IP-адресами получат доступ к компьютерам из сети 2. Эта тема работает для Client-ов из сети 1 (если добавить маршрут route add -p 192.168.0.0 mask 255.255.0.0 172.20.36.99).

А что делать для удаленных клиентов, которые подключаются через интернет по виртуальным IP-адресам? Тоже маршрут прописывать, но только уже по виртуальным адресам? Если да, то какое тогда разрешающее правило должно быть в iplir firewall?

2) Если интерфейс eth2 сделать внутренним и к нему подключить один сервер, то нужно ли будет приобретать дополнительно лицензии на туннели между компьютерами, подключенными к eth0 и eth2, eth1 и eth2? Или можно обойтись обычными правилами в файерволле на HW1000?

3) Если организовывать межсетевое взаимодействие между двумя координаторами, и необходимо будет компьютерам без VipNet Client из сторонней сети подключаться к добавленному в текущей сети серверу (eth2) без установленного на нем Vipnet Client, нужно ли будет приобретать лицензию на туннель? Если да, то для координатора из одной сети или из обеих?

Заранее благодарю за ответы.

[Rinya]

Добрый день

1. Для удаленных клиентов можно прописать правило трансляции (динамическая трансляция адресов),
   
2. По поводу туннелей, у вас стоит координатор HW1000?, он имеет большое количество туннелей где то 6500.
   
3. Межсетевое взаимодействие организовывается между двумя сетями, так для информации, между координаторами устанавливается межсерверный канал. если на другом конце будет такая же железка то все должно быть нормально.
   

[Отдел ИБ]

Спасибо за ответ.

1. Вы имеете в виду правила трансляции на координаторе или проброс портов на маршрутизаторе? Не могли бы Вы подробнее описать данную процедуру?

2-3. Да, hw1000. А как же та лицензия, которая отображается в ЦУС-лицензии. Там написано туннели - 0/0. Или она ответственна за что-то другое?

[Rinya]

1. я подразумеваю трансляцию на координаторе, на словах получается так, у вас удаленный клиент виден по виртуальному адресу к примеру 10.0.0.20, внутренний интерфейс координатора за которым находится ресурс, к которому необходимо обеспечить удаленный доступ, к примеру 192.168.0.1, адрес ресурса к примеру 192.168.0.2. Добавляем 192.168.0.2 в туннели координатора. И пишем правило трансляции адреса отправителя. Пакеты приходящие с адреса 10.0.0.20 транслировать (преобразовывать) в 192.168.0.1. Это на словах. Если вы подключаетесь к координатору с помощью SGA-клиента то там намного проще и туннель добавить и трансляцию прописать.
   
2. Лицензия про которую вы говорите это относиться к софтовому координатору, к примеру виндовый. А лицензии на туннель железных координаторов грубо говоря вшиты в них, на 100а - 2 туннеля, на 100в - 5 туннелей, на 100с - 10 туннелей, на 1000 и 2000 - много.