Работа Координатора Hw1000 За Шлюзом И Проброс Портов.

[AlexShiyan]

Здравствуйте!

Планируется использовать координатор HW1000 для связи с удаленными рабочими местами по VPN. Всвязи с чем возникли некоторые проблемы с внедрением его в рабочую сеть. Координатор планируется установить за шлюзом. Сеть организована следующим образом: PPPoE поднимается и раздается шлюзом на базе Ubuntu (установлен и работает в прозрачном режиме прокси-сервер SQUID, настроены iptables). Средствами iptables были орагнизованы пробросы портов с внешнего IP на локальные компьютеры (допустим 3389). Приведу пример правила:

iptables -t nat -A PREROUTING --dst 172.172.172.172 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.11:3389

iptables -t nat -A POSTROUTING --dst 192.168.0.11 -p tcp --dport 3389 -j SNAT --to-source 192.168.0.30

iptables -I FORWARD -i ppp0-o eth1 -d 192.168.0.11 -p tcp -m tcp --dport 3389 -j ACCEPT

iptables -t nat -A OUTPUT --dst 172.172.172.172 -p tcp --dport 3389-j DNAT --to-destination 172.172.172.172

Сетевые интерфейсы координатора имеют адреса: 192.168.5.2 (соединен со шлюзом) и 192.168.0.30 cмотрит в локальную сеть. Адрес eth1 на шлюзе (смотрел в локалку) изменен со 192.168.0.30 на 192.168.5.1 (соединен с координатором).Посоветуйте каким образом настроить координатор и шлюз чтобы в собранной конфигурации ИНТЕРНЕТ-->ШЛЮЗ-->КООРДИНАТОР-->ЛВС работали настроенные ранее пробросы. Пробовал настроить предыдущее правило на шлюзе пробросом порта 3389 на 192.168.5.2 - безрезультатно. Подскажите,пожалуйста, или сориентируйте в каком направлении копать в поисках ответа.

p.s. Задача осложнена тем, что на настройки координатора могу только посмотреть. Редактирует их другой человек.

[asakura37]

Здравствуйте!

Планируется использовать координатор HW1000 для связи с удаленными рабочими местами по VPN. Всвязи с чем возникли некоторые проблемы с внедрением его в рабочую сеть. Координатор планируется установить за шлюзом. Сеть организована следующим образом: PPPoE поднимается и раздается шлюзом на базе Ubuntu (установлен и работает в прозрачном режиме прокси-сервер SQUID, настроены iptables). Средствами iptables были орагнизованы пробросы портов с внешнего IP на локальные компьютеры (допустим 3389). Приведу пример правила:

iptables -t nat -A PREROUTING --dst 172.172.172.172 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.11:3389

iptables -t nat -A POSTROUTING --dst 192.168.0.11 -p tcp --dport 3389 -j SNAT --to-source 192.168.0.30

iptables -I FORWARD -i ppp0-o eth1 -d 192.168.0.11 -p tcp -m tcp --dport 3389 -j ACCEPT

iptables -t nat -A OUTPUT --dst 172.172.172.172 -p tcp --dport 3389-j DNAT --to-destination 172.172.172.172

Сетевые интерфейсы координатора имеют адреса: 192.168.5.2 (соединен со шлюзом) и 192.168.0.30 cмотрит в локальную сеть. Адрес eth1 на шлюзе (смотрел в локалку) изменен со 192.168.0.30 на 192.168.5.1 (соединен с координатором).Посоветуйте каким образом настроить координатор и шлюз чтобы в собранной конфигурации ИНТЕРНЕТ-->ШЛЮЗ-->КООРДИНАТОР-->ЛВС работали настроенные ранее пробросы. Пробовал настроить предыдущее правило на шлюзе пробросом порта 3389 на 192.168.5.2 - безрезультатно. Подскажите,пожалуйста, или сориентируйте в каком направлении копать в поисках ответа.

p.s. Задача осложнена тем, что на настройки координатора могу только посмотреть. Редактирует их другой человек.

Правила на шлюзе остаются те же. У рабочих тачек шлюз по умолчанию- координатор. На координаторе нужно разрешить ваши сети. Скорей всего он сейчас стоит во 2-м режиме с дефолтными правилами, и попросту блокирует открытый трафик.

[AnTonN(c)]

Достаточно разрешить транзитные трафик на HW. Секция forward.

На шлюзе оставьте старые правила.

[AlexShiyan]

Т.е. если я правильно понял независимо от того, что я поменяю адрес интерфейса, смотрящего в локалку на шлюзе с 192.168.0.30 на 192.168.5.1 правила проброса портов мне менять не нужно? Необходимо только в секции forward сделать соответствующие настройки.

На данный момент секция "forward" выглядит следующим образом:

[forward]

rule= num 1 proto any from anyip to anyip pass

[AnTonN(c)]

Правильно.

Упустил еще момент. На шлюзе понадобится маршрут: 192.168.0.0/24 gw 192.168.5.2. То есть целевая подсеть доступна через HW.

Ход трафика будет такой:

1. Шлюз пробрасывает запросы tcp:3389 от 172.172.172.172 на 192.168.0.11.

2. У шлюза есть маршрут, что целевой адрес доступен через HW (через 192.168.5.2).

3. HW по правила форварда пропускает трафик на 192.168.0.11.

4. Ответы от 192.168.0.11 идут на шлюз (на HW, 192.168.0.30).

5. По правилам форварда HW пропускает трафик и прокидывает его на свой шлюз (так как маршрутов для адреса нет, есть только шлюз - 192.168.5.1).

6. У шлюза висит сессия nat, в рамках которой прокидывает трафик дальше.

[AlexShiyan]

Правильно.

Упустил еще момент. На шлюзе понадобится маршрут: 192.168.0.0/24 gw 192.168.5.2. То есть целевая подсеть доступна через HW.

Ход трафика будет такой:

1. Шлюз пробрасывает запросы tcp:3389 от 172.172.172.172 на 192.168.0.11.

2. У шлюза есть маршрут, что целевой адрес доступен через HW (через 192.168.5.2).

3. HW по правила форварда пропускает трафик на 192.168.0.11.

4. Ответы от 192.168.0.11 идут на шлюз (на HW, 192.168.0.30).

5. По правилам форварда HW пропускает трафик и прокидывает его на свой шлюз (так как маршрутов для адреса нет, есть только шлюз - 192.168.5.1).

6. У шлюза висит сессия nat, в рамках которой прокидывает трафик дальше.

Вот теперь вопрос раскрыт и полностью ясен для меня! Премного благодарен за такой развернутый ответ!