Jump to content
AlexShiyan

Работа Координатора Hw1000 За Шлюзом И Проброс Портов.

Recommended Posts

Здравствуйте!

Планируется использовать координатор HW1000 для связи с удаленными рабочими местами по VPN. Всвязи с чем возникли некоторые проблемы с внедрением его в рабочую сеть. Координатор планируется установить за шлюзом. Сеть организована следующим образом: PPPoE поднимается и раздается шлюзом на базе Ubuntu (установлен и работает в прозрачном режиме прокси-сервер SQUID, настроены iptables). Средствами iptables были орагнизованы пробросы портов с внешнего IP на локальные компьютеры (допустим 3389). Приведу пример правила:

iptables -t nat -A PREROUTING --dst 172.172.172.172 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.11:3389

iptables -t nat -A POSTROUTING --dst 192.168.0.11 -p tcp --dport 3389 -j SNAT --to-source 192.168.0.30

iptables -I FORWARD -i ppp0-o eth1 -d 192.168.0.11 -p tcp -m tcp --dport 3389 -j ACCEPT

iptables -t nat -A OUTPUT --dst 172.172.172.172 -p tcp --dport 3389-j DNAT --to-destination 172.172.172.172

Сетевые интерфейсы координатора имеют адреса: 192.168.5.2 (соединен со шлюзом) и 192.168.0.30 cмотрит в локальную сеть. Адрес eth1 на шлюзе (смотрел в локалку) изменен со 192.168.0.30 на 192.168.5.1 (соединен с координатором).Посоветуйте каким образом настроить координатор и шлюз чтобы в собранной конфигурации ИНТЕРНЕТ-->ШЛЮЗ-->КООРДИНАТОР-->ЛВС работали настроенные ранее пробросы. Пробовал настроить предыдущее правило на шлюзе пробросом порта 3389 на 192.168.5.2 - безрезультатно. Подскажите,пожалуйста, или сориентируйте в каком направлении копать в поисках ответа.

p.s. Задача осложнена тем, что на настройки координатора могу только посмотреть. Редактирует их другой человек.

Share this post


Link to post
Share on other sites

Здравствуйте!

Планируется использовать координатор HW1000 для связи с удаленными рабочими местами по VPN. Всвязи с чем возникли некоторые проблемы с внедрением его в рабочую сеть. Координатор планируется установить за шлюзом. Сеть организована следующим образом: PPPoE поднимается и раздается шлюзом на базе Ubuntu (установлен и работает в прозрачном режиме прокси-сервер SQUID, настроены iptables). Средствами iptables были орагнизованы пробросы портов с внешнего IP на локальные компьютеры (допустим 3389). Приведу пример правила:

iptables -t nat -A PREROUTING --dst 172.172.172.172 -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.11:3389

iptables -t nat -A POSTROUTING --dst 192.168.0.11 -p tcp --dport 3389 -j SNAT --to-source 192.168.0.30

iptables -I FORWARD -i ppp0-o eth1 -d 192.168.0.11 -p tcp -m tcp --dport 3389 -j ACCEPT

iptables -t nat -A OUTPUT --dst 172.172.172.172 -p tcp --dport 3389-j DNAT --to-destination 172.172.172.172

Сетевые интерфейсы координатора имеют адреса: 192.168.5.2 (соединен со шлюзом) и 192.168.0.30 cмотрит в локальную сеть. Адрес eth1 на шлюзе (смотрел в локалку) изменен со 192.168.0.30 на 192.168.5.1 (соединен с координатором).Посоветуйте каким образом настроить координатор и шлюз чтобы в собранной конфигурации ИНТЕРНЕТ-->ШЛЮЗ-->КООРДИНАТОР-->ЛВС работали настроенные ранее пробросы. Пробовал настроить предыдущее правило на шлюзе пробросом порта 3389 на 192.168.5.2 - безрезультатно. Подскажите,пожалуйста, или сориентируйте в каком направлении копать в поисках ответа.

p.s. Задача осложнена тем, что на настройки координатора могу только посмотреть. Редактирует их другой человек.

Правила на шлюзе остаются те же. У рабочих тачек шлюз по умолчанию- координатор. На координаторе нужно разрешить ваши сети. Скорей всего он сейчас стоит во 2-м режиме с дефолтными правилами, и попросту блокирует открытый трафик.

Share this post


Link to post
Share on other sites

Достаточно разрешить транзитные трафик на HW. Секция forward.

На шлюзе оставьте старые правила.

Share this post


Link to post
Share on other sites

Т.е. если я правильно понял независимо от того, что я поменяю адрес интерфейса, смотрящего в локалку на шлюзе с 192.168.0.30 на 192.168.5.1 правила проброса портов мне менять не нужно? Необходимо только в секции forward сделать соответствующие настройки.

На данный момент секция "forward" выглядит следующим образом:

[forward]

rule= num 1 proto any from anyip to anyip pass

Share this post


Link to post
Share on other sites

Правильно.

Упустил еще момент. На шлюзе понадобится маршрут: 192.168.0.0/24 gw 192.168.5.2. То есть целевая подсеть доступна через HW.

Ход трафика будет такой:

1. Шлюз пробрасывает запросы tcp:3389 от 172.172.172.172 на 192.168.0.11.

2. У шлюза есть маршрут, что целевой адрес доступен через HW (через 192.168.5.2).

3. HW по правила форварда пропускает трафик на 192.168.0.11.

4. Ответы от 192.168.0.11 идут на шлюз (на HW, 192.168.0.30).

5. По правилам форварда HW пропускает трафик и прокидывает его на свой шлюз (так как маршрутов для адреса нет, есть только шлюз - 192.168.5.1).

6. У шлюза висит сессия nat, в рамках которой прокидывает трафик дальше.

Share this post


Link to post
Share on other sites

Правильно.

Упустил еще момент. На шлюзе понадобится маршрут: 192.168.0.0/24 gw 192.168.5.2. То есть целевая подсеть доступна через HW.

Ход трафика будет такой:

1. Шлюз пробрасывает запросы tcp:3389 от 172.172.172.172 на 192.168.0.11.

2. У шлюза есть маршрут, что целевой адрес доступен через HW (через 192.168.5.2).

3. HW по правила форварда пропускает трафик на 192.168.0.11.

4. Ответы от 192.168.0.11 идут на шлюз (на HW, 192.168.0.30).

5. По правилам форварда HW пропускает трафик и прокидывает его на свой шлюз (так как маршрутов для адреса нет, есть только шлюз - 192.168.5.1).

6. У шлюза висит сессия nat, в рамках которой прокидывает трафик дальше.

Вот теперь вопрос раскрыт и полностью ясен для меня! Премного благодарен за такой развернутый ответ!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.