Маршрутизация Открытой Сети Между Двумя Hw1000

[alexander_lunev]

Здравствуйте, товарищи!

Задача: обеспечить как защищенную связь между узлами внутренних сетей (192.168.1.0/24 и 192.168.5.0/24), так и выход локальных пользователей из сети 192.168.5.0/24 в интернет.

Имеются два HW1000, сеть такая:

На роутере Gateway прописан маршрут до сети 192.168.5.0 через 192.168.55.1, на интерфейсе em1 роутера Gateway настроен NAT, дальше там интернет.

На интерфейсах координаторов режим 3, добавлено разрешающее правило в фильтр транзитных пакетов. При пинге от 192.168.5.2 любого узла в интернете (здесь 8.8.8.8) получаю на интерфейсе em0 роутера Gateway такую картину:

18:48:28.147319 IP 192.168.5.2 > 8.8.8.8: ICMP echo request, id 1, seq 369, length 40
18:48:28.147465 IP 192.168.10.113 > 8.8.8.8: ICMP echo request, id 60401, seq 369, length 40
18:48:28.160977 IP 8.8.8.8 > 192.168.10.113: ICMP echo reply, id 60401, seq 369, length 40
18:48:28.161101 IP 8.8.8.8 > 192.168.5.2: ICMP echo reply, id 1, seq 369, length 40
18:48:28.161470 IP 8.8.8.8 > 192.168.5.2: ICMP echo reply, id 1, seq 369, length 40
(много раз повторяется последняя строка)

при DNS запросах от 192.168.5.2 к 8.8.8.8 вижу следующее:

18:56:16.776887 IP 192.168.55.1 > 8.8.8.8: ICMP time exceeded in-transit, length 80

Я это понимаю так: HW1000-центр при получении пакета к адресу 192.168.5.2 от любого адреса, который не указан в его диапазоне адресов туннелей (192.168.1.1-192.168.1.255), пакет этот не отправляет через туннель, и через незащищенную сеть по адресам 10.1.1.0/24 отправить тоже не может, ведь в обычной таблице маршрутизации у него нет маршрута к 192.168.5.0/24, и поэтому он его отправляет обратно по дефолту - а оттуда обратно.

Вопрос: возможно ли прописать обычный маршрут до сети 192.168.5.0/24 на HW1000-Центр?

В принципе, проблему эту я обошел через трансляцию: на HW1000-Офис сделал трансляцию адресов 192.168.5.0/24 через адрес 10.1.1.15, добавил маршрут к сети 10.1.1.0/24 через 192.168.55.1 на gateway, и в принципе оно работает. Но хочется знать, как будет правильно, да и возможно ли это.

[joksin]

Могу подсказать только пару моментов. Для туннелируемых открытых узлов, шлюзом по умолчанию должен быть туннелирующий координатор, за которым они находятся. Защищенный трафик будет идти только на отрезке между координаторами (В вашем случае на отрезке 10.1.1.5 - 10.1.1.15). Правила фильтрации транзитных пакетов – это правила пакетов, которые только проходят через данный сетевой узел (координатор) на пути от отправителя к получателю. Если какой-то интерфейс координатора на выходе имеет NAT-устройство или межсетевой экран, в том числе Координаторы ViPNet, то этот интерфейс должен быть указан в настройках как внешний, и в настройках выбран соответствующий режим работы через межсетевой экран. Причём внешний интерфейс может быть только один, а в таблицах маршрутизации координаторов, маршрут по умолчанию тоже только один (соответственно и шлюз по умолчанию один).

Для HW-ОФИС внешний интерфейс будет 10.1.1.15, GW будет 10.1.1.5, режим работы через МЭ Координатор (если только между ними нет других МЭ или NAT). Для HW-ЦЕНТР внешний интерфейс будет 192.168.55.1, GW будет 192.168.55.127, а вот режим работы через МЭ либо с динамической трансляцией адресов, либо со статической (если вдруг появятся клиенты за вашим шлюзом в интернете). Обратите ещё внимание на порядок обработки правил фильтрации открытых IP-пакетов. Да, и возможно, имеет смысл добавить или перенести Координатор на границу между LAN 192.168.1.0/24 и GW 192.168.1.127. И хорошо бы знать, что между HW Офис и Центр.

Надеюсь хоть чем-то помог.