Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Проброс портов от 645R1 к 660RU-T1

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

geni4

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Hello всем, есть проблемка:
Две сетки объединены корпоративным vpn через провайдера,
в удаленной сетке поставили девайс снимающий показания с электрошкафа и отправляющий данные в инет, интет есть тока в моей подсетке, а в этом девайсе можно прописать только шлюз:
192.168.3.127 - мегадевайс
192.168.3.1 - модем той подсетки (шлюз)
191.168.0.180 модем в моей подсетке
192.168.0.2 - прокся
Соответственно надо определенный порт от 192.168.3.1 кинуть ко мне на проксю, но 192.168.3.1 видит только 191.168.0.180. На 191.168.0.180 порт маппинг я настроил на 191.168.0.2.
А вот заставить 192.168.3.1 определенный пакет закинуть на 191.168.0.180 без потери существующих данных не могу. Через набор фильтров не пашет. Может и нет возможности такое замутить, кто подскажет? Спасибо заранее!
Всего записей: 9 | Зарегистр. 06-11-2006 | Отправлено: 12:06 18-08-2010
Valery12

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
и отправляющий данные в инет
по какому протоколу?

Цитата:
192.168.0.2 - прокся
имеется ввиду действительно прокси-сервер или это фаервол с NAT?
как организован VPN?
Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 13:09 18-08-2010
geni4

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
по какому протоколу?

порты 123, 21, и любой порт выше 1024
 

Цитата:
имеется ввиду действительно прокси-сервер или это фаервол с NAT?  
как организован VPN?

 
Сервак с MS ISA. Vpn организован средствами и оборудованием провайдера.
Всего записей: 9 | Зарегистр. 06-11-2006 | Отправлено: 15:15 18-08-2010
Valery12

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Vpn организован средствами и оборудованием провайдера

учитывая что подсети в филиалах разные все равно должен быть какой то туннельный интерфейс между модемами со своими адресами (не из 192.168.3.0 и 191.168.0.0)
 
короче примерно так

Цитата:
192.168.3.127 - мегадевайс
192.168.3.1 - модем той подсетки (шлюз)
191.168.0.180 модем в моей подсетке
192.168.0.2 - прокся  

никакие порты кидать не надо
 
на MS ISA должен быть статический маршрут к сети 192.168.3.0 через 191.168.0.180
сеть 192.168.3.0 должна быть добавлена во "внутреннюю"
и естественно правило разрешающее выход по нужным портам для 192.168.3.127 без авторизации
 
на 191.168.0.180 шлюзом по умолчанию должен быть 192.168.0.2 и статический маршрут к сети 192.168.3.0 через  
туннельный интерфейс модема 191.168.3.1 (хотя похоже такой маршрут есть)
 
на модеме 191.168.3.1 шлюзом по умолчанию должен быть туннельный интерфейс модема 192.168.0.180
 
на мегадевайсе 191.168.3.127 шлюзом по умолчанию должен быть 192.168.3.1
Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 15:29 18-08-2010 | Исправлено: Valery12, 15:31 18-08-2010
geni4

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
на MS ISA должен быть статический маршрут к сети 192.168.3.0 через 191.168.0.180

так и есть одна подсеть видит любой комп другой подсети без проблем
 

Цитата:
сеть 192.168.3.0 должна быть добавлена во "внутреннюю"

так и есть
 

Цитата:
и естественно правило разрешающее выход по нужным портам для 192.168.3.127 без авторизации

 
вот никакой активности от 192.168.3.127 нету на исе, потому что с 192.168.3.1 пингуется тока 192.168.0.180, а дальше уже нет
Всего записей: 9 | Зарегистр. 06-11-2006 | Отправлено: 18:16 18-08-2010
Valery12

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
так и есть  
это только первый пункт из четырех мной предложенных, а как с остальными?

Цитата:
одна подсеть видит любой комп другой подсети без проблем
если на рабочих станциях в сети 192.168.3.0 стоит клиент ISA им достаточно наличие маршрута к 192.168.0.2, ни дефолтный маршрут ни настройки DNS не важны. Но на сетевой девайс клиента не поставишь, поскольку он обращается на белый адрес в интернете у всех промежуточных девайсов должен быть правильно прописан "дефолт"
 
Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 09:39 19-08-2010
geni4

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
это только первый пункт из четырех мной предложенных, а как с остальными?

 

Цитата:
на MS ISA должен быть статический маршрут к сети 192.168.3.0 через 191.168.0.180  

есть такое
 

Цитата:
сеть 192.168.3.0 должна быть добавлена во "внутреннюю"  

и такое есть
 

Цитата:
и естественно правило разрешающее выход по нужным портам для 192.168.3.127 без авторизации

 
такого пока нет, потому как 3.127 пока не доходит до ISA
 
Всего записей: 9 | Зарегистр. 06-11-2006 | Отправлено: 10:26 19-08-2010
Valery12

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
на 191.168.0.180 шлюзом по умолчанию должен быть 192.168.0.2
 
на модеме 191.168.3.1 шлюзом по умолчанию должен быть туннельный интерфейс модема 192.168.0.180
 
на мегадевайсе 191.168.3.127 шлюзом по умолчанию должен быть 192.168.3.1

Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 14:11 19-08-2010
geni4

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
на мегадевайсе 191.168.3.127 шлюзом по умолчанию должен быть 192.168.3.1

 
по другому и получиться. так и есть
 
а вот с этим как
 

Цитата:
на 191.168.0.180 шлюзом по умолчанию должен быть 192.168.0.2  
   
на модеме 191.168.3.1 шлюзом по умолчанию должен быть туннельный интерфейс модема 192.168.0.180

 
191.168.0.180 смотрит "наружу" (т.е в подсеть провайдера и у него адрес шлюза маршрутизатора прова например 192.168.90.1, причем его внешний адрес 192.168.90.2).  
192.168.3.1 точно так же смотрит к прову и адреса 172.16.75.1 и 2 соответственно
Это все в меню 4 -Internet access setup
Всего записей: 9 | Зарегистр. 06-11-2006 | Отправлено: 16:25 19-08-2010
Valery12

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
191.168.0.180 смотрит "наружу" (т.е в подсеть провайдера и у него адрес шлюза маршрутизатора прова например 192.168.90.1, причем его внешний адрес 192.168.90.2).  
192.168.3.1 точно так же смотрит к прову и адреса 172.16.75.1 и 2 соответственно
Это все в меню 4 -Internet access setup

я же говорил что нужна информация о VPN
тогда еще несколько вопросов
через модемы объединяются только офисы или есть еще доступ к каким-то провайдерским ресурсам или к интернету?  
и по девайсу 191.168.3.127  
соединение устанавливает он или соединяются с ним?
если он, то с конкретным адресом в интернете или с разными?
Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 08:28 20-08-2010
geni4

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
через модемы объединяются только офисы или есть еще доступ к каким-то провайдерским ресурсам или к интернету?

 
Нет только офисы
 

Цитата:
и по девайсу 191.168.3.127  
соединение устанавливает он или соединяются с ним?  
если он, то с конкретным адресом в интернете или с разными?

 
Устанавливает он, и лезет конкретно на сервак в англии, туда он сбрасывает статистику.
Всего записей: 9 | Зарегистр. 06-11-2006 | Отправлено: 11:54 20-08-2010
Valery12

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
непонятна реализация ВПН, почему на разных концах такие разные подсети,
на модемах больше нет никаких виртуальных интерфейсов? (и какие кстати модели модемов)
и еще мне нужен результат tracert  с любой машины из 192.168.3.0 на любую из 192.168.0.0
 
P.S.
беда в том что на ИСЕ по-моему нельзя сделать "обратную" публикацию (глобального ресурса в локальную сеть), в отличие от того же керио, вингейта, cisco и многих других, поэтому нужно изловчиться с маршрутизацией.
Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 13:08 20-08-2010 | Исправлено: Valery12, 13:08 20-08-2010
geni4

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
непонятна реализация ВПН, почему на разных концах такие разные подсети,  
на модемах больше нет никаких виртуальных интерфейсов? (и какие кстати модели модемов)

 
Одна подсеть город, вторая область наверное поэтому. Модели в теме указаны. Виртуальных интерфейсов вроде нет никаких, или где смотреть?
 
Трассировка маршрута к 192.168.0.2 с максимальным числом прыжков 30
 
  1    <1 мс    <1 мс    <1 мс  192.168.3.1
  2    77 ms    79 ms    82 ms  172.16.75.1
  3    85 ms    89 ms    89 ms  10.100.60.90
  4   106 ms   112 ms   108 ms  192.168.90.2
  5   111 ms   112 ms   118 ms  192.168.0.2
 
На 192.168.0.2 прописан статический маршрут в 192.168.3.0 сеть.
Всего записей: 9 | Зарегистр. 06-11-2006 | Отправлено: 13:22 20-08-2010
Valery12

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
короче ситуация самая неудобная,  
можно попробовать так
пусть адрес английского сервера х.х.х.х
на 192.168.0.180
маршрут х.х.х.х 255.255.255.255 192.168.0.2
на 192.168.3.1
маршрут х.х.х.х 255.255.255.255 192.168.90.2
 
первый маршрут будет работать без проблем, а вот второй, там где шлюз указывается из сети к которой модем напрямую не подключен на зухеле может и не сработать (на cisco такое работает)
 
 тогда останутся варианты
1. договориться с провайдером чтобы они своими средствами смаршрутизировали х.х.х.х в главный офис
2. не взирая на то что провайдер обеспечил связь между офисами дополнительно поднять между модемами свой VPN- туннель (по идее это они должны уметь)
3. на одном из серверов в главном офисе поставить софт который сможет пробросить порт (это если на девайсе мониторинга адрес сервера статистики можно поменять)
Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 14:19 20-08-2010 | Исправлено: Valery12, 14:20 20-08-2010
geni4

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
пусть адрес английского сервера х.х.х.х  
на 192.168.0.180  
маршрут х.х.х.х 255.255.255.255 192.168.0.2  
на 192.168.3.1  
маршрут х.х.х.х 255.255.255.255 192.168.90.2

 
Это через статические маршруты прописать? А ничего что они (модемы) смотрят в "разные стороны", в смысле один идет, а второй пропускает через себя.
Всего записей: 9 | Зарегистр. 06-11-2006 | Отправлено: 15:07 20-08-2010
Valery12

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Это через статические маршруты прописать? А ничего что они (модемы) смотрят в "разные стороны", в смысле один идет, а второй пропускает через себя.

ну вряд-ли на них NAT поднят, иначе подсети не видели бы друг друга.
Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 15:39 20-08-2010
geni4

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
ну вряд-ли на них NAT поднят

 
Так они в режиме роута стоят оба, значит нат поднят, или как?
Всего записей: 9 | Зарегистр. 06-11-2006 | Отправлено: 10:57 23-08-2010
Valery12

Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прежде всего нужно выяснить как провайдер обеспечил связь между офисами иначе у нас будет игра в испорченный телефон, если у компьютеров в обеих подсетях есть связь друг с другом и доступ к ресурсам друг друга, между ними ни как не может быть НАТ, точнее либо НАТ на них выключен и работает только роутинг, либо НАТ включен но поднят туннель
Всего записей: 2325 | Зарегистр. 21-07-2003 | Отправлено: 15:52 23-08-2010
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Проброс портов от 645R1 к 660RU-T1


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru