MAGNet
Silver Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
TheBarmaley, таки я хочу донести истину через тернии для Контрафака, чтоб он сам всё понял и сам всё настроил.
contrafack, постараюсь рассказывать очень просто и для твоей конкретной ситуации.
начнем с того, что такое маршрутизация и где она нужна?
маршрутизация - это определение пути для пакета, в ней всегда присутствует три обязательных параметра: сеть источника, сеть приемника и интерфейс; имеет смысл на тех устройствах, где имеется более одного сетевого интерфейса; работает примерно так: все пакет, пришедшие из сети адресата и предназначенные для сети назначения должны быть переданы через указанный интерфейс. в твоем случае имеет смысл только на шлюзах для соединения через VPN.
в твоем случае маршрутизация на шлюзах с VPN работает так: если исходящий пакет имеет адрес назначения подходящий под маршруты для других сетей, которые находятся за VPN, то он направляется через виртуальный интерфейс VPN; ао всех других случаях он направляется через шлюз по умолчанию и вот тут его уже встречает NAT.
что такое NAT? это способ подключить 100500 устройств с одинаковыми портами для соединения на один входящий порт. по умолчанию NAT бывает только исходящий (про входящий будет дальше), это когда, к примеру, несколько почтовых программ из локальной сети требуют соединения на 25-й порт с разными серверами. каждый 25-й порт исходящего соединения от каждого компьютера на шлюзе через NAT транслируется в какой-нибудь старший порт от 30000 (это настраивается) и на выходе со шлюза это будет уже какой-нибудь 42527-й порт..
разницу между маршрутизацией и НАТом понимаешь? маршрутизация прокидывает абсолютно весь трафик на определенный интерфейс, НАТ работает на следующем уровне стека и оперирует с портами.
В твоем случае маршрутизация настроена правильно (я надеюсь) и весь трафик между ВПН-серверами курсирует замечательно.
И вот тут мы подошли к самому интересному! Кстати, я об этом писал, но ты не проникся 
Трафик, предназначенный для сети, которая находится за "Чекпоинтом" на нем же и заканчивается, потому что сам Чекпоинт поддерживает только те подключения, которые вышли из-за его границы и это подключения на уровне портов; всё, что приходит снаружи на Чекпоинт - рубится - это же шлюз.
Если будет удобнее для понимания, то можно шлюз назвать ниппелем. Туда дуй, оттуда - куй Только тут - наоборот.
И в заключение - настроить сквозной маршрут с ВАН на ЛАН на шлюзе - я даже не пробовал, мне кажется, что это премия Дарвина без обсуждений.
Таким образом никакие пинги за Чекпоинт у тебя ходить не будут, а нужно тебе сделать всего лишь проброс портов и будет счастье. Шлюз, он же как бы для того и нужен, чтоб отсекать весь "шумный" и бесполезный трафик снаружи и пускать вовнутрь только тех, кто уже установил соединения изнутри или тех, для кого сделан проброс порта изнутри.
"Проброс порта" - это когда шлюз все приходящие на определенный порт пакеты со входящего интерфейса транслирует на указанный порт указанного адреса через указанный (в нашем случае локальный) интерфейс.
contrafack, я надеюсь, что внес немного порядка в твои мысли и теперь у тебя есть над чем подумать.
если что-то непонятно, то спрашивай. только спрашивай конкретно что и конкретно где.
я в тебя верю 
|
и пойду щас курицу под картошкой в духовке запекать 
