hot routing...

aquilonis

aquilonis

#1
23 Окт 2009
1,647
0
36
38
in caelum
#1
Всем доброго дня! ) Тема такая! Есть Контора 1 и Контора 2 между ними есть vpn туннель,:snegurka: Контора 1 подключается к конторе 2 при помощи программки (Check Point Software: VPN-1 SecureClient) :sneg: Все работает замечательно!:elo4ka: Задача: Перейти с (Check Point Software: VPN-1 SecureClient) на стандартное средство Microsoft windows server 2003, тесть тупо поднять L2TP IPSec подключение. И тут начинается самое интересное!):ngsad:) Когда Контора 1 подключается к Конторе 2 по L2TP, пользователи локальной сети Конторы 1 перестают видеть ресурсы Конторы 2 (Сайты, Сервисы) Мысль такая: При поднятом туннеле Сервер Конторы 2 принимает от ip адреса Конторы 1 пакеты только в зашифрованном виде, когда пользователи Конторы 1 заходят на сайт Конторы 2 (не через туннель) а на внешний адрес yyy.yyy.yy.yy то их отбривает система безопасности так как установлен туннель и все пакеты должны быть в зашифрованном виде! Непонятно как это разруливает (Check Point Software: VPN-1 SecureClient) Она и туннель держит, и все пользователи Конторы 1 видят ресурсы конторы 2. Есть мудрые мысли, как обойтись без (Check Point Software: VPN-1 SecureClient)?
 
Skif

Skif

#2
10 Дек 2009
3,428
0
36
#2
doldb, перейти от инета и vpnтонеля через него, к чистому vpn, у одной из контор поставить прокси и пускать всех в инет через него. Зачем велосипед придумывать? Вингейты, Винроуты и прочее хз зачем в данном случае програмное обеспечение.
Если я правильно понял? Нужно связать 2 конторы друг с другом и с одним "выхлопом" в инет?
 
aquilonis

aquilonis

#3
23 Окт 2009
1,647
0
36
38
in caelum
#3
Skif написал(а):
doldb, перейти от инета и vpnтонеля через него, к чистому vpn, у одной из контор поставить прокси и пускать всех в инет через него. Зачем велосипед придумывать? Вингейты, Винроуты и прочее хз зачем в данном случае програмное обеспечение.
Если я правильно понял? Нужно связать 2 конторы друг с другом и с одним "выхлопом" в инет?
Нажмите для раскрытия...
У Конторы1 Стоит прокся! Я мог бы поднять тонель на проксе и настроить маршрутизацию! Но Прокся не поддерживает IPSec. Другой вариант Сделать маршруты в тонель на сервак 2003! Но если отвалится L2TP-шка то Юзеры Конторы1 не увидят не тонель не ресурсы конторы2. Не просто связать а именно мастдаевским L2TP
 
Последнее редактирование:
Skif

Skif

#4
10 Дек 2009
3,428
0
36
#4
doldb, хм, ну раз винда, так винда.. тут как говориться флаг в руки..
просто я бы поступил проще - есть две точки, над оих связать. Заключил бы договор с ЯТК или УСИ на vpn в отдельном влане и работал бы себе в удовольствие. В конторе 1 на *nix (фряха, федора или солярка) организвал бы прокси сервер. Хотя можно и на винде, тут как раз вингейты помогут. Просто не могу пока понять, зачем тебе поверх инета организовывать L2TP, когда можно чистый vpn?
2 точки, между ними vpn, в одной точке прокся с выходом в инет.
 
O

O.Bender

#5
4 Июн 2009
458
0
16
#5
Skif написал(а):
doldb, хм, ну раз винда, так винда.. тут как говориться флаг в руки..
просто я бы поступил проще - есть две точки, над оих связать. Заключил бы договор с ЯТК или УСИ на vpn в отдельном влане и работал бы себе в удовольствие. В конторе 1 на *nix (фряха, федора или солярка) организвал бы прокси сервер. Хотя можно и на винде, тут как раз вингейты помогут. Просто не могу пока понять, зачем тебе поверх инета организовывать L2TP, когда можно чистый vpn?
2 точки, между ними vpn, в одной точке прокся с выходом в инет.
Нажмите для раскрытия...
l2tp это протокол vpn это технология... прокси вобще не из той степи...

---------- Добавлено в 17:04 ---------- Предыдущее сообщение было написано в 17:01 ----------

doldb, я не знаю что такое "Check Point Software: VPN-1 SecureClient" и как оно работает но у меня есть вопрос какой тунель нужен?
1. т.н. site-to-site vpn когда данные от разных станций двух сетей бегают по одному туннелю
2 или каждая клиентская станция поднимает своей туннель до конкретной удаленной машины?
 
Skif

Skif

#6
10 Дек 2009
3,428
0
36
#6
O.Bender, улыбнул :ngwink: я в курсях что такое l2tp, что такое vpn и прокси.
пойду я отсель.. а то ещё носом натыкают что tcp не знаю..
сайонара
 
К

Крейсер

#7
5 Ноя 2009
161
0
16
42
#7
фишка в том что у doldb, доступ к настройкам одной только конторы1 , а у конторы2 определенные требования к подключению

имхо : галимая галочка где-нить не стоит :dedmoroz:
тебе надо пинговаться в контору2 и там чтобы тебя одновременно мониторили, зная твой айпи и на каком этапе тебя бреет тебя засекут и найдется ошибка...
 
aquilonis

aquilonis

#8
23 Окт 2009
1,647
0
36
38
in caelum
#8
Крейсер написал(а):
фишка в том что у doldb, доступ к настройкам одной только конторы1 , а у конторы2 определенные требования к подключению

имхо : галимая галочка где-нить не стоит :dedmoroz:
тебе надо пинговаться в контору2 и там чтобы тебя одновременно мониторили, зная твой айпи и на каком этапе тебя бреет тебя засекут и найдется ошибка...
Нажмите для раскрытия...
Ты абсолютно прав! :beer: Конторой 1 я могу управлять Контора 2 это сторонняя организация со своими правилами и менять эти правила ради Конторы 1 Контора2 не будут )) Ошибку искать нет смысла :russian_band: т.к я знаю что агрегат сисько режит мои пакеты :siski: потому что они не зашифрованы в тот момент когда поднят туннель. Галимой галачкой я думаю тут не обойтись! Вопрос каким образом удается чек поинту разрулить данную ситуация! Если это понять то проблема решена
 
Последнее редактирование:
D

dronopotam

#9
30 Май 2009
288
0
18
#9
Смотри wireshark-ом как происходит взаимодействие в рабочем случае и как - в нерабочем. По найденным отличиям я думаю все будет ясно. Естественно желательно организовать "тестовый полигон" иначе уманаешся левый трафик фильтровать.
 
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу