faq обучение настройка
Текущее время: Чт мар 28, 2024 14:28

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 8 ] 
Автор Сообщение
 Заголовок сообщения: выход в интернет через ipsec
СообщениеДобавлено: Вс апр 24, 2022 21:10 
Не в сети

Зарегистрирован: Чт июл 04, 2013 07:36
Сообщений: 153
Здравствуйте,

скажите пожалуйста, возможна ли такая хотелка в принципе?
То есть нужно, чтобы удаленный дфл при подключении к терминальному серверу в центральном дфл светил в интернет своим внешим айпишником (удаленным), а не внешним айпишником центрального офиса.

Изображение

_________________
понял настроил забыл


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: выход в интернет через ipsec
СообщениеДобавлено: Пн апр 25, 2022 12:42 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
да
viewtopic.php?f=3&t=174887

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: выход в интернет через ipsec
СообщениеДобавлено: Сб апр 30, 2022 14:51 
Не в сети

Зарегистрирован: Чт июл 04, 2013 07:36
Сообщений: 153
Vladimir22
никак не могу понять с чего начать? перечитав кучу инструкций на форуме вижу, что в основном разбирается вариант с использованием выхода в интернет удаленной площадки через центральный офис. То есть удаленная площадка открывая у себя интернет, светит в мир айпишником центрального офиса. Правильно?
Мне же это не нужно.
Мне нужно, чтобы локальный трафик удаленной площадки ходил в мир под своим внешним ипом, а в айписеке чтобы они же на выходе светили тоже своим внешним ипом.
Айписек удаленной площадкой используется для подключения к серверу в центральном офисе через РДП.
Сложная тема для меня, но есть большое желание разобраться.

Объясню в чём проблема - для сдачи своей отчётности (удаленной площадки) используется 1с, которая установлена в центральном офисе (удаленная площадка в айписеке с центр.офисом, и она подключается к терминальному серверу 1с через РДП).
Из локальной сети центрального офиса сдают отчетность через такском.
У налоговой возник вопрос - почему у разных контор один и тот же айпишник?

Пока на уровне PBR разделил трафик локальной сети и сервера 1с между двумя провайдерами.

_________________
понял настроил забыл


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: выход в интернет через ipsec
СообщениеДобавлено: Чт май 05, 2022 10:43 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
Вы про NAT слышали ?
как вы хотите что бы у вас удаленная площадка выходила в мир через центральный офис с IP удаленной площадки ?
у вас AS (BGP) или c провайдером OSPF ?

запомните !!!! Пакету надо не только как достичь цели - но и как вернутся ... и провайдеры не очень любят а точнее не любят когда источник не из их пула :-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: выход в интернет через ipsec
СообщениеДобавлено: Сб авг 13, 2022 16:28 
Не в сети

Зарегистрирован: Чт июл 04, 2013 07:36
Сообщений: 153
Понял, спасибо!

_________________
понял настроил забыл


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: выход в интернет через ipsec
СообщениеДобавлено: Вт сен 27, 2022 07:21 
Не в сети

Зарегистрирован: Чт июл 04, 2013 07:36
Сообщений: 153
В целом всё получилось, но как бы в обратную сторону.

_________________
понял настроил забыл


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: выход в интернет через ipsec
СообщениеДобавлено: Пт окт 07, 2022 23:28 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Что значит "в обратную сторону" ?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: выход в интернет через ipsec
СообщениеДобавлено: Пт окт 14, 2022 15:45 
Не в сети

Зарегистрирован: Чт июл 04, 2013 07:36
Сообщений: 153
MTRX приветствую. Да, может быть я некорректно выразился, но задача была выходить в мир через чужой интернет. Вот это и есть "обратная сторона", а на картинке в первом посте нарисован "вход" )) Есть пара вопросов.

Задача была такая - получить удаленные филиальные интернеты и использовать их в головном офисе для выхода в мир с определенных виртуальных машин.
Усложнялось всё тем, что необходимо было сохранить нетронутой всю текущую конфигурацию головного офиса (DFL - три локалных интернета, одновременно используемых, и несколько вланов) не мешая работе всех остальных сотрудников подключенных к маршрутизатору.

На Головном ДФЛ Сразу решил всё делать в отдельной таблице маршрутизации (Only).
- для начала создал в ней отдельный маршрут типа Ван1 - удаленный внешний ип филиального роутера - ван1 гейтвей.
- потом создал в ней отдельный влан (во влан роутинге указал, что интерфейс принадлежит только этой таблице).
- потом добавил в эту таблицу Айписек на удаленный филиал с параметром оллнетс и так же в виртуал роутинге указал, что интерфейс принадлежит только этой таблице маршр-и и в IKE outgooing routing table тоже выбрал эту же таблицу.

В настройках Айписека головного офиса указал - allnets в разделе remote network.
В правилах головного офиса прописал, что влан - вланнет - айписек - оллнетс.

В филиальном офисе - в настройках айписека в разделе локал нетворкс указал - оллнетс.
И в правилах - айписек - удаленная сеть головного офиса - ван1 - оллнетс - включил НАТ

всё получилось и инет пришел в головной офис на определенный влан, на который повесил дхцп и выдал филиальный инет виртуальной машине.

Филиалу дал доступ в этот отдельный влан головного офиса с помощью правил на дфл. Трафик ходит в обе стороны - удаленный лан - головной влан; головной влан - удаленный лан.
Спустя время филиалу понадобился доступ и в лан головного офиса. Но в этой отдельной таблице маршрутизации на головном офисе машрута на лан не было.
Добавил в эту таблицу маршрут Лан Ланнет. Доступ из филиала в ланнет головного офиса заработал. То есть трафик ходит только в одну сторону - удаленный лан - головной лан. Наоборот нет.

И вот первый вопрос - как пустить трафик наооборот из ЛАНА головного офиса в удаленную филиальную сеть? Я так понимаю, что нужен ПБР? Потому что исходящий из Лана трафик идёт по мэйн таблице маршрутизации, а в ней же ничего про айписек нет? Запутался, не пойму. Помогите пожалуйста.

Естественно, сгруппировал сети в айписеке
- на филиальном ДФЛ в айписеке в ремот нетворкс - указал группу из головного лана и влана и правилах тоже их выбрал в обе стороны.
- на головном ДФЛ в айписеке в локал нетворкс - указал группу сетей головного лана и влана


++++++++++++++
Сделал трассировку - из удаленного филиального лана в головной лан - всё ок трафик в три хопа доскакал до нужного компа головного офиса. А вот обратная трассировка из лана головного офиса до филиального лана уходит в инет.
Трассировка рулит!
+++++++++++++++
Подумал.
+++++++++++++++
Добавил в мейн таблицу головного офиса маршрут вида айписек - ланнет филиального офиса и всё поскакало!

_________________
понял настроил забыл


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 8 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 37


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB