MorePC
FAQ
Поиск
Пользователи
Группы
Регистрация
Профиль
Войти и проверить личные сообщения
Вход
Список форумов MorePC
->
Сетевое оборудование
Ответить
Имя
Тема
Сообщение
Смайлики
Дополнительные смайлики
Цвет шрифта:
По умолчанию
Тёмно-красный
Красный
Оранжевый
Коричневый
Жёлтый
Зелёный
Оливковый
Голубой
Синий
Тёмно-синий
Индиго
Фиолетовый
Белый
Чёрный
Размер шрифта:
Очень маленький
Маленький
Обычный
Большой
Огромный
Закрыть теги
[quote="Samsonov"]Имеется в виду, что вы изнутри сети, защищённой Kerio WinRoute Firewall, пытаетесь создать VPN-туннель к внешнему шлюзу DFL-900? Или, наоборот, пытаетесь извне соединиться с корпоративным VPN-шлюзом, стоящим позади WinRoute? Из вашего описания, если честно, вообще ничего не понятно о конфигурации сетей и поставленных целях. Если правильно понимаю, VPN-терминаторы серии DFL поддерживают только PPTP- и L2TP-туннели. Второе не пробовал, а вот PPTP функционирует с помощью протокола [url=http://en.wikipedia.org/wiki/Generic_Routing_Encapsulation]GRE[/url] — такого же безсеансового транспорта, как и UDP, а потому такого же проблемного для NAT. Хотя у WinRoute в списке инспекторов протоколов вроде маячит GRE, у меня так и не получилось связаться с внешним PPTP-сервером через местный Kerio. [b]Дополнение[/b] А вот насчёт L2TP знакомый говорит, что у него всё получилось, но подробностей не помнит. Что-то там такое было с подменой порта: по умолчанию, когда NAT создаёт новый пакет, то меняет номер порта отправителя на первый свободный. Соответственно, надо заставить Kerio не менять source port у исходящих (да и входящих) пакетов с соответствующим номером порта. Делается это в настройках правил форвардинга; правда, я не помню, чтобы там была возможность управлять номером порта [i]отправителя[/i] (с портом получателя — никаких проблем, разумеется). К сожалению, у меня сейчас нет WinRoute под рукой, так что точнее сказать не могу. Возможно даже, что у меня с PPTP не получилось по той же самой причине — из-за подмены номера порта, который должен оставаться фиксированным. Одна только загвоздка видится: если порт отправителя не подменяется на первый свободный, то NAT не может различить туннели разных клиентов, то есть выходить за пределы NAT будет допустимо только кому-то одному (администратору, к примеру). Выходов два.[list=1][*]Туннель правильнее прокладывать с самого шлюза, а не изнутри сети. Тем более, если туннелированная связь нужна нескольким пользователям.[*]Коли нужно позволить каждому пользователю свободно подключаться к внешним VPN, следует использовать дружественные к NAT туннели — на основе обычных SSL-соединений.[/list]Что касается последнего, то за примером далеко ходить не надо: собственный SSL VPN встроен в сам WinRoute, и клиент можно установить отдельно на любую Windows-систему. Более открытая технология — OpenVPN (на основе библиотеки OpenSSL). Неудобство одно: клиенты SSL VPN не встроены в Windows, то есть их надо устанавливать дополнительно.[/quote]
Настройки
HTML
ВЫКЛЮЧЕН
BBCode
ВКЛЮЧЕН
Смайлики
ВКЛЮЧЕНЫ
Отключить в этом сообщении BBCode
Отключить в этом сообщении смайлики
Часовой пояс: GMT + 3
Перейти:
Выберите форум
MorePC.ru
----------------
Вопросы о сайте
Категории СВТ
----------------
Принтеры
Сканеры
Мониторы
Материнские платы
Процессоры
Накопители
Видеокарты
Звуковые карты
Источники питания
Cредства защиты информации
Сетевое оборудование
Другое
Программное обеспечение
----------------
Выбор ПО
Установка и настройка
Проблемы информатизации
----------------
Общие вопросы
Интернет
Обзор темы
Автор
Сообщение
Samsonov
Добавлено: Пт Dec 05, 2008 3:26 pm
Заголовок сообщения:
Anonymous писал(а):
По пути от меня к Интернету, сначала стоит WinRoute, затем DFL-900. Хочу узнать, как добавить в DFL-900 исключение на мой IP-адрес, чтобы выходить в Интернет, минуя Kerio.
Так вы используете DFL-900 просто как обычный маршрутизатор, и никаких заморочек с VPN не планируете? Надо было сразу так и говорить.
И всё равно не понятно, что именно вы хотите. WinRoute установлен в разрыв между вашей внутренней сетью и DFL-шлюзом? Тогда как же вы собираетесь ходить
в обход
WinRoute, если никакого обхода физически не существует? Другое дело, что можно на WinRoute настроить исключение, чтобы не фильтровал ваш трафик, а только выполнял подмену адреса, — но при чём же здесь тогда DFL-900, который стоит в самом конце цепочки? Зайдите в список правил трафика WinRoute и добавьте в самый верх новое указание: ко всем исходящим соединениям с вашего адреса, для любых протоколов и адресов получателя, выполнять NAT (с режимом по умолчанию). И всё, после этого остальные правила, стоящие в списке ниже, к вам уже не будут применяться.
Либо внятно объясните, чего именно нужно. Парочки общих фраз для этого недостаточно. А телепатов здесь не было и не будет.
Гость
Добавлено: Пт Dec 05, 2008 3:05 pm
Заголовок сообщения:
По пути от меня к Интернету, сначала стоит WinRoute, затем DFL-900. Хочу узнать, как добавить в DFL-900 исключение на мой IP-адрес, чтобы выходить в Интернет, минуя Kerio.
DFL-900 имеет веб-интерфейс настройки, и там наверняка есть такая функция, просто я не знаю, в каком разделе.
Samsonov
Добавлено: Пт Dec 05, 2008 2:42 pm
Заголовок сообщения:
Имеется в виду, что вы изнутри сети, защищённой Kerio WinRoute Firewall, пытаетесь создать VPN-туннель к внешнему шлюзу DFL-900? Или, наоборот, пытаетесь извне соединиться с корпоративным VPN-шлюзом, стоящим позади WinRoute? Из вашего описания, если честно, вообще ничего не понятно о конфигурации сетей и поставленных целях.
Если правильно понимаю, VPN-терминаторы серии DFL поддерживают только PPTP- и L2TP-туннели. Второе не пробовал, а вот PPTP функционирует с помощью протокола
GRE
— такого же безсеансового транспорта, как и UDP, а потому такого же проблемного для NAT. Хотя у WinRoute в списке инспекторов протоколов вроде маячит GRE, у меня так и не получилось связаться с внешним PPTP-сервером через местный Kerio.
Дополнение
А вот насчёт L2TP знакомый говорит, что у него всё получилось, но подробностей не помнит. Что-то там такое было с подменой порта: по умолчанию, когда NAT создаёт новый пакет, то меняет номер порта отправителя на первый свободный. Соответственно, надо заставить Kerio не менять source port у исходящих (да и входящих) пакетов с соответствующим номером порта. Делается это в настройках правил форвардинга; правда, я не помню, чтобы там была возможность управлять номером порта
отправителя
(с портом получателя — никаких проблем, разумеется). К сожалению, у меня сейчас нет WinRoute под рукой, так что точнее сказать не могу.
Возможно даже, что у меня с PPTP не получилось по той же самой причине — из-за подмены номера порта, который должен оставаться фиксированным.
Одна только загвоздка видится: если порт отправителя не подменяется на первый свободный, то NAT не может различить туннели разных клиентов, то есть выходить за пределы NAT будет допустимо только кому-то одному (администратору, к примеру). Выходов два.
Туннель правильнее прокладывать с самого шлюза, а не изнутри сети. Тем более, если туннелированная связь нужна нескольким пользователям.
Коли нужно позволить каждому пользователю свободно подключаться к внешним VPN, следует использовать дружественные к NAT туннели — на основе обычных SSL-соединений.
Что касается последнего, то за примером далеко ходить не надо: собственный SSL VPN встроен в сам WinRoute, и клиент можно установить отдельно на любую Windows-систему. Более открытая технология — OpenVPN (на основе библиотеки OpenSSL). Неудобство одно: клиенты SSL VPN не встроены в Windows, то есть их надо устанавливать дополнительно.
аникейщик
Добавлено: Пт Dec 05, 2008 12:55 pm
Заголовок сообщения: Подключение к D-Link DFL-900 в обход Kerio WinRoute Firewall
Помогите настроить VPN-шлюз
D-Link DFL-900
. Точнее, не настроить — он-то настроен — а реализовать подключение к нему в обход программного шлюза Kerio WinRoute Firewall.
Powered by
phpBB
© 2001, 2005 phpBB Group