Список форумов MorePC MorePC

 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 

Подключение к D-Link DFL-900 в обход Kerio WinRoute Firewall

 
Начать новую тему   Ответить на тему    Список форумов MorePC -> Сетевое оборудование
Предыдущая тема :: Следующая тема  
Автор Сообщение
аникейщик
Гость
СообщениеДобавлено: Пт Dec 05, 2008 12:55 pm    Заголовок сообщения: Подключение к D-Link DFL-900 в обход Kerio WinRoute Firewall Ответить с цитатой
Помогите настроить VPN-шлюз D-Link DFL-900. Точнее, не настроить — он-то настроен — а реализовать подключение к нему в обход программного шлюза Kerio WinRoute Firewall.
Вернуться к началу
Samsonov



Зарегистрирован: 13.03.2003
Сообщения: 812
СообщениеДобавлено: Пт Dec 05, 2008 2:42 pm    Заголовок сообщения: Ответить с цитатой
Имеется в виду, что вы изнутри сети, защищённой Kerio WinRoute Firewall, пытаетесь создать VPN-туннель к внешнему шлюзу DFL-900? Или, наоборот, пытаетесь извне соединиться с корпоративным VPN-шлюзом, стоящим позади WinRoute? Из вашего описания, если честно, вообще ничего не понятно о конфигурации сетей и поставленных целях.

Если правильно понимаю, VPN-терминаторы серии DFL поддерживают только PPTP- и L2TP-туннели. Второе не пробовал, а вот PPTP функционирует с помощью протокола GRE — такого же безсеансового транспорта, как и UDP, а потому такого же проблемного для NAT. Хотя у WinRoute в списке инспекторов протоколов вроде маячит GRE, у меня так и не получилось связаться с внешним PPTP-сервером через местный Kerio.


Дополнение

А вот насчёт L2TP знакомый говорит, что у него всё получилось, но подробностей не помнит. Что-то там такое было с подменой порта: по умолчанию, когда NAT создаёт новый пакет, то меняет номер порта отправителя на первый свободный. Соответственно, надо заставить Kerio не менять source port у исходящих (да и входящих) пакетов с соответствующим номером порта. Делается это в настройках правил форвардинга; правда, я не помню, чтобы там была возможность управлять номером порта отправителя (с портом получателя — никаких проблем, разумеется). К сожалению, у меня сейчас нет WinRoute под рукой, так что точнее сказать не могу.

Возможно даже, что у меня с PPTP не получилось по той же самой причине — из-за подмены номера порта, который должен оставаться фиксированным.

Одна только загвоздка видится: если порт отправителя не подменяется на первый свободный, то NAT не может различить туннели разных клиентов, то есть выходить за пределы NAT будет допустимо только кому-то одному (администратору, к примеру). Выходов два.
  1. Туннель правильнее прокладывать с самого шлюза, а не изнутри сети. Тем более, если туннелированная связь нужна нескольким пользователям.
  2. Коли нужно позволить каждому пользователю свободно подключаться к внешним VPN, следует использовать дружественные к NAT туннели — на основе обычных SSL-соединений.
Что касается последнего, то за примером далеко ходить не надо: собственный SSL VPN встроен в сам WinRoute, и клиент можно установить отдельно на любую Windows-систему. Более открытая технология — OpenVPN (на основе библиотеки OpenSSL). Неудобство одно: клиенты SSL VPN не встроены в Windows, то есть их надо устанавливать дополнительно.

Последний раз редактировалось: Samsonov (Пт Dec 05, 2008 3:14 pm), всего редактировалось 2 раз(а)
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Гость
СообщениеДобавлено: Пт Dec 05, 2008 3:05 pm    Заголовок сообщения: Ответить с цитатой
По пути от меня к Интернету, сначала стоит WinRoute, затем DFL-900. Хочу узнать, как добавить в DFL-900 исключение на мой IP-адрес, чтобы выходить в Интернет, минуя Kerio.

DFL-900 имеет веб-интерфейс настройки, и там наверняка есть такая функция, просто я не знаю, в каком разделе.
Вернуться к началу
Samsonov



Зарегистрирован: 13.03.2003
Сообщения: 812
СообщениеДобавлено: Пт Dec 05, 2008 3:26 pm    Заголовок сообщения: Ответить с цитатой
Anonymous писал(а):
По пути от меня к Интернету, сначала стоит WinRoute, затем DFL-900. Хочу узнать, как добавить в DFL-900 исключение на мой IP-адрес, чтобы выходить в Интернет, минуя Kerio.
Так вы используете DFL-900 просто как обычный маршрутизатор, и никаких заморочек с VPN не планируете? Надо было сразу так и говорить.

И всё равно не понятно, что именно вы хотите. WinRoute установлен в разрыв между вашей внутренней сетью и DFL-шлюзом? Тогда как же вы собираетесь ходить в обход WinRoute, если никакого обхода физически не существует? Другое дело, что можно на WinRoute настроить исключение, чтобы не фильтровал ваш трафик, а только выполнял подмену адреса, — но при чём же здесь тогда DFL-900, который стоит в самом конце цепочки? Зайдите в список правил трафика WinRoute и добавьте в самый верх новое указание: ко всем исходящим соединениям с вашего адреса, для любых протоколов и адресов получателя, выполнять NAT (с режимом по умолчанию). И всё, после этого остальные правила, стоящие в списке ниже, к вам уже не будут применяться.

Либо внятно объясните, чего именно нужно. Парочки общих фраз для этого недостаточно. А телепатов здесь не было и не будет.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов MorePC -> Сетевое оборудование Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы можете начинать темы
Вы можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2005 phpBB Group
Rambler's Top100Rambler's Top100