Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

Не тривиальная задача с NAT'ом

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Windows
Предыдущая тема :: Следующая тема  
Автор Сообщение
TepKuH
Гость
СообщениеДобавлено: Пн Сен 27 2004 14:42    Заголовок сообщения: Не тривиальная задача с NAT'ом Ответить с цитатой
Есть машина с win2k server, она являеся шлюзом в инет для локалки(192.168.1.0). На ней поднят НАТ и он работает. Хочется еще чтобы на ней(на этой же машине) работал VPN/IPSec хотя он тоже работает, НО если только остановить НАТ.
Т.е. по отдельности они работают на ура, а вместе никак.
Это была предыстория.

Так вот вопрос следующий:
Как не НАТить пакеты летящие из локалки(192.168.1.0) в (192.168.167.0)? (идеально это если бы был какой нить хитренький маршрутик)

ЗЫ.
Даже не представляю в какую сторону копать
ЗЗЫ. Реализация L2TP не подходит так как другая IPSec сторона(шлюз безопасности) не держит L2TP
Вернуться к началу
a-m-d



Зарегистрирован: 09.09.2004
Сообщения: 1498
Откуда: SPb
СообщениеДобавлено: Пн Сен 27 2004 15:05    Заголовок сообщения: Re: Не тривиальная задача с NAT'ом Ответить с цитатой
Хотел было сказать, что правила файервола для туннеля надо повыше NAT-а прописАть... Smile Да перечитал вопросSmile

Глянь тут "ихнюю" архитектуру после слов How to Configure RRAS Filtering
http://support.microsoft.com/default.aspx?scid=kb;en-us;252735

А также Sad
Note IPSec tunnel mode does not work directly with an endpoint that runs Network Address Translation (NAT)...

Так чта... Похоже, не выйдет.
_________________
Век живи - век учись!.. Дураком помрёшь.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Гость
СообщениеДобавлено: Пн Сен 27 2004 15:33    Заголовок сообщения: Ответить с цитатой
Через NAT VPV/IpSec не пройдет. Ставь отдельный тунельный сервер в обход NAT.
Вернуться к началу
Гость
СообщениеДобавлено: Пн Сен 27 2004 15:35    Заголовок сообщения: Ответить с цитатой
Цитата:
Note IPSec tunnel mode does not work directly with an endpoint that runs Network Address Translation (NAT)...

ну я это понимаю... вот и хочу чтобы шло как то мимо, мквозь НАТа
Цитата:
How to Configure RRAS Filtering
http://support.microsoft.com/default.aspx?scid=kb;en-us;252735

читанно... там имеется ввиду не как сквозь нат что то пустить там скорее что то типа файрвол на сетевой интерефейс
Цитата:
Так чта... Похоже, не выйдет.

не хочется мне так думать, просто во всех доках говорится, что пройти прямо через НАТ(т.е. пакеты заНАТить) а я не хочу их натить, яхочу какой нить виртуальный интерфейс который меня именно отмаршрутит меня мимо НАТа.
Есть какая то фича "IP-туннель" в службе RRAS зачем оно я так и не понял может в эту сторону копать?
Вернуться к началу
TepKuH
Гость
СообщениеДобавлено: Пн Сен 27 2004 15:39    Заголовок сообщения: Ответить с цитатой
Цитата:
Через NAT VPV/IpSec не пройдет. Ставь отдельный тунельный сервер в обход NAT.

т.е. отдельную машину с 2-я опять же интерфейсами?
В любой нормальной железяке(Cisco, D-link, Zyxell и пр.) или ОСи(*никс) делается на раз, два.
Может НАТ стороних производителей пофичастее?
Вернуться к началу
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
СообщениеДобавлено: Пн Сен 27 2004 15:50    Заголовок сообщения: Ответить с цитатой
Цитата:
Может НАТ стороних производителей пофичастее?


Дело не в NAT, как таковом, а в IPSec. Его правила работы не позволяют использовать NAT. Производители "железных" роутеров и разработчики UNIX-систем различными способами устранили эту проблему. А разработчики весьма не бедной фирмы наверно даже чесаться не будут. Не ходовая это часть в их "прекрасной" ОС.
Так шта.... Делайте выводы сами.

Я давно уже перенес функции управления сетевым трафиком на UNIX-машины. Чего и вам желаю.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
TepKuH
Гость
СообщениеДобавлено: Пн Сен 27 2004 16:39    Заголовок сообщения: Ответить с цитатой
Цитата:
Дело не в NAT

ну почему же... мне наоборот кажется что в нем... было бы там фича "исключение подсетей/хостов"
RRAS кажется такой фичастой весчю, а не нельзя исключить определенные подсети из списка того что НАТить не надо
Цитата:
а в IPSec

это то понятно, пакеты IPSec нельзя фрагментировать, но я не хочу НАТить IPSec я хочу наоборот исключить его и списка.
Нужен какой то статический маршрут

Цитата:
Я давно уже перенес функции управления сетевым трафиком на UNIX-машины

да там подсеть(.1.0) то на 10 машин жалко мне там 3-ю машину ставить и так Oracle, да шлюз на винде, имеенно на винде потому что там крутятся некоторые самописные win32 сервисы.
Вернуться к началу
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Windows Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597 		Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов 		This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...