Архив форумов ЦИТФорума

[Попавший Ламер]

Всем доброго.
Дано: сеть из 70 машин, домен Win2k3SP1. Устанавливается клиентская часть программы, использующей сервер Oracle 9.2 в сильно вышестоящей организации через три маршрутизатора от шлюза.
Проблема: Клиенты не могут нащупать удаленный SQL-сервер.
Шлюз - Windows 2003 Server SP1, две сетевых карты.
Первая: 192.168.5.6/24 - локалка, вторая 192.168.213.1/30 - на роутер к субпровайдеру. Proxy - Usergate 4.2
Связь с серверами осуществляется по TCP:1521
Со шлюза все вполне подключается. Следовательно файрволы промежуточных организаций нипричем.
Варианты с маппингом портов и NAT средствами UserGate почему-то не работают.
NAT средствами Windows открывать не хочется.
Техподдержка UserGate и Google не помогли.
Может, кто-нибудь знает волшебное слово для прокси или способ NAT только на один порт без сторонних файрволов?

[Dragner]

А почему маппинг не работает? Какие-нибудь ошибки вызывает? Или что? Как определили что он не работает? Вариант типа прописал, но ничего не заработало не подойдет, пакеты, в таком случае, могут и раньше теряться. Трассировка что дает?

[Попавший Ламер]

По порядку...
Почему не работает маппинг я не знаю.
Ошибок нет, ну, насколько вообще можно вычитать в логах. Трассировка далеко не уходит - прямой пересылки пакетов нет.
Как определил что не работает - клиент Oracle отваливается по таймауту, а не с матюгами, типа не опознан пользователь.
Пакетам теряться негде - если только на свитче, тот же клиент установленный на шлюзе работает замечательно.

[Попавший Ламер]

Так, после выставления MTU=1442 вроде цепляться стало... В смысле сервер нащупывается, тест соединения проходит... но не работает. Авторизоваться позволяет, а установить постоянное соединение - нет.

[and3008]

Сделай MTU еще меньше. Вероятно поможет.

Косяк в криво настроеном FireWall-е. Ну не надо запрещать ICMP. НЕ НАДО! Тогда подобных косяков не будет.

[Попавший Ламер]

Нет, после перезагрузки шлюза прекратилась и авторизация.
Ситуация следующая. До конечного сервера не доходят пакеты крупнее 1500 байт.
Cнижение MTU на клиенте ни к чему не приводит. То есть проходит пакет размером MTU клиента минус 28 байт.
Отчет прокси выглядит так: 535 байт ушло через NAT, 312 вернулось, и ситуёвина не меняется пока клиент не отвалится по таймауту.

[Dragner]

Саппорт UserGate прикалывается http://www.usergate.ru/support/forum/read.php?FID=8&TID=4961
Они сам не могут решить эту проблему
Конечно ничего не даст, но прочитал на некоторых форумах. что у UserGate NAT либо не работает, либо работает очень криво. Может Сменишь проксю?

[Попавший Ламер]

Менять проксю - это не тема. Организация государственная, купили, знач надо заставить работать.
NAT не то, чтобы совсем не работает... Он работает недостаточно, чтобы заработал Oracle.
Кто-нибудь может подсказать альтернативное решение, чтоб без установки стороннего софта настроить проброс пакетов? То есть если поднять NAT средствами windows весь колхоз получит возможность лазать где-ни попадя в обход прокси.... с IP-forwarding те же грабли. Насколько мне известно, ничего отдаленно напоминающего ГИБКИЙ фильтр пакетов в Windows в комплект поставки не входит. Буду очень рад, если кто-то скажет, что я где-то ошибаюсь.

PS: прозрачный прокси не предлагать - под интернет понимается не только www ...

[and3008]

OpenVPN между сайтами прокинь и будет тебе щастье.