содинение 2-х сеток через впн

[Ve0]

Всем привет. Если честно, то даже не знаю как обозвать тему. Но не суть. Проблема такая. Есть 2 сетки, на одной стоит шлюз Ubuntu 10.04 с сервером впн. вторая сетка 10 машин, но они седят за 3com firewall. 3com конектится к 10.04 по впн. все отлично, все вроде даже хорошо. Но есть проблемка:

1. из за 3com'a люди прекрассно видят сетку офиса, могут работать с серверами. но из сети офиса я вижу только внутренний ip фаервола, а хотелось бы видеть все компы по ипам. возможно ли?
2. у склада есть железка, к которой необходимо приконектится на 2000 порт. как бы настроить фаервол или шлюз, чтобы при конекте на впн адрес на 2000 порт я попадал на железку?

как я понимаю, если первый пункт возможен, то второй проблемы не будет.

помогите решить. голову поломал уже... (

Ps: могу предоставить всю инфу....

[AnrDaemon]

Адресация в сетях - ?

[Ve0]

оффис 192.168.0.0/16
склад 192.168.10.0/24
ip фаервола по впн 192.168.3.90
ip шлюза 192.168.1.16

склад с офисом соеденены через vpn.

[drako]

оффис 192.168.0.0/16
склад 192.168.10.0/24
ip фаервола по впн 192.168.3.90
ip шлюза 192.168.1.16

склад с офисом соеденены через vpn.

Что-то мне сдается что ваш фаервол настроен на соединение с офисом как на соединение с провайдером и роутер работает натом в офисную сеть.

[Гарри Кашпировский]

оффис 192.168.0.0/16

Осетра урезайте ибо 192.168.0.0/16 аккурат захватит 192.168.10.0/24.
Если дать офису 192.168.0.0/24 вместо 192.168.0.0/16 все будет работать, достаточно пару маршрутов с обоих концов туннеля.
Офису надеюсь 253 машины хватит?

[Ve0]

нет, у офиса только 230 пользователей (и число растет), порядка 10 серверов, впн пользователи. к сожалению не могу поставить туда 24 маску... (((

фаервол подключен к интернету, у него есть внешний ip. через тырнет он подключается к офисному шлюзу по впн.
я могу поменять на складе все ip и все настройки, вот только на какие?

и какие маршруты прописать? подскажите куда рыть?
+фаервол не простой, маршруты там тоже не просто прописать. у 2кома свой веб интерфэйс. кто сталкивался тот поймет. по ssh не пробовал к нему конектится.

если все не так сложно, то как решить проблему?

[fisher74]

Ну тогда урежьте до 192.168.0.0/21. Уверен , что уж 2045 точно хватит. И IP-ы менять не надо...

[Ve0]

просто я не до конца понимаю, как это повлияет на доступ к компьютерам склада по Ip? неужели разность масок не дает мне видить их?
Пользователь решил продолжить мысль 14 Октября 2010, 10:34:05:а выдается ip на фаерволе 192.168.3.90/32...

[drako]

Сети вам в любом случае придется разносить, потому как только не перекрывающиеся диапазоны адресов могут общаться друг с другом через шлюз. И выкладывайте как у вас вообще впн организован(настройки).

[fisher74]

[offtop] страшно, что домохозяйки уже корпоративные сети настраивают (никаких намёков) [/offtop]

Ve0, изучите хотя бы основы построения сетей, много вопросов отпадёт, как сейчас, так и потом

[Ve0]

VPN стоит на 10.04, поднят демон pptpd.

pptpd.conf

(Нажмите, чтобы показать/скрыть)

cc-gateway:/etc# cat pptpd.conf
option   /etc/ppp/pptpd-options

logwtmp

bcrelay eth0

localip   192.168.1.16
remoteip   192.168.3.20-89

listen   внешний ip

pptpd-options

(Нажмите, чтобы показать/скрыть)

cc-gateway:/etc/ppp# cat pptpd-options
name pptpd

refuse-pap
refuse-mschap
require-mschap-v2
require-mppe-128

ms-dns 192.168.1.11
#ms-dns 192.168.1.12

proxyarp

nodefaultroute

lock

nobsdcomp

logfile /var/log/pptpd.log

ну и chap-secrets, все по мануалу. ))) проверял не однократно. по впн кроме фаервола еще народ подключается... и народу этого много. более 50 машин. т.е. комп подключается и работает, а вот если роутер подключить, то виден только роутер, машины за роутером не видны. как сделать так, чтобы за роутер (фаервол) можно было попасть?

KT315
"все будет работать, достаточно пару маршрутов с обоих концов туннеля."
подскажи, какие маршруты? мне направление, куда рыть... сам решу.

drako
"Что-то мне сдается что ваш фаервол настроен на соединение с офисом как на соединение с провайдером и роутер работает натом в офисную сеть."
мне тоже так кажется... но как поменять? там настроек не так много... зато есть ACL и Port Trigger.


я просто с настройкой железного фаервола сталкиваюсь впервые.
Пользователь решил продолжить мысль 14 Октября 2010, 11:50:08:если на фаерволе поставить маску /16 на внутреннюю сеть, то сетка офиса отваливается. если поставить обратно /24 то сеть офиса работает
Пользователь решил продолжить мысль 14 Октября 2010, 12:50:18:железка:

3Com® OfficeConnect®
Gigabit VPN Firewall (3CREVF100-73)

[drako]

Если у вас в офисе и складе на внешних интерфейсах внешние ip(сорри за тавтологию), то правильней всего настроить соединение между офисом и складом через ipsec, поскольку туннель сможет устанавливать любая сторона. Если у вас нет возможности сократить подсеть в основном офисе, то склад нужно перевести в другой диапазон, так чтобы сети не перекрывались, иначе маршрутизация работать не будет.