Регистрация...

Eserv Forum / E2 / Eserv 2 support / Eserv 2/99 и VPN клиент Застава

wikipost // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
В связи с законом о защите персональных данных, вышестоящая организация решила заменить доступ к своему web-серверу через инет(с аутентификацией по нашему IP-адресу, логину, паролю), на доступ через VPN канал. Для чего прислали ПО VPN клиент Застава, который соединясь с сервером должен давать доступ к внутренней локальной сетке и возможность подключаться на внутренний ip web 172.16.... Трафик идет по 443 порту.

Опыт использования Eserva в режиме проброса IP адресов и портов для доступа на несколько серверов есть. прекрасно работает.
В Eserv прописал проброс на IP адрес сервера Заставы по UDP портам 500 и 4500. Соответсвенно в настройках Заставы подменил адрес сервера и портов.
Судя по журналу Заставы мой клиент с сервером ЦУП соединяется.

тест ike-scan через проброс 9209 192.168.10.3 дает положительный результат:

Вот только доступ к внутренней локальной сети 172.16... не создается.

telnet 172.16.2.18 443

Подключение к 172.16.2.18...Не удалось открыть подключение к этому узлу, на порт
443: Сбой подключения

Наугад прописал в настройках
    ExternIP: мой внешний IP адрес
    BindRoute: 172.16.2.0 255.255.255.0 192.168.10.3 не помогло.

Из вышестоящей организации на мой вопрос ответили, — мол мы в такой конфигурации (через прокси) Заставу не тестировали, получится — поделись опытом. (умельцы блин, до этого делился опытом, как я ее запускал на виртуальной машине)

Задал вопрос разработчикам Заставы, пока тишина.

Может кто наведет на мысль, в каком направлении копать?
 
Комментарии к этой версии (15.06.2010 10:02) [~atamanovs] f74b3b63
АвторДатаТекстtags
pig15.06.2010 11:00
Мне кажется, что VPN имени Заставы надо поднимать там, где Eserv стоит. И проверить, не сломается ли при этом маршрутизация. Если Застава шлюз по умолчанию не прописывает, то всё должно работать как и раньше.
wikipost
atamanovs16.06.2010 10:17
Поднимал, все работает, но ничего в Route print и ipconfig /all не изменяется.
Проблема в том, что для аутентификации используется индивидуальный ключ rutoken и мне это хозяйство требуется разворачивать на рабочих местах.
Соответственно либо Заставу научить ходить через eserv либо NAT поднимать для организации прямого доступа в инет на этих ПК.
wikipost
pig16.06.2010 20:48
Да, похоже, что без NAT не обойтись
Если только разработчики не расскажут, как они этот канал организуют.
wikipost
Работает на Eserv/5.05555 (05.06.2016)