прога используется для создания шифрованного канала со своим сервером, стоит в локалке за линуховым роутером (сервер во внешнем мире). вот инфа по портам http://www.infosec.ru/themes/default/content.asp?fol…&... . В линухе через SNAT DNAT настроить неполучилось, связь устанавливается но данные не проходят. Когда соединяшься через модем, с получением реального ip все работает... http://forum.ixbt.com/topic.cgi?id=7:27738 вот здесь чел ответил что через binat в pf на фре работает худо бедно... А под линуксом как?...
попробуй
iptables -I FORWARD -p 250 -j ACCEPT
iptables -t nat -I POSTROUTING -o $extif -p 250 -j SNAT xx
iptables -t nat -I PREROUTING -i $extif -p 250 -j DNAT $localip
>попробуй
>iptables -I FORWARD -p 250 -j ACCEPT
>iptables -t nat -I POSTROUTING -o $extif -p 250 -j
>SNAT xx
>iptables -t nat -I PREROUTING -i $extif -p 250 -j
>DNAT $localipспасибо за ответ, не работает к сожалению...
Народ, а этот самый binat в pf чем принципиально отличается от NAT в iptables ?
Может модули какие есть или таргеты хитрые для iptables?
У меня вот какая проблема с Континентом: после установки этой программы отрубается доступ пользователя в локальную сеть, точнее его никто не видет, да же сервер, пинга до него нет, хотя с самой машинке пинг есть до любого узла сети, но не пускает ни в инет ни к другим машинам в сети, такое ощущение что брэндмауэр включен. Подскажите что делать второй день уже бьюсь.
>У меня вот какая проблема с Континентом: после установки этой программы отрубается
>доступ пользователя в локальную сеть.В настройках Континента-АП на вкладке "Общие" сними галочку с "Запретить незащищенные соединения на время сеанса связи".
>В настройках Континента-АП на вкладке "Общие" сними галочку с "Запретить незащищенные соединения
>на время сеанса связи".А если такой галочки не имеется там? Что можно придумать?
>прога используется для создания шифрованного канала со своим сервером, стоит в локалке
>за линуховым роутером (сервер во внешнем мире). вот инфа по портам
>http://www.infosec.ru/themes/default/content.asp?fol…&... . В линухе через SNAT DNAT настроить неполучилось, связь устанавливается
>но данные не проходят. Когда соединяшься через модем, с получением реального
>ip все работает... http://forum.ixbt.com/topic.cgi?id=7:27738 вот здесь чел ответил что через binat
>в pf на фре работает худо бедно... А под линуксом как?...
>Сталкивались.
Правда с pf на фре:nat on $tun_if from $LAN_IP to xx.xx.xx.xx -> $tun_ip
rdr on $tun_if proto IP250 to $tun_if -> $LAN_IPв /etc/protocols при этом должен быть описан протокол IP250
IP250 250 IP250 # Infosec VPN Protocol [non IANA]В linux iptables, имхо, тоже сможет, после параметра -p нужно написать 250. Должно работать.
А вот на Cisco не получилось :(
Если есть мысли у кого, пожалуйста, поделитесь.
такая проблема. после установки соединение, спустя секунд 10-15 комп уходит в ребут без bsod (птичка (авторебут снята winXP)
кто сталкивался? прошу отписаться. заранее спасибо.
> такая проблема. после установки соединение, спустя секунд 10-15 комп уходит в ребут
> без bsod (птичка (авторебут снята winXP)
> кто сталкивался? прошу отписаться. заранее спасибо.Причины ребутов могут быть такие, например:
1. На том же компе установлено ПО, работающее с сетью (сниффер, антивирус, межсетевой экран).
2. Слишком старый драйвер сетевой карты.
3. Не установлены последние апдейты ОС.АП какой версии вы используете?
>> такая проблема. после установки соединение, спустя секунд 10-15 комп уходит в ребут
>> без bsod (птичка (авторебут снята winXP)
>> кто сталкивался? прошу отписаться. заранее спасибо.
> Причины ребутов могут быть такие, например:
> 1. На том же компе установлено ПО, работающее с сетью (сниффер, антивирус,
> межсетевой экран).
> 2. Слишком старый драйвер сетевой карты.
> 3. Не установлены последние апдейты ОС.
> АП какой версии вы используете?Здравствуйте.
АП 3,3,15,7
криптопроcsp 3,0,3,3300,3испробовано на 3х машинах. одно и тоже.
подключаюсь к серверу, проходит минута (+- 4 сек) и ребут.
разраб естественно говорит, что конфликт аппаратного обеспечения и дает советы, которые не дают результата.
сама же программа АП ничего не фиксирует. никаких ощибок и тд.а сейчас после очередного ребута вообще ошибку выдает "неправильный параметр набора ключей"
на первой машине такой ошибки нет, но ребуты остаются.
>[оверквотинг удален]
> Здравствуйте.
> АП 3,3,15,7
> криптопроcsp 3,0,3,3300,3
> испробовано на 3х машинах. одно и тоже.
> подключаюсь к серверу, проходит минута (+- 4 сек) и ребут.
> разраб естественно говорит, что конфликт аппаратного обеспечения и дает советы, которые
> не дают результата.
> сама же программа АП ничего не фиксирует. никаких ощибок и тд.
> а сейчас после очередного ребута вообще ошибку выдает "неправильный параметр набора ключей"
> на первой машине такой ошибки нет, но ребуты остаются.Вообще нужны дампы, конфигурация машины (отчёт Everest), журналы АП и СД. А переход на более свежую версию поможет? Всё-таки 3.3 была выпущена года 3 назад...
есть ещё сайт пользователей http://groups.google.com/group/sc-continent/topics?hl=ru, может там ответят?
>[оверквотинг удален]
>> разраб естественно говорит, что конфликт аппаратного обеспечения и дает советы, которые
>> не дают результата.
>> сама же программа АП ничего не фиксирует. никаких ощибок и тд.
>> а сейчас после очередного ребута вообще ошибку выдает "неправильный параметр набора ключей"
>> на первой машине такой ошибки нет, но ребуты остаются.
> Вообще нужны дампы, конфигурация машины (отчёт Everest), журналы АП и СД. А
> переход на более свежую версию поможет? Всё-таки 3.3 была выпущена года
> 3 назад...
> есть ещё сайт пользователей http://groups.google.com/group/sc-continent/topics?hl=ru,
> может там ответят?спасибо. на 2к все работает. на XP были ребуты. нашли старую версию. 3,3,15,2
ребуты пропали, но теперь спустя 40 секунд обрыв связи без указания ошибки. на криптошлюзе отображается, как таймаут. вторую неделю дур дом!
Снифером надо дампы смотреть на компьютере с АП. Надо понять, что происходит со служебным трафиком, по которому СД судит об активности АП. То ли АП не отправляет нужные пакеты, то ли до СД не доходят какие-то пакеты, то ли АП отправляет неправильные пакеты. В общем, вариантов много.
Можно еще проверить сроки действия всех сертификатов (пользовательский, корневой, серверный).
Как вариант, можно попробовать переиздать сертификат пользователя АП, вдруг формат кривой и СД этот АП отрубает.
Кстати, не сообщили, версия СД какая? Какой канал между АП и СД (выделенная линия, модем или прямое соединение), скорость соединения?
Лучше все эти сведения сразу представить в тех.поддержку.
>[оверквотинг удален]
> со служебным трафиком, по которому СД судит об активности АП. То
> ли АП не отправляет нужные пакеты, то ли до СД не
> доходят какие-то пакеты, то ли АП отправляет неправильные пакеты. В общем,
> вариантов много.
> Можно еще проверить сроки действия всех сертификатов (пользовательский, корневой, серверный).
> Как вариант, можно попробовать переиздать сертификат пользователя АП, вдруг формат кривой
> и СД этот АП отрубает.
> Кстати, не сообщили, версия СД какая? Какой канал между АП и СД
> (выделенная линия, модем или прямое соединение), скорость соединения?
> Лучше все эти сведения сразу представить в тех.поддержку.в общем все подозрения на ненастроенный криптошлюз. сертификаты свежие. пробовал 2 разных набора. (переиздавались)
дампы разраб смотрел. падал драйвер модема ППП.в общемс странно одно. под win 2k пинги ходили, и все было гуд. как только XP на том же конфиге, то ничего.
сегодня буду терроризировать алминов на криптошлюзе.