Доступ к сервисам за ФПСУ-IP

[andrew321456]

Настроил тестового клиента (версия 3.1.2). Версия ПО на ФПСУ-IP - 2.50.
На ФПСУ-IP прописал абонента, который будет передаваться клиенту при подключении (192.168.0.50).
Подключаюсь. Все нормально. Идем к сервису (абоненту) - отвечает. Виден шифрованный трафик через ФПСУ по UDP-порту 87.

Но! Есть еще такой же сервис на 192.168.0.53, который клиенту вроде бы нигде не передается, однако данный адрес прописан через настройки "Порты ФПСУ" и вижу, что клиент подключается и к этому сервису (пакеты также идут через ФПСУ, UDP-порт 87) и нормально работает.

Вопрос: каким образом ЭТО умудряется идти через UDP-тунель?
Если бы оно пошло напрямую, я бы понял, ибо так и сделана конфигурация, но почему при включенном VPN-туннеле, сервис для абонента, который не прописан ни в VPN-key, ни отдается автоматически с ФПСУ идет не напрямую, а через VPN-туннель?
Чего я не понимаю?

PS: Еще проверил кое-что. Есть еще сервис на адресе 192.168.5.82, который тоже описан на портах ФПСУ. И он ТАКЖЕ доступен через VPN-туннель, но сервис на 172.16.1.234, который прописан на портах ФПСУ идет мимо туннеля, как и полагается. Отличие, которое между ними существует - сервис на сетях 192.168.0.0 и 192.168.5.0 прописан на портах как отдельные хосты, а сервис на 172.16.1.234, прописан на портах ФПСУ как сеть 172.16.1.0/24. Это что, такой глюк в ПО?
Ну тогда я просто ЩАСЛИФФ от такого удовольствия.

 

[andrew321456]

<r>Господа разработчики и поддержка, все же очень хочется услышать ответ на данный вопрос, а то вкупе с описанием из FPSU_Client_2.4.pdf (4.1.2.2, страница 23):
<QUOTE><s>

</s>
Клиент сможет работать через туннель с МЭ ФПСУ-IP только с теми рабочими
станциями и серверами, чьи IP-адреса явно указаны либо в конфигурации устройства
VPN - Key, либо в конфигурации данного Клиента на принимающем МЭ ФПСУ-IP .<e>

</e></QUOTE>

Становится слишком тоскливо от такого поведения клиента.

Все выглядит как огромная дыра, притом, что эта дыра как со стороны клиента, так и со стороны собственно ФПСУ-IP.</r>

 

[AMI_FMS]

Где вы увидели обмен ФПСУ клиента с абонентом 192.168.0.53? На ФПСУ или в статистике клиента?

Проверьте, отвечает ли данный хост на запросы. Возможно, что вы видите отвергнутые запросы, а не обмен с хостом.

Нужно смотреть внимательно вашу конфигурацию сети и ФПСУ. Возможно, что обращение к хосту происходит в режиме "ретрансляции" а не через клиента ФПСУ.

 

[andrew321456]

<r><QUOTE author="AMI_FMS"><s>

</s>Где вы увидели обмен ФПСУ клиента с абонентом 192.168.0.53? На ФПСУ или в статистике клиента?
<e>

</e></QUOTE>
На промежуточном маршрутизаторе. Через tcpdump.

<QUOTE><s>

</s>
Проверьте, отвечает ли данный хост на запросы. Возможно, что вы видите отвергнутые запросы, а не обмен с хостом.
<e>

</e></QUOTE>
Хм, неужели я так плохо объясняю расклад? Сервис, который предоставляют абоненты _ЗА_ ФПСУ доступен полностью. Там на самом деле Citrix-сервера.

<QUOTE><s>

</s>
Нужно смотреть внимательно вашу конфигурацию сети и ФПСУ.<e>

</e></QUOTE>
Конфигурация проще некуда - на портах прописаны абоненты и ... всё! Никакие "ПАРА_П_ЕТРЫ ДОСТУПА" не заданы. Настроена работа для тестового клиента, которому от ФПСУ передается ОДИН абонент.

<QUOTE><s>

</s>
Возможно, что обращение к хосту происходит в режиме "ретрансляции" а не через клиента ФПСУ.<e>

</e></QUOTE>
При ретрансляции никакого трафика между клиентом и ФПСУ через UDP 87 нет и быть не должно. Отключаем клиента и видим чистый трафик, который идет к ФПСУ.</r>

 

[andrew321456]

<r>А за что отвечает настройка в "Клиентах":
<QUOTE><s>

</s>
Доступ к абонентам
- В режиме Через ФПСУ _Да _Да
- В режиме Ретрансляция _Да _Да
<e>

</e></QUOTE>

Интересует "В режиме Через ФПСУ"?

Это как-то затрагивает абонентов данного ФПСУ или относится к абонентам удаленного ФПСУ, которые доступны через VPN между ФПСУ?

К сожалению, документация не вносит ясности:
<QUOTE><s>

</s><B><s></s>Разрешен доступ к абонентам<e></e></B>
- разрешение МЭ предоставлять клиентам, работающим со стороны
данного порта, доступ к станциям назначения (со стороны любого порта) только в задаваемом режиме. Если режим соединений МЭ с рабочим станциями не регламентируется, отметьте при помощи клавиши <Пробел> оба переключателя. Если ни один переключатель не выставлен , доступ клиентам со стороны данного порта МЭ к другим
рабочим станциям предоставляться не будет.<e>

</e></QUOTE>

Хотя, конечно, если читать описание клиента
<QUOTE><s>

</s>Клиент сможет работать через туннель с МЭ ФПСУ-IP только с теми рабочими
станциями и серверами, чьи IP-адреса явно указаны либо в конфигурации устройства
VPN - Key, либо в конфигурации данного Клиента на принимающем МЭ ФПСУ-IP .<e>

</e></QUOTE>
то тут никаких разночтений нет, хотя, что такое "в конфигурации данного Клиента на принимающем МЭ ФПСУ-IP" тоже можно толковать двояко </r>

 

[vpv]

<r>Просьба уточнить.
1)Какой IP-адрес рабочей станции, на которой установлен тестовый ФПСУ-IP/Клиент (это для наглядности)
2)Имеется ли этот IP-адрес в списке абонентов порта МЭ ФПСУ-IP.
3)В настройках VPN-Key (контекстное меню - настройки VPN-Key - вкладка хосты) какие IP-адреса присутствуют?


<QUOTE><s>

</s>А за что отвечает настройка в "Клиентах":
<<Доступ к абонентам
<<- В режиме Через ФПСУ _Да _Да
<<- В режиме Ретрансляция _Да _Да
Интересует "В режиме Через ФПСУ"? <e>

</e></QUOTE>
Аналогично описанному в документации, пункт "4.2.4.3.1 Описание абонента "Host", начиная со слов "<B><s></s><I><s></s>Режим работы<e></e></I><e></e></B>: "Ретрансляция" .... "

Режим рертансляция, грубо, это следующая схема:
Клиент ------ ФПСУ ----- абонент/хост

режим через ФПСУ это следующая схема:
Клиент ------- ФПСУ ---туннель---- ФПСУ ----- абонент/хост.</r>

 

[andrew321456]

<r><QUOTE author="vpv"><s>

</s>Просьба уточнить.
1)Какой IP-адрес рабочей станции, на которой установлен тестовый ФПСУ-IP/Клиент (это для наглядности)
2)Имеется ли этот IP-адрес в списке абонентов порта МЭ ФПСУ-IP.
3)В настройках VPN-Key (контекстное меню - настройки VPN-Key - вкладка хосты) какие IP-адреса присутствуют?
<e>

</e></QUOTE>
Могу кинуть текстовое описание в личку.
Если совсем просто, то:

[клиент/абонент] --- [router1] --- (1)[ФПСУ-IP](2) --- [router2] --- [сервисы]

На порту1 (условно внешний) описан абонент "Любой адрес", который работает через router1
На порту2 (условно внутренний) описаны сервисы/абоненты. Частично как отдельные хосты, частично как сети. Работают через router2.
Клиенту передается только ОДИН адрес сервиса/абонента, а он умудряется работать со всеми, которые описаны со стороны порта2 как хосты.
Впрочем в первом моем сообщении можно посмотреть еще. Я там старался донести мысль подробно </r>

 

[vpv]

Вышлите описание, если не сложно.

 

[Айдар]

Если доступ разрешен Любому адресу с внешней стороны (по обоим режимам работы с партнером на обоих портах) к адресам прописанным во внутренней сети (если абоненты на внутреннем порту так же прописаны в обоих режимах работы с партнером), и отсутствюут какие либо ПАРАПЕТРЫ (- есть такая ошибка ), то ФПСУ и сам получается работает как роутер

 

[andrew321456]

<r><QUOTE author="Айдар"><s>

</s>Если доступ разрешен Любому адресу с внешней стороны (по обоим режимам работы с партнером на обоих портах) к адресам прописанным во внутренней сети (если абоненты на внутреннем порту так же прописаны в обоих режимах работы с партнером), и отсутствюут какие либо ПАРАПЕТРЫ (- есть такая ошибка ), то ФПСУ и сам получается работает как роутер<e>

</e></QUOTE>

Фактически так, но это только часть общей схемы соединения.
Одних надо пускать напрямую, других только через ФПСУ-клиента.

Речь идет про ФПСУ-IP/клиента, который ведет себя не так, как должен бы по всем описаниям.</r>

 

[Айдар]

вообще стараюсь избегать прописывания "Любой хост" на портах. Это точно дыра.
если использовать ФПСУ как МЭ, для чего собственно он и предназначен, то лучше прописывать хосты и подсети и создавать группы доступа с клиентами (если необходимо).

 

[andrew321456]

<r><QUOTE author="Айдар"><s>

</s>вообще стараюсь избегать прописывания "Любой хост" на портах. Это точно дыра.
если использовать ФПСУ как МЭ, для чего собственно он и предназначен, то лучше прописывать хосты и подсети и создавать группы доступа с клиентами (если необходимо).<e>

</e></QUOTE>

Я в курсе, но сейчас идет обкатка и настройка ПАК. И хождение по щедро разложенным граблям.

PS: Скажу по "секрету", router2 в схеме - это ciscoASA и все на ней давно настроено.</r>

 

[andrew321456]

<r><QUOTE author="vpv"><s>

</s>Вышлите описание, если не сложно.<e>

</e></QUOTE>

Отправлено в личку через форум.</r>

 

[andrew321456]

Есть какие-либо подвижки в выправлении поведения ФПСУ-IP/клиент?

Сейчас более точно проблема обозначилась:

09:52:58.113365 IP 81.176.35.177.1062 > 192.168.5.81.ica: S 735541490:735541490(0) win 64512 <mss 136
0,nop,nop,sackOK>
09:52:58.114543 IP 10.1.0.11.87 > 81.176.35.177.1057: UDP, length 52
09:52:58.114870 IP 81.176.35.177.1057 > 10.1.0.11.87: UDP, length 44
09:52:58.116542 IP 10.1.0.11.87 > 81.176.35.177.1057: UDP, length 50
09:52:58.116898 IP 81.176.35.177.1057 > 10.1.0.11.87: UDP, length 50

Т.е. клиент (81.176.35.177) посылает пакет на адрес (192.168.5.81) мимо туннеля, а уже сам ФПСУ (10.1.0.11) начинает заворачивать трафик в туннель. И далее работа уже идет через туннель.
Причем не играет роли, описан ли абонент как хост, либо как сеть.

 

[andrew321456]

<r>В настройках клиента в списке абонентов был хост 192.168.10.50.
Добавил хост 192.168.5.81 в список абонентов в настройках клиента.
Загрузил конфигурацию.

Теперь соединение на старого абонента (192.168.10.50) идет целиком через шифрованный канал, а на нового абонента (192.168.5.81), как и в сообщении выше, сначала идет нешифрованный SYN-пакет и только потом шифрованный трафик.

Ничего не понимаю <E</E>

PS: Естественно, при подключении клиента, клиент нормально видит оба абонента в списке доступных хостов, передаваемых от ФПСУ.</r>

 

[Alex_]

<r><QUOTE author="andrew321456"><s>

</s>В настройках клиента в списке абонентов был хост 192.168.10.50.
Добавил хост 192.168.5.81 в список абонентов в настройках клиента.
Загрузил конфигурацию.

Теперь соединение на старого абонента (192.168.10.50) идет целиком через шифрованный канал, а на нового абонента (192.168.5.81), как и в сообщении выше, сначала идет нешифрованный SYN-пакет и только потом шифрованный трафик.

Ничего не понимаю <E</E>

PS: Естественно, при подключении клиента, клиент нормально видит оба абонента в списке доступных хостов, передаваемых от ФПСУ.<e>

</e></QUOTE>


Обязательно обновите драйвера для сетевого адаптера. Причина может быть в старых драйверах.</r>

 

[andrew321456]

<r><QUOTE author="Alex_"><s>

</s>
Обязательно обновите драйвера для сетевого адаптера. Причина может быть в старых драйверах.<e>

</e></QUOTE>

Драйверы свежайшие. Еще варианты будут?
Или предлагаете на ФПСУ драйверы обновлять?</r>

 

[Alex_]

Драйвера на ФПСУ обновлять не надо. В том случае если клиент прописан в качестве абонента на ФПСУ, то есть для ФПСУ он является и клиентом и абонентом первый пакет на ФПСУ будет отправлен в незашифрованном виде, ответный пакет от ФПСУ будет направлен в тоннель.

 

[andrew321456]

<r><QUOTE author="Alex_"><s>

</s>Драйвера на ФПСУ обновлять не надо. В том случае если клиент прописан в качестве абонента на ФПСУ, то есть для ФПСУ он является и клиентом и абонентом первый пакет на ФПСУ будет отправлен в незашифрованном виде, ответный пакет от ФПСУ будет направлен в тоннель.<e>

</e></QUOTE>

Как интересно. А вот если поведение разное в зависимости он абонента, который отдается клиенту от ФПСУ это как называется?

Еще раз повторю: с первым абонентом клиент общается ПОЛНОСТЬЮ защищенными пакетами, а со вторым - сначала реальный SYN, а потом ответный UDP.
Я бы сказал, что это ОЧЕНЬ своеобразное поведение. Сплошные особенности.

А если у меня абоненты вообще немаршрутизируемы и работают только для ФПСУ-клиентов?
Мне кажется, что кто-то чего-то недоговаривает.

PS: Для ФПСУ-клиента ВСЁ общение с абонентом ЗАДАННЫМ явно (в ключе или принятым от ФПСУ) должно быть ТОЛЬКО через шифрованный туннель. Иначе это уже не продукт, а поделие.

PPS: Не будем показывать пальцем, но у Cisco в EasyVPN это нормально работает.</r>

 

[Alex_]

Хост 192.168.5.81 у вас передается от ФПСУ? В конфигурации клиента он не прописан?