Ideco NGFW
Скачать PDF
v12
v12
  • Об Ideco UTM
  • Общая информация
    • Лицензирование
    • Источники обновлений данных Ideco UTM
    • Техническая поддержка
      • Информация о поддержке версий Ideco NGFW
  • Установка
    • Создание загрузочного USB flash диска
    • Особенности настроек гипервизоров
    • Процесс установки
    • Первоначальная настройка
  • Настройка
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Управление пользователями
        • Настройка пользователей
        • Пользователи терминального сервера
      • Авторизация пользователей
        • Веб-аутентификация
        • Авторизация через Ideco Agent
        • IP и MAC авторизация
          • Авторизация по IP-адресу
          • Авторизация по MAC-адресу
        • VPN-подключение
          • Ideco VPN-клиент
          • Подключение по PPTP
          • Подключение по PPPoE
          • IPSec IKEv2
          • SSTP
          • L2TP IPSec
          • Личный кабинет пользователя
          • Особенности маршрутизации и организации доступа
          • Инструкция по запуску PowerShell скриптов
        • Фиксированные IP-адреса VPN
      • Интеграция с Active Directory
        • Авторизация пользователей Active Directory
        • Ввод сервера в домен
        • Скрипты автоматической авторизации и разавторизации.
        • Импорт пользователей
      • Обнаружение устройств
      • Wi-Fi-сети
    • Мониторинг
      • Авторизованные пользователи и VPN пользователи
      • Журналы
      • График загруженности
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Syslog
      • Интеграция с Zabbix
    • Правила трафика
      • Файрвол
      • Контроль приложений
      • Контент-фильтр
        • Описание категорий контент-фильтра
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирусы веб-трафика
      • Предотвращение вторжений
      • Объекты
      • Квоты
    • Сервисы
      • Сетевые интерфейсы
        • Настройка Локального Ethernet
        • Настройка Внешнего Ethernet
        • Настройка подключения по PPTP
        • Настройка подключения по L2TP
        • Настройка подключения по PPPoE
        • Подключение по 3G и 4G
      • Балансировка и резервирование
      • Маршрутизация
      • OSPF
      • Прокси
        • Прокси сервер
        • Настройка прокси с одним интерфейсом
        • Исключить IP-адреса из обработки прокси сервером
        • Подключение к внешним ICAP-сервисам
      • Обратный прокси
      • DNS
        • NextDNS
      • DHCP
      • IPSec
        • Филиалы и главный офис
        • Устройства
        • Подключение офисов (site-to-site)
          • Подключение Ideco UTM и Mikrotik
          • Подключение Cisco IOS к Ideco UTM по IPsec
          • Подключение pfSense к Ideco UTM по IPsec
          • Подключение Kerio Control к Ideco UTM по IPsec
          • Подключение Keenetic по SSTP или IPsec
      • Сертификаты
        • Загрузка своего SSL-сертификата на сервер
    • Отчеты
      • Сайты
      • Журнал авторизации
    • Управление сервером
      • Администраторы
      • Кластеризация
      • Автоматическое обновление сервера
      • Резервное копирование
      • Терминал
      • Лицензия
      • Дополнительно
    • Почтовый релей
      • Основные настройки
        • Web-почта
        • Настройка почтового релея
      • Расширенные настройки
        • Настройка домена у регистратора/держателя зоны
      • Антиспам
      • Правила
        • Переадресация почты
      • Почтовая очередь
      • Настройка почтовых клиентов
      • Схема фильтрации почтового трафика
    • Публикация ресурсов
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Интеграция UTM и SkyDNS
  • Обслуживание
    • Управление лицензиями
    • Обновление сервера
    • Регистрация сервера
    • Резервное копирование и восстановление данных
    • Режим удаленного помощника
    • Разрешить интернет всем
    • Удаленный доступ для управления сервером
    • Личный кабинет
  • Популярные инструкции и диагностика проблем
    • Популярные инструкции
      • Инструкции по созданию VPN-подключений
        • Создание VPN-подключения в Ubuntu
        • Создание подключения в Astra Linux
        • Автоматическое создание подключений
        • Создание подключения в Windows 10
        • Создание подключения в Windows 7
        • Создание VPN-подключения на мобильных устройствах
        • Создание подключения в Mac OS
        • Подключение по SSTP Wi-Fi роутеров Keenetic
      • Доступ в удаленные сети через роутер в локальной сети
      • Что делать если ваш IP попал в черные списки DNSBL
      • Как восстановить доступ к Ideco UTM
      • Как восстановиться на прошлую версию после обновления Ideco UTM
      • Проверка настроек фильтрации с помощью security ideco
      • Выбор аппаратной платформы для Ideco UTM
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra linux
      • Перенос данных и настроек на другой сервер
    • Диагностика проблем
      • Ошибка при открытии сайта ERR_CONNECTION_TIMED_OUT или Не открывается сайт
      • Что делать если не работает Интернет
      • Ошибка при авторизации "The browser is outdated"
  • changelog
    • Ideco UTM 12.X
Powered by GitBook
On this page
  • Избавление от непосредственной маршрутизации между роутером и хостами локальной сети.
  • Необходимые настройки на UTM
  • Настройки на клиентских машинах

Was this helpful?

  1. Популярные инструкции и диагностика проблем
  2. Популярные инструкции

Доступ в удаленные сети через роутер в локальной сети

PreviousПодключение по SSTP Wi-Fi роутеров KeeneticNextЧто делать если ваш IP попал в черные списки DNSBL

Last updated 3 months ago

Was this helpful?

Избавление от непосредственной маршрутизации между роутером и хостами локальной сети.

Допустим, в локальной сети UTM есть роутер, устанавливающий связь с другими сетями (часто с помощью туннеля). UTM является шлюзом по умолчанию для клиентов сети. Вы хотите настроить маршрутизацию на UTM так, чтобы клиенты получали доступ в удаленную сеть через роутер. Для этого роутер и клиенты локальной сети UTM должны находиться в разных подсетях. Иначе возникнет эффект асимметричной маршрутизации, при которой часть трафика от клиентов до роутера пойдет через шлюз, а часть будет идти непосредственно от роутера абонентам сети. Разная маршрутизация на разных участках прохождения трафика сделает прохождение пакетов между двумя локальными сетями невозможной.

Вариант неправильной топологии подобной сети, при которой возникает непосредственная или асимметричная маршрутизация между роутером и клиентами локальной сети:

Ideco UTM является шлюзом для локальной сети 10.80.1.0/24. В этой сети имеется роутер с IP-адресом 10.80.1.2, который имеет доступ в удаленную сеть 192.168.10.0/24. Требуется обеспечить доступ хостов сети 10.80.1.0/24 в сеть 192.168.10.0/24 и обратно.

Красной стрелкой обозначена двусторонняя связь роутера с удаленным шлюзом (или тоже роутером), посредством которой обеспечивается доступ к удаленной сети 192.168.10.0/24. Это может быть туннель к шлюзу, расположенному в сети Интернет или маршрут до роутера в соседнюю сеть предприятия.

Синими стрелками обозначены участки прохождения трафика от хостов локальной сети UTM 10.80.1.0/24 до удаленной сети 192.168.10.0/24 через шлюз UTM c IP-адресом 10.80.1.1. Затем через роутер с IP-адресом 10.80.1.2, и участок возвращаемого хостам локальной сети трафика от роутера, минуя UTM, что приводит к непринятию такого трафика хостами локальной сети.

Для того чтобы схема работала правильно необходимо: 1. Вынести роутер в отдельную локальную сеть (DMZ) (например, 10.90.1.0/24), чтобы избежать непосредственной маршрутизации между роутером и клиентами локальной сети. 2. Настроить DMZ на UTM, добавив еще один IP-адрес на локальный интерфейс UTM 10.90.1.1/24, к локальной сети которого подключен роутер. 3. На роутере настроить IP-адрес из адресного пространства новой сети 10.90.1.2. Шлюзом указать дополнительный IP-адрес, настроенный на локальном интерфейсе UTM из этой сети 10.90.1.1.

Физически роутер и клиенты локальной сети будут находиться в одном сегменте, имея при этом разную IP-адресацию и шлюзы.

Также можно физически изолировать локальную сеть клиентов UTM и роутер, подключив к Ideco UTM дополнительную сетевую карту. Настроить на ней дополнительный локальный интерфейс и отдельную IP-адресацию в этой сети. Шлюзом для роутера будет являться адрес, настроенный на дополнительном локальном интерфейсе.

Физически роутер будет находиться в сегменте дополнительной сетевой карты. Но как правило схемы с виртуальной изоляцией сетей на основе одного физического интерфейса достаточно.

Топология сети после организации DMZ на основе создания дополнительной сети 10.90.1.0/24 на локальном интерфейсе UTM представлена на схеме ниже:

Необходимые настройки на UTM

Настройка нескольких виртуальных локальных сетей на одном физическом локальном интерфейсе UTM производится в разделе Сервисы -> Сетевые интерфейсы и выглядит следующим образом:

После изоляции роутера в DMZ нужно указать маршрут на UTM до удаленной сети.

Локальная сеть клиентов имеет адресацию 10.80.1.0/24, адрес роутера в DMZ - 10.90.1.2, а удаленная сеть, к которой у роутера есть доступ, имеет адресацию 192.168.10.0/24. В данном случае маршрут на UTM будет иметь следующие параметры:

  • Назначение (DST): 192.168.10.0/24

  • Шлюз: 10.90.1.2

Также можно добавить Источник (SRC), в нашем случае 10.80.1.0/24, но это не обязательно. Теперь трафик между сетями UTM (10.80.1.0/24 и 192.168.10.0/24) во всех направлениях будет направляться через UTM и роутер.

Всегда избегайте указания сети 0.0.0.0/0 в маршрутах.

Настройки на клиентских машинах

Хосты сетей, которые теперь обслуживает UTM (10.80.1.0/24 и 10.90.1.0/24) физически включены в один ethernet-сегмент. Шлюзом и DNS-сервером для хостов этих сетей является соответствующий своей сети адрес на локальном интерфейсе UTM. Например, для хоста с адресом 10.80.1.10 шлюзом и DNS будет являться 10.80.1.1, а для хоста с адресом 10.90.1.15 шлюзом и DNS будет являться 10.90.1.1.