VPN соединение через Novell Border Manager 3.8

[edos]

Здравствуйте, Всем!!!

Мне в "принудительном" порядке пришлось админить Novell, ест-но разбираюсь я не очень, по этому вопрос может показаться глупым.

Проблема такая: Internet сети дается через BM 3.8. Управляющая контора хочет, чтобы некоторые пользователи сети могли подключаться к ихнему ресурсу по VPN каналу, соединяясь и аунтифицируясь с помощью Cisco VPN client.
Ни как не могу настроить BM для этого соединения. Открыл порты в Filtcfg, прописал в BM Access Rules, что еще можно предпринять?

Заранее СПАСИБО!

[alexp_mac]

Здравствуйте, Всем!!!

Мне в "принудительном" порядке пришлось админить Novell, ест-но разбираюсь я не очень, по этому вопрос может показаться глупым.

Проблема такая: Internet сети дается через BM 3.8. Управляющая контора хочет, чтобы некоторые пользователи сети могли подключаться к ихнему ресурсу по VPN каналу, соединяясь и аунтифицируясь с помощью Cisco VPN client.
Ни как не могу настроить BM для этого соединения. Открыл порты в Filtcfg, прописал в BM Access Rules, что еще можно предпринять?

Заранее СПАСИБО!

cisco клиент с бордером не совместим. Поставьте им бордеровский vpn клиент

[edos]

cisco клиент с бордером не совместим. Поставьте им бордеровский vpn клиент

Дык мне не надо коннектиться к VPN серверу поднятому на бордере.
Мне надо протащить соединение, из моей локалки, от Cisco VPN Client, через бордер в инет, к какому-то VPN серверу, видимо тоже поднятом на Cisco.

[alexp_mac]

cisco клиент с бордером не совместим. Поставьте им бордеровский vpn клиент

Дык мне не надо коннектиться к VPN серверу поднятому на бордере.
Мне надо протащить соединение, из моей локалки, от Cisco VPN Client, через бордер в инет, к какому-то VPN серверу, видимо тоже поднятом на Cisco.

Ну тогде еще проще: открываете фильтрами нужные порты и все. Вы по-конкретнее, а то мне слабо понятно в чем проблема.

[edos]

Ну тогде еще проще: открываете фильтрами нужные порты и все. Вы по-конкретнее, а то мне слабо понятно в чем проблема.

На серваке с бордером я в FiltCfg открыл нужные порты (UDP 4500, UDP 500). И на самом бордере, через NetWare-Administrator, во вкладке BorderManager Access Rules, тоже их открыл.

Не работает!

Из DMZ работает, там на аппаратном фаере 4500 и 500 UDP открыл.

[Владимир Горяев]

Надо NAT, если через filtcfg. Если через прокси, то кроме правил очевидно нужно transparent telnet proxy по нужным портам.

[Сергей.М.]

Ну тогде еще проще: открываете фильтрами нужные порты и все. Вы по-конкретнее, а то мне слабо понятно в чем проблема.

На серваке с бордером я в FiltCfg открыл нужные порты (UDP 4500, UDP 500). И на самом бордере, через NetWare-Administrator, во вкладке BorderManager Access Rules, тоже их открыл.

Не работает!

Из DMZ работает, там на аппаратном фаере 4500 и 500 UDP открыл.

Если вы открыли только 500 порт то во вкладке transport установите Enable Transparent Tunneling (IPSec over UDP (NAT/PAT)).

А вообщето еще нужно открыть esp протокол.

[skoltogyan]

1.
protocol: tcp
port: 353
2.
protocol: udp
port: 353
3.
protocol: 57 (это SKIP протокол)
4.
protocol: 50 (это ESP протокол)
5.
protocol: udp
port 500

[edos]

У меня все выше-перечисленные порты и протоколы открыты, все равно не работает.

Может как нибуть можно пустить это соединения в обход прокси, только через NAT?

У меня на одной машине и прокси и фаер подняты, вот бы как-нить обходя бордера прямо на фаер выходить.

[skoltogyan]

1. не понял сленг в ответе (вернее не понял что хотели сказать).

2. Я Вам предложил в filtcfg создать правила, которые пропускали-бы в ОБЕ СТОРОНЫ эти протоколы и порты (можно пробовать и statefull)

[edos]

1. не понял сленг в ответе (вернее не понял что хотели сказать).

2. Я Вам предложил в filtcfg создать правила, которые пропускали-бы в ОБЕ СТОРОНЫ эти протоколы и порты (можно пробовать и statefull)

В filtcfg все правила прописаны, и даже statefull.
Не пойму в какой последовательности выполняются правила? Сначала BorderManager Access Rules, а потом filtcfg? Или наоборот?

[Boris Morozov]

http://www.hamachi.cc/ - пролазит через все. Хватает даже http прокси.

[Сергей.М.]

У меня все выше-перечисленные порты и протоколы открыты, все равно не работает.

Может как нибуть можно пустить это соединения в обход прокси, только через NAT?

Ну это уж Вам виднее как пустить это соединение в обход прокси.
Cisco VPN Client не работает через прокси-сервер, в принципе.

[Владимир Горяев]

Не пойму в какой последовательности выполняются правила? Сначала BorderManager Access Rules, а потом filtcfg? Или наоборот?

Ну ето 2 большие разницы. Они работают на разных уровнях. Поднимите NAT на внешнем ифейсе BM, открывайте порты и вперед, никакой прокси не нада.
Access Rules относятся к работе через прокси (http, ftp, etc..). В некоторых случаях, напр. когда клиентское приложение не может работать через прокси и жуть как надо чтоб именно через, идут на всякие ухищрения типа вышеуказанного в моем предидущем посте - TTP, Generic Proxy, httport итд...
Т.к. Cisco VPN Client не работает через прокси-сервер, в принципе, остается только NAT.