Главная страница
О проекте Навигация Контакт
Поиск


ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Mark A Bernadiner                    2:5020/400     14 Sep 2007  14:37:41
 To : Victor Sudakov
 Subject : Re: VIPnet
 -------------------------------------------------------------------------------- 
 
 
 "Victor Sudakov" <vas@mpeks.tomsk.su> сообщил/сообщила в новостях следующее:
 news:1187117884@relay.tomsk.ru...
 
 > Mark A Bernadiner wrote:
 > > > > Да, я знаю, что со статическим NAT работает, но хочется заставить
 > > > > работать с динамическим, благо такая функциональность в VIPnet
 
 заявлена
 
 > > >
 > > > Вот выдержки из лога.
 > > >
 > > > %PIX-6-302015: Built outbound UDP connection 714063 for
 
 outside:213.210.72.20/55777 (213.210.72.20/55777) to inside:x.x.x.155/55777
 (y.y.y.190/1162)
 
 > > > %PIX-7-710005: UDP request discarded from 213.210.72.20/55777 to
 
 outside:y.y.y.190/55777
 
 > > > %PIX-7-710005: UDP request discarded from 213.210.72.20/55777 to
 
 outside:y.y.y.190/55777
 
 > > > %PIX-7-710005: UDP request discarded from 213.210.72.20/55777 to
 
 outside:y.y.y.190/55777
 
 > > > %PIX-6-302016: Teardown UDP connection 714063 for
 
 outside:213.210.72.20/55777 to inside:x.x.x.155/55777 duration 0:02:31 bytes
 375
 
 > > >
 > > > IMHO координатор 213.210.72.20 должен бы слать ответы на порт 1162, а
 >
 > > мммм... это почему?
 >
 > Потому что при ответе на UDP пакет адреса и порты должны быть
 > зеркально симметричны. Если запрос ушёл с порта 1162 на порт 55777, то
 > ответ должен уйти с порта 55777 на порт 1162.
 >
 > > мне кажется, что 55777 должно быть... т.е. все правильно.
 >
 > IMHO неправильно. В таблице состояний NAT не будет такой записи,
 > собственно поэтому пакеты discarded.
 >
 > > у випнета, помнится, есть 3 режима работы...
 > > статический, динамический и еще... не помню как называется,
 > > когда там через типа vipnet-концентратор какой-то там.... короче,
 
 видимо, не
 
 > > тот который нам нужен ;-)
 >
 > > насколько я понимаю и помню, динамический  ничем не отличается от
 > > статического, насколько я понял и помню, во всяком случае, я никакой
 > > разницы помнится не заметил...
 >
 > Hасколько я понял, динамический отличается от статического тем, что
 > хотя оба работают по UDP, но в динамическом режиме клиент периодически
 > посылает пакеты, чтобы в nat/firewall поддерживать открытую дырочку.
 
 ммм... помнится и в статическом тоже можно посылать...
 т.е. сказать в випнете статический, посылать периодически пакеты чтобы
 в pix записть трансляции поддерживать и access-list не outside не ставить,
 но какой в этом смысл??? это не прибавляет безопасности никак...
 
 >
 > > не знаю, может быть это как-то на том конце настраивается... х.з.
 > > но на том конце они настраивают статический, видимо...
 >
 > > Кстати, это не с желехной дорогой? не этран ?
 >
 > Hет, пенсионный.
 >
 > > чтобы в access-list на outside не открывать можно сказать, в
 > > випнете, чтобы он периодически посылал пакеты для поддержания
 > > записей в таблице pix, естественно интервал такой посылки должен
 > > быть меньше установленного в пиксе времени старения этой записи...
 >
 > Так что толку поддерживать запись
 > inside          outside
 > x.x.x.155/55777 y.y.y.190/1162
 >
 > если ответ на outside приходит _не_ на 1162.
 >
 > > но чем это будет лучше, чем прописать в access-list на outside??? в
 > > принципе, думается, что ничем...
 >
 > Дело даже не в листе. PIX не знает, что делать с пакетом, пришедшим на
 > y.y.y.190/55777 вместо y.y.y.190/1162. И совершенно прав.
 >
 > > > шлет на 55777. Интересно, лечится ли это.
 >
 > > ну, видимо, так и должно быть...
 >
 > Hе должно так быть. Ты посмотри, как работает любой udp сервис,
 > например DNS или NTP.
 
 ;-) Hет никакой связи!
 Пакеты посылает приложение на той стороне,
 и делает оно это как его запрограммировали и/или настроили.
 В существовании приложений которые посылают udp не с того порта на который
 получают
 нет никакого криминала ;-)
 
 Когда я говорил, что так и должно быть,
 я имел в виду, что у меня было именно так.
 Можно предположить, что это настраивается на той стороне,
 и, можно предположить, что эта настройка на той стороне именно для
 статического режима.
 
 Одним словом, настраивай для статического и не парься ;-)
 девиз "каждому випнет-клиенту - отдельный реальный ip"  в действии.
 > -- 
 > Victor Sudakov,  VAS4-RIPE, VAS47-RIPN
 > 2:5005/49@fidonet http://vas.tomsk.ru/
 --- ifmail v.2.15dev5.4
  * Origin: Demos online service (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 VIPnet   Victor Sudakov   11 Sep 2007 13:23:49 
 Re: VIPnet   Mark A Bernadiner   12 Sep 2007 06:35:28 
 Re: VIPnet   Victor Sudakov   12 Sep 2007 07:58:27 
 Re: VIPnet   Victor Sudakov   13 Sep 2007 13:09:34 
 Re: VIPnet   Mark A Bernadiner   14 Sep 2007 07:42:28 
 Re: VIPnet   Victor Sudakov   14 Sep 2007 12:09:04 
 Re: VIPnet   Mark A Bernadiner   14 Sep 2007 14:37:41 
 Re: VIPnet   Victor Sudakov   14 Sep 2007 17:04:13 
 VIPnet   Anatoly Gerasimov   15 Sep 2007 11:03:02 
 Re: VIPnet   Victor Sudakov   17 Sep 2007 10:40:19 
 VIPnet   Anatoly Gerasimov   18 Sep 2007 05:43:27 
 Re: VIPnet   Victor Sudakov   19 Sep 2007 04:03:04 
 Re: VIPnet   Victor Sudakov   19 Sep 2007 08:52:45 
 VIPnet   Alex Semenyaka   19 Sep 2007 09:47:58 
 VIPnet   Slawa Olhovchenkov   19 Sep 2007 14:51:02 
 Re: VIPnet   Victor Sudakov   20 Sep 2007 09:20:27 
 VIPnet   Slawa Olhovchenkov   20 Sep 2007 12:26:52 
 Re: VIPnet   Victor Sudakov   20 Sep 2007 15:18:12 
 Re: VIPnet   Alexandr Goncharov   03 Oct 2007 07:39:20 
 Re: VIPnet   Dmitry Cherkashin   19 Sep 2007 04:04:14 
 Re: VIPnet   Victor Sudakov   19 Sep 2007 09:56:17 
Архивное /ru.cisco/25789157d82c4.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional