درود به همه دوستان
مشکل اینجاست که کلاینت های انبار که با کانکشن SSTP بصورت Site2Site و بر بستر اینترنت وصل هستن به دفتر مرکزی وب سایت بانک رو نمی تونن باز کنند.
به محض قطع کانکشن، همه چیز اوکی میشه. به نظرتون چکار باید کرد؟
ممنون
Printable View
درود به همه دوستان
مشکل اینجاست که کلاینت های انبار که با کانکشن SSTP بصورت Site2Site و بر بستر اینترنت وصل هستن به دفتر مرکزی وب سایت بانک رو نمی تونن باز کنند.
به محض قطع کانکشن، همه چیز اوکی میشه. به نظرتون چکار باید کرد؟
ممنون
بعد از برقراری ارتباط احتمالا یک دیفالت روت به سمت کانکشن SSTP زده شده است (ip/route)
این باعث میشه در زمان اتصال تمامی درخواست های اینترنتی کاربران نیز بجای اینکه مستقیم از اینترنت مودم خودشون استخراج بشه ، به سمت دفتر مرکزی بیاد
و چون هدایت و تنظیماتی برای ارائه اینترنت در دفتر مرکزی به کاربران انبار انجام نشده ؛ اینترنت کلاینت های انبار قطع خواهد شد .
راه چاره این هست که دیفالت روت یاد شده را حذف کنید ، اگر به صورت داینامیک ایجاد شده است در بخش اینترفیس ، SSTP Client تیک ADD default Route را بردارید.
سپس در بخش ip/route یک روت و مسیریابی استاتیک مطابق با نیاز خودتون انجام بدین .
به عنوان مثال اگر این ارتباط برای یک اتوماسیون اداری هست در بخش کلاینت این اتوماسیون برای برقراری ارتباط داده ها را به آدرس سرور مثلا 192.168.10.10 ارسال میکند شما مشخص کنید که داده هایی که به این مقصد ارسال میشوند از داخل کانکشن و اینترفیس SSTP Client عبور کنند .
به این شیوه مابقی درخواست ها مستقیم به سمت اینترنت هدایت میشوند و سایت بانک همزمان باز خواهد شد.
[IMG]http://uupload.ir/files/8xe2_0010.png[/IMG]
اگر شبکه داخلی گسترده تر است شما در بخش کلاینت های انبار نیاز به کنترل بسته های عبوری دارید .
میبایست در ip/firewall/mangle رول هایی بنویسید که داده ها با مقصد فلان پورت یا فلان ip یا داده های فلان نرم افزار (جدا سازی با لایه هفت) که همه اینها شبکه داخلی بانک هستند و بصورت محرمانه و داخلی میبایست به سرور اصلی ارتباط داده بشوند مارک گذازی شوند برای مسیریابی .
[IMG]http://uupload.ir/files/dfci_0011.jpg[/IMG]
[IMG]http://uupload.ir/files/0t4q_0012.png[/IMG]
بعد از مارک گذاری تمام داده های شبکه داخلی، در بخش روت مشخص کنید تمام داده های مارک شده از داخل کانکشن شبکه داخلی عبور کند :
[IMG]http://uupload.ir/files/j4ux_0013.jpg[/IMG]
خیلی ممنون از راهنماییتون شاهین عزیز.
من دارم تلاش می کنم بر اساس dst-address اینکار رو انجام بدم.
ولی نمی دونم چرا وقتی یک رول توی منگل تعریف می کنم، ترافیک هایی نشون میده که با اون رول سازگار نیست.
به معنای دقیقتر رول من میگه که ترافیک هایی رو از مارک کن که مقصدشون 192.168.1.0/24 باشه. ولی عملا همه ترافیک، غیر از اونی که توی رول به عنوان شرط گذاشتم داره مارک میشه!
قبل از فیلد یک تیک هست که شکل علامت تعجب میشه ؛ اگه اون تیک فعال باشه نتیجه برعکس میشه .
یعنی میگه همه ترافیک رو بجز این فیلد انتخاب کن .
[IMG]http://uupload.ir/files/1bau_001.png[/IMG]
شما اگه میخواین رولتون همه ترافیک شبکه داخلی 192.168.1.0/24 رو مارک کنه ، باید مانند تصویر تیک جلوی فیلد قرار نگرفته باشه و خالی باشه.