Возможна ли такая схема подключения Kerio + Vipnet coordinator?

Question

[Drawn]

Собственно, необходимо организовать связь между двумя филиалами
Подскажите рабочая ли будет данная схема если VipNet coordinator воткнуть перед Kerio или он должен идти за Керио, а также есть ли необходимость в пробросе каких либо заводских портов VipNet coordinator(т.к. в инструкции ни чего не сказано за это).

Answer 1

[AntHTML]

Смотря что Вы хотите получить и что требует ваша ИБ.
1. Если нужен ГОСТ канал между филиалами, то провайдера в wan випнет, керио в lan vipnet.
2. Если нужен интернет и канал связи, то можно подключать и как в 1м варианте, с пробросом портов, и в варианте router-on-stik, т.е. в третий порт керио и заворачивать на него только трафик для впна.
3. Ставить випнет внутри сети и персонально заворачивать нужный трафик.

Comments

[Drawn]

Если выбирать 1-й вариант.
То есть беру вытыкаю из керио там где ранее был WAN втыкаю его в порт с Lan випнет
и схема получается следующая:
Провайдер<->1port VipNet
KerioWan(Бывший)->2-й порт Lan VipNet
KerioLan -> SNR коммутаторы
такая схема?

[AntHTML]

Drawn, Да, получается основным роутером будет випнет, на нем приземляем (расшифровываем) vpn, и на керио отправляем уже чистый трафик.

[Drawn]

AntHTML, а для впн подключения KerioVPN судя по всему уже не подойдёт, я пытался подключиться не удаётся теперь установить соединение с KerioVPn, то есть придётся использовать vipnet client?

[AntHTML]

Drawn, Начните с того "Для чего нужен vipnet?"
Если Вам нужен ГОСТ канал между филлиалами, то его даст только випнет, хотя встречался с решениями использующими (условно vpn керио поверх впна vipnet для увеличения уровня защиты)
Если нужно использовать и то и то, то тут уже нужно рассматривать маршрутизацию. Пробрасывать порты через випнет на керио и с керио на випнет. Но тогда випнет лучше устанавливать аппаратной шифровалкой к керио в режиме Router-on-a-Stick

[Drawn]

AntHTML, Подскажите ещё, если стоит такая схема как в посте темы, но хочу перевести в другую подсеть все Армы, т.к. контроллер домена один и в лишний раз чтобы не «оподливится» завёл ещё один КД но уже в той подсети на которую планирую перевести 172.16.25.х , а с него не могу пропинговать 192.168.0.х , где нужно установить правильную переадресацию (или прокинуть роуты) на керио, между первым и вторым DC?

[AntHTML]

Drawn, Все зависит от того как настроен роутинг на випнете и керио, но скорее нужно на керио и на випе настраивать маршрутизацию в сеть 172.16.25 и обратно в 192.168.0 через 172.16.26

[Drawn]

AntHTML, ну смотри172.16.26.1 порт воткнут от випнет напрямую в коммутаторы, и если сеть перевести в диапазон 172.16.26.0 все работает, а 172.16.25.1 он проходит через керио, и следовательно, если я начинаю статически переводить компы в эту подсеть, "Неопознанная сеть" то есть как в керио тогда прописать этот самый роутинг.