Организация доступа к серверу ТФОМС (госпитализация).
Добавлено: 29 авг 2014, 13:50
В этом топике опишу проблемы, с которыми приходилось сталкиваться при организации доступа к сервису госпитализации ТФОМС, и пути их решенияя.
Зачем это нужно.
Предполагается, что защищенная сеть скоммутирована и сконфигурирована в соответствии с типовой схемой, и Вы знакомы с этой схемой.
И еще небольшая оговорка - этот пост не касается настроек координатора. Предполагается, что его настройки тоже типовые и произведены корректно.
О настройке маршрутизаторов и коммутаторов можно прочитать тут и тут.
Исходные данные (для примера):
1. MPLS network - 172.16.16.0/29, на порту ЛПУ 172.16.16.1, на порту провайдера 172.16.16.6
2. LPU network - 192.168.1.0/24 GW - 192.168.1.1
3. TERMINALS network - 10.10.10.0/24
4. VIPNET network - 10.210.10.0/28
Для организации доступа к ресурсам ТФОМС дребуется выполнить 2 условия:
1. У координатора должен быть доступ в сеть Интернет через интерфейс eth0. Маршрут координатора в Интернет должен быть такой: Координатор -> Juniper SRX -> Маршрутизатор ЛПУ;
2. Входящие UDP пакеты по портам 2046 и 55777 из сети Интернет должны транслироваться на координатор.
Если в качестве шлюза в Интернет используется обычный SOHO router, то в 99% случаев достаточно настроить проброс указанных выше портов на виртуальный адрес SRX`ов (vrrp-group 4, в данном примере 192.168.0.254).
А вот в случаях, когда шлюзом работает железка поумнее, могут понадобиться дополнительные настройки.
Итак, возможные проблемы:
С Juniper`ов SRX100 нет доступа в Интернет.
1.Если нет пинга до маршрутизатора ЛПУ (192.168.1.1), необходимо проверить коммутацию и настройки SRX`ов на предмет корректности адресов на портах fe-0/0/1.
2.Если пинг до маршрутизатора есть, но в интернет не выходит - проверьте маршрут по умолчанию на SRX`ах и настройки маршрутизатора на предмет запрещающих правил.
С координатора нет доступа в Интернет.
Тут возможны несколько проблем:
1. На роутере ЛПУ не настроен Source NAT для подсети 10.210.10.0/28;
В этом случае необходимо добавить правило для указанной подсети.
2. На SRX`ах некорректно настроен static nat для зоны inet.
Пример корректной настройки приведен тут.
Зачем это нужно.
Предполагается, что защищенная сеть скоммутирована и сконфигурирована в соответствии с типовой схемой, и Вы знакомы с этой схемой.
И еще небольшая оговорка - этот пост не касается настроек координатора. Предполагается, что его настройки тоже типовые и произведены корректно.
О настройке маршрутизаторов и коммутаторов можно прочитать тут и тут.
Исходные данные (для примера):
1. MPLS network - 172.16.16.0/29, на порту ЛПУ 172.16.16.1, на порту провайдера 172.16.16.6
2. LPU network - 192.168.1.0/24 GW - 192.168.1.1
3. TERMINALS network - 10.10.10.0/24
4. VIPNET network - 10.210.10.0/28
Для организации доступа к ресурсам ТФОМС дребуется выполнить 2 условия:
1. У координатора должен быть доступ в сеть Интернет через интерфейс eth0. Маршрут координатора в Интернет должен быть такой: Координатор -> Juniper SRX -> Маршрутизатор ЛПУ;
2. Входящие UDP пакеты по портам 2046 и 55777 из сети Интернет должны транслироваться на координатор.
Если в качестве шлюза в Интернет используется обычный SOHO router, то в 99% случаев достаточно настроить проброс указанных выше портов на виртуальный адрес SRX`ов (vrrp-group 4, в данном примере 192.168.0.254).
А вот в случаях, когда шлюзом работает железка поумнее, могут понадобиться дополнительные настройки.
Итак, возможные проблемы:
С Juniper`ов SRX100 нет доступа в Интернет.
1.Если нет пинга до маршрутизатора ЛПУ (192.168.1.1), необходимо проверить коммутацию и настройки SRX`ов на предмет корректности адресов на портах fe-0/0/1.
2.Если пинг до маршрутизатора есть, но в интернет не выходит - проверьте маршрут по умолчанию на SRX`ах и настройки маршрутизатора на предмет запрещающих правил.
С координатора нет доступа в Интернет.
Тут возможны несколько проблем:
1. На роутере ЛПУ не настроен Source NAT для подсети 10.210.10.0/28;
В этом случае необходимо добавить правило для указанной подсети.
2. На SRX`ах некорректно настроен static nat для зоны inet.
Пример корректной настройки приведен тут.