Перейти к контенту

настройка полутуннеля

dreamer
 Поделиться

Рекомендуемые сообщения

dreamer

dreamer

Опубликовано
Опубликовано

Возникла необходимость в предоставлении доступа от АРМ ( 1) с клиентом VipNet  к АРМ (2) без него.

В ЦУС прописал в групповых задачах, на своём координаторе адрес незащищённого АРМ  s:X.X.X.X. Сформировал справочники и  сделал рассылку. На клиентам с VipNet во вкладке туннель появился необходимый адрес, но он не доступен. Пинг не проходит.

Журнал на клиентах показывает что пакеты туда уходят - 40 событие. На координаторе  ( HW1000) в журнале 45 событие с 2 на 1 и 63 с 2 на 1.

Подскажите куда рыть дальше?

Ссылка на комментарий
Поделиться на других сайтах
KIV

KIV

Опубликовано
Опубликовано

Пакеты от АРМ 1 через HW1000 вылетают в сторону АРМ2 с адресами скорее всего виртуальными. Отсюда вопрос на АРМ2 куда смотрит дефолт роут или есть ли роуты для виртуальных IP через HW1000?

Ссылка на комментарий
Поделиться на других сайтах
dreamer

dreamer

Опубликовано
  • Автор
Опубликовано

 

28 минуты назад, KIV сказал:

Пакеты от АРМ 1 через HW1000 вылетают в сторону АРМ2 с адресами скорее всего виртуальными. Отсюда вопрос на АРМ2 куда смотрит дефолт роут или есть ли роуты для виртуальных IP через HW1000?

Не нашёл решения на этот вопрос.

АРМ 2  вообще не видит VIpNet сеть. Нашёл подобную тему с програмным координатором и там добаляли АРМ2 в исключение по фильтру открыторй сети - кривое решение, но как вариант. На HW не нашёл такого в инструкции.

Проверка пинга с любого адреса выдаёт, что проходят пакеты через 10.0.0.130 - что за адрес? Это не сам HW.

4444.JPG

Ссылка на комментарий
Поделиться на других сайтах
KIV

KIV

Опубликовано
Опубликовано

inet show interfaces с hw1000

inet show routing с hw1000

route print - с сервака 10.77.136.100

Адрес 10.0.2.130 - это и есть виртуальный адресклиента, можете найти его в iplir show config

Ссылка на комментарий
Поделиться на других сайтах
dreamer

dreamer

Опубликовано
  • Автор
Опубликовано
16 час назад, KIV сказал:

inet show interfaces с hw1000

inet show routing с hw1000

route print - с сервака 10.77.136.100

Адрес 10.0.2.130 - это и есть виртуальный адресклиента, можете найти его в iplir show config

 

 

туннель1.txt

туннель1.txt

5555.JPG

Ссылка на комментарий
Поделиться на других сайтах
ingenico

ingenico

Опубликовано
Опубликовано

Адрес 10.77.152.50 (внутренний интерфейс Координатора) не является дефолтным роутом для АРМ-2.

Всё ли в порядке у вас с маршрутизацией?

 

Можно попробовать включить правило NAT на Координаторе, чтобы внутри локальной сети все пакеты "ходили" от имени его внутреннего IP.

 

Ссылка на комментарий
Поделиться на других сайтах
dreamer

dreamer

Опубликовано
  • Автор
Опубликовано
2 часа назад, ingenico сказал:

Адрес 10.77.152.50 (внутренний интерфейс Координатора) не является дефолтным роутом для АРМ-2.

Всё ли в порядке у вас с маршрутизацией?

 

Можно попробовать включить правило NAT на Координаторе, чтобы внутри локальной сети все пакеты "ходили" от имени его внутреннего IP.

 

1. АРМ2 не входит в защищённую сеть и у него стандартный шлюз для всех простых АРМ этой сети. Координатор имеет свой отдельный выход в инет.

2. попробую прописать статику ночью.

Ссылка на комментарий
Поделиться на других сайтах
dreamer

dreamer

Опубликовано
  • Автор
Опубликовано

 

21 часа назад, denis.r сказал:

На АРМ 2 добавьте обратный маршрут route add IP-АРМ(1) mask 255.255.255.255 10.77.152.50 

Такой маршрут не добавляется. "либо индекс интерфейса указан не верно, либо шлюз не лежит в той же подсети, что и данный интерфейс.

АРМ1 - 10.77.136.100. АРМ1 и АРМ2 в разных подсетях.

Ссылка на комментарий
Поделиться на других сайтах
ingenico

ingenico

Опубликовано
Опубликовано

Необходимо чтобы обратный пакет из АРМ-2 на ARM-1 обязательно прошел через Координатор.

Как именно это добиться, правкой маршрутизации на самом АРМ-2, изменением маршрутизации в активном сетевом оборудовании сети, решать Вам.

Ссылка на комментарий
Поделиться на других сайтах
dreamer

dreamer

Опубликовано
  • Автор
Опубликовано

По логам на скриншоте пакеты уходят из АРМ1 на АРМ2 и они отображаются на координаторе. Также видно что они возвращаются обратно. Это было изначально. Разве не так?

Ссылка на комментарий
Поделиться на других сайтах
dreamer

dreamer

Опубликовано
  • Автор
Опубликовано

добавил в свойствах интерфейса шлюз второй сети http://prntscr.com/auh3by , но всё равно не добавляется адрес координатора 

Ссылка на комментарий
Поделиться на других сайтах
ingenico

ingenico

Опубликовано
Опубликовано

Два дефолт гетвея - это не по фэншую.

Раз не получается разобраться с маршрутизацией, то можно попробовать добавить на HW1000 правило NAT:
rule= num 10 proto any from IP_АРМ-1 to anyip change src=10.77.152.50:dynamic

IP_АРМ-1 - адрес под которым HW1000 "видит" ваш АРМ-1. Можно глянуть в iplir.conf в секции описывающей АРМ-1 параметр accessip.

Вместо anyip можно прописать конкретный адрес сети или адрес вашего АРМ-2.

Тогда все пакеты от АРМ-1 будут "гулять" по внутренней сети от адреса 10.77.152.50.  А этот адрес скорее всего доступен вашему АРМ-2 с текущей маршрутизацией.

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
 Поделиться
Перейти к списку тем
×
×
  • Создать...

Важная информация

Продолжая пользоваться сайтом вы принимаете Условия использования.

  Я согласен