Jump to content

Recommended Posts

Возникла необходимость в предоставлении доступа от АРМ ( 1) с клиентом VipNet  к АРМ (2) без него.

В ЦУС прописал в групповых задачах, на своём координаторе адрес незащищённого АРМ  s:X.X.X.X. Сформировал справочники и  сделал рассылку. На клиентам с VipNet во вкладке туннель появился необходимый адрес, но он не доступен. Пинг не проходит.

Журнал на клиентах показывает что пакеты туда уходят - 40 событие. На координаторе  ( HW1000) в журнале 45 событие с 2 на 1 и 63 с 2 на 1.

Подскажите куда рыть дальше?

Share this post


Link to post
Share on other sites

Пакеты от АРМ 1 через HW1000 вылетают в сторону АРМ2 с адресами скорее всего виртуальными. Отсюда вопрос на АРМ2 куда смотрит дефолт роут или есть ли роуты для виртуальных IP через HW1000?

Share this post


Link to post
Share on other sites

 

28 минуты назад, KIV сказал:

Пакеты от АРМ 1 через HW1000 вылетают в сторону АРМ2 с адресами скорее всего виртуальными. Отсюда вопрос на АРМ2 куда смотрит дефолт роут или есть ли роуты для виртуальных IP через HW1000?

Не нашёл решения на этот вопрос.

АРМ 2  вообще не видит VIpNet сеть. Нашёл подобную тему с програмным координатором и там добаляли АРМ2 в исключение по фильтру открыторй сети - кривое решение, но как вариант. На HW не нашёл такого в инструкции.

Проверка пинга с любого адреса выдаёт, что проходят пакеты через 10.0.0.130 - что за адрес? Это не сам HW.

4444.JPG

Share this post


Link to post
Share on other sites

inet show interfaces с hw1000

inet show routing с hw1000

route print - с сервака 10.77.136.100

Адрес 10.0.2.130 - это и есть виртуальный адресклиента, можете найти его в iplir show config

Share this post


Link to post
Share on other sites
16 час назад, KIV сказал:

inet show interfaces с hw1000

inet show routing с hw1000

route print - с сервака 10.77.136.100

Адрес 10.0.2.130 - это и есть виртуальный адресклиента, можете найти его в iplir show config

 

 

туннель1.txt

туннель1.txt

5555.JPG

Share this post


Link to post
Share on other sites

Адрес 10.77.152.50 (внутренний интерфейс Координатора) не является дефолтным роутом для АРМ-2.

Всё ли в порядке у вас с маршрутизацией?

 

Можно попробовать включить правило NAT на Координаторе, чтобы внутри локальной сети все пакеты "ходили" от имени его внутреннего IP.

 

Share this post


Link to post
Share on other sites
2 часа назад, ingenico сказал:

Адрес 10.77.152.50 (внутренний интерфейс Координатора) не является дефолтным роутом для АРМ-2.

Всё ли в порядке у вас с маршрутизацией?

 

Можно попробовать включить правило NAT на Координаторе, чтобы внутри локальной сети все пакеты "ходили" от имени его внутреннего IP.

 

1. АРМ2 не входит в защищённую сеть и у него стандартный шлюз для всех простых АРМ этой сети. Координатор имеет свой отдельный выход в инет.

2. попробую прописать статику ночью.

Share this post


Link to post
Share on other sites

 

21 часа назад, denis.r сказал:

На АРМ 2 добавьте обратный маршрут route add IP-АРМ(1) mask 255.255.255.255 10.77.152.50 

Такой маршрут не добавляется. "либо индекс интерфейса указан не верно, либо шлюз не лежит в той же подсети, что и данный интерфейс.

АРМ1 - 10.77.136.100. АРМ1 и АРМ2 в разных подсетях.

Share this post


Link to post
Share on other sites

Необходимо чтобы обратный пакет из АРМ-2 на ARM-1 обязательно прошел через Координатор.

Как именно это добиться, правкой маршрутизации на самом АРМ-2, изменением маршрутизации в активном сетевом оборудовании сети, решать Вам.

Share this post


Link to post
Share on other sites

По логам на скриншоте пакеты уходят из АРМ1 на АРМ2 и они отображаются на координаторе. Также видно что они возвращаются обратно. Это было изначально. Разве не так?

Share this post


Link to post
Share on other sites
4 часа назад, dreamer сказал:

Также видно что они возвращаются обратно.

Где это видно?

Share this post


Link to post
Share on other sites

Два дефолт гетвея - это не по фэншую.

Раз не получается разобраться с маршрутизацией, то можно попробовать добавить на HW1000 правило NAT:
rule= num 10 proto any from IP_АРМ-1 to anyip change src=10.77.152.50:dynamic

IP_АРМ-1 - адрес под которым HW1000 "видит" ваш АРМ-1. Можно глянуть в iplir.conf в секции описывающей АРМ-1 параметр accessip.

Вместо anyip можно прописать конкретный адрес сети или адрес вашего АРМ-2.

Тогда все пакеты от АРМ-1 будут "гулять" по внутренней сети от адреса 10.77.152.50.  А этот адрес скорее всего доступен вашему АРМ-2 с текущей маршрутизацией.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.