Перейти к контенту

Рекомендуемые сообщения

Помогите разобраться, сеть двух филиалов 1 и 2 у каждого стоят HW1000, туннели прописаны как на одном, так и на другом HW. Проблема в том, что филиал 1 не видит туннели филиала 2, а филиал 2 видит туннели филиала 1. Где смотреть?

Ссылка на комментарий
Поделиться на других сайтах

 

4 часа назад, Vlad08 сказал:

Где смотреть?

В журнале IP-пакетов. 

Для туннелируемых ресурсов филиала 2 координатор указан шлюзом по умолчанию?

Ссылка на комментарий
Поделиться на других сайтах

Попробуйте прописать туннели в ЦУС, тогда они автоматически будут рассылаться/прописываться вместе со справочниками

Ссылка на комментарий
Поделиться на других сайтах

14 часов назад, denis.r сказал:

 

В журнале IP-пакетов. 

Для туннелируемых ресурсов филиала 2 координатор указан шлюзом по умолчанию?

Да координатор шлюз

Ссылка на комментарий
Поделиться на других сайтах

9 часов назад, dailidenok сказал:

Попробуйте прописать туннели в ЦУС, тогда они автоматически будут рассылаться/прописываться вместе со справочниками

Прописано в ЦУСе для каждого координатора филиал 1,   S:192.168.1.1-192.168.1.50  филиал 2, S:192.0.1.1-192.168.0.50 Справочники доходят в iplir conf в секциях координаторов также прописаны эти туннели

Ссылка на комментарий
Поделиться на других сайтах

36 минуты назад, KIV сказал:

Во второй секции туннелей ничего странного не заметили?

Это я в примере ошибся,на самом деле там один диапазон сети  S:192.0.0.1-192.168.0.50 Извиняюсь, торопился

Ссылка на комментарий
Поделиться на других сайтах

В firewall.conf есть правило для туннелей? (по умолчанию разрешать все). Ну и журнал пакетов все-таки что говорит (событие 45)?

Ссылка на комментарий
Поделиться на других сайтах

Может получиться, что один филиал работает по реальным, а второй на виртуальный.

Проверьте что в HW в конфигарации

Ссылка на комментарий
Поделиться на других сайтах

14 часов назад, dailidenok сказал:

В firewall.conf есть правило для туннелей? (по умолчанию разрешать все). Ну и журнал пакетов все-таки что говорит (событие 45)?

[tunnel]
rule= num 1 proto any from any to any   pass

Ссылка на комментарий
Поделиться на других сайтах

В 07.03.2017в05:07, Vintik сказал:

Может получиться, что один филиал работает по реальным, а второй на виртуальный.

Проверьте что в HW в конфигарации

Оба HW работают по виртуальным адресам. Вот ещё такое увидел, все интерфейсы филиала 2 стоят в третьем режиме, но если с машины администратора посмотреть в ViPNet мониторе филиал 2 вкладка инфо, то там стоит 4 режим, может в этом причина?

Ссылка на комментарий
Поделиться на других сайтах

Странно что они не во втором, ну да ладно. Но всё может.

Если виртуальные то ПИНГуйте их, а не " 192.0.0.1-192.168.0.50" или какие там у вас реальные, а виртуальные.

Ну и как вам подсказали посмотрите iplir view. Если у вас как отписали одни видят дургих, то получается обмен есть,

а дургие на видят потом, что могут стучать на 192.168.1.55, а там он 10.0.1.8.. ну и теряется кто куда.

Кстате сами координаторы между собой связаны или через кого то ходят? У меня было что в цепочки через 1 примерно так же было. потом связал все со всеми))) всё заработало, чудеса да и только)))

Ссылка на комментарий
Поделиться на других сайтах

iplir vi показывает, что ip-адреса которые стучатся из 1 филиала во второй 45 - Encrypted (decrypted) packet of tunneled device, а из второго в первый  40 - Encrypted IP packet allowed

Ссылка на комментарий
Поделиться на других сайтах

1 час назад, KIV сказал:

Версии координаторов можете сказать и iplir show cipher показать. 

филиал 2 ViPNet Coordinator version: 3.7.3-(5761)

филиал 1 ViPNet Coordinator version: 3.7.3-(6888)

 iplir show cipher CTR:counter mode

Ссылка на комментарий
Поделиться на других сайтах

[id]

id= 0x0a9a0017

name= ▒▒▒▒ 1 2 4

filterdefault= pass

ip= 10.65.1.1

ip= 192.168.1.3 

tunnel= 10.65.1.2-10.65.1.24 to 10.65.1.2-10.65.1.24

firewallip= 192.168.1.3 Что тут должно быть eth0 координатора смотрящий наружу, или стат. ip провайдера?

port= 55777

proxyid= 0x00000000

usefirewall= on

fixfirewall= off

virtualip= 10.0.0.1

version= 3.0-670

Ссылка на комментарий
Поделиться на других сайтах

1) С координатора 1 пингуются ли туннели координатора 2?

2) С координатора 2 пингуются ли туннели координатора 1?

3) Прописаны ли маршруты на координаторах? Таблицу маршрутизации с обоих координаторов покажите + интерфейсы и маску сети.

Касаемо вырезки из iplir: По сути тут верный Ip, как я понял это сеть для связи с другим координатором. Оставляйте без изменений.

Так же еще можно сделать "координатор без использования МЭ"

Цитата

Для настройки работы узла ViPNet Coordinator HW без использования межсетевого экрана в файле iplir.conf задайте следующие параметры:
1 В собственной секции [id] установите параметр usefirewall в значение off.
2 В секции [dynamic] установите параметр dynamic_proxy в значение off.
3 Для всех используемых сетевых интерфейсов в секциях [adapter] установите параметр type в значение internal.

Так же можно добавить в iplir первого координатора в строку описывающую второй параметр forcereal= on

Тоже самое для второго. Чтобы принудительно использовать реальные адреса.

Ссылка на комментарий
Поделиться на других сайтах

Нельзя произвольно делать "Без использования МЭ" ни для координатора, ни для клиента.

Установлен перед координаторм шлюз - значит координатор за МЭ. Статическим или динамически - зависит от настроек шлюза.

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...

Важная информация

Продолжая пользоваться сайтом вы принимаете Условия использования.