Jump to content

Recommended Posts

Помогите разобраться, сеть двух филиалов 1 и 2 у каждого стоят HW1000, туннели прописаны как на одном, так и на другом HW. Проблема в том, что филиал 1 не видит туннели филиала 2, а филиал 2 видит туннели филиала 1. Где смотреть?

Share this post


Link to post
Share on other sites

 

4 часа назад, Vlad08 сказал:

Где смотреть?

В журнале IP-пакетов. 

Для туннелируемых ресурсов филиала 2 координатор указан шлюзом по умолчанию?

Share this post


Link to post
Share on other sites

Попробуйте прописать туннели в ЦУС, тогда они автоматически будут рассылаться/прописываться вместе со справочниками

Share this post


Link to post
Share on other sites
14 часов назад, denis.r сказал:

 

В журнале IP-пакетов. 

Для туннелируемых ресурсов филиала 2 координатор указан шлюзом по умолчанию?

Да координатор шлюз

Share this post


Link to post
Share on other sites
9 часов назад, dailidenok сказал:

Попробуйте прописать туннели в ЦУС, тогда они автоматически будут рассылаться/прописываться вместе со справочниками

Прописано в ЦУСе для каждого координатора филиал 1,   S:192.168.1.1-192.168.1.50  филиал 2, S:192.0.1.1-192.168.0.50 Справочники доходят в iplir conf в секциях координаторов также прописаны эти туннели

Share this post


Link to post
Share on other sites

Во второй секции туннелей ничего странного не заметили?

Share this post


Link to post
Share on other sites
36 минуты назад, KIV сказал:

Во второй секции туннелей ничего странного не заметили?

Это я в примере ошибся,на самом деле там один диапазон сети  S:192.0.0.1-192.168.0.50 Извиняюсь, торопился

Share this post


Link to post
Share on other sites

В firewall.conf есть правило для туннелей? (по умолчанию разрешать все). Ну и журнал пакетов все-таки что говорит (событие 45)?

Share this post


Link to post
Share on other sites

Может получиться, что один филиал работает по реальным, а второй на виртуальный.

Проверьте что в HW в конфигарации

Share this post


Link to post
Share on other sites
14 часов назад, dailidenok сказал:

В firewall.conf есть правило для туннелей? (по умолчанию разрешать все). Ну и журнал пакетов все-таки что говорит (событие 45)?

[tunnel]
rule= num 1 proto any from any to any   pass

Share this post


Link to post
Share on other sites
В 07.03.2017в05:07, Vintik сказал:

Может получиться, что один филиал работает по реальным, а второй на виртуальный.

Проверьте что в HW в конфигарации

Оба HW работают по виртуальным адресам. Вот ещё такое увидел, все интерфейсы филиала 2 стоят в третьем режиме, но если с машины администратора посмотреть в ViPNet мониторе филиал 2 вкладка инфо, то там стоит 4 режим, может в этом причина?

Share this post


Link to post
Share on other sites

Странно что они не во втором, ну да ладно. Но всё может.

Если виртуальные то ПИНГуйте их, а не " 192.0.0.1-192.168.0.50" или какие там у вас реальные, а виртуальные.

Ну и как вам подсказали посмотрите iplir view. Если у вас как отписали одни видят дургих, то получается обмен есть,

а дургие на видят потом, что могут стучать на 192.168.1.55, а там он 10.0.1.8.. ну и теряется кто куда.

Кстате сами координаторы между собой связаны или через кого то ходят? У меня было что в цепочки через 1 примерно так же было. потом связал все со всеми))) всё заработало, чудеса да и только)))

Share this post


Link to post
Share on other sites

iplir vi показывает, что ip-адреса которые стучатся из 1 филиала во второй 45 - Encrypted (decrypted) packet of tunneled device, а из второго в первый  40 - Encrypted IP packet allowed

Share this post


Link to post
Share on other sites

Версии координаторов можете сказать и iplir show cipher показать. 

Share this post


Link to post
Share on other sites
1 час назад, KIV сказал:

Версии координаторов можете сказать и iplir show cipher показать. 

филиал 2 ViPNet Coordinator version: 3.7.3-(5761)

филиал 1 ViPNet Coordinator version: 3.7.3-(6888)

 iplir show cipher CTR:counter mode

Share this post


Link to post
Share on other sites

[id]

id= 0x0a9a0017

name= ▒▒▒▒ 1 2 4

filterdefault= pass

ip= 10.65.1.1

ip= 192.168.1.3 

tunnel= 10.65.1.2-10.65.1.24 to 10.65.1.2-10.65.1.24

firewallip= 192.168.1.3 Что тут должно быть eth0 координатора смотрящий наружу, или стат. ip провайдера?

port= 55777

proxyid= 0x00000000

usefirewall= on

fixfirewall= off

virtualip= 10.0.0.1

version= 3.0-670

Share this post


Link to post
Share on other sites

1) С координатора 1 пингуются ли туннели координатора 2?

2) С координатора 2 пингуются ли туннели координатора 1?

3) Прописаны ли маршруты на координаторах? Таблицу маршрутизации с обоих координаторов покажите + интерфейсы и маску сети.

Касаемо вырезки из iplir: По сути тут верный Ip, как я понял это сеть для связи с другим координатором. Оставляйте без изменений.

Так же еще можно сделать "координатор без использования МЭ"

Цитата

Для настройки работы узла ViPNet Coordinator HW без использования межсетевого экрана в файле iplir.conf задайте следующие параметры:
1 В собственной секции [id] установите параметр usefirewall в значение off.
2 В секции [dynamic] установите параметр dynamic_proxy в значение off.
3 Для всех используемых сетевых интерфейсов в секциях [adapter] установите параметр type в значение internal.

Так же можно добавить в iplir первого координатора в строку описывающую второй параметр forcereal= on

Тоже самое для второго. Чтобы принудительно использовать реальные адреса.

Share this post


Link to post
Share on other sites

Нельзя произвольно делать "Без использования МЭ" ни для координатора, ни для клиента.

Установлен перед координаторм шлюз - значит координатор за МЭ. Статическим или динамически - зависит от настроек шлюза.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.