Туннели работают, только в одну сторону

[Vlad08 0]

Помогите разобраться, сеть двух филиалов 1 и 2 у каждого стоят HW1000, туннели прописаны как на одном, так и на другом HW. Проблема в том, что филиал 1 не видит туннели филиала 2, а филиал 2 видит туннели филиала 1. Где смотреть?

[denis.r 0]

 

4 часа назад, Vlad08 сказал:

Где смотреть?

В журнале IP-пакетов. 

Для туннелируемых ресурсов филиала 2 координатор указан шлюзом по умолчанию?

[dailidenok 0]

Попробуйте прописать туннели в ЦУС, тогда они автоматически будут рассылаться/прописываться вместе со справочниками

[Vlad08 0]

14 часов назад, denis.r сказал:

 

В журнале IP-пакетов. 

Для туннелируемых ресурсов филиала 2 координатор указан шлюзом по умолчанию?

Да координатор шлюз

[Vlad08 0]

9 часов назад, dailidenok сказал:

Попробуйте прописать туннели в ЦУС, тогда они автоматически будут рассылаться/прописываться вместе со справочниками

Прописано в ЦУСе для каждого координатора филиал 1,   S:192.168.1.1-192.168.1.50  филиал 2, S:192.0.1.1-192.168.0.50 Справочники доходят в iplir conf в секциях координаторов также прописаны эти туннели

[KIV 0]

Во второй секции туннелей ничего странного не заметили?

[Vlad08 0]

36 минуты назад, KIV сказал:

Во второй секции туннелей ничего странного не заметили?

Это я в примере ошибся,на самом деле там один диапазон сети  S:192.0.0.1-192.168.0.50 Извиняюсь, торопился

[Vlad08 0]

S:192.168.0.1-192.168.0.50

[dailidenok 0]

В firewall.conf есть правило для туннелей? (по умолчанию разрешать все). Ну и журнал пакетов все-таки что говорит (событие 45)?

[Vintik 0]

Может получиться, что один филиал работает по реальным, а второй на виртуальный.

Проверьте что в HW в конфигарации

[Vlad08 0]

14 часов назад, dailidenok сказал:

В firewall.conf есть правило для туннелей? (по умолчанию разрешать все). Ну и журнал пакетов все-таки что говорит (событие 45)?

[tunnel]
rule= num 1 proto any from any to any   pass

[Vlad08 0]

В 07.03.2017в05:07, Vintik сказал:

Может получиться, что один филиал работает по реальным, а второй на виртуальный.

Проверьте что в HW в конфигарации

Оба HW работают по виртуальным адресам. Вот ещё такое увидел, все интерфейсы филиала 2 стоят в третьем режиме, но если с машины администратора посмотреть в ViPNet мониторе филиал 2 вкладка инфо, то там стоит 4 режим, может в этом причина?

[Vintik 0]

Странно что они не во втором, ну да ладно. Но всё может.

Если виртуальные то ПИНГуйте их, а не " 192.0.0.1-192.168.0.50" или какие там у вас реальные, а виртуальные.

Ну и как вам подсказали посмотрите iplir view. Если у вас как отписали одни видят дургих, то получается обмен есть,

а дургие на видят потом, что могут стучать на 192.168.1.55, а там он 10.0.1.8.. ну и теряется кто куда.

Кстате сами координаторы между собой связаны или через кого то ходят? У меня было что в цепочки через 1 примерно так же было. потом связал все со всеми))) всё заработало, чудеса да и только)))

[Vlad08 0]

iplir vi показывает, что ip-адреса которые стучатся из 1 филиала во второй 45 - Encrypted (decrypted) packet of tunneled device, а из второго в первый  40 - Encrypted IP packet allowed

[KIV 0]

Версии координаторов можете сказать и iplir show cipher показать. 

[Vlad08 0]

1 час назад, KIV сказал:

Версии координаторов можете сказать и iplir show cipher показать. 

филиал 2 ViPNet Coordinator version: 3.7.3-(5761)

филиал 1 ViPNet Coordinator version: 3.7.3-(6888)

 iplir show cipher CTR:counter mode

[Vlad08 0]

[id]

id= 0x0a9a0017

name= ▒▒▒▒ 1 2 4

filterdefault= pass

ip= 10.65.1.1

ip= 192.168.1.3 

tunnel= 10.65.1.2-10.65.1.24 to 10.65.1.2-10.65.1.24

firewallip= 192.168.1.3 Что тут должно быть eth0 координатора смотрящий наружу, или стат. ip провайдера?

port= 55777

proxyid= 0x00000000

usefirewall= on

fixfirewall= off

virtualip= 10.0.0.1

version= 3.0-670

[spec89 0]

1) С координатора 1 пингуются ли туннели координатора 2?

2) С координатора 2 пингуются ли туннели координатора 1?

3) Прописаны ли маршруты на координаторах? Таблицу маршрутизации с обоих координаторов покажите + интерфейсы и маску сети.

Касаемо вырезки из iplir: По сути тут верный Ip, как я понял это сеть для связи с другим координатором. Оставляйте без изменений.

Так же еще можно сделать "координатор без использования МЭ"

Цитата

Для настройки работы узла ViPNet Coordinator HW без использования межсетевого экрана в файле iplir.conf задайте следующие параметры:
1 В собственной секции [id] установите параметр usefirewall в значение off.
2 В секции [dynamic] установите параметр dynamic_proxy в значение off.
3 Для всех используемых сетевых интерфейсов в секциях [adapter] установите параметр type в значение internal.

Так же можно добавить в iplir первого координатора в строку описывающую второй параметр forcereal= on

Тоже самое для второго. Чтобы принудительно использовать реальные адреса.

[basid 0]

Нельзя произвольно делать "Без использования МЭ" ни для координатора, ни для клиента.

Установлен перед координаторм шлюз - значит координатор за МЭ. Статическим или динамически - зависит от настроек шлюза.