Vlad08 Опубликовано 6 Марта 2017 Жалоба Поделиться Опубликовано 6 Марта 2017 Помогите разобраться, сеть двух филиалов 1 и 2 у каждого стоят HW1000, туннели прописаны как на одном, так и на другом HW. Проблема в том, что филиал 1 не видит туннели филиала 2, а филиал 2 видит туннели филиала 1. Где смотреть? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
denis.r Опубликовано 6 Марта 2017 Жалоба Поделиться Опубликовано 6 Марта 2017 4 часа назад, Vlad08 сказал: Где смотреть? В журнале IP-пакетов. Для туннелируемых ресурсов филиала 2 координатор указан шлюзом по умолчанию? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
dailidenok Опубликовано 6 Марта 2017 Жалоба Поделиться Опубликовано 6 Марта 2017 Попробуйте прописать туннели в ЦУС, тогда они автоматически будут рассылаться/прописываться вместе со справочниками Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vlad08 Опубликовано 6 Марта 2017 Автор Жалоба Поделиться Опубликовано 6 Марта 2017 14 часов назад, denis.r сказал: В журнале IP-пакетов. Для туннелируемых ресурсов филиала 2 координатор указан шлюзом по умолчанию? Да координатор шлюз Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vlad08 Опубликовано 6 Марта 2017 Автор Жалоба Поделиться Опубликовано 6 Марта 2017 9 часов назад, dailidenok сказал: Попробуйте прописать туннели в ЦУС, тогда они автоматически будут рассылаться/прописываться вместе со справочниками Прописано в ЦУСе для каждого координатора филиал 1, S:192.168.1.1-192.168.1.50 филиал 2, S:192.0.1.1-192.168.0.50 Справочники доходят в iplir conf в секциях координаторов также прописаны эти туннели Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KIV Опубликовано 7 Марта 2017 Жалоба Поделиться Опубликовано 7 Марта 2017 Во второй секции туннелей ничего странного не заметили? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vlad08 Опубликовано 7 Марта 2017 Автор Жалоба Поделиться Опубликовано 7 Марта 2017 36 минуты назад, KIV сказал: Во второй секции туннелей ничего странного не заметили? Это я в примере ошибся,на самом деле там один диапазон сети S:192.0.0.1-192.168.0.50 Извиняюсь, торопился Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vlad08 Опубликовано 7 Марта 2017 Автор Жалоба Поделиться Опубликовано 7 Марта 2017 S:192.168.0.1-192.168.0.50 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
dailidenok Опубликовано 7 Марта 2017 Жалоба Поделиться Опубликовано 7 Марта 2017 В firewall.conf есть правило для туннелей? (по умолчанию разрешать все). Ну и журнал пакетов все-таки что говорит (событие 45)? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vintik Опубликовано 7 Марта 2017 Жалоба Поделиться Опубликовано 7 Марта 2017 Может получиться, что один филиал работает по реальным, а второй на виртуальный. Проверьте что в HW в конфигарации Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vlad08 Опубликовано 7 Марта 2017 Автор Жалоба Поделиться Опубликовано 7 Марта 2017 14 часов назад, dailidenok сказал: В firewall.conf есть правило для туннелей? (по умолчанию разрешать все). Ну и журнал пакетов все-таки что говорит (событие 45)? [tunnel] rule= num 1 proto any from any to any pass Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vlad08 Опубликовано 9 Марта 2017 Автор Жалоба Поделиться Опубликовано 9 Марта 2017 В 07.03.2017в05:07, Vintik сказал: Может получиться, что один филиал работает по реальным, а второй на виртуальный. Проверьте что в HW в конфигарации Оба HW работают по виртуальным адресам. Вот ещё такое увидел, все интерфейсы филиала 2 стоят в третьем режиме, но если с машины администратора посмотреть в ViPNet мониторе филиал 2 вкладка инфо, то там стоит 4 режим, может в этом причина? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vintik Опубликовано 9 Марта 2017 Жалоба Поделиться Опубликовано 9 Марта 2017 Странно что они не во втором, ну да ладно. Но всё может. Если виртуальные то ПИНГуйте их, а не " 192.0.0.1-192.168.0.50" или какие там у вас реальные, а виртуальные. Ну и как вам подсказали посмотрите iplir view. Если у вас как отписали одни видят дургих, то получается обмен есть, а дургие на видят потом, что могут стучать на 192.168.1.55, а там он 10.0.1.8.. ну и теряется кто куда. Кстате сами координаторы между собой связаны или через кого то ходят? У меня было что в цепочки через 1 примерно так же было. потом связал все со всеми))) всё заработало, чудеса да и только))) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vlad08 Опубликовано 9 Марта 2017 Автор Жалоба Поделиться Опубликовано 9 Марта 2017 iplir vi показывает, что ip-адреса которые стучатся из 1 филиала во второй 45 - Encrypted (decrypted) packet of tunneled device, а из второго в первый 40 - Encrypted IP packet allowed Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KIV Опубликовано 10 Марта 2017 Жалоба Поделиться Опубликовано 10 Марта 2017 Версии координаторов можете сказать и iplir show cipher показать. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vlad08 Опубликовано 10 Марта 2017 Автор Жалоба Поделиться Опубликовано 10 Марта 2017 1 час назад, KIV сказал: Версии координаторов можете сказать и iplir show cipher показать. филиал 2 ViPNet Coordinator version: 3.7.3-(5761) филиал 1 ViPNet Coordinator version: 3.7.3-(6888) iplir show cipher CTR:counter mode Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vlad08 Опубликовано 10 Марта 2017 Автор Жалоба Поделиться Опубликовано 10 Марта 2017 [id] id= 0x0a9a0017 name= ▒▒▒▒ 1 2 4 filterdefault= pass ip= 10.65.1.1 ip= 192.168.1.3 tunnel= 10.65.1.2-10.65.1.24 to 10.65.1.2-10.65.1.24 firewallip= 192.168.1.3 Что тут должно быть eth0 координатора смотрящий наружу, или стат. ip провайдера? port= 55777 proxyid= 0x00000000 usefirewall= on fixfirewall= off virtualip= 10.0.0.1 version= 3.0-670 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
spec89 Опубликовано 10 Марта 2017 Жалоба Поделиться Опубликовано 10 Марта 2017 1) С координатора 1 пингуются ли туннели координатора 2? 2) С координатора 2 пингуются ли туннели координатора 1? 3) Прописаны ли маршруты на координаторах? Таблицу маршрутизации с обоих координаторов покажите + интерфейсы и маску сети. Касаемо вырезки из iplir: По сути тут верный Ip, как я понял это сеть для связи с другим координатором. Оставляйте без изменений. Так же еще можно сделать "координатор без использования МЭ" Цитата Для настройки работы узла ViPNet Coordinator HW без использования межсетевого экрана в файле iplir.conf задайте следующие параметры: 1 В собственной секции [id] установите параметр usefirewall в значение off. 2 В секции [dynamic] установите параметр dynamic_proxy в значение off. 3 Для всех используемых сетевых интерфейсов в секциях [adapter] установите параметр type в значение internal. Так же можно добавить в iplir первого координатора в строку описывающую второй параметр forcereal= on Тоже самое для второго. Чтобы принудительно использовать реальные адреса. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
basid Опубликовано 10 Марта 2017 Жалоба Поделиться Опубликовано 10 Марта 2017 Нельзя произвольно делать "Без использования МЭ" ни для координатора, ни для клиента. Установлен перед координаторм шлюз - значит координатор за МЭ. Статическим или динамически - зависит от настроек шлюза. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.