Jump to content

Recommended Posts

Есть сеть VipNet, клиенты  в которой находятся в интернете (С1) и в локалке, но в разных подсетях (С2,С3,С4). Координатор одним портом смотрит в интернет (С1), вторым портом в С2. 50% клиентов находится в С3. Все клиенты из С3-С4 видят сеть С2, но по факту связь осуществляется через интернет (С1).  Трасерт из сети С3 в С2 и наоборот идёт с одним скачком.

Подскажите, как и где прописать маршрутизацию, чтобы пакеты проходили напрямую.

 

 

 

Share this post


Link to post
Share on other sites

Это как вы определили, что связь осуществляется через интернет? Что на это указывает?

Share this post


Link to post
Share on other sites

первый адрес в строке монитора из сети С1, и межсетевой экран - первый адрес из С1

Share this post


Link to post
Share on other sites

На клиентах С3 и С4 прописать маршруты в сеть С2. Либо на шлюзах локальных сетей настроить маршрутизацию. 

Для конкретных рекомендаций нужна схема участка сети с адресацией.

Share this post


Link to post
Share on other sites

Клиенты С3 и С4 видят сеть С2 и трасерт незащищённого пакета, как я уже писал выше идёт напрямую. Проблема только при маршрутизации защищённого трафика.

Share this post


Link to post
Share on other sites
В 29.03.2017в12:11, denis.r сказал:

А на самом координаторе обратный маршрут прописан?

inet route add 192.168.2.0 gw 192.168.1.1 netmask 255.255.255.0

Share this post


Link to post
Share on other sites

В ViPNet Client в свойствах координатор во вкладке "IP-адреса" и "Межсетевой экран" указаны IP-адреса, на которые клиент будет обращаться. Первое обращение будет на самый верхний адрес, затем на следующий и т. д. Какой адрес указан у Вас на первом месте?

Share this post


Link to post
Share on other sites
3 часа назад, denis.r сказал:

В ViPNet Client в свойствах координатор во вкладке "IP-адреса" и "Межсетевой экран" указаны IP-адреса, на которые клиент будет обращаться. Первое обращение будет на самый верхний адрес, затем на следующий и т. д. Какой адрес указан у Вас на первом месте?

Стоит внешний - С1. Если меняешь местами, то при проверке идёт долгая проверка(до минуты) и потом порядок автоматом меняется обратно.

Share this post


Link to post
Share on other sites

Это говорит о том, что ответные пакеты от С1 приходят именно через внешний интерфейс. Настройте маршрутизацию. 

Share this post


Link to post
Share on other sites
В 4/3/2017в14:12, dreamer сказал:

Стоит внешний - С1. Если меняешь местами, то при проверке идёт долгая проверка(до минуты) и потом порядок автоматом меняется обратно.

могу поделиться догадкой: снять галочку автоматическое назначение метрики и настроить самостоятельно. Если Вы не хотите, чтобы трафик ходил через интернет, надо будет писать маршруты с обеих сторон (и на координаторе и на клиентах).

Share this post


Link to post
Share on other sites

Пустите ping на координатор и в журнале ip-пакетов координатора будет отображаться на какой интерфейс пинг пришел и с какого отправлен ответ.

В 30.03.2017в13:38, dreamer сказал:

inet route add 192.168.2.0 gw 192.168.1.1 netmask 255.255.255.0

Из этой строчки понятно, только что есть какой-то маршрут. И без схемы совершенно не ясно как это соотнести с описанием проблемы.

Share this post


Link to post
Share on other sites
42 минуты назад, denis.r сказал:

Пустите ping на координатор и в журнале ip-пакетов координатора будет отображаться на какой интерфейс пинг пришел и с какого отправлен ответ.

Из этой строчки понятно, только что есть какой-то маршрут. И без схемы совершенно не ясно как это соотнести с описанием проблемы.

 Сам координатор 192,168,1,101. Строчка указывает что сеть 192,168,2,0 (С2) находится за шлюзом 192,168,1,1

 

4 часа назад, kpys сказал:

могу поделиться догадкой: снять галочку автоматическое назначение метрики и настроить самостоятельно. Если Вы не хотите, чтобы трафик ходил через интернет, надо будет писать маршруты с обеих сторон (и на координаторе и на клиентах).

если я принудительно изменю метрику то возврата маршрута обратно, как я описал в 1м посте не будет и значит связи не будет. КАКОЙ МАРШРУТ ПРОПИСАТЬ???

Share this post


Link to post
Share on other sites

Куда идет трафик с С2А1, С2А2, С3А1, С3А2, С4А1, С4А2 адресованный 192.168.1.101? На МП1 или МП2?

forum1.jpg

Share this post


Link to post
Share on other sites

После прописанного маршрута с С2А1 и С2А2 идут через МП2.  С3А1, С3А2, С4А1, С4А2  идут через МП1.

Share this post


Link to post
Share on other sites
В 30.03.2017в18:38, dreamer сказал:

inet route add 192.168.2.0 gw 192.168.1.1 netmask 255.255.255.0

Маски какие на интерфейсах?
Потому как ваша чудесная строчки будут работать только в том случае, если оба интерфейса находятся в одной сети. А это будет, если маска интерфейсов /16, а не умалчиваемая для сети класса С /24.

P.S. Маршруты, на самом деле, задают не шлюзы, а интерфесы. Шлюзы должны быть достижимы с этих интерфейсов. Ну и должны быть в сегменте локальной сети, а не "где-то там, за другим шлюзом".

Share this post


Link to post
Share on other sites

Маска везде кроме внешнего адреса 255.255.255.0. Сеть выглядит почти как нарисовал "kpys", за что ему отдельное большое спасибо. Есть отличия:

1. С3 и С4 расположены в интернете, между всеми "СХ" проброшен VPN туннель. (Тут я немного плаваю, так как построением сети занимаются сторонние сетевики и работать с ними тяжело(.). Но интернет для них раздаёт МП1.

2. Вместо МП2 должен стоять С2? или я что-то не допонимаю.

3.  Все СХ имеют выход связь с МП1 и через него выходят в интернет.

Моя проблема - пакет из С3А2 идёт по маршруту С3-С2-МП1-С1-МК1-координатор.

20 минуты назад, basid сказал:

Маски какие на интерфейсах?
Потому как ваша чудесная строчки будут работать только в том случае, если оба интерфейса находятся в одной сети. А это будет, если маска интерфейсов /16, а не умалчиваемая для сети класса С /24.

P.S. Маршруты, на самом деле, задают не шлюзы, а интерфесы. Шлюзы должны быть достижимы с этих интерфейсов. Ну и должны быть в сегменте локальной сети, а не "где-то там, за другим шлюзом".

Наводит на мысль что надо для каждого сегмента сделать эту строчку?

Share this post


Link to post
Share on other sites
8 минут назад, dreamer сказал:

С3 и С4 расположены в интернете, между всеми "СХ" проброшен VPN туннель. (Тут я немного плаваю, так как построением сети занимаются сторонние сетевики и работать с ними тяжело(.). Но интернет для них раздаёт МП1.

В таком случае, у вас вместо свичей С3 и С4 стоит что-то посерьезней. Оно умеет VPN, а значит, что, скорее всего, может и "маршрутизировать". Можно попробовать прописать статический маршрут на 192.168.1.101 на С3 и С4.

14 минут назад, dreamer сказал:

2. Вместо МП2 должен стоять С2? или я что-то не допонимаю.

3.  Все СХ имеют выход связь с МП1 и через него выходят в интернет.

Вместо С2, видимо, тоже маршрутизатор и может быть МП1 - нет. Тогда маршрут можно прописать на нём.

 

16 минуту назад, dreamer сказал:

Наводит на мысль что надо для каждого сегмента сделать эту строчку?

Обратный маршрут тоже нужен для всех, поэтому да - писать для всех.

 

ps можно попробовать проверить связь командами типа:

ping -n 5 -j 192.168.1.1 192.168.1.101

или

ping -n 5 -k 192.168.1.1 192.168.1.101

---

коллеги поправят, если что не так

Share this post


Link to post
Share on other sites
5 часов назад, dreamer сказал:

Наводит на мысль что надо для каждого сегмента сделать эту строчку?

Вы, похоже, не понимаете, как работает маршрутиризация в IP-сетях ...
Шлюз всегда должен находиться в (под)сети отправителя. Исключение составляет шлюз по умолчанию, но и в этом случае требуются дополнительные ухищрения.
192.168.2.x/24 == 192.168.2.0, а 192.168.1.x/24 ==  192.168.1.0 и это разные (под)сети.
Маршрутиризация "туда" и "обратно" в любом случае настраивается независимо - несложно получить конфигурацию, при которой "туда" всё уходит, но обратно ничего не возвращается.

ViPNet ничего не добавляет к штатному механизму IP-маршрутиризации. "Дополнительные пути" появляются только потому, что исходный пакет упаковывается IP-/UDP-пакет у которого могут быть совершенно другие IP-адреса отправителя и получателя, но этот пакет будет двигаться по правилам "обычных" IP-сетей.

В вашей схеме есть "волшебный квадраты", которые связывают все подсети. Начать надо с того, что сделать (windows):
tracert -d ip-адрес-из-C2
tracert -d ip-адрес-из-C3
с координатора и уже потом думать дальше.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.