dreamer Опубликовано 27 Марта 2017 Жалоба Поделиться Опубликовано 27 Марта 2017 Есть сеть VipNet, клиенты в которой находятся в интернете (С1) и в локалке, но в разных подсетях (С2,С3,С4). Координатор одним портом смотрит в интернет (С1), вторым портом в С2. 50% клиентов находится в С3. Все клиенты из С3-С4 видят сеть С2, но по факту связь осуществляется через интернет (С1). Трасерт из сети С3 в С2 и наоборот идёт с одним скачком. Подскажите, как и где прописать маршрутизацию, чтобы пакеты проходили напрямую. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KIV Опубликовано 27 Марта 2017 Жалоба Поделиться Опубликовано 27 Марта 2017 Это как вы определили, что связь осуществляется через интернет? Что на это указывает? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
dreamer Опубликовано 28 Марта 2017 Автор Жалоба Поделиться Опубликовано 28 Марта 2017 первый адрес в строке монитора из сети С1, и межсетевой экран - первый адрес из С1 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
denis.r Опубликовано 28 Марта 2017 Жалоба Поделиться Опубликовано 28 Марта 2017 На клиентах С3 и С4 прописать маршруты в сеть С2. Либо на шлюзах локальных сетей настроить маршрутизацию. Для конкретных рекомендаций нужна схема участка сети с адресацией. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
dreamer Опубликовано 28 Марта 2017 Автор Жалоба Поделиться Опубликовано 28 Марта 2017 Клиенты С3 и С4 видят сеть С2 и трасерт незащищённого пакета, как я уже писал выше идёт напрямую. Проблема только при маршрутизации защищённого трафика. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
denis.r Опубликовано 29 Марта 2017 Жалоба Поделиться Опубликовано 29 Марта 2017 А на самом координаторе обратный маршрут прописан? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
dreamer Опубликовано 30 Марта 2017 Автор Жалоба Поделиться Опубликовано 30 Марта 2017 В 29.03.2017в12:11, denis.r сказал: А на самом координаторе обратный маршрут прописан? inet route add 192.168.2.0 gw 192.168.1.1 netmask 255.255.255.0 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
denis.r Опубликовано 3 Апреля 2017 Жалоба Поделиться Опубликовано 3 Апреля 2017 В ViPNet Client в свойствах координатор во вкладке "IP-адреса" и "Межсетевой экран" указаны IP-адреса, на которые клиент будет обращаться. Первое обращение будет на самый верхний адрес, затем на следующий и т. д. Какой адрес указан у Вас на первом месте? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
dreamer Опубликовано 3 Апреля 2017 Автор Жалоба Поделиться Опубликовано 3 Апреля 2017 3 часа назад, denis.r сказал: В ViPNet Client в свойствах координатор во вкладке "IP-адреса" и "Межсетевой экран" указаны IP-адреса, на которые клиент будет обращаться. Первое обращение будет на самый верхний адрес, затем на следующий и т. д. Какой адрес указан у Вас на первом месте? Стоит внешний - С1. Если меняешь местами, то при проверке идёт долгая проверка(до минуты) и потом порядок автоматом меняется обратно. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
denis.r Опубликовано 3 Апреля 2017 Жалоба Поделиться Опубликовано 3 Апреля 2017 Это говорит о том, что ответные пакеты от С1 приходят именно через внешний интерфейс. Настройте маршрутизацию. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
dreamer Опубликовано 4 Апреля 2017 Автор Жалоба Поделиться Опубликовано 4 Апреля 2017 Денис....прочитайте мой вопрос в первом сообщении.... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kpys Опубликовано 6 Апреля 2017 Жалоба Поделиться Опубликовано 6 Апреля 2017 В 4/3/2017в14:12, dreamer сказал: Стоит внешний - С1. Если меняешь местами, то при проверке идёт долгая проверка(до минуты) и потом порядок автоматом меняется обратно. могу поделиться догадкой: снять галочку автоматическое назначение метрики и настроить самостоятельно. Если Вы не хотите, чтобы трафик ходил через интернет, надо будет писать маршруты с обеих сторон (и на координаторе и на клиентах). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
denis.r Опубликовано 6 Апреля 2017 Жалоба Поделиться Опубликовано 6 Апреля 2017 Пустите ping на координатор и в журнале ip-пакетов координатора будет отображаться на какой интерфейс пинг пришел и с какого отправлен ответ. В 30.03.2017в13:38, dreamer сказал: inet route add 192.168.2.0 gw 192.168.1.1 netmask 255.255.255.0 Из этой строчки понятно, только что есть какой-то маршрут. И без схемы совершенно не ясно как это соотнести с описанием проблемы. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
dreamer Опубликовано 6 Апреля 2017 Автор Жалоба Поделиться Опубликовано 6 Апреля 2017 42 минуты назад, denis.r сказал: Пустите ping на координатор и в журнале ip-пакетов координатора будет отображаться на какой интерфейс пинг пришел и с какого отправлен ответ. Из этой строчки понятно, только что есть какой-то маршрут. И без схемы совершенно не ясно как это соотнести с описанием проблемы. Сам координатор 192,168,1,101. Строчка указывает что сеть 192,168,2,0 (С2) находится за шлюзом 192,168,1,1 4 часа назад, kpys сказал: могу поделиться догадкой: снять галочку автоматическое назначение метрики и настроить самостоятельно. Если Вы не хотите, чтобы трафик ходил через интернет, надо будет писать маршруты с обеих сторон (и на координаторе и на клиентах). если я принудительно изменю метрику то возврата маршрута обратно, как я описал в 1м посте не будет и значит связи не будет. КАКОЙ МАРШРУТ ПРОПИСАТЬ??? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kpys Опубликовано 7 Апреля 2017 Жалоба Поделиться Опубликовано 7 Апреля 2017 Куда идет трафик с С2А1, С2А2, С3А1, С3А2, С4А1, С4А2 адресованный 192.168.1.101? На МП1 или МП2? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
dreamer Опубликовано 18 Апреля 2017 Автор Жалоба Поделиться Опубликовано 18 Апреля 2017 После прописанного маршрута с С2А1 и С2А2 идут через МП2. С3А1, С3А2, С4А1, С4А2 идут через МП1. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
basid Опубликовано 18 Апреля 2017 Жалоба Поделиться Опубликовано 18 Апреля 2017 В 30.03.2017в18:38, dreamer сказал: inet route add 192.168.2.0 gw 192.168.1.1 netmask 255.255.255.0 Маски какие на интерфейсах? Потому как ваша чудесная строчки будут работать только в том случае, если оба интерфейса находятся в одной сети. А это будет, если маска интерфейсов /16, а не умалчиваемая для сети класса С /24. P.S. Маршруты, на самом деле, задают не шлюзы, а интерфесы. Шлюзы должны быть достижимы с этих интерфейсов. Ну и должны быть в сегменте локальной сети, а не "где-то там, за другим шлюзом". Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
dreamer Опубликовано 18 Апреля 2017 Автор Жалоба Поделиться Опубликовано 18 Апреля 2017 Маска везде кроме внешнего адреса 255.255.255.0. Сеть выглядит почти как нарисовал "kpys", за что ему отдельное большое спасибо. Есть отличия: 1. С3 и С4 расположены в интернете, между всеми "СХ" проброшен VPN туннель. (Тут я немного плаваю, так как построением сети занимаются сторонние сетевики и работать с ними тяжело(.). Но интернет для них раздаёт МП1. 2. Вместо МП2 должен стоять С2? или я что-то не допонимаю. 3. Все СХ имеют выход связь с МП1 и через него выходят в интернет. Моя проблема - пакет из С3А2 идёт по маршруту С3-С2-МП1-С1-МК1-координатор. 20 минуты назад, basid сказал: Маски какие на интерфейсах? Потому как ваша чудесная строчки будут работать только в том случае, если оба интерфейса находятся в одной сети. А это будет, если маска интерфейсов /16, а не умалчиваемая для сети класса С /24. P.S. Маршруты, на самом деле, задают не шлюзы, а интерфесы. Шлюзы должны быть достижимы с этих интерфейсов. Ну и должны быть в сегменте локальной сети, а не "где-то там, за другим шлюзом". Наводит на мысль что надо для каждого сегмента сделать эту строчку? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
kpys Опубликовано 18 Апреля 2017 Жалоба Поделиться Опубликовано 18 Апреля 2017 8 минут назад, dreamer сказал: С3 и С4 расположены в интернете, между всеми "СХ" проброшен VPN туннель. (Тут я немного плаваю, так как построением сети занимаются сторонние сетевики и работать с ними тяжело(.). Но интернет для них раздаёт МП1. В таком случае, у вас вместо свичей С3 и С4 стоит что-то посерьезней. Оно умеет VPN, а значит, что, скорее всего, может и "маршрутизировать". Можно попробовать прописать статический маршрут на 192.168.1.101 на С3 и С4. 14 минут назад, dreamer сказал: 2. Вместо МП2 должен стоять С2? или я что-то не допонимаю. 3. Все СХ имеют выход связь с МП1 и через него выходят в интернет. Вместо С2, видимо, тоже маршрутизатор и может быть МП1 - нет. Тогда маршрут можно прописать на нём. 16 минуту назад, dreamer сказал: Наводит на мысль что надо для каждого сегмента сделать эту строчку? Обратный маршрут тоже нужен для всех, поэтому да - писать для всех. ps можно попробовать проверить связь командами типа: ping -n 5 -j 192.168.1.1 192.168.1.101 или ping -n 5 -k 192.168.1.1 192.168.1.101 --- коллеги поправят, если что не так Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
basid Опубликовано 18 Апреля 2017 Жалоба Поделиться Опубликовано 18 Апреля 2017 5 часов назад, dreamer сказал: Наводит на мысль что надо для каждого сегмента сделать эту строчку? Вы, похоже, не понимаете, как работает маршрутиризация в IP-сетях ... Шлюз всегда должен находиться в (под)сети отправителя. Исключение составляет шлюз по умолчанию, но и в этом случае требуются дополнительные ухищрения. 192.168.2.x/24 == 192.168.2.0, а 192.168.1.x/24 == 192.168.1.0 и это разные (под)сети. Маршрутиризация "туда" и "обратно" в любом случае настраивается независимо - несложно получить конфигурацию, при которой "туда" всё уходит, но обратно ничего не возвращается. ViPNet ничего не добавляет к штатному механизму IP-маршрутиризации. "Дополнительные пути" появляются только потому, что исходный пакет упаковывается IP-/UDP-пакет у которого могут быть совершенно другие IP-адреса отправителя и получателя, но этот пакет будет двигаться по правилам "обычных" IP-сетей. В вашей схеме есть "волшебный квадраты", которые связывают все подсети. Начать надо с того, что сделать (windows): tracert -d ip-адрес-из-C2 tracert -d ip-адрес-из-C3 с координатора и уже потом думать дальше. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.