Перейти к контенту

Рекомендуемые сообщения

Есть сеть VipNet, клиенты  в которой находятся в интернете (С1) и в локалке, но в разных подсетях (С2,С3,С4). Координатор одним портом смотрит в интернет (С1), вторым портом в С2. 50% клиентов находится в С3. Все клиенты из С3-С4 видят сеть С2, но по факту связь осуществляется через интернет (С1).  Трасерт из сети С3 в С2 и наоборот идёт с одним скачком.

Подскажите, как и где прописать маршрутизацию, чтобы пакеты проходили напрямую.

 

 

 

Ссылка на комментарий
Поделиться на других сайтах

На клиентах С3 и С4 прописать маршруты в сеть С2. Либо на шлюзах локальных сетей настроить маршрутизацию. 

Для конкретных рекомендаций нужна схема участка сети с адресацией.

Ссылка на комментарий
Поделиться на других сайтах

Клиенты С3 и С4 видят сеть С2 и трасерт незащищённого пакета, как я уже писал выше идёт напрямую. Проблема только при маршрутизации защищённого трафика.

Ссылка на комментарий
Поделиться на других сайтах

В ViPNet Client в свойствах координатор во вкладке "IP-адреса" и "Межсетевой экран" указаны IP-адреса, на которые клиент будет обращаться. Первое обращение будет на самый верхний адрес, затем на следующий и т. д. Какой адрес указан у Вас на первом месте?

Ссылка на комментарий
Поделиться на других сайтах

3 часа назад, denis.r сказал:

В ViPNet Client в свойствах координатор во вкладке "IP-адреса" и "Межсетевой экран" указаны IP-адреса, на которые клиент будет обращаться. Первое обращение будет на самый верхний адрес, затем на следующий и т. д. Какой адрес указан у Вас на первом месте?

Стоит внешний - С1. Если меняешь местами, то при проверке идёт долгая проверка(до минуты) и потом порядок автоматом меняется обратно.

Ссылка на комментарий
Поделиться на других сайтах

В 4/3/2017в14:12, dreamer сказал:

Стоит внешний - С1. Если меняешь местами, то при проверке идёт долгая проверка(до минуты) и потом порядок автоматом меняется обратно.

могу поделиться догадкой: снять галочку автоматическое назначение метрики и настроить самостоятельно. Если Вы не хотите, чтобы трафик ходил через интернет, надо будет писать маршруты с обеих сторон (и на координаторе и на клиентах).

Ссылка на комментарий
Поделиться на других сайтах

Пустите ping на координатор и в журнале ip-пакетов координатора будет отображаться на какой интерфейс пинг пришел и с какого отправлен ответ.

В 30.03.2017в13:38, dreamer сказал:

inet route add 192.168.2.0 gw 192.168.1.1 netmask 255.255.255.0

Из этой строчки понятно, только что есть какой-то маршрут. И без схемы совершенно не ясно как это соотнести с описанием проблемы.

Ссылка на комментарий
Поделиться на других сайтах

42 минуты назад, denis.r сказал:

Пустите ping на координатор и в журнале ip-пакетов координатора будет отображаться на какой интерфейс пинг пришел и с какого отправлен ответ.

Из этой строчки понятно, только что есть какой-то маршрут. И без схемы совершенно не ясно как это соотнести с описанием проблемы.

 Сам координатор 192,168,1,101. Строчка указывает что сеть 192,168,2,0 (С2) находится за шлюзом 192,168,1,1

 

4 часа назад, kpys сказал:

могу поделиться догадкой: снять галочку автоматическое назначение метрики и настроить самостоятельно. Если Вы не хотите, чтобы трафик ходил через интернет, надо будет писать маршруты с обеих сторон (и на координаторе и на клиентах).

если я принудительно изменю метрику то возврата маршрута обратно, как я описал в 1м посте не будет и значит связи не будет. КАКОЙ МАРШРУТ ПРОПИСАТЬ???

Ссылка на комментарий
Поделиться на других сайтах

  • 2 недели спустя...
В 30.03.2017в18:38, dreamer сказал:

inet route add 192.168.2.0 gw 192.168.1.1 netmask 255.255.255.0

Маски какие на интерфейсах?
Потому как ваша чудесная строчки будут работать только в том случае, если оба интерфейса находятся в одной сети. А это будет, если маска интерфейсов /16, а не умалчиваемая для сети класса С /24.

P.S. Маршруты, на самом деле, задают не шлюзы, а интерфесы. Шлюзы должны быть достижимы с этих интерфейсов. Ну и должны быть в сегменте локальной сети, а не "где-то там, за другим шлюзом".

Ссылка на комментарий
Поделиться на других сайтах

Маска везде кроме внешнего адреса 255.255.255.0. Сеть выглядит почти как нарисовал "kpys", за что ему отдельное большое спасибо. Есть отличия:

1. С3 и С4 расположены в интернете, между всеми "СХ" проброшен VPN туннель. (Тут я немного плаваю, так как построением сети занимаются сторонние сетевики и работать с ними тяжело(.). Но интернет для них раздаёт МП1.

2. Вместо МП2 должен стоять С2? или я что-то не допонимаю.

3.  Все СХ имеют выход связь с МП1 и через него выходят в интернет.

Моя проблема - пакет из С3А2 идёт по маршруту С3-С2-МП1-С1-МК1-координатор.

20 минуты назад, basid сказал:

Маски какие на интерфейсах?
Потому как ваша чудесная строчки будут работать только в том случае, если оба интерфейса находятся в одной сети. А это будет, если маска интерфейсов /16, а не умалчиваемая для сети класса С /24.

P.S. Маршруты, на самом деле, задают не шлюзы, а интерфесы. Шлюзы должны быть достижимы с этих интерфейсов. Ну и должны быть в сегменте локальной сети, а не "где-то там, за другим шлюзом".

Наводит на мысль что надо для каждого сегмента сделать эту строчку?

Ссылка на комментарий
Поделиться на других сайтах

8 минут назад, dreamer сказал:

С3 и С4 расположены в интернете, между всеми "СХ" проброшен VPN туннель. (Тут я немного плаваю, так как построением сети занимаются сторонние сетевики и работать с ними тяжело(.). Но интернет для них раздаёт МП1.

В таком случае, у вас вместо свичей С3 и С4 стоит что-то посерьезней. Оно умеет VPN, а значит, что, скорее всего, может и "маршрутизировать". Можно попробовать прописать статический маршрут на 192.168.1.101 на С3 и С4.

14 минут назад, dreamer сказал:

2. Вместо МП2 должен стоять С2? или я что-то не допонимаю.

3.  Все СХ имеют выход связь с МП1 и через него выходят в интернет.

Вместо С2, видимо, тоже маршрутизатор и может быть МП1 - нет. Тогда маршрут можно прописать на нём.

 

16 минуту назад, dreamer сказал:

Наводит на мысль что надо для каждого сегмента сделать эту строчку?

Обратный маршрут тоже нужен для всех, поэтому да - писать для всех.

 

ps можно попробовать проверить связь командами типа:

ping -n 5 -j 192.168.1.1 192.168.1.101

или

ping -n 5 -k 192.168.1.1 192.168.1.101

---

коллеги поправят, если что не так

Ссылка на комментарий
Поделиться на других сайтах

5 часов назад, dreamer сказал:

Наводит на мысль что надо для каждого сегмента сделать эту строчку?

Вы, похоже, не понимаете, как работает маршрутиризация в IP-сетях ...
Шлюз всегда должен находиться в (под)сети отправителя. Исключение составляет шлюз по умолчанию, но и в этом случае требуются дополнительные ухищрения.
192.168.2.x/24 == 192.168.2.0, а 192.168.1.x/24 ==  192.168.1.0 и это разные (под)сети.
Маршрутиризация "туда" и "обратно" в любом случае настраивается независимо - несложно получить конфигурацию, при которой "туда" всё уходит, но обратно ничего не возвращается.

ViPNet ничего не добавляет к штатному механизму IP-маршрутиризации. "Дополнительные пути" появляются только потому, что исходный пакет упаковывается IP-/UDP-пакет у которого могут быть совершенно другие IP-адреса отправителя и получателя, но этот пакет будет двигаться по правилам "обычных" IP-сетей.

В вашей схеме есть "волшебный квадраты", которые связывают все подсети. Начать надо с того, что сделать (windows):
tracert -d ip-адрес-из-C2
tracert -d ip-адрес-из-C3
с координатора и уже потом думать дальше.

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...

Важная информация

Продолжая пользоваться сайтом вы принимаете Условия использования.