rfvbk Опубликовано 21 Сентября 2017 Автор Жалоба Поделиться Опубликовано 21 Сентября 2017 20 минуты назад, basid сказал: Добавлю ещё один хинт - везде (и на клиентах и на координаторах) в фильтрах и открытой и защищённой сети первым ставьте правило, запрещающее ICMP Redirect (код 5). если бы причина была в этом то, как объяснить это комп 10.64.64.71 с vipnet клиентом 3.2 c убранной галочкой использовать межсетевой экран нормально видит координатор и пингует 10.6.1.6 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vintik Опубликовано 21 Сентября 2017 Жалоба Поделиться Опубликовано 21 Сентября 2017 4 часа назад, basid сказал: Добавлю ещё один хинт - везде (и на клиентах и на координаторах) в фильтрах и открытой и защищённой сети первым ставьте правило, запрещающее ICMP Redirect (код 5). А это по чему? Судя по описанию вижу тип 3 там только код 5 вижу это "невозможно выполнить опцию Source Route" А про " P.S. Вот только не надо рассказывать каким образом "в продвинутых системах" можно строить извращённые схемы - изврат не должен быть ни самоцелью, ни стандартной практикой". - ну так, это чтоб враг не догадался ))) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vintik Опубликовано 21 Сентября 2017 Жалоба Поделиться Опубликовано 21 Сентября 2017 4 часа назад, rfvbk сказал: если бы причина была в этом то, как объяснить это комп 10.64.64.71 с vipnet клиентом 3.2 c убранной галочкой использовать межсетевой экран нормально видит координатор и пингует 10.6.1.6 Может пора в бой пустить "голубую Акулу" и более детально смотреть что там происходит? Скорее всего при активации МЭ драйвер начинает выполнять то, что собственно и должен делать и начинает фильтровать всё что ему не нравится, т.е. или более тонко, а может даже и более криво фильтровать. Т.е. без него пинг напрямую на него, а при МЭ он уже UDP на 55777 только ждёт, а там пинг ломится от какого то IP который ему не нравится. А у вас видно в сети не 2 компьютера :-) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
basid Опубликовано 22 Сентября 2017 Жалоба Поделиться Опубликовано 22 Сентября 2017 11 часов назад, Vintik сказал: А это по чему? Судя по описанию вижу тип 3 там только код 5 вижу это "невозможно выполнить опцию Source Route" Перепутал коды и типы ICMP тип 5 (перенаправление), все коды. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
rfvbk Опубликовано 22 Сентября 2017 Автор Жалоба Поделиться Опубликовано 22 Сентября 2017 сегодня не на работе, но мысли работают. Есть предположение, что на координаторе настроено использовать мэ со статической трансляцией адресов, т.к. по умолчанию так стоит, или даже с динамической трансляцией адресов.(хотя смотрел все порты координатора type=internal, есть на фото в начале обсуждения) А должно быть без использования мэ. Т.е. приходит пакет от клиента, в настройках которого использовать мэ с динамич трансляцией адресов и координатор, в ответ отсылает пакет на шлюз по умолчанию вместо того чтобы отсылать по статическому маршруту. В пн проверю это предположение. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vintik Опубликовано 25 Сентября 2017 Жалоба Поделиться Опубликовано 25 Сентября 2017 В 22.09.2017в08:37, basid сказал: Перепутал коды и типы ICMP тип 5 (перенаправление), все коды. https://ru.wikipedia.org/wiki/ICMP Ой, я даже не знал что их ещё больше.. надо читать RFC 792 было, а не усечённые лекции :-) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
rfvbk Опубликовано 27 Сентября 2017 Автор Жалоба Поделиться Опубликовано 27 Сентября 2017 В 21.09.2017в14:54, rfvbk сказал: сегодня не на работе, но мысли работают. Есть предположение, что на координаторе настроено использовать мэ со статической трансляцией адресов, т.к. по умолчанию так стоит, или даже с динамической трансляцией адресов.(хотя смотрел все порты координатора type=internal, есть на фото в начале обсуждения) А должно быть без использования мэ. Т.е. приходит пакет от клиента, в настройках которого использовать мэ с динамич трансляцией адресов и координатор, в ответ отсылает пакет на шлюз по умолчанию вместо того чтобы отсылать по статическому маршруту. В пн проверю это предположение. не помогло, хрень какая-то. Совсем глупый вопрос задам, на координаторе может быть только один шлюз по умолчанию? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
xrockx Опубликовано 27 Сентября 2017 Жалоба Поделиться Опубликовано 27 Сентября 2017 Шлюз только один, а вот постоянные маршруты никто не отменял. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
rfvbk Опубликовано 27 Сентября 2017 Автор Жалоба Поделиться Опубликовано 27 Сентября 2017 9 минут назад, xrockx сказал: Шлюз только один, а вот постоянные маршруты никто не отменял. почему-то в клиенте с галкой использовать мэ с динамической трансляцией адресов не доступен координатор, но пользователи за координатором ему(клиенту) доступны. Но если поставить шлюз по умолчанию на эту подсеть где находится такой клиент, то координатор становится доступен. Такое ощущение, что он для связи с координатором в этом режиме не использует статические маршруты, а смотрит только на шлюз по умолчанию Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
rfvbk Опубликовано 29 Сентября 2017 Автор Жалоба Поделиться Опубликовано 29 Сентября 2017 В цусе сменил настройки координатора Убрал галку использовать МЭ со статической трансляцией адресов. Но на координаторе не применилось, в веб-интерфейсе в свойствах координатора стоит Внешний межсетевой экран со статической трансляцией адресов IP-адрес доступа через межстевой экран: не зафиксирован Как на координаторе применить? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vintik Опубликовано 29 Сентября 2017 Жалоба Поделиться Опубликовано 29 Сентября 2017 Он бывает не сразу принимает обновления, замечал такое в версии 4, с чем связано не понял. Отправлял повторно, бывает менял IP чтоб понять принял или нет. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
rfvbk Опубликовано 30 Сентября 2017 Автор Жалоба Поделиться Опубликовано 30 Сентября 2017 всё проблема решена, всё оказалось из-за неправильно настройки координатора. Стоял режим на нем мэ со статической трансляцией адресов. Теперь вроде норм, не успел потестить до конца в пятницу. Но главная проблема(с недоступностью координатора) ушла, после внесения изменений в iplir.conf. Сделал настройки без МЭ и пошло. Походу работы появился вопрос связанный со сменой мак адреса одного из интерфейсов координатора. Временно могу поменять например ifconfig eth0 hw ether 01:a2:33:04:d0:f1. А какой файл надо править, чтобы после перезагрузки остался такой же мак? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vintik Опубликовано 30 Сентября 2017 Жалоба Поделиться Опубликовано 30 Сентября 2017 Ура! Это надо отметить Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.