Jump to content

Recommended Posts

Добрый день! 

Исходные данные.

Развернут тестовый стенд:

  • PC1 – ЦУС, УЦ, Client 1-1
  • PC2 - Coordinator 1
  • PC3 - Coordinator 2
  • PC4 - Client 2-1

4e774d1c62eaf46acca982dae421c8ef-full.pn

 

Роутер представляет собой «интернет». На нем настроена маршрутизация для 20.0.0.0/30 и 30.0.0.0/30.

PC2 и PC3 пингуются

PC1 пингует PC2 (свой шлюз по умолчанию)

PC4 пингует PC3 (свой шлюз по умолчанию)

PC1 не пингует PC4. Для этого и настраиваются координаторы.

все IP адреса были прописаны в ЦУСе. После установки координаторов в iplir.conf было изменено usefirewall= off.

 

iplir.conf для Coordinator 1

[id]
id= 0x2aba000a
name= Coordinator 1
ip= 30.0.0.2
ip= 192.168.1.1
ip= 192.168.11.100
firewallip= 192.168.1.1
port= 55777
proxyid= 0x2aba000a
usefirewall= off
fixfirewall= off
virtualip= 10.0.0.1
version= 3.0-670

[id]
id= 0x2aba000c
name= Client 1-1
ip= 192.168.1.2, 10.0.0.2
accessip= 192.168.1.2
firewallip= 192.168.1.2
accessiplist= 192.168.1.2, auto, 192.168.1.2, 1, addrdoc
port= 55777
proxyid= 0xfffffffe
dynamic_timeout= 25
usefirewall= on
virtualip= 10.0.0.2
visibility= auto
version= 4.30-0

[id]
id= 0x2aba000d
name= Client 2-1
ip= 192.168.2.2, 10.0.0.3
accessip= 192.168.2.2
firewallip= 192.168.2.2
accessiplist= 192.168.2.2, auto, 0.0.0.0, 0, addrdoc
port= 55777
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.3
visibility= auto

[id]
id= 0x2aba000b
name= Coordinator 2
ip= 20.0.0.2, 10.1.0.4
ip= 192.168.2.1, 10.0.0.4
accessip= 10.1.0.4
firewallip= 20.0.0.2
accessiplist= 20.0.0.2, auto, 20.0.0.2, 2, addrdoc
accessiplist= 192.168.2.1, auto, 0.0.0.0, 0, addrdoc
port= 55777
proxyid= 0x2aba000b
dynamic_timeout= 0
usefirewall= off
virtualip= 10.0.0.4
visibility= auto

[adapter]
name= eth0
ip= 192.168.1.1
allowtraffic= on
type= internal

[adapter]
name= eth1
ip= 30.0.0.2
allowtraffic= on
type= internal

[adapter]
name= eth2
ip= 192.168.11.100
allowtraffic= on
type= internal

[dynamic]
dynamic_proxy= off
forward_id= 0x00000000
always_use_server= off
timeout= 25

[misc]
packettype= 4.1
timediff= 7200
warnoldautosave= on
client_pollinterval= 300
server_pollinterval= 900
tunnel_local_network= off
ifcheck_timeout= 30
ipforwarding= on
iscaggregate= on
msg_compress_level= 3
ompnumthreads= 1
mssdecrease= 0
ciphertype= gost

[debug]
debuglevel= 3
debuglogfile= file:/var/log/iplircfg.debug.log

[servers]
server= 0x2aba000b, Coordinator 2

[virtualip]
startvirtualip= 10.0.0.1
endvirtualip= 10.0.0.5
maxvirtualip= 10.0.254.254
; Do not delete or change the following line!!!
startvirtualiphash= 0x18E80620

[visibility]
default= auto

 

iplir.conf для Coordinator 2

[id]
id= 0x2aba000b
name= Coordinator 2
ip= 192.168.2.1
ip= 20.0.0.2
firewallip= 192.168.2.1
port= 55777
proxyid= 0x2aba000b
usefirewall= off
fixfirewall= off
virtualip= 10.0.0.1
version= 3.0-670

[id]
id= 0x2aba000d
name= Client 2-1
ip= 192.168.2.2, 10.0.0.2
accessip= 192.168.2.2
firewallip= 192.168.2.2
accessiplist= 192.168.2.2, auto, 192.168.2.2, 2, addrdoc
port= 56536
proxyid= 0xfffffffe
dynamic_timeout= 25
usefirewall= on
virtualip= 10.0.0.2
visibility= auto
version= 4.30-0

[id]
id= 0x2aba000a
name= Coordinator 1
ip= 30.0.0.2, 10.0.0.3
ip= 192.168.1.1, 10.1.0.3
ip= 192.168.11.100, 10.2.0.3
accessip= 10.0.0.3
firewallip= 30.0.0.2
accessiplist= 30.0.0.2, auto, 30.0.0.2, 2, addrdoc
accessiplist= 192.168.1.1, auto, 0.0.0.0, 0, addrdoc
port= 55777
proxyid= 0x2aba000a
dynamic_timeout= 0
usefirewall= off
virtualip= 10.0.0.3
visibility= auto
version= 3.0-670

[adapter]
name= eth0
ip= 192.168.2.1
allowtraffic= on
type= internal

[adapter]
name= eth1
ip= 20.0.0.2
allowtraffic= on
type= internal

[dynamic]
dynamic_proxy= off
forward_id= 0x00000000
always_use_server= off
timeout= 25

[misc]
packettype= 4.1
timediff= 7200
warnoldautosave= on
client_pollinterval= 300
server_pollinterval= 900
tunnel_local_network= off
ifcheck_timeout= 30
ipforwarding= on
iscaggregate= on
msg_compress_level= 3
ompnumthreads= 1
mssdecrease= 0
ciphertype= gost

[debug]
debuglevel= 3
debuglogfile= file:/var/log/iplircfg.debug.log

[servers]
server= 0x2aba000a, Coordinator 1

[virtualip]
startvirtualip= 10.0.0.1
endvirtualip= 10.0.0.4
maxvirtualip= 10.0.254.254
; Do not delete or change the following line!!!
startvirtualiphash= 0x18E80620

[visibility]
default= auto

 

В итоге координаторы не видят друг друга. Хотя по 55777 порту пакеты ходят.

Вот что на клиенте 1-1

154fd5271068145c3f903c8bb010518a-full.pn

 

Вот что на координаторе 1 через web gui.

5785b3f627f7141371086f7835a8b82b-full.pn

80f6d628653008d38cde749f95f2a79b-full.pn

 

Вот что на клиенте 2-1

851d95a5e17adf86926d5d862ca177ea-full.pn

 

Вот что на координаторе 2 через web gui.

bdb0e8f5c73fd1f6fcf28251980dbaf1-full.pn

633c808d88e8d0b029976319171a78ff-full.pn

 

Где ошибка? Нужно чтоб все друг друга видели.

Untitled Diagram.png

Share this post


Link to post
Share on other sites

Первое что приходит в голову:

У Вас связаны в ЦУСе Client 1-1 и Client 2-1?

Для работы нужно чтобы были связаны!

Share this post


Link to post
Share on other sites

iplir view поглядите на координаторах по отношению друг к другу

Share this post


Link to post
Share on other sites
В 20.11.2017 в 13:59, Алекснадр сказал:

usefirewall= off.

Это вы зря сделали. Оставили бы в статике. 

В 20.11.2017 в 13:59, Алекснадр сказал:

[id]
id= 0x2aba000b
name= Coordinator 2
ip= 20.0.0.2, 10.1.0.4
ip= 192.168.2.1, 10.0.0.4
accessip= 10.1.0.4

С координатора 1 запускаете пинк ping 10.1.0.4 и смотрите что фиксируется в журнале ip-пакетов на обоих координаторах. Перед этим убедитесь, что у вас включена регистрация всех пакетов, а не только блокированных.

Share this post


Link to post
Share on other sites
В 20.11.2017 в 13:59, Алекснадр сказал:

Вот что на клиенте 1-1

Здесь видно, что Вы не сделали связей на уровне пользователей. Это не обязательно, но упрощает диагностику.

Share this post


Link to post
Share on other sites
В 22.11.2017 в 15:51, denis.r сказал:

Здесь видно, что Вы не сделали связей на уровне пользователей. Это не обязательно, но упрощает диагностику.

 

В 22.11.2017 в 15:50, denis.r сказал:

Это вы зря сделали. Оставили бы в статике. 

С координатора 1 запускаете пинк ping 10.1.0.4 и смотрите что фиксируется в журнале ip-пакетов на обоих координаторах. Перед этим убедитесь, что у вас включена регистрация всех пакетов, а не только блокированных.

С пользователями разобрался, для диагностики, конечно удобнее.

Спасибо, буду пробовать!

Share this post


Link to post
Share on other sites
В 22.11.2017 в 15:50, denis.r сказал:

Это вы зря сделали. Оставили бы в статике. 

С координатора 1 запускаете пинк ping 10.1.0.4 и смотрите что фиксируется в журнале ip-пакетов на обоих координаторах. Перед этим убедитесь, что у вас включена регистрация всех пакетов, а не только блокированных.

 

упростил схему, убрал шлюз посередине.

теперь так:

клиент1-1 - координатор1 - координатор2 - клиент2-1

вообще пишет network is unreachable.  и с виндовый клиент тоже по виртуальному адресу не пингует своего координтора. то есть получается, система вообще не видит виртуальных интерфейсов. я так понимаю, по аналогии с openvpn, должен быть виртуальный интерфейс, которому присвоен виртуальный ip адрес? 

ну и само собой, координтаор и сам себя по своему виртуальному Ip адресу не пингует

какая-то путанница с виртуальными адресами. например, на cliente1-1 показано, что его координатор доступен по виртуальному адресу 11.0.0.1. Но на координатое 1, в Iplir.conf в его собственной секции написано virtualip 10.0.0.1

Share this post


Link to post
Share on other sites
В 23.11.2017 в 19:30, Алекснадр сказал:

какая-то путанница с виртуальными адресами.

Это потому что Вы проводите аналогию с openvpn. Здесь у каждого узла свой пул виртуальных адресов, который никак не зависит от пула других узлов.

 

В 23.11.2017 в 19:30, Алекснадр сказал:

network is unreachable

А интерфейс включен? А шлюз по умолчанию задан?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.