Jump to content

Recommended Posts

Здравствуйте.N1_01.jpg.1056baded54f5871d660e3fc0fcc28ad.jpg

Пытаемся подружить две сети.
В сети N1 - везде vipnet версии 3.2.

В сети N2 - версия vipnet 4.x.


Вот что в итоге получилось: координаторы (HW2000 с двух сторон) этих сетей не опрашиваются по IPlir ping (они не могут опросить друг друга, клиенты их также не опрашивают), но при этом клиенты ДРУГ ДРУГА опрашивают. И координаторы могут опросить любой клиент.

При этом клиенты сети N2 из N1 видятся по внутреннему адресу, у них нет межсетевого экрана и у них НЕЛЬЗЯ включить виртуальные адреса.
(см. N1.jpg и N2.jpg) Территориально сети находятся удаленно друг от друга.

Координатор сети N1 настроен на работу со статической трансляцией.

Координатор сети N2 настроен на работу с динамической трансляцией.

 

 

 

 

 

Схема.jpg

Share this post


Link to post
Share on other sites

iplir view чего на координаторах показывает по поводу связи между координаторов? iplir view не панацея бывает что он не показывает доступность узла, а связь есть.

Share this post


Link to post
Share on other sites

никаких пакетов нет в журналах? может у Вас логирование на интерфейсах отключено?

Share this post


Link to post
Share on other sites

Логирование включено для всех интерфейсов. Пакеты, конечно же, фиксируются, но при этом нет данных в журнале о том, что IP узлов доверенной сети блокируются.

Share this post


Link to post
Share on other sites

может быть проблема тогда в шлюзах, которые стоят на границах?

Можно поглядеть секции ID (собственного и с кем межсеть), adapter, dynamic с обоих координаторов?

Координаторы пингуют друг друга по адресам (inet ping)? хотябы  firewallip пингуется?

вырезку из журнала можно поглядеть (с параметрами nod filter... сорс собственный дестинейшин удаленный и с галочкой DST->SRC) с обоих координаторов.

Share this post


Link to post
Share on other sites

Не знаю насколько поможет, была похожая ситуация, но внутри одной сети. Координаторы видели друг друга и в ip view отображались пакеты, но защищенное соединение не поднималось. Решилось все тем что на шлюзе (на циско) порт 55777 был выделен для адреса координатора в сторону интернета.

Share this post


Link to post
Share on other sites
15 часов назад, alex_av сказал:

Может разный режим шифрования на координаторах.

Неужели из-за этого опросы не будут работать?

 

Share this post


Link to post
Share on other sites

Неужели из-за этого опросы не будут работать?


Конечно могут: особенно было видно при версиях ПО HWшек 3.0 и новее. Там CTR разный был и косяки бывали разные.

Share this post


Link to post
Share on other sites

Разобрались. Проблема с маршрутизацией имела место быть.

 

Теперь другая проблемка - все туннели сети 1 видны пользователям сети 2. Ну и наоборот, соответственно. Как можно сделать так, чтобы туннели были видны только внутри випнет-сети, а пользователям доверенной сети - нет?

Share this post


Link to post
Share on other sites

это настраивается фильтрами для туннелей. там прописываете кому и куда можно, кому нельзя.

Share this post


Link to post
Share on other sites
19 часов назад, Rinya сказал:

это настраивается фильтрами для туннелей. там прописываете кому и куда можно, кому нельзя.

Спасибо за подсказку.

Но еще одна проблема появилась.
Отправляется экспорт из сети №1 (в сети №1 ViPNet Версии 3.х, в сети №2 - 4.х) в сеть №2 - сеть № 2 его получает, экспорт проходит, в сети 2 его обрабатывают, но не приходит ответ об обработке. Остается статус "Отправлен". А он нужен, для отчетности. Не подскажете, в чем может быть загвоздка?

 

Экспорт_01.jpg

Edited by Art_y

Share this post


Link to post
Share on other sites

Ответов нет, ну и ладно.

Еще одни вопрос возник: в координаторе, в iplir config firewall, в секции [tunnel] можно задать разрешение/запрет для ViPNet-узлов всей сети на определенные адреса (т.е. для дружественной сети), ну чтобы не указывать идентификаторы/диапазон идентификаторов ViPNet-узлов?

Share this post


Link to post
Share on other sites
В 06.02.2018 в 14:43, Art_y сказал:

Отправляется экспорт из сети №1 (в сети №1 ViPNet Версии 3.х, в сети №2 - 4.х) в сеть №2 - сеть № 2 его получает, экспорт проходит, в сети 2 его обрабатывают, но не приходит ответ об обработке. Остается статус "Отправлен". А он нужен, для отчетности. Не подскажете, в чем может быть загвоздка?

А вы уверены что его там точно обработали и отправили, а то бывает на это годами не смотрят (как оказалось).

Share this post


Link to post
Share on other sites

Повторю свой последний вопрос:

 В координаторе, в iplir config firewall, в секции [tunnel] можно задать разрешение/запрет для ViPNet-узлов всей сети на определенные адреса (т.е. для дружественной сети),  чтобы не указывать идентификаторы/диапазон идентификаторов ViPNet-узлов?

Share this post


Link to post
Share on other sites
6 часов назад, Art_y сказал:

Повторю свой последний вопрос:

Что мешает включить в диапазон все адреса? Например: 0x10e10000-0x10e1FFFF

Share this post


Link to post
Share on other sites
15 часов назад, denis.r сказал:

Что мешает включить в диапазон все адреса? Например: 0x10e10000-0x10e1FFFF

В принципе, ничего не мешает. Но в межсеть будут добавляться клиенты дружественной сети (причем, регулярно будут добавляться и в большом количестве). Поэтому хочется сразу добавить правило для всей дружественной сети. Можно ли это осуществить?

 

Share this post


Link to post
Share on other sites
17 часов назад, Art_y сказал:

Поэтому хочется сразу добавить правило для всей дружественной сети. Можно ли это осуществить?

 

17 часов назад, Art_y сказал:

Например: 0x10e10000-0x10e1FFFF

Этот диапазон и так включает все узлы доверенной сети. Например, для доверенной сети 555 диапазон будет: 0x022b0000 - 0x22bFFFF

Share this post


Link to post
Share on other sites
В 22.02.2018 в 09:00, denis.r сказал:

 

Этот диапазон и так включает все узлы доверенной сети. Например, для доверенной сети 555 диапазон будет: 0x022b0000 - 0x22bFFFF

Большое спасибо за совет.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.