Межсетевое взаимодействие 3.х и 4.х

[Art_y]

Здравствуйте.

Пытаемся подружить две сети.
В сети N1 - везде vipnet версии 3.2.

В сети N2 - версия vipnet 4.x.

Вот что в итоге получилось: координаторы (HW2000 с двух сторон) этих сетей не опрашиваются по IPlir ping (они не могут опросить друг друга, клиенты их также не опрашивают), но при этом клиенты ДРУГ ДРУГА опрашивают. И координаторы могут опросить любой клиент.

При этом клиенты сети N2 из N1 видятся по внутреннему адресу, у них нет межсетевого экрана и у них НЕЛЬЗЯ включить виртуальные адреса.
(см. N1.jpg и N2.jpg) Территориально сети находятся удаленно друг от друга.

Координатор сети N1 настроен на работу со статической трансляцией.

Координатор сети N2 настроен на работу с динамической трансляцией.

 

 

 

 

 

[KIV]

iplir view чего на координаторах показывает по поводу связи между координаторов? iplir view не панацея бывает что он не показывает доступность узла, а связь есть.

[Art_y]

По Iplir view координаторы друг друга не опрашивают.

[Rinya]

никаких пакетов нет в журналах? может у Вас логирование на интерфейсах отключено?

[Art_y]

Логирование включено для всех интерфейсов. Пакеты, конечно же, фиксируются, но при этом нет данных в журнале о том, что IP узлов доверенной сети блокируются.

[Rinya]

может быть проблема тогда в шлюзах, которые стоят на границах?

Можно поглядеть секции ID (собственного и с кем межсеть), adapter, dynamic с обоих координаторов?

Координаторы пингуют друг друга по адресам (inet ping)? хотябы  firewallip пингуется?

вырезку из журнала можно поглядеть (с параметрами nod filter... сорс собственный дестинейшин удаленный и с галочкой DST->SRC) с обоих координаторов.

[ibshkiper]

Не знаю насколько поможет, была похожая ситуация, но внутри одной сети. Координаторы видели друг друга и в ip view отображались пакеты, но защищенное соединение не поднималось. Решилось все тем что на шлюзе (на циско) порт 55777 был выделен для адреса координатора в сторону интернета.

[alex_av]

Может разный режим шифрования на координаторах.

[Art_y]

15 часов назад, alex_av сказал:

Может разный режим шифрования на координаторах.

Неужели из-за этого опросы не будут работать?

 

[KIV]

Неужели из-за этого опросы не будут работать?

Конечно могут: особенно было видно при версиях ПО HWшек 3.0 и новее. Там CTR разный был и косяки бывали разные.

[Art_y]

Разобрались. Проблема с маршрутизацией имела место быть.

 

Теперь другая проблемка - все туннели сети 1 видны пользователям сети 2. Ну и наоборот, соответственно. Как можно сделать так, чтобы туннели были видны только внутри випнет-сети, а пользователям доверенной сети - нет?

[Rinya]

это настраивается фильтрами для туннелей. там прописываете кому и куда можно, кому нельзя.

[Art_y]

19 часов назад, Rinya сказал:

это настраивается фильтрами для туннелей. там прописываете кому и куда можно, кому нельзя.

Спасибо за подсказку.

Но еще одна проблема появилась.
Отправляется экспорт из сети №1 (в сети №1 ViPNet Версии 3.х, в сети №2 - 4.х) в сеть №2 - сеть № 2 его получает, экспорт проходит, в сети 2 его обрабатывают, но не приходит ответ об обработке. Остается статус "Отправлен". А он нужен, для отчетности. Не подскажете, в чем может быть загвоздка?

 

Изменено 6 Февраля 2018 пользователем Art_y

[Art_y]

Ответов нет, ну и ладно.

Еще одни вопрос возник: в координаторе, в iplir config firewall, в секции [tunnel] можно задать разрешение/запрет для ViPNet-узлов всей сети на определенные адреса (т.е. для дружественной сети), ну чтобы не указывать идентификаторы/диапазон идентификаторов ViPNet-узлов?

[Vintik]

В 06.02.2018 в 14:43, Art_y сказал:

Отправляется экспорт из сети №1 (в сети №1 ViPNet Версии 3.х, в сети №2 - 4.х) в сеть №2 - сеть № 2 его получает, экспорт проходит, в сети 2 его обрабатывают, но не приходит ответ об обработке. Остается статус "Отправлен". А он нужен, для отчетности. Не подскажете, в чем может быть загвоздка?

А вы уверены что его там точно обработали и отправили, а то бывает на это годами не смотрят (как оказалось).

[Art_y]

Да, уверен.

[Art_y]

Повторю свой последний вопрос:

 В координаторе, в iplir config firewall, в секции [tunnel] можно задать разрешение/запрет для ViPNet-узлов всей сети на определенные адреса (т.е. для дружественной сети),  чтобы не указывать идентификаторы/диапазон идентификаторов ViPNet-узлов?

[denis.r]

6 часов назад, Art_y сказал:

Повторю свой последний вопрос:

Что мешает включить в диапазон все адреса? Например: 0x10e10000-0x10e1FFFF

[Art_y]

15 часов назад, denis.r сказал:

Что мешает включить в диапазон все адреса? Например: 0x10e10000-0x10e1FFFF

В принципе, ничего не мешает. Но в межсеть будут добавляться клиенты дружественной сети (причем, регулярно будут добавляться и в большом количестве). Поэтому хочется сразу добавить правило для всей дружественной сети. Можно ли это осуществить?

 

[denis.r]

17 часов назад, Art_y сказал:

Поэтому хочется сразу добавить правило для всей дружественной сети. Можно ли это осуществить?

 

17 часов назад, Art_y сказал:

Например: 0x10e10000-0x10e1FFFF

Этот диапазон и так включает все узлы доверенной сети. Например, для доверенной сети 555 диапазон будет: 0x022b0000 - 0x22bFFFF

[Art_y]

В 22.02.2018 в 09:00, denis.r сказал:

 

Этот диапазон и так включает все узлы доверенной сети. Например, для доверенной сети 555 диапазон будет: 0x022b0000 - 0x22bFFFF

Большое спасибо за совет.