Art_y Опубликовано 23 Января 2018 Жалоба Поделиться Опубликовано 23 Января 2018 Здравствуйте. Пытаемся подружить две сети. В сети N1 - везде vipnet версии 3.2. В сети N2 - версия vipnet 4.x. Вот что в итоге получилось: координаторы (HW2000 с двух сторон) этих сетей не опрашиваются по IPlir ping (они не могут опросить друг друга, клиенты их также не опрашивают), но при этом клиенты ДРУГ ДРУГА опрашивают. И координаторы могут опросить любой клиент. При этом клиенты сети N2 из N1 видятся по внутреннему адресу, у них нет межсетевого экрана и у них НЕЛЬЗЯ включить виртуальные адреса. (см. N1.jpg и N2.jpg) Территориально сети находятся удаленно друг от друга. Координатор сети N1 настроен на работу со статической трансляцией. Координатор сети N2 настроен на работу с динамической трансляцией. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KIV Опубликовано 23 Января 2018 Жалоба Поделиться Опубликовано 23 Января 2018 iplir view чего на координаторах показывает по поводу связи между координаторов? iplir view не панацея бывает что он не показывает доступность узла, а связь есть. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Art_y Опубликовано 24 Января 2018 Автор Жалоба Поделиться Опубликовано 24 Января 2018 По Iplir view координаторы друг друга не опрашивают. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Rinya Опубликовано 24 Января 2018 Жалоба Поделиться Опубликовано 24 Января 2018 никаких пакетов нет в журналах? может у Вас логирование на интерфейсах отключено? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Art_y Опубликовано 24 Января 2018 Автор Жалоба Поделиться Опубликовано 24 Января 2018 Логирование включено для всех интерфейсов. Пакеты, конечно же, фиксируются, но при этом нет данных в журнале о том, что IP узлов доверенной сети блокируются. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Rinya Опубликовано 24 Января 2018 Жалоба Поделиться Опубликовано 24 Января 2018 может быть проблема тогда в шлюзах, которые стоят на границах? Можно поглядеть секции ID (собственного и с кем межсеть), adapter, dynamic с обоих координаторов? Координаторы пингуют друг друга по адресам (inet ping)? хотябы firewallip пингуется? вырезку из журнала можно поглядеть (с параметрами nod filter... сорс собственный дестинейшин удаленный и с галочкой DST->SRC) с обоих координаторов. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ibshkiper Опубликовано 25 Января 2018 Жалоба Поделиться Опубликовано 25 Января 2018 Не знаю насколько поможет, была похожая ситуация, но внутри одной сети. Координаторы видели друг друга и в ip view отображались пакеты, но защищенное соединение не поднималось. Решилось все тем что на шлюзе (на циско) порт 55777 был выделен для адреса координатора в сторону интернета. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
alex_av Опубликовано 25 Января 2018 Жалоба Поделиться Опубликовано 25 Января 2018 Может разный режим шифрования на координаторах. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Art_y Опубликовано 26 Января 2018 Автор Жалоба Поделиться Опубликовано 26 Января 2018 15 часов назад, alex_av сказал: Может разный режим шифрования на координаторах. Неужели из-за этого опросы не будут работать? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
KIV Опубликовано 26 Января 2018 Жалоба Поделиться Опубликовано 26 Января 2018 Неужели из-за этого опросы не будут работать? Конечно могут: особенно было видно при версиях ПО HWшек 3.0 и новее. Там CTR разный был и косяки бывали разные. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Art_y Опубликовано 5 Февраля 2018 Автор Жалоба Поделиться Опубликовано 5 Февраля 2018 Разобрались. Проблема с маршрутизацией имела место быть. Теперь другая проблемка - все туннели сети 1 видны пользователям сети 2. Ну и наоборот, соответственно. Как можно сделать так, чтобы туннели были видны только внутри випнет-сети, а пользователям доверенной сети - нет? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Rinya Опубликовано 5 Февраля 2018 Жалоба Поделиться Опубликовано 5 Февраля 2018 это настраивается фильтрами для туннелей. там прописываете кому и куда можно, кому нельзя. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Art_y Опубликовано 6 Февраля 2018 Автор Жалоба Поделиться Опубликовано 6 Февраля 2018 (изменено) 19 часов назад, Rinya сказал: это настраивается фильтрами для туннелей. там прописываете кому и куда можно, кому нельзя. Спасибо за подсказку. Но еще одна проблема появилась. Отправляется экспорт из сети №1 (в сети №1 ViPNet Версии 3.х, в сети №2 - 4.х) в сеть №2 - сеть № 2 его получает, экспорт проходит, в сети 2 его обрабатывают, но не приходит ответ об обработке. Остается статус "Отправлен". А он нужен, для отчетности. Не подскажете, в чем может быть загвоздка? Изменено 6 Февраля 2018 пользователем Art_y Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Art_y Опубликовано 14 Февраля 2018 Автор Жалоба Поделиться Опубликовано 14 Февраля 2018 Ответов нет, ну и ладно. Еще одни вопрос возник: в координаторе, в iplir config firewall, в секции [tunnel] можно задать разрешение/запрет для ViPNet-узлов всей сети на определенные адреса (т.е. для дружественной сети), ну чтобы не указывать идентификаторы/диапазон идентификаторов ViPNet-узлов? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Vintik Опубликовано 14 Февраля 2018 Жалоба Поделиться Опубликовано 14 Февраля 2018 В 06.02.2018 в 14:43, Art_y сказал: Отправляется экспорт из сети №1 (в сети №1 ViPNet Версии 3.х, в сети №2 - 4.х) в сеть №2 - сеть № 2 его получает, экспорт проходит, в сети 2 его обрабатывают, но не приходит ответ об обработке. Остается статус "Отправлен". А он нужен, для отчетности. Не подскажете, в чем может быть загвоздка? А вы уверены что его там точно обработали и отправили, а то бывает на это годами не смотрят (как оказалось). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Art_y Опубликовано 15 Февраля 2018 Автор Жалоба Поделиться Опубликовано 15 Февраля 2018 Да, уверен. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Art_y Опубликовано 20 Февраля 2018 Автор Жалоба Поделиться Опубликовано 20 Февраля 2018 Повторю свой последний вопрос: В координаторе, в iplir config firewall, в секции [tunnel] можно задать разрешение/запрет для ViPNet-узлов всей сети на определенные адреса (т.е. для дружественной сети), чтобы не указывать идентификаторы/диапазон идентификаторов ViPNet-узлов? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
denis.r Опубликовано 20 Февраля 2018 Жалоба Поделиться Опубликовано 20 Февраля 2018 6 часов назад, Art_y сказал: Повторю свой последний вопрос: Что мешает включить в диапазон все адреса? Например: 0x10e10000-0x10e1FFFF Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Art_y Опубликовано 21 Февраля 2018 Автор Жалоба Поделиться Опубликовано 21 Февраля 2018 15 часов назад, denis.r сказал: Что мешает включить в диапазон все адреса? Например: 0x10e10000-0x10e1FFFF В принципе, ничего не мешает. Но в межсеть будут добавляться клиенты дружественной сети (причем, регулярно будут добавляться и в большом количестве). Поэтому хочется сразу добавить правило для всей дружественной сети. Можно ли это осуществить? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
denis.r Опубликовано 22 Февраля 2018 Жалоба Поделиться Опубликовано 22 Февраля 2018 17 часов назад, Art_y сказал: Поэтому хочется сразу добавить правило для всей дружественной сети. Можно ли это осуществить? 17 часов назад, Art_y сказал: Например: 0x10e10000-0x10e1FFFF Этот диапазон и так включает все узлы доверенной сети. Например, для доверенной сети 555 диапазон будет: 0x022b0000 - 0x22bFFFF Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Art_y Опубликовано 26 Февраля 2018 Автор Жалоба Поделиться Опубликовано 26 Февраля 2018 В 22.02.2018 в 09:00, denis.r сказал: Этот диапазон и так включает все узлы доверенной сети. Например, для доверенной сети 555 диапазон будет: 0x022b0000 - 0x22bFFFF Большое спасибо за совет. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.