Jump to content

Recommended Posts

Добрый день, коллеги. 

Обновили частично VipNet на предприятии(обновили всех пользователей(4.*) и VipNet Administrator(УКЦ - 4.6.1.37636, ЦУС - 4.61.3861), VipNet Coordinator не трогали). При работе с пользователями созданными в версии 3.2.* и мигрировавшими в новую версию проблем нет выписываем ключи, формируем файлы dst, сертификаты, почта ходит. Новые пользователи создаются без проблем, выписываются им файл ключей так же без ошибок или предупреждений, но на связь с VipNetCoordinator не выходят, при этом в списке "защищенная сеть" появляются, но при этом указываются виртуальные адреса не из диапазона, который прописан в настройках координатора (Сервис->Настройк->Защищенная сеть->Дополнительные параметры), отличаются с третьего актета, я так понимаю в связи с этим и не выходят на связь. При эторм в свойствах узла отражается такая информация:

Имя компьютера: 
Режим безопасности: 1
Версия ПО:     
Реальные IP-адреса видимости:
10.x.x.x
Виртуальные IP-адреса видимости:
11.0.3.233
Доступен по реальным IP-адресам
Недоступен по Broadcast
Информация о типе межсетевого экрана:
IP-адреса доступа через межсетевой экран: 10.x.x.x [-2,0]
Порт UDP: 55777
Тип межсетевого экрана: 
Со статической трансляцией адресов, внешний IP-адрес доступа через межсетевой экран зафиксирован
В чем может быть проблема?

Сеть у нас самостоятельная(вышестоящих сетей нет, есть только партнерские), взаимодействие между сетями так же идет. VipNetCoordinator не обновили, т.к. сервер с текущим координатором не соответствует тех требованиям 4.* версии

Может кто сталкивался, или знает в какую сторону копать. 

Share this post


Link to post
Share on other sites

 А что в журналах пакетов? Какая версия координатора, который не обновили?

58 минут назад, nikab_III сказал:

но при этом указываются виртуальные адреса не из диапазона, который прописан в настройках координатора (Сервис->Настройк->Защищенная сеть->Дополнительные параметры), отличаются с третьего актета

В этих настройках указывается только стартовый адрес, обычно 11.0.0.1, а дальше идёт приращение вверх, по количеству связанных с ним узлов. 11.0.3.233  это 3 раза по 254 узла и еще 233. Не такая уж и большая сеть. Но если что-то смущает, то в качестве эксперимента переключите видимость у 1-2 клиентов на реальную. Проблема точно не в этом, как мне кажется.

Share this post


Link to post
Share on other sites
34 минуты назад, zero сказал:

 А что в журналах пакетов? Какая версия координатора, который не обновили?

В этих настройках указывается только стартовый адрес, обычно 11.0.0.1, а дальше идёт приращение вверх, по количеству связанных с ним узлов. 11.0.3.233  это 3 раза по 254 узла и еще 233. Не такая уж и большая сеть. Но если что-то смущает, то в качестве эксперимента переключите видимость у 1-2 клиентов на реальную. Проблема точно не в этом, как мне кажется.

какая стандартная размерность сети предусмотрена? или она безразмерна, по лицензии у нас разрешено 350 клиентов.

к тому же есть еще особенность этих клиентов - ставится только деловая почта, vip net монитор отсутствует, т.к. его роль выполняют иные средства FW

 

Координатор 3.2 версии, в журналах пакетов по реальным и виртуальным адресам трафик не увидел.

Share this post


Link to post
Share on other sites

в дополнение, только сейчас заметил, новые пользователи заведенные в систему отражающиеся в координаторе с адресами 11.0.3.x на машине с  VipNetAdministrator в monitor отражаются с сетью 11.0.0.*

Share this post


Link to post
Share on other sites
11 часов назад, nikab_III сказал:

в журналах пакетов по реальным и виртуальным адресам трафик не увидел.

 Можно уточнить, как Вы связываете пользователей и координатор в ЦУС? Только по узлам или еще и по пользователям тоже? Ели у Вас нет монитора, а только ДП, то связи по пользователям Вам не нужны и в мониторе на координаторе новых пользователей быть не должно. Так как от них трафик будет приходить в зашифрованном конверте,  но не зашифрованный драйвером и регистрироваться должне как открытый с 60 событием с реального адреса.

 

Share this post


Link to post
Share on other sites
В 12.04.2018 в 12:41, zero сказал:

 Можно уточнить, как Вы связываете пользователей и координатор в ЦУС? Только по узлам или еще и по пользователям тоже? Ели у Вас нет монитора, а только ДП, то связи по пользователям Вам не нужны и в мониторе на координаторе новых пользователей быть не должно. Так как от них трафик будет приходить в зашифрованном конверте,  но не зашифрованный драйвером и регистрироваться должне как открытый с 60 событием с реального адреса.

 

связываю и по хостам и по пользователям.

удалил связи пользователей они пропали у назначенных из адресной книги...

может быть проблема с ролями? для ДП требуется только busines mail?

Share this post


Link to post
Share on other sites
В 4/13/2018 в 22:32, nikab_III сказал:

удалил связи пользователей они пропали у назначенных из адресной книги...

 Речь шла только о связях по пользователям с координатором. Не между самими клиентами...

 

В 4/13/2018 в 22:32, nikab_III сказал:

для ДП требуется только busines mail?

Да.

Что-то регистрируется на координаторе в журнале пакетов  от пользователей или нет?

Share this post


Link to post
Share on other sites
В 12.04.2018 в 12:09, nikab_III сказал:

в дополнение, только сейчас заметил, новые пользователи заведенные в систему отражающиеся в координаторе с адресами 11.0.3.x на машине с  VipNetAdministrator в monitor отражаются с сетью 11.0.0.*

Это у Випента такие приколы, на каждом месте свои вирт. адреса. потому всё верно, так и будет если не переключать там принудительно на "использовать реальный IP" и тогда везде будет одинаково, но если будет КоЗа по IP, то будет не весело. 

Share this post


Link to post
Share on other sites
В 4/16/2018 в 11:15, zero сказал:

 Речь шла только о связях по пользователям с координатором. Не между самими клиентами...

 

Да.

Что-то регистрируется на координаторе в журнале пакетов  от пользователей или нет?

Спасибо, заработало.

на всех хостах удалил связи по пользователю Координатора, и убрал лишние роли. 

По поводу регистрации в журнале пакетов. Либо я что-то делаю не так, либо все же никаких пакетов не регистрируется, тем не менее почта приходит и уходит.

Share this post


Link to post
Share on other sites

 Должны регистрироваться открытые пакеты с 60 событием на порты 5000-5002 координатора. Не святой же дух почту доставляет.

Share this post


Link to post
Share on other sites

Насколько я помню, по умолчанию регистрируются только блокированные пакеты.

Share this post


Link to post
Share on other sites
5 часов назад, zero сказал:

Не святой же дух почту доставляет.

Да тут кто с Випнетом познакомился уже в каких угодно духов поверят))) На то и нужен БУБЕН шаманский :-)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.