Не работает туннель на HW1000

[KMT062]

Здравствуйте. Есть координатор HW1000 версия 4.1.5(1856) на нем прописан туннель из закрытого сегмента сети 172.16.32.102 в открытый 10.136.0.91. Если на узле открытого сегмента прописать шлюзом интерфейс координатора 10.136.0.254, то оба узла доступны друг другу. Если же прописать шлюзом роутер 10.136.0.1 и добавить статический маршрут вида route add 10.136.0.0 10.136.0.254 mask 255.255.255.0 то из закрытого сегмента доступ в открытый сегмент пропадает, а из открытого сегмента доступ в закрытый есть. На HW1000 версии 2.6-205 все работало при аналогичных настройках. В чем может быть проблема?

 

Ниже будут указаны настройки туннелирования, произведённые на координаторах.

HW1000 версии 2.6-205 (в файле iplir.conf):

rule= num 1 proto any from 0x3C1000A to 10.136.0.91 pass

rule= num 2 proto any from 10.136.0.91 to 0x3C1000A pass

HW1000 версия 4.1.5(1856):

Версия с использованием ID

firewall tunnel add src 0x3C1000A dst 10.136.0.91 pass

firewall tunnel add src 10.136.0.91 dst 0x3C1000A pass

или

Версия с использованием IP

firewall tunnel add src 172.16.32.102 dst 10.136.0.91 pass

firewall tunnel add src 10.136.0.91 dst 172.16.32.102 pass

 

[zero]

6 часов назад, KMT062 сказал:

HW1000 версия 4.1.5(1856)

поставьте 4.2.2, 4.1.5 не надо.

[R.Sheyn]

Абсолютно непонятно чего Вы пытаетесь добиться добавляя на узле открытого сегмента маршрут вида route add 10.136.0.0 10.136.0.254 mask 255.255.255.0.

Вам же надо сообщить узлу, что сеть 172.16.32.0 доступна через координатор, т.е. через 10.136.0.254. Таким образом верный маршрут будет route add 172.16.32.0 10.136.0.254 mask 255.255.255.0.

Координатор и его версия тут абсолютно не причем, Вы запутались в маршрутизации в собственной сети.

[KMT062]

Да я в описании с маршрутом ошибся, маршрут такой как в сообщении выше т.е. route add 172.16.32.0 10.136.0.254 mask 255.255.255.0

[R.Sheyn]

А у Вас 172.16.32.102 это туннелируемый ресурс или vipnet клиент? Если клиент, то какой у него accessip на координаторе?

[KMT062]

Tуннелируемый ресурс 10.136.0.91. На 172.16.32.102 стоит Vipnet клиент.

[R.Sheyn]

Какой у него accessip на координаторе? Вообще если есть возможно выложите Iplir.conf, так будет проще

[KMT062]

[id]
id= 0x3c10009
name= HW1000
ip= 172.16.32.1
ip= 10.136.0.254
tunnel= 10.136.0.91-10.136.0.91 to 10.136.0.91-10.136.0.91
firewallip= 169.254.241.1
port= 55777
proxyid=0x00000000
usefirewall= on
fixfirewall= off
virtualip= 11.0.0.1
version= 3.0-670

[id]
id= 0x3c1000a
name= Client1
ip= 172.16.32.102, 11.0.0.2
accessip= 172.16.32.102
firewallip= 172.16.32.102
accessiplist= 172.16.32.102, auto, 172.16.32.102, 1, auto
port= 55777
proxyid= 0xfffffffe
dynamic_timeout= 25
usefirewall= on
virtualip= 11.0.0.2
visibility= auto
version= 4.30-0

[adapter]
name= eth0
ip= 172.16.32.1 
alowtraffic= on
type= internal

[adapter]
name= eth1
ip= 10.136.0.254 
alowtraffic= on
type= internal

[misc]
packettype= 4.1
timediff= 7200
warnoldautosave= on
client_pollinterval= 300
server_pollinterval= 900
tunnel_local_network= off
ifcheck_timeout= 5
ipforwarding= on
iscaggregate= on
msg_compress_level= 3
ompnumthreads= 1
mssdecrease= 0
ciphertype= gost

[debug]
debuglevel= 3
debuglogfile= syslog:daemon.debug

[virtualip]
startvirtualip= 11.0.0.1
endvirtualip= 11.0.2.25
maxvirtualip= 11.0.254.254
; Do not delete or change the following line!!!
startvirtualiphash= 0x2D323E76

[visibility]
default= auto
 

[R.Sheyn]

Должно работать по идее, если обращаться с защищенного узла трафик до туннеля доходит, (воспользуйтесь каким-нибудь анализатором трафика)?Ответный трафик на координатор поступает?

[KMT062]

По на координаторе обновил до актуальной версии высланной техподдержкой. Ничего не изменилось.

В iplir view есть ошибка 18 Unknown destination ip address но стоит на узле где нет vipnet-клиента поставить шлюзом интрефейс координатора сразу пинг идет. Т.е. я так понимаю проблема где-то в маршрутизации на координаторе.

[Vintik]

Очень хорошо, что есть тех.п. и обновили вам версию, может и с вопросами помогут?

[R.Sheyn]

В 04.06.2018 в 15:47, KMT062 сказал:

По на координаторе обновил до актуальной версии высланной техподдержкой. Ничего не изменилось.

В iplir view есть ошибка 18 Unknown destination ip address но стоит на узле где нет vipnet-клиента поставить шлюзом интрефейс координатора сразу пинг идет. Т.е. я так понимаю проблема где-то в маршрутизации на координаторе.

А Вы уверены, что 18 событие и установка шлюзом на туннеле связаны или просто увидели первую попавшуюся ошибку?

Пришлите таблицу маршрутизации с ПАКа