Перейти к контенту

Рекомендуемые сообщения

Добрый день! В сеть был добавлен второй координатор, прописаны туннели. Связь через туннели работает.

Но координаторы друг друга пингуют только по виртуальным адресам. Координаторы с обеих сторон также не видят туннелированные адреса. Это так и должно быть? В журнале с одной стороны событие 40, с другой пусто.

Конфиг

[id]
id= 0x07b7000a
name= SM
filterdefault= pass
ip= 172.16.20.200
ip= 192.168.1.2
ip= 192.168.10.1
tunnel= 172.16.20.1-172.16.20.254 to 172.16.20.1-172.16.20.254
tunnel= 192.168.10.2-192.168.10.2 to 192.168.10.2-192.168.10.2
tunnel= 192.168.10.4-192.168.10.4 to 192.168.10.4-192.168.10.4
firewallip= x.x.x.x
port= 55777
proxyid= 0xfffffffe
usefirewall= on
fixfirewall= off
virtualip= 10.0.0.1
version= 3.0-670


[id]
id= 0x07b7000c
name= SM_O
filterdefault= pass
ip= 192.168.88.134
ip= 192.168.88.133
accessip= 10.0.0.15
tunnel= 192.168.88.1-192.168.88.132 to 192.168.88.1-192.168.88.132
tunnel= 192.168.88.135-192.168.88.254 to 192.168.88.135-192.168.88.254
firewallip= x.x.x.x
port= 55777
proxyid= 0xfffffffe
dynamic_timeout= 25
usefirewall= on
virtualip= 10.0.0.15
version= 3.0-670


[adapter]
name= eth1
ip= 192.168.10.1
ip= 172.16.20.200
allowtraffic= on
type= internal

[adapter]
name= eth0
ip= 192.168.1.2
allowtraffic= on
type= external

[adapter]
name= eth2
allowtraffic= on
type= internal

[adapter]
name= eth3
allowtraffic= on
type= internal

[dynamic]
dynamic_proxy= off
firewallip= 192.168.10.1
port= 55777
forward_id= 0x00000000
always_use_server= off
timeout= 25

[misc]
packettype= 4.1
timediff= 7200
warnoldautosave= on
client_pollinterval= 300
server_pollinterval= 900
iparponly= off
ifcheck_timeout= 30
ipforwarding= on
iscaggregate= on
msg_compress_level= 9
mssdecrease= 0
ciphertype= gost

[debug]
debuglevel= 3
debuglogfile= syslog:daemon.debug

[servers]
server= 0x07b7000c, SM_O


///////////////////////////////////////

[id]
id= 0x07b7000c
name= SM_O
filterdefault= pass
ip= 192.168.88.133
ip= 192.168.88.134
tunnel= 192.168.88.1-192.168.88.132 to 192.168.88.1-192.168.88.132
tunnel= 192.168.88.135-192.168.88.254 to 192.168.88.135-192.168.88.254
firewallip= 192.168.88.133
port= 55777
proxyid= 0x00000000
usefirewall= on
fixfirewall= off
virtualip= 10.0.0.1
version= 3.0-670

[id]
id= 0x07b7000a
name= SM
filterdefault= pass
ip= 192.168.1.2
ip= 172.16.20.200
ip= 192.168.10.1
accessip= 10.0.0.2
tunnel= 172.16.20.1-172.16.20.254 to 172.16.20.1-172.16.20.254
tunnel= 192.168.10.2-192.168.10.2 to 192.168.10.2-192.168.10.2
tunnel= 192.168.10.4-192.168.10.4 to 192.168.10.4-192.168.10.4
firewallip= x.x.x.x
port= 55777
proxyid= 0x07b7000a
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.2
version= 3.0-670

[adapter]
name= eth1
ip= 192.168.88.133
allowtraffic= on
type= external

[adapter]
name= eth0
ip= 192.168.88.134
allowtraffic= on
type= internal

[adapter]
name= eth2
allowtraffic= on
type= internal

[adapter]
name= eth3
allowtraffic= on
type= internal

[dynamic]
dynamic_proxy= on
firewallip= x.x.x.x
port= 55777
forward_id= 0x07b7000a
always_use_server= off
timeout= 25

[misc]
packettype= 4.1
timediff= 7200
warnoldautosave= on
client_pollinterval= 300
server_pollinterval= 900
iparponly= off
ifcheck_timeout= 30
ipforwarding= on
iscaggregate= on
msg_compress_level= 9
mssdecrease= 0
ciphertype= gost

[debug]
debuglevel= 3
debuglogfile= syslog:daemon.debug

[servers]
server= 0x07b7000a, SM

Фаервол с обеих сторон одинаковый

[settings]
[antispoof]
antispoof=no
[broadcast]
rule= num 1 proto udp from anyip:67-68 to anyip:67-68   pass
[nat]

[local]
rule= num 1 proto udp from anyip:67-68 to anyip:67-68   pass
rule= num 2 proto udp from anyip to anyip:53 out  pass
rule= num 3 proto udp from anyip to anyip:123 out  pass
rule= num 4 proto icmp from anyip to anyip   pass
rule= num 5 proto tcp from anyip to (192.168.1.2,192.168.10.1,x.x.x.x):22   pass
[forward]
[tunnel]
rule= num 1 proto any from any to any   pass

Ссылка на комментарий
Поделиться на других сайтах

Ну, во-первых видимость стоит по виртуальным. По этому по реальным пинговаться и не будет

А, во-вторых версия наверное 3.х какая-нибудь. Лучше до 4.2 обновитесь

Пусто в журнале потому что параметр registerall на интерфейсах в значении off по умолчнаию.

 

Ссылка на комментарий
Поделиться на других сайтах

6 минут назад, Alain Delon сказал:

Но координаторы друг друга пингуют только по виртуальным адресам.

Это так. Координаторы будут пинговать друг друга по тем адресам, которые стоят в accessip.

7 минут назад, Alain Delon сказал:

Координаторы с обеих сторон также не видят туннелированные адреса. Это так и должно быть? В журнале с одной стороны событие 40, с другой пусто.

А у Вас на другой стороне в настройках интерфейсов registerall включен? Кто является шлюзом по умолчанию для туннелей с одной стороны и с другой?

Ссылка на комментарий
Поделиться на других сайтах

Спасибо хоть с этим не буду мучиться.

да - включал ранее - везде 

[mode]
mode= 2

[db]
maxsize= 50 MBytes
timedif= 60
registerall= on
registerbroadcast= on
registertcpserverport= on

Если правильно понял вопрос - со стороны 192.168.88 - микротик

со стороны 192.168.10.1(internal) - прокси Kerio - за ним локалка. 

Там и там координаторы подключены параллельно интернету

 

 

Ссылка на комментарий
Поделиться на других сайтах

А маршрутизация у Вас настроена правильно? Если у Вас шлюзами не являются координаторы, то надо писать статические маршруты.

И недоступность у Вас с туннеля на туннель? А с координатора на туннель другого координатора?

И схемку с адресами лучше приложить для наглядности.

Ссылка на комментарий
Поделиться на других сайтах

Спасибо всем за участие - туннели заработали корректно, просто не до конца выключил туннель через микротики, которые в качестве МЭ с обеих сторон.

Но теперь недоступен администратор с узла SM_O (и наоборот), пока в мониторе не подниму локальный адрес SM_O вверх. Но настройки, что на администраторе, что на SM_O, как я понимаю меняются не надолго.

9175f8b8d5f10612041ed4d773330d10.jpg

Vipnet Администратор находится за натом Керио, SM HW1000-1 выбран для взаимодействия с внешними узлами.

Координатор HW1000-2

[id]
id= 0x07b7000c
name= SM_O
filterdefault= pass
ip= 192.168.88.133
ip= 192.168.88.134
tunnel= 192.168.88.1-192.168.88.132 to 192.168.88.1-192.168.88.132
tunnel= 192.168.88.135-192.168.88.254 to 192.168.88.135-192.168.88.254
firewallip= y.y.y.y
port= 55777
proxyid= 0x00000000
usefirewall= on
fixfirewall= off
virtualip= 10.0.0.1
version= 3.0-670

[id]
id= 0x07b7000a
name= SM
filterdefault= pass
ip= 192.168.1.2
ip= 172.16.20.200
ip= 192.168.10.1
accessip= 10.0.0.2
tunnel= 172.16.20.1-172.16.20.254 to 172.16.20.1-172.16.20.254
tunnel= 192.168.10.2-192.168.10.2 to 192.168.10.2-192.168.10.2
tunnel= 192.168.10.4-192.168.10.4 to 192.168.10.4-192.168.10.4
firewallip= x.x.x.x
port= 55777
proxyid= 0xfffffffe
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.2
forcereal= off
version= 3.0-670

[id]
id= 0x07b7000b
name= Administrator
filterdefault= pass
ip= 172.16.20.41
accessip= 10.0.0.3
firewallip= x.x.x.x
port= 1024
proxyid= 0x07b7000a
dynamic_timeout= 25
usefirewall= on
virtualip= 10.0.0.3
version= 3.2-672

 

 

 Координатор HW1000-1

[id]
id= 0x07b7000a
name= SM
filterdefault= pass
ip= 172.16.20.200
ip= 192.168.1.2
ip= 192.168.10.1
tunnel= 172.16.20.1-172.16.20.254 to 172.16.20.1-172.16.20.254
tunnel= 192.168.10.2-192.168.10.2 to 192.168.10.2-192.168.10.2
tunnel= 192.168.10.4-192.168.10.4 to 192.168.10.4-192.168.10.4
firewallip= x.x.x.x
port= 55777
proxyid= 0x00000000
usefirewall= on
fixfirewall= off
virtualip= 10.0.0.1
version= 3.0-670
 

[id]
id= 0x07b7000b
name= Administrator
filterdefault= pass
ip= 172.16.20.41
accessip= 10.0.0.8
firewallip= 192.168.1.141 (ip Kerio)
port= 55777
proxyid= 0xfffffffe
dynamic_timeout= 25
usefirewall= on
virtualip= 10.0.0.8
version= 3.2-672

[id]
id= 0x07b7000c
name= SM_O
filterdefault= pass
ip= 192.168.88.134
ip= 192.168.88.133
accessip= 10.0.0.15
tunnel= 192.168.88.1-192.168.88.132 to 192.168.88.1-192.168.88.132
tunnel= 192.168.88.135-192.168.88.254 to 192.168.88.135-192.168.88.254
firewallip= y.y.y.y
port= 55777
proxyid= 0xfffffffe
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.15
forcereal= off
version= 3.0-670

 

Заметил, что proxyid администратора на SM_O установлен узел SM, но в ЦУС в групповой регистрации узлов настройки пусты.

Сеть разворачивал не я - тяжеловато вникнуть.

Ссылка на комментарий
Поделиться на других сайтах

Вообще странное поведение, обновляйте ка все на 4ю версию. Тяжело заниматься некрофилией. Либо ковыряйте журналы пакетов, когда недоступно, ищите куда трафик пропадает, тут за Вас это делать никто не будет. Как вариант можно поменять настройки работы через МЭ в клиенте на Администраторе(если 3я версия), если стоит координатор, то поставьте динамику или наоборот.

Ссылка на комментарий
Поделиться на других сайтах

Спасибо - помогло.  В режиме координатор локальный IP теперь сверху постоянно. Не знаю на сколько это корректно, но работает)))

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...

Важная информация

Продолжая пользоваться сайтом вы принимаете Условия использования.