Alain Delon Опубликовано 20 Июня 2018 Жалоба Поделиться Опубликовано 20 Июня 2018 Добрый день! В сеть был добавлен второй координатор, прописаны туннели. Связь через туннели работает. Но координаторы друг друга пингуют только по виртуальным адресам. Координаторы с обеих сторон также не видят туннелированные адреса. Это так и должно быть? В журнале с одной стороны событие 40, с другой пусто. Конфиг [id] id= 0x07b7000a name= SM filterdefault= pass ip= 172.16.20.200 ip= 192.168.1.2 ip= 192.168.10.1 tunnel= 172.16.20.1-172.16.20.254 to 172.16.20.1-172.16.20.254 tunnel= 192.168.10.2-192.168.10.2 to 192.168.10.2-192.168.10.2 tunnel= 192.168.10.4-192.168.10.4 to 192.168.10.4-192.168.10.4 firewallip= x.x.x.x port= 55777 proxyid= 0xfffffffe usefirewall= on fixfirewall= off virtualip= 10.0.0.1 version= 3.0-670 [id] id= 0x07b7000c name= SM_O filterdefault= pass ip= 192.168.88.134 ip= 192.168.88.133 accessip= 10.0.0.15 tunnel= 192.168.88.1-192.168.88.132 to 192.168.88.1-192.168.88.132 tunnel= 192.168.88.135-192.168.88.254 to 192.168.88.135-192.168.88.254 firewallip= x.x.x.x port= 55777 proxyid= 0xfffffffe dynamic_timeout= 25 usefirewall= on virtualip= 10.0.0.15 version= 3.0-670 [adapter] name= eth1 ip= 192.168.10.1 ip= 172.16.20.200 allowtraffic= on type= internal [adapter] name= eth0 ip= 192.168.1.2 allowtraffic= on type= external [adapter] name= eth2 allowtraffic= on type= internal [adapter] name= eth3 allowtraffic= on type= internal [dynamic] dynamic_proxy= off firewallip= 192.168.10.1 port= 55777 forward_id= 0x00000000 always_use_server= off timeout= 25 [misc] packettype= 4.1 timediff= 7200 warnoldautosave= on client_pollinterval= 300 server_pollinterval= 900 iparponly= off ifcheck_timeout= 30 ipforwarding= on iscaggregate= on msg_compress_level= 9 mssdecrease= 0 ciphertype= gost [debug] debuglevel= 3 debuglogfile= syslog:daemon.debug [servers] server= 0x07b7000c, SM_O /////////////////////////////////////// [id] id= 0x07b7000c name= SM_O filterdefault= pass ip= 192.168.88.133 ip= 192.168.88.134 tunnel= 192.168.88.1-192.168.88.132 to 192.168.88.1-192.168.88.132 tunnel= 192.168.88.135-192.168.88.254 to 192.168.88.135-192.168.88.254 firewallip= 192.168.88.133 port= 55777 proxyid= 0x00000000 usefirewall= on fixfirewall= off virtualip= 10.0.0.1 version= 3.0-670 [id] id= 0x07b7000a name= SM filterdefault= pass ip= 192.168.1.2 ip= 172.16.20.200 ip= 192.168.10.1 accessip= 10.0.0.2 tunnel= 172.16.20.1-172.16.20.254 to 172.16.20.1-172.16.20.254 tunnel= 192.168.10.2-192.168.10.2 to 192.168.10.2-192.168.10.2 tunnel= 192.168.10.4-192.168.10.4 to 192.168.10.4-192.168.10.4 firewallip= x.x.x.x port= 55777 proxyid= 0x07b7000a dynamic_timeout= 0 usefirewall= on virtualip= 10.0.0.2 version= 3.0-670 [adapter] name= eth1 ip= 192.168.88.133 allowtraffic= on type= external [adapter] name= eth0 ip= 192.168.88.134 allowtraffic= on type= internal [adapter] name= eth2 allowtraffic= on type= internal [adapter] name= eth3 allowtraffic= on type= internal [dynamic] dynamic_proxy= on firewallip= x.x.x.x port= 55777 forward_id= 0x07b7000a always_use_server= off timeout= 25 [misc] packettype= 4.1 timediff= 7200 warnoldautosave= on client_pollinterval= 300 server_pollinterval= 900 iparponly= off ifcheck_timeout= 30 ipforwarding= on iscaggregate= on msg_compress_level= 9 mssdecrease= 0 ciphertype= gost [debug] debuglevel= 3 debuglogfile= syslog:daemon.debug [servers] server= 0x07b7000a, SM Фаервол с обеих сторон одинаковый [settings] [antispoof] antispoof=no [broadcast] rule= num 1 proto udp from anyip:67-68 to anyip:67-68 pass [nat] [local] rule= num 1 proto udp from anyip:67-68 to anyip:67-68 pass rule= num 2 proto udp from anyip to anyip:53 out pass rule= num 3 proto udp from anyip to anyip:123 out pass rule= num 4 proto icmp from anyip to anyip pass rule= num 5 proto tcp from anyip to (192.168.1.2,192.168.10.1,x.x.x.x):22 pass [forward] [tunnel] rule= num 1 proto any from any to any pass Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
azz Опубликовано 20 Июня 2018 Жалоба Поделиться Опубликовано 20 Июня 2018 Ну, во-первых видимость стоит по виртуальным. По этому по реальным пинговаться и не будет А, во-вторых версия наверное 3.х какая-нибудь. Лучше до 4.2 обновитесь Пусто в журнале потому что параметр registerall на интерфейсах в значении off по умолчнаию. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 20 Июня 2018 Жалоба Поделиться Опубликовано 20 Июня 2018 6 минут назад, Alain Delon сказал: Но координаторы друг друга пингуют только по виртуальным адресам. Это так. Координаторы будут пинговать друг друга по тем адресам, которые стоят в accessip. 7 минут назад, Alain Delon сказал: Координаторы с обеих сторон также не видят туннелированные адреса. Это так и должно быть? В журнале с одной стороны событие 40, с другой пусто. А у Вас на другой стороне в настройках интерфейсов registerall включен? Кто является шлюзом по умолчанию для туннелей с одной стороны и с другой? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alain Delon Опубликовано 20 Июня 2018 Автор Жалоба Поделиться Опубликовано 20 Июня 2018 Спасибо хоть с этим не буду мучиться. да - включал ранее - везде [mode] mode= 2 [db] maxsize= 50 MBytes timedif= 60 registerall= on registerbroadcast= on registertcpserverport= on Если правильно понял вопрос - со стороны 192.168.88 - микротик со стороны 192.168.10.1(internal) - прокси Kerio - за ним локалка. Там и там координаторы подключены параллельно интернету Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 21 Июня 2018 Жалоба Поделиться Опубликовано 21 Июня 2018 А маршрутизация у Вас настроена правильно? Если у Вас шлюзами не являются координаторы, то надо писать статические маршруты. И недоступность у Вас с туннеля на туннель? А с координатора на туннель другого координатора? И схемку с адресами лучше приложить для наглядности. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alain Delon Опубликовано 25 Июня 2018 Автор Жалоба Поделиться Опубликовано 25 Июня 2018 Спасибо всем за участие - туннели заработали корректно, просто не до конца выключил туннель через микротики, которые в качестве МЭ с обеих сторон. Но теперь недоступен администратор с узла SM_O (и наоборот), пока в мониторе не подниму локальный адрес SM_O вверх. Но настройки, что на администраторе, что на SM_O, как я понимаю меняются не надолго. Vipnet Администратор находится за натом Керио, SM HW1000-1 выбран для взаимодействия с внешними узлами. Координатор HW1000-2 [id] id= 0x07b7000c name= SM_O filterdefault= pass ip= 192.168.88.133 ip= 192.168.88.134 tunnel= 192.168.88.1-192.168.88.132 to 192.168.88.1-192.168.88.132 tunnel= 192.168.88.135-192.168.88.254 to 192.168.88.135-192.168.88.254 firewallip= y.y.y.y port= 55777 proxyid= 0x00000000 usefirewall= on fixfirewall= off virtualip= 10.0.0.1 version= 3.0-670 [id] id= 0x07b7000a name= SM filterdefault= pass ip= 192.168.1.2 ip= 172.16.20.200 ip= 192.168.10.1 accessip= 10.0.0.2 tunnel= 172.16.20.1-172.16.20.254 to 172.16.20.1-172.16.20.254 tunnel= 192.168.10.2-192.168.10.2 to 192.168.10.2-192.168.10.2 tunnel= 192.168.10.4-192.168.10.4 to 192.168.10.4-192.168.10.4 firewallip= x.x.x.x port= 55777 proxyid= 0xfffffffe dynamic_timeout= 0 usefirewall= on virtualip= 10.0.0.2 forcereal= off version= 3.0-670 [id] id= 0x07b7000b name= Administrator filterdefault= pass ip= 172.16.20.41 accessip= 10.0.0.3 firewallip= x.x.x.x port= 1024 proxyid= 0x07b7000a dynamic_timeout= 25 usefirewall= on virtualip= 10.0.0.3 version= 3.2-672 Координатор HW1000-1 [id] id= 0x07b7000a name= SM filterdefault= pass ip= 172.16.20.200 ip= 192.168.1.2 ip= 192.168.10.1 tunnel= 172.16.20.1-172.16.20.254 to 172.16.20.1-172.16.20.254 tunnel= 192.168.10.2-192.168.10.2 to 192.168.10.2-192.168.10.2 tunnel= 192.168.10.4-192.168.10.4 to 192.168.10.4-192.168.10.4 firewallip= x.x.x.x port= 55777 proxyid= 0x00000000 usefirewall= on fixfirewall= off virtualip= 10.0.0.1 version= 3.0-670 [id] id= 0x07b7000b name= Administrator filterdefault= pass ip= 172.16.20.41 accessip= 10.0.0.8 firewallip= 192.168.1.141 (ip Kerio) port= 55777 proxyid= 0xfffffffe dynamic_timeout= 25 usefirewall= on virtualip= 10.0.0.8 version= 3.2-672 [id] id= 0x07b7000c name= SM_O filterdefault= pass ip= 192.168.88.134 ip= 192.168.88.133 accessip= 10.0.0.15 tunnel= 192.168.88.1-192.168.88.132 to 192.168.88.1-192.168.88.132 tunnel= 192.168.88.135-192.168.88.254 to 192.168.88.135-192.168.88.254 firewallip= y.y.y.y port= 55777 proxyid= 0xfffffffe dynamic_timeout= 0 usefirewall= on virtualip= 10.0.0.15 forcereal= off version= 3.0-670 Заметил, что proxyid администратора на SM_O установлен узел SM, но в ЦУС в групповой регистрации узлов настройки пусты. Сеть разворачивал не я - тяжеловато вникнуть. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 26 Июня 2018 Жалоба Поделиться Опубликовано 26 Июня 2018 Вообще странное поведение, обновляйте ка все на 4ю версию. Тяжело заниматься некрофилией. Либо ковыряйте журналы пакетов, когда недоступно, ищите куда трафик пропадает, тут за Вас это делать никто не будет. Как вариант можно поменять настройки работы через МЭ в клиенте на Администраторе(если 3я версия), если стоит координатор, то поставьте динамику или наоборот. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alain Delon Опубликовано 27 Июня 2018 Автор Жалоба Поделиться Опубликовано 27 Июня 2018 Спасибо - помогло. В режиме координатор локальный IP теперь сверху постоянно. Не знаю на сколько это корректно, но работает))) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.