Jump to content

Recommended Posts

Добрый день! В сеть был добавлен второй координатор, прописаны туннели. Связь через туннели работает.

Но координаторы друг друга пингуют только по виртуальным адресам. Координаторы с обеих сторон также не видят туннелированные адреса. Это так и должно быть? В журнале с одной стороны событие 40, с другой пусто.

Конфиг

[id]
id= 0x07b7000a
name= SM
filterdefault= pass
ip= 172.16.20.200
ip= 192.168.1.2
ip= 192.168.10.1
tunnel= 172.16.20.1-172.16.20.254 to 172.16.20.1-172.16.20.254
tunnel= 192.168.10.2-192.168.10.2 to 192.168.10.2-192.168.10.2
tunnel= 192.168.10.4-192.168.10.4 to 192.168.10.4-192.168.10.4
firewallip= x.x.x.x
port= 55777
proxyid= 0xfffffffe
usefirewall= on
fixfirewall= off
virtualip= 10.0.0.1
version= 3.0-670


[id]
id= 0x07b7000c
name= SM_O
filterdefault= pass
ip= 192.168.88.134
ip= 192.168.88.133
accessip= 10.0.0.15
tunnel= 192.168.88.1-192.168.88.132 to 192.168.88.1-192.168.88.132
tunnel= 192.168.88.135-192.168.88.254 to 192.168.88.135-192.168.88.254
firewallip= x.x.x.x
port= 55777
proxyid= 0xfffffffe
dynamic_timeout= 25
usefirewall= on
virtualip= 10.0.0.15
version= 3.0-670


[adapter]
name= eth1
ip= 192.168.10.1
ip= 172.16.20.200
allowtraffic= on
type= internal

[adapter]
name= eth0
ip= 192.168.1.2
allowtraffic= on
type= external

[adapter]
name= eth2
allowtraffic= on
type= internal

[adapter]
name= eth3
allowtraffic= on
type= internal

[dynamic]
dynamic_proxy= off
firewallip= 192.168.10.1
port= 55777
forward_id= 0x00000000
always_use_server= off
timeout= 25

[misc]
packettype= 4.1
timediff= 7200
warnoldautosave= on
client_pollinterval= 300
server_pollinterval= 900
iparponly= off
ifcheck_timeout= 30
ipforwarding= on
iscaggregate= on
msg_compress_level= 9
mssdecrease= 0
ciphertype= gost

[debug]
debuglevel= 3
debuglogfile= syslog:daemon.debug

[servers]
server= 0x07b7000c, SM_O


///////////////////////////////////////

[id]
id= 0x07b7000c
name= SM_O
filterdefault= pass
ip= 192.168.88.133
ip= 192.168.88.134
tunnel= 192.168.88.1-192.168.88.132 to 192.168.88.1-192.168.88.132
tunnel= 192.168.88.135-192.168.88.254 to 192.168.88.135-192.168.88.254
firewallip= 192.168.88.133
port= 55777
proxyid= 0x00000000
usefirewall= on
fixfirewall= off
virtualip= 10.0.0.1
version= 3.0-670

[id]
id= 0x07b7000a
name= SM
filterdefault= pass
ip= 192.168.1.2
ip= 172.16.20.200
ip= 192.168.10.1
accessip= 10.0.0.2
tunnel= 172.16.20.1-172.16.20.254 to 172.16.20.1-172.16.20.254
tunnel= 192.168.10.2-192.168.10.2 to 192.168.10.2-192.168.10.2
tunnel= 192.168.10.4-192.168.10.4 to 192.168.10.4-192.168.10.4
firewallip= x.x.x.x
port= 55777
proxyid= 0x07b7000a
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.2
version= 3.0-670

[adapter]
name= eth1
ip= 192.168.88.133
allowtraffic= on
type= external

[adapter]
name= eth0
ip= 192.168.88.134
allowtraffic= on
type= internal

[adapter]
name= eth2
allowtraffic= on
type= internal

[adapter]
name= eth3
allowtraffic= on
type= internal

[dynamic]
dynamic_proxy= on
firewallip= x.x.x.x
port= 55777
forward_id= 0x07b7000a
always_use_server= off
timeout= 25

[misc]
packettype= 4.1
timediff= 7200
warnoldautosave= on
client_pollinterval= 300
server_pollinterval= 900
iparponly= off
ifcheck_timeout= 30
ipforwarding= on
iscaggregate= on
msg_compress_level= 9
mssdecrease= 0
ciphertype= gost

[debug]
debuglevel= 3
debuglogfile= syslog:daemon.debug

[servers]
server= 0x07b7000a, SM

Фаервол с обеих сторон одинаковый

[settings]
[antispoof]
antispoof=no
[broadcast]
rule= num 1 proto udp from anyip:67-68 to anyip:67-68   pass
[nat]

[local]
rule= num 1 proto udp from anyip:67-68 to anyip:67-68   pass
rule= num 2 proto udp from anyip to anyip:53 out  pass
rule= num 3 proto udp from anyip to anyip:123 out  pass
rule= num 4 proto icmp from anyip to anyip   pass
rule= num 5 proto tcp from anyip to (192.168.1.2,192.168.10.1,x.x.x.x):22   pass
[forward]
[tunnel]
rule= num 1 proto any from any to any   pass

Share this post


Link to post
Share on other sites

Ну, во-первых видимость стоит по виртуальным. По этому по реальным пинговаться и не будет

А, во-вторых версия наверное 3.х какая-нибудь. Лучше до 4.2 обновитесь

Пусто в журнале потому что параметр registerall на интерфейсах в значении off по умолчнаию.

 

Share this post


Link to post
Share on other sites
6 минут назад, Alain Delon сказал:

Но координаторы друг друга пингуют только по виртуальным адресам.

Это так. Координаторы будут пинговать друг друга по тем адресам, которые стоят в accessip.

7 минут назад, Alain Delon сказал:

Координаторы с обеих сторон также не видят туннелированные адреса. Это так и должно быть? В журнале с одной стороны событие 40, с другой пусто.

А у Вас на другой стороне в настройках интерфейсов registerall включен? Кто является шлюзом по умолчанию для туннелей с одной стороны и с другой?

Share this post


Link to post
Share on other sites

Спасибо хоть с этим не буду мучиться.

да - включал ранее - везде 

[mode]
mode= 2

[db]
maxsize= 50 MBytes
timedif= 60
registerall= on
registerbroadcast= on
registertcpserverport= on

Если правильно понял вопрос - со стороны 192.168.88 - микротик

со стороны 192.168.10.1(internal) - прокси Kerio - за ним локалка. 

Там и там координаторы подключены параллельно интернету

 

 

Share this post


Link to post
Share on other sites

А маршрутизация у Вас настроена правильно? Если у Вас шлюзами не являются координаторы, то надо писать статические маршруты.

И недоступность у Вас с туннеля на туннель? А с координатора на туннель другого координатора?

И схемку с адресами лучше приложить для наглядности.

Share this post


Link to post
Share on other sites

Спасибо всем за участие - туннели заработали корректно, просто не до конца выключил туннель через микротики, которые в качестве МЭ с обеих сторон.

Но теперь недоступен администратор с узла SM_O (и наоборот), пока в мониторе не подниму локальный адрес SM_O вверх. Но настройки, что на администраторе, что на SM_O, как я понимаю меняются не надолго.

9175f8b8d5f10612041ed4d773330d10.jpg

Vipnet Администратор находится за натом Керио, SM HW1000-1 выбран для взаимодействия с внешними узлами.

Координатор HW1000-2

[id]
id= 0x07b7000c
name= SM_O
filterdefault= pass
ip= 192.168.88.133
ip= 192.168.88.134
tunnel= 192.168.88.1-192.168.88.132 to 192.168.88.1-192.168.88.132
tunnel= 192.168.88.135-192.168.88.254 to 192.168.88.135-192.168.88.254
firewallip= y.y.y.y
port= 55777
proxyid= 0x00000000
usefirewall= on
fixfirewall= off
virtualip= 10.0.0.1
version= 3.0-670

[id]
id= 0x07b7000a
name= SM
filterdefault= pass
ip= 192.168.1.2
ip= 172.16.20.200
ip= 192.168.10.1
accessip= 10.0.0.2
tunnel= 172.16.20.1-172.16.20.254 to 172.16.20.1-172.16.20.254
tunnel= 192.168.10.2-192.168.10.2 to 192.168.10.2-192.168.10.2
tunnel= 192.168.10.4-192.168.10.4 to 192.168.10.4-192.168.10.4
firewallip= x.x.x.x
port= 55777
proxyid= 0xfffffffe
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.2
forcereal= off
version= 3.0-670

[id]
id= 0x07b7000b
name= Administrator
filterdefault= pass
ip= 172.16.20.41
accessip= 10.0.0.3
firewallip= x.x.x.x
port= 1024
proxyid= 0x07b7000a
dynamic_timeout= 25
usefirewall= on
virtualip= 10.0.0.3
version= 3.2-672

 

 

 Координатор HW1000-1

[id]
id= 0x07b7000a
name= SM
filterdefault= pass
ip= 172.16.20.200
ip= 192.168.1.2
ip= 192.168.10.1
tunnel= 172.16.20.1-172.16.20.254 to 172.16.20.1-172.16.20.254
tunnel= 192.168.10.2-192.168.10.2 to 192.168.10.2-192.168.10.2
tunnel= 192.168.10.4-192.168.10.4 to 192.168.10.4-192.168.10.4
firewallip= x.x.x.x
port= 55777
proxyid= 0x00000000
usefirewall= on
fixfirewall= off
virtualip= 10.0.0.1
version= 3.0-670
 

[id]
id= 0x07b7000b
name= Administrator
filterdefault= pass
ip= 172.16.20.41
accessip= 10.0.0.8
firewallip= 192.168.1.141 (ip Kerio)
port= 55777
proxyid= 0xfffffffe
dynamic_timeout= 25
usefirewall= on
virtualip= 10.0.0.8
version= 3.2-672

[id]
id= 0x07b7000c
name= SM_O
filterdefault= pass
ip= 192.168.88.134
ip= 192.168.88.133
accessip= 10.0.0.15
tunnel= 192.168.88.1-192.168.88.132 to 192.168.88.1-192.168.88.132
tunnel= 192.168.88.135-192.168.88.254 to 192.168.88.135-192.168.88.254
firewallip= y.y.y.y
port= 55777
proxyid= 0xfffffffe
dynamic_timeout= 0
usefirewall= on
virtualip= 10.0.0.15
forcereal= off
version= 3.0-670

 

Заметил, что proxyid администратора на SM_O установлен узел SM, но в ЦУС в групповой регистрации узлов настройки пусты.

Сеть разворачивал не я - тяжеловато вникнуть.

Share this post


Link to post
Share on other sites

Вообще странное поведение, обновляйте ка все на 4ю версию. Тяжело заниматься некрофилией. Либо ковыряйте журналы пакетов, когда недоступно, ищите куда трафик пропадает, тут за Вас это делать никто не будет. Как вариант можно поменять настройки работы через МЭ в клиенте на Администраторе(если 3я версия), если стоит координатор, то поставьте динамику или наоборот.

Share this post


Link to post
Share on other sites

Спасибо - помогло.  В режиме координатор локальный IP теперь сверху постоянно. Не знаю на сколько это корректно, но работает)))

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.