seqular Опубликовано 26 Февраля 2019 Жалоба Поделиться Опубликовано 26 Февраля 2019 Здравствуйте. Есть ли возможность сделать определённый порядок для адресов на вкладке "Межсетевой экран" в свойствах координатора на клиенте? Дело в том, что для некоторых клиентов, подключаемых удалённо, первым в списке идёт адрес, назначенный не внешнему сетевому интерфейсу (Интернет), а внутреннему. Поэтому координатор бывает недоступен для клиента, пока вручную стрелками не выберешь внешний адрес в самый верх списка. Но ситуация потом сама сбивается. С метриками не всегда получается, внешнему назначил 1, внутреннему 100 - всё равно периодически на некоторых клиентах сбивается. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 27 Февраля 2019 Жалоба Поделиться Опубликовано 27 Февраля 2019 5 часов назад, seqular сказал: Здравствуйте. Есть ли возможность сделать определённый порядок для адресов на вкладке "Межсетевой экран" в свойствах координатора на клиенте? Дело в том, что для некоторых клиентов, подключаемых удалённо, первым в списке идёт адрес, назначенный не внешнему сетевому интерфейсу (Интернет), а внутреннему. Поэтому координатор бывает недоступен для клиента, пока вручную стрелками не выберешь внешний адрес в самый верх списка. Но ситуация потом сама сбивается. С метриками не всегда получается, внешнему назначил 1, внутреннему 100 - всё равно периодически на некоторых клиентах сбивается. Других вариантов нет. Вы можете закрепить адрес внешнего МЭ в настройках на координаторе, должно помочь. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
seqular Опубликовано 28 Февраля 2019 Автор Жалоба Поделиться Опубликовано 28 Февраля 2019 Если Вы про E:<внешний адрес>, то почему-то это тоже не помогает. По крайней мере не на всех клиентов, кому новые справочники рассылаются. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 28 Февраля 2019 Жалоба Поделиться Опубликовано 28 Февраля 2019 5 часов назад, seqular сказал: E:<внешний адрес> А Вы вероятно про версию 3.х, снятую с поддержки и являющуюся устаревшей. Обновляйтесь до актуальной 4-ой версии и не ищите черную кошку в тёмной комнате. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 28 Февраля 2019 Жалоба Поделиться Опубликовано 28 Февраля 2019 6 часов назад, seqular сказал: Если Вы про E:<внешний адрес>, то почему-то это тоже не помогает. По крайней мере не на всех клиентов, кому новые справочники рассылаются. Про обновление уже ответили. Для 3й версии можно использовать такую строку E:АДРЕС1- АДРЕС2:ПОРТ:FIX, ну и проверить, что на координаторе выставлены соответствующие параметры, если не применились по какой-то причине. Но вообще лучше некрофилией не заниматься, у Вас наверное еще и координатор 3й версии? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 28 Февраля 2019 Жалоба Поделиться Опубликовано 28 Февраля 2019 14 минут назад, R.Sheyn сказал: можно использовать такую строку E:АДРЕС1- АДРЕС2:ПОРТ:FIX И эта строка должна дейстовать только при первичной инициализации клиента, если её добавить уже потом, то возможны варианты, вплоть до "она не применяется". Кроме того, при фиксации адреса МЭ, эти настройки будут распостранены на всех клинетов, подключающихся к координатору, что может привести к потере связи с ним у части этих клиентов, находящейся в локальной сети данного координатора. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 28 Февраля 2019 Жалоба Поделиться Опубликовано 28 Февраля 2019 55 минут назад, zero сказал: И эта строка должна дейстовать только при первичной инициализации клиента, если её добавить уже потом, то возможны варианты, вплоть до "она не применяется". Кроме того, при фиксации адреса МЭ, эти настройки будут распостранены на всех клинетов, подключающихся к координатору, что может привести к потере связи с ним у части этих клиентов, находящейся в локальной сети данного координатора. Всегда считал, и так показывала практика, что она действует только на внешних клиентов, для этого и устанавливается external в настройках соответствующего [adapter], для тех клиентов, которые за Internal сидят эта настройка не действовала и они нормально ходили по внутренним адресам. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 28 Февраля 2019 Жалоба Поделиться Опубликовано 28 Февраля 2019 9 минут назад, R.Sheyn сказал: Всегда считал, и так показывала практика, что она действует только на внешних клиентов, для этого и устанавливается external в настройках соответствующего [adapter], Это Вам так везло, видимо. В документации на 3.5 сказано дословно следующее: Информация об IP-адресе межсетевого экрана и порте доступа сообщается программой всем остальным узлам, с которыми связан ПАК. При этом нет никакого различия, с какого интерфейса пришли пакеты от клиента. Дело в том, что координатор сообщает клинету адреса доступа и с fixfirewall клиент обязан их использовать в любом случае. Скорее всего у Вас автоматически включалась видимость по реальным адресам, так как клиенты и координатор находились в одном бродкасте, при этом пакет посылается на не адрес МЭ, а на собственный адрес координатора. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 28 Февраля 2019 Жалоба Поделиться Опубликовано 28 Февраля 2019 2 часа назад, zero сказал: Это Вам так везло, видимо. В документации на 3.5 сказано дословно следующее: Информация об IP-адресе межсетевого экрана и порте доступа сообщается программой всем остальным узлам, с которыми связан ПАК. При этом нет никакого различия, с какого интерфейса пришли пакеты от клиента. Дело в том, что координатор сообщает клинету адреса доступа и с fixfirewall клиент обязан их использовать в любом случае. Скорее всего у Вас автоматически включалась видимость по реальным адресам, так как клиенты и координатор находились в одном бродкасте, при этом пакет посылается на не адрес МЭ, а на собственный адрес координатора. Возможно. А смысл тогда в настройке external/internal? В документации написано, что указывается интерфейс через который координатор обращается к МЭ...какой в этом смысл, и не очень понятно... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
seqular Опубликовано 28 Февраля 2019 Автор Жалоба Поделиться Опубликовано 28 Февраля 2019 internal и external настроены верно. Да, Вы правы, у меня 3-я версия. К сожалению, не могу перейти на 4-ую пока, хотя буду активно эту идею продвигать. Сейчас обнаружил, что у меня в секции [dynamic] стоял неверный ip-адрес в параметре firewllip. Честно говоря, не помню, когда бы он сбился и почему это произошло, но раньше стоял верный. Исправил вручную, надеюсь, больше бага эта плавать не будет. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 28 Февраля 2019 Жалоба Поделиться Опубликовано 28 Февраля 2019 1 час назад, R.Sheyn сказал: А смысл тогда в настройке external/internal? Предположу, что для верного определения своего firewallip, когда стоит статика или динамика в настройках МЭ координтора. Клиентам эта информация точно лишняя, они же на сам firewallip будут обращаться, а external или internal этот интерфейс неважно. 56 минут назад, seqular сказал: в секции [dynamic] стоял неверный ip-адрес в параметре firewllip Он должен определяться по входящим пакетам от других узлов. И если у Вас именно динамика, то клиенты будут обращаться не на Ваш координатор, а на тот, что указан в forward_id. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
seqular Опубликовано 28 Февраля 2019 Автор Жалоба Поделиться Опубликовано 28 Февраля 2019 2 минуты назад, zero сказал: Он должен определяться по входящим пакетам от других узлов. И если у Вас именно динамика, то клиенты будут обращаться не на Ваш координатор, а на тот, что указан в forward_id. В forward_id - идентификатор опять же моего координатора. Этот IP, который стоял неверный - тоже мой, только другого интерфейса, который смотрит в одну из внутренних сетей. Не тот, который смотрит в Интернет. Со стороны этого интерфейса у меня клиентов вообще нет, там только узлы для туннелирования. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.