Jump to content
Sign in to follow this  
zv0r

С АП Администратора недоступны незащищенные тунеллируемые узлы

Recommended Posts

Добрый день.

Имеется ViPNet Администратор 4.6.1.3861 на Win 8.1 с клиентом 4.3.2.46794 (АП0).

Есть просто рабочее место, тоже на Win 8.1 с клиентом 4.3.2.46794 (АП1).

Все это добро подключено к HW-1000 на 4.2.0.1958.

Есть филиал, в котором стоит HW-100 на 4.2.0.1286, а за ним туннелируемые узлы.

Собственно, проблема. АП1 видит тунеллируемые узлы в филале, а АП0 -- нет. 

Причем, у АП0, который администратор, нет никаких проблем с доступом к незащищенным туннелируемым узлам в других филиалах.

Подскажите, пожалуйста, куда копать?

Проблемный филиал, в отличие от остальных, подключен не через интернет, а напрямую соединен кабелем между зданиями, а режим МЭ на HW-100 там выставлен "С динамической трансляцией адресов". Уж не знаю, в этом ли дело, или нет.

Share this post


Link to post
Share on other sites
1 час назад, zv0r сказал:

Добрый день.

Имеется ViPNet Администратор 4.6.1.3861 на Win 8.1 с клиентом 4.3.2.46794 (АП0).

Есть просто рабочее место, тоже на Win 8.1 с клиентом 4.3.2.46794 (АП1).

Все это добро подключено к HW-1000 на 4.2.0.1958.

Есть филиал, в котором стоит HW-100 на 4.2.0.1286, а за ним туннелируемые узлы.

Собственно, проблема. АП1 видит тунеллируемые узлы в филале, а АП0 -- нет. 

Причем, у АП0, который администратор, нет никаких проблем с доступом к незащищенным туннелируемым узлам в других филиалах.

Подскажите, пожалуйста, куда копать?

Проблемный филиал, в отличие от остальных, подключен не через интернет, а напрямую соединен кабелем между зданиями, а режим МЭ на HW-100 там выставлен "С динамической трансляцией адресов". Уж не знаю, в этом ли дело, или нет.

Можно конечно гадать, но проще посмотреть журналы ip пакетов, ничего нового пока еще не придумали.

Share this post


Link to post
Share on other sites

Пакеты от АП0 к незащищенному рерсурсу в туннеле drop'ает HW-1000.

В то же время пакеты от АП1 вообще через него не проходят, судя по отсутствию записей, а идут прямо через HW-100 в филиале.

В сетевых фильтрах никаких запретов нет.

image.png.12be45d8c8df3f170516c343c48b96d5.png

UPD. Блин. С узлов, где все работает, отправляется зашифрованный пакет. А с проблемного узла -- незашифрованный. Вот в чем дело то.

Share this post


Link to post
Share on other sites
3 минуты назад, zv0r сказал:

Пакеты от АП0 к незащищенному рерсурсу в туннеле drop'ает HW-1000.

В то же время пакеты от АП1 вообще через него не проходят, судя по отсутствию записей, а идут прямо через HW-100 в филиале.

В сетевых фильтрах никаких запретов нет.

image.png.12be45d8c8df3f170516c343c48b96d5.png

А у вас на АП0 туннели в свойствах HW-100 есть? они не отключены, не попадают в исключения например? На hw1000 как вы сами видите приходит нешифрованный трафик, а должен быть шифрованный или вообще идти напрямую на hw-100(тут в зависимости от топологии)

Share this post


Link to post
Share on other sites
7 минут назад, R.Sheyn сказал:

А у вас на АП0 туннели в свойствах HW-100 есть? 

А слона то я и не приметил. Спасибо :) Действительно, куда-то пропали туннели.

Еще, попутно копаясь в журналах, увидел, что у меня огромная куча записей 1 - Key for the network node not found как раз между этими двумя координаторами (хотя все, вроде как, работает нормально). Вы, случайно, не знаете, это можно как-нибудь починить без повторной раскатки dst?

Share this post


Link to post
Share on other sites
9 минут назад, zv0r сказал:

вроде как, работает нормально)

iplir ping проходит?

Share this post


Link to post
Share on other sites
33 минуты назад, R.Sheyn сказал:

iplir ping проходит?

Connection successful

Да и черт с ним, честно говоря. Если не лень будет, просто накачу dst еще раз. Настроек там все равно по-минимуму, потому что я не очень умный :)

Share this post


Link to post
Share on other sites
Только что, zv0r сказал:

Connection successful

Да и черт с ним, честно говоря. Если не лень будет, просто накачу dst еще раз. Настроек там все равно по-минимуму, потому что я не очень умный :)

там еще был глюк, когда 1 событие срабатывало на бродкасты из "чужой" сети, не ваш случай? посмотрите адреса источника, назначения.

Share this post


Link to post
Share on other sites
18 минут назад, R.Sheyn сказал:

там еще был глюк, когда 1 событие срабатывало на бродкасты из "чужой" сети, не ваш случай?

Кстати, да. Здания же напрямую соединены и hw-100 просто воткнут в один из свичей с нашей стороны.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.