zv0r Опубликовано 8 Мая 2019 Жалоба Поделиться Опубликовано 8 Мая 2019 Добрый день. Имеется незащищенная машина с адресом 172.16.50.1/16 за координатором HW-1000 4.2(0.1958) и еще одна незащищенная машина c адресом 172.17.50.1/16 за координатором HW-100 4.2(0.1286). Пытаюсь подключиться по SSH с машины за HW-1000 к машине за HW-100 и соединение устанавливается очень долго, больше минуты. В обратную сторону подключается мгновенно. Журналы пакетов на HW-1000 почему-то вообще мне не показывают, что между этими узлами ходит какой-то трафик. А вот на HW-100 много событий "104-Соединение уже существует" для пакетов от 172.17.50.1 к 172.16.50.1. У меня из-за того, что с HW-1000 на HW-100 очень долго устанавливается соединение, не могут нормально синхронизироваться некоторые сервисы. Подскажите, пожалуйста, куда копать, чтобы оно заработало? UPD1: В МЭ на координаторах разрешены все туннеллируемые соединения, а также все транзитные с подсетей 172.16.0.0/16 и 172.17.0.0/16 UPD2: Попробовал подключиться по ssh напрямую с координатора HW-1000 на 172.17.50.1. Тоже работает мгновенно. UPD3: С узлов с установленным ViPNet клиентом тоже быстро соединяется. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 8 Мая 2019 Жалоба Поделиться Опубликовано 8 Мая 2019 А ничего нигде не петляет? вот прямо простая-простая схема Туннель-HW-HW-Туннель? Коннектед сети и дефолт в сторону друг друга или на эту схему еще внутренние маршрутизаторы навешаны и на самих ПАКах куча маршрутов? А с машины за HW-1000 на сам HW-1000 по ssh нормально все? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zero Опубликовано 8 Мая 2019 Жалоба Поделиться Опубликовано 8 Мая 2019 3 часа назад, zv0r сказал: А вот на HW-100 много событий "104-Соединение уже существует" для пакетов от 172.17.50.1 к 172.16.50.1. NAT есть? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zv0r Опубликовано 8 Мая 2019 Автор Жалоба Поделиться Опубликовано 8 Мая 2019 Вот примерно такая схема. Два здания соединены напрямую. HW-100 из второго здания воткнут в коммутатор в первом здании. NAT есть, но, если я правильно настроил, он не должен срабатывать. На каждом ПАКе настроены группы IP-адресов под названием BRANCH_LAN, куда записана подсеть в здании (т.е. для HW-1000 это 172.16.0.0/16. для HW-100 -- 172.17.0.0/16) и COMPANY_LAN, куда записаны подсети других филиалов (вообще их 6, но в данном случае рассматриваю только эти две). То есть в COMPANY_LAN для HW-1000 записано 172.17.0.0/16, а в HW-100 -- 172.16.0.0/16. Так вот, NAT срабатывает только для пакетов с источником BRANCH_LAN и назначением NOT_COMPANY_LAN. Тысяча разных маршрутов тоже не мой вариант, потому что как я раньше где-то в постах писал, я не очень умный Хотя сейчас подозреваю, что на HW-1000 надо прописать маршрут с назначением 172.17.0.0/16 через 172.16.0.10? Я прав? (UPD: не прав) UPD: с незащищённой машины по ssh на сам hw-1000 тоже быстро подключается. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 8 Мая 2019 Жалоба Поделиться Опубликовано 8 Мая 2019 У вас сети 172.17.0.0/16 и 172.16.0.0/16 точно в туннелях за hw-1000 и hw-100? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zv0r Опубликовано 8 Мая 2019 Автор Жалоба Поделиться Опубликовано 8 Мая 2019 19 минут назад, R.Sheyn сказал: У вас сети 172.17.0.0/16 и 172.16.0.0/16 точно в туннелях за hw-1000 и hw-100? Да. Кстати, перепроверил еще раз, как заходится по ssh на 172.16.0.1 из сети 172.16.0.0/16. Периодически тоже прямо очень сильно зависает. неужели дело в HW-1000? UPD: Я бы, конечно, проверил бы еще, не настроил ли я криво NAT и отключил бы его... Но ехать среди ночи и включать его обратно на месте как-то не очень хочется UPD2: Насчет туннелей. Туда включены прямо подсети целиком. 172.17.0.2 по 172.17.255.254 во втором здании. 172.16.0.2-172.16.0.9, 172.16.0.11-172.16.255.254 в первом. 172.16.0.10 не туннеллируется. UPD3: Маршруты: Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zv0r Опубликовано 8 Мая 2019 Автор Жалоба Поделиться Опубликовано 8 Мая 2019 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zv0r Опубликовано 12 Мая 2019 Автор Жалоба Поделиться Опубликовано 12 Мая 2019 Отключил NAT, все равно медленно соединяется. Попробую, наверно, в ближайший рабочий день сначала напрямую воткнуться с двух сторон. Если не в кабеле дело, попробую поменять тип МЭ для координатора HW-100. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zv0r Опубликовано 13 Мая 2019 Автор Жалоба Поделиться Опубликовано 13 Мая 2019 Сходил во второе здание, воткнул напрямую комп, присвоил ему адрес 172.16.0.10 и попробовал подключиться. Все работает без тормозов. Чего-то я уже не пойму, куда копать... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zv0r Опубликовано 14 Мая 2019 Автор Жалоба Поделиться Опубликовано 14 Мая 2019 В общем, соединил координаторы напрямую и все, вроде как, нормализовалось. Правда, теперь с незащищенных узлов за HW-100 не достучаться до защищенных узлов за HW-1000 (на некоторых АРМ с випнет клиентами открыты определенные порты). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 14 Мая 2019 Жалоба Поделиться Опубликовано 14 Мая 2019 45 минут назад, zv0r сказал: В общем, соединил координаторы напрямую и все, вроде как, нормализовалось. Правда, теперь с незащищенных узлов за HW-100 не достучаться до защищенных узлов за HW-1000 (на некоторых АРМ с випнет клиентами открыты определенные порты). Там виртуальные айпишники для этих узлов на hw-100 выставились скорее всего. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zv0r Опубликовано 14 Мая 2019 Автор Жалоба Поделиться Опубликовано 14 Мая 2019 1 час назад, R.Sheyn сказал: Там виртуальные айпишники для этих узлов на hw-100 выставились скорее всего. Спасибо, проверю. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.