zv0r Опубликовано 16 Мая 2019 Жалоба Поделиться Опубликовано 16 Мая 2019 Добрый день. В сети имеется защищенный узел с 2-мя IP адресами. Хочу получить к нему доступ с незащищенного узла через туннель. ViPNet Client (172.16.0.2, 172.16.0.100) <--> HW-1000 <--> HW-100 <--> Незащищенный узел (172.17.0.0/16). Собственно, проблема в том, что защищенный узел виден по адресу 172.16.0.2, но не виден по адресу 172.16.0.100. Для теста в МЭ клиента разрешен вообще весь трафик во всех направлениях. Адрес 172.16.0.2 не туннелируется. 172.16.0.100 добавлен в туннель. Читаю справку по конфигурационным файлам. Там написано "В каждой секции [id] может быть указано любое количество параметров accessiplist — по количеству адресов доступа к узлу. Причем в первом параметре accessiplist каждой секции в качестве адреса доступа должен быть указан тот же адрес, что и в параметре firewallip данной секции." Радостный иду в # iplir config, привожу секцию [id] для узла к следующему виду на HW-100: [id] id= 0x00000010 name= АП ФИЛИАЛ 0 ip= 172.16.0.2, 11.0.0.7 ip= 172.16.0.100, 11.1.0.7 accessip= 172.16.0.2 firewallip= 172.16.0.2 accessiplist= 172.16.0.2, auto, 172.16.0.2, 0, manual accessiplist= 172.16.0.100, auto, 172.16.0.100, 1, manual port= 55777 proxyid= 0x0000000a dynamic_timeout= 25 virtualip= 11.0.0.7 visibility= real version= 4.30-0 на HW-1000: [id] id= 0x00000010 name= АП ФИЛИАЛ 0 ip= 172.16.0.2, 11.0.0.9 ip= 172.16.0.100, 11.1.0.9 accessip= 172.16.0.2 firewallip= 172.16.0.2 accessiplist= 172.16.0.2, auto, 172.16.0.2, 0, manual accessiplist= 172.16.0.100, auto, 172.16.0.100, 1, manual port= 55777 proxyid= 0xfffffffe dynamic_timeout= 25 virtualip= 11.0.0.9 visibility= real version= 4.30-0 Ткните, пожалуйста, что я делаю не так? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 16 Мая 2019 Жалоба Поделиться Опубликовано 16 Мая 2019 Ну на самом деле в accessip встает тот адрес, с которого приходит трафик, двух accessip быть не может. Таким образом тут только на клиенте настраивать, чтобы он с 0.100 обращался в сторону координатора. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zv0r Опубликовано 16 Мая 2019 Автор Жалоба Поделиться Опубликовано 16 Мая 2019 33 минуты назад, R.Sheyn сказал: Ну на самом деле в accessip встает тот адрес, с которого приходит трафик, двух accessip быть не может. Таким образом тут только на клиенте настраивать, чтобы он с 0.100 обращался в сторону координатора. Вот же ж. А зачем же они тогда accessiplist придумали? Спасибо за информацию Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
R.Sheyn Опубликовано 16 Мая 2019 Жалоба Поделиться Опубликовано 16 Мая 2019 6 минут назад, zv0r сказал: Вот же ж. А зачем же они тогда accessiplist придумали? Спасибо за информацию Ну его можно использовать между узлами, которые стоят в статике, с помощью метрик покрутить приоритетный адрес доступа, но это все еще должно накладываться на маршрутизацию....В реальной жизни он используется только при организации альтернативных каналов между координаторами. В случае с клиентом, клиент постоянно шлет keepalive пакеты. С какого адреса эти пакеты приходят, тот(или соответствующий ему виртуальный) координатор и ставит в accessip. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
komtrud1174 Опубликовано 17 Мая 2019 Жалоба Поделиться Опубликовано 17 Мая 2019 20 часов назад, zv0r сказал: Добрый день. В сети имеется защищенный узел с 2-мя IP адресами. Хочу получить к нему доступ с незащищенного узла через туннель. ViPNet Client (172.16.0.2, 172.16.0.100) <--> HW-1000 <--> HW-100 <--> Незащищенный узел (172.17.0.0/16). Собственно, проблема в том, что защищенный узел виден по адресу 172.16.0.2, но не виден по адресу 172.16.0.100. Для теста в МЭ клиента разрешен вообще весь трафик во всех направлениях. Адрес 172.16.0.2 не туннелируется. 172.16.0.100 добавлен в туннель. Нет, нет, друг, ты что-то совсем неправильно понимаешь ситуацию. Если у тебя ЗАЩИЩЕННЫЙ узел, то его адреса не надо добавлять в туннели!!! Туннелируются ТОЛЬКО открытые узлы, узел випнет никогда не туннелируется, это противоречит логике. Само понятие туннелируемых ресурсов придумано и предназначено для открытых узлов. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
zv0r Опубликовано 17 Мая 2019 Автор Жалоба Поделиться Опубликовано 17 Мая 2019 3 часа назад, komtrud1174 сказал: Нет, нет, друг, ты что-то совсем неправильно понимаешь ситуацию. Если у тебя ЗАЩИЩЕННЫЙ узел, то его адреса не надо добавлять в туннели!!! Туннелируются ТОЛЬКО открытые узлы, узел випнет никогда не туннелируется, это противоречит логике. Само понятие туннелируемых ресурсов придумано и предназначено для открытых узлов. Наверно, название темы и правда не очень правильно написал. Защищенные узлы я не добавляю в туннель, потому что будут конфликты, я об этом знаю. Проблема просто в том, что лицензий на ПО мало, экономим, поэтому на сервер, где крутится ЦУС и УКЦ я накинул еще пару сервисов, но доступ к ним хочу осуществлять по другому IP. И проблема как раз в том, что когда в удаленных филиалах я выставляю видимость для защищенного узла в real, видится только основной IP, по дополнительному никак не достучаться. UPD: перечитал первое свое сообщение и понял, что действительно тупанул. Конечно же, 172.16.0.100 тоже не туннеллируется. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.