Не проходит iplir ping

[HMSPNS]

Добрый день!

После добавления в сеть новой железки HW1000 и её настройки решил проверить связь с другими узлами сети, но пинг не проходит. Точнее проходит с нового координатора на админский ПК (VipNet Client), но не проходит на центральный и подчиненный координатор. Правила МЭ настроены аналогично другому подчиненноу координатору. В чем может быть проблема? Подскажите пожалуйста

[KostiK2011IT]

Доброго дня!

хорошо бы схему...

а так проверяйте связность на уровне связей между узлами в ЦУС и УКЦ...

смотрите, что говорят журналы пакетов...

[HMSPNS]

Ссылка на фотки с правилами фильтров и журналами пакетов. Что с ними не так, подскажите пожалуйста.

https://drive.google.com/drive/folders/1H1Ng4rZhZJCJFwDjOnCRK08QjsRRLWx0?usp=sharing

Прошу прощения за задержку, но не было возможности нацепить на железку внешний IP.

[KostiK2011IT]

схему хоть от руки приложите, с обозначением, где какой координатор... журнал это с какого координатора?...

[KostiK2011IT]

22 событие - приходит/уходит не шифрованный пакет от другого узла, такие события будут регистрироваться если access ip виртуальный адресе, а стучатся пробуете по реальному или наоборот. Еще 22 событие может появится, если неправильно настроена маршрутизация - пакет с одного узла на туннель другого узла в одну сторону проходит, как положено, через координатор, а в обратную сторону идет мимо координатора сразу на узел, в итоге такой пакет приходит нешифрованный, а узел ждет шифрованный.

3 событие - пакет блокируется фильтрами защищенной сети - в вашем случае блокируются исходящие пакеты... можете для тестов добавить в конец списка фильтров защищенной сети фильтр - мой узел на все узлы разрешить.

[KostiK2011IT]

уточните ее общее количество адресов, которые висят на интерфейсах координаторов - сколько на первом координаторе и сколько на втором?

[HMSPNS]

Журнал я приложил с Coordinator MSK.

Фактических адресов на Coordinator SPB (центральный) около тысячи. На Coordinator VN примерно 20 адресов. На Coordinator MSK предполагается тоже около 20.

Трафик ходит между SPB, Admin и VN без проблем, локальные сети видны обоюдно. 

На данный момент iplir ping ходит в обе стороны между MSK и VN, но центральный координатор SPB как и Admin не видят MSK.

 

Прикладываю схему сети.

[KostiK2011IT]

1000 адресов - эти все адреса в iplir.conf прописаны?

[HMSPNS]

Извините, не понял Вас сначала.

Нет, я говорил о туннелируемых адресах.

На интерфейсе центрального координатора 1 ip внешний и на другом интерфейсе 1 внутренний. На VN 1 адрес на внешнем интерфейсе и 3 на внутреннем.

На новой железке тоже будет 1 адрес на Eth0 и 1 адрес на Eth1.

[KostiK2011IT]

57 минут назад, KostiK2011IT сказал:

3 событие - пакет блокируется фильтрами защищенной сети - в вашем случае блокируются исходящие пакеты... можете для тестов добавить в конец списка фильтров защищенной сети фильтр - мой узел на все узлы разрешить.

вот это сделайте на московском координаторе.... сначала в конец списка, а потом в начало и посмотрите, что будет в журналах

[HMSPNS]

Понял Вас. Сейчас попробую. Вот журнал SPB, вдруг пригодится для понимания

[KostiK2011IT]

на Московском проверьте, включена ли регистрация всех пакетов на используемых интерфейсах - iplir show config ethX  registerall= on

описание пакета с событием 129 пришлите...

[HMSPNS]

Описание пакета 129. Странно что адрес назначения указан из той же подсети что и MSK. должен быть другой адрес.

[KostiK2011IT]

eth0 - внешний интерфейс SPB?

адрес x.x.100.39 - висит на внутреннем интерфейсе SPB?

 x.x.100.38 - внутреннем MSK?

[HMSPNS]

eth0 - внешний интерфейс SPB.

адрес x.x.100.39 - ни где не висит, он из внешней подсети MSK, но не входит по маске, не понимаю почему он здесь высветился.

x.x.100.38 - это белый (внешний ip) MSK, на Eth0

[KostiK2011IT]

координаторы SPB и MSK взаимодействовать должны через Интернет или есть какой-либо выделенный канал?

канал связи между SPB и MSK кроме как через координаторы есть? 

[HMSPNS]

Они должны взаимодействовать через интернет. Оба являются шлюзами, т.е. интернет без роутинга приходит на них напрямую.

В данный момент они находятся в одной серверной и даже подключены к одному хабу на который приходит интернет. Специально заказал у провайдера еще один белый ip из другой подсети чтобы протестить настройки.

Могу подключить MSK через ядро нашей сети, т.е. по внутреннему IP.

[KostiK2011IT]

наверно все-таки свитч, а не хаб...

адреса на внешних интерфейсах MSK и SPB из одной подсети провайдера?

[HMSPNS]

Адреса на внешних интерфейсах MSK и SPB из разных подсетей. x.x.91.x и x.x.100.x, маски и там и там 255.255.255.252

[KostiK2011IT]

шлюзы получается тоже разные

провайдер две эти подсети одним линком отдает? точно?

[HMSPNS]

Да, шлюзы разные.

Одним линком, ага. Оптика приходит на конвертор, с него на свитч и дальше на координаторы.

[KostiK2011IT]

провайдер со своей стороны точно все настроил?

по идеи, на конечном оборудовании должны были отдать вам 2 интерфейса: один в одну подсеть, другой в другую

или trunk с двумя vlan - тогда на своем свитче, если он управляемый, сами можете раскидать интерфейсы по vlan - порт для приема trunka от правайдера, 2 порт во vlan для подсети x.x.91.x и 3 порт во vlan для  подсети x.x.100.x, только у провайдера надо номера vlan узнать...

сейчас у вас получается, что координаторы пытаются общаться через ближайший ваш свитч, а не через маршрутизатор провайдера - т.к. хоть сети на интерфейсах разные ,но воткнуты они в один свитч (без разделения на vlan), оба координатора широковещательную рассылку получают одну и туже, в итоге, такие пакеты ни в один из фильров по умолчанию не попадают и трафик блокируется, в итоге защищенное взаимодействие не поднимается, + координаторы не могут построить маршрут друг до друга т.к. пакеты до маршрутизатора провайдера вообще, скорее всего, не доходят...

как-то так...

[HMSPNS]

После добавления правила в МЭ ничего не поменялось в лучшую сторону.

Registerall включил, прикладываю еще скрин журнала с MSK.

https://drive.google.com/drive/folders/1H1Ng4rZhZJCJFwDjOnCRK08QjsRRLWx0?usp=sharing

 

[HMSPNS]

3 минуты назад, KostiK2011IT сказал:

провайдер со своей стороны точно все настроил?

по идеи, на конечном оборудовании должны были отдать вам 2 интерфейса: один в одну подсеть, другой в другую

или trunk с двумя vlan - тогда на своем свитче, если он управляемый, сами можете раскидать интерфейсы по vlan - порт для приема trunka от правайдера, 2 порт во vlan для подсети x.x.91.x и 3 порт во vlan для  подсети x.x.100.x, только у провайдера надо номера vlan узнать...

сейчас у вас получается, что координаторы пытаются общаться через ближайший ваш свитч, а не через маршрутизатор провайдера - т.к. хоть сети на интерфейсах разные ,но воткнуты они в один свитч (без разделения на vlan), оба координатора широковещательную рассылку получают одну и туже, в итоге, такие пакеты ни в один из фильров по умолчанию не попадают и трафик блокируется, в итоге защищенное взаимодействие не поднимается, + координаторы не могут построить маршрут друг до друга т.к. пакеты до маршрутизатора провайдера вообще, скорее всего, не доходят...

как-то так...

Понял Вас. Свитч древний, L2. На нем вообще три айпишника белых: 1 - интернет для открытой сети, 2 - VipNet SPB и 3 - VipNet MSK.

Значит буду узнавать у провайдера.

[HMSPNS]

Доброго дня!

Сделал всё как вы описали. Еще нашел косяк в роутинге на центральном координаторе, исправил.

Теперь ситуация следующая:

1) Iplir ping ходит беспрепятственно между координаторами;

2) Сразу после ребута MSK, SPB или перезапуска iplir на одной из железок - Admin видит MSK в мониторе и даже подгружает веб морду, но через пару секунд MSK пропадает из монитора и веб морда соответственно не доступна. 

В журналах появилось событие "42 - изменился ip-адрес узла"

Еще заметил что при первой проверке доступности MSK в мониторе, он доступен. При повторной проверке через пару секунд уже не доступен. Через пару минут при повторе манипуляций получаем тот же результат - доступен и через пару секунд не доступен.