Jump to content

Не проходит iplir ping

HMSPNS
 Share

Recommended Posts

HMSPNS

HMSPNS

Posted
Posted

Добрый день!

После добавления в сеть новой железки HW1000 и её настройки решил проверить связь с другими узлами сети, но пинг не проходит. Точнее проходит с нового координатора на админский ПК (VipNet Client), но не проходит на центральный и подчиненный координатор. Правила МЭ настроены аналогично другому подчиненноу координатору. В чем может быть проблема? Подскажите пожалуйста

Link to comment
Share on other sites
KostiK2011IT

KostiK2011IT

Posted
Posted

Доброго дня!

хорошо бы схему...

а так проверяйте связность на уровне связей между узлами в ЦУС и УКЦ...

смотрите, что говорят журналы пакетов...

Link to comment
Share on other sites
HMSPNS

HMSPNS

Posted
  • Author
Posted

Ссылка на фотки с правилами фильтров и журналами пакетов. Что с ними не так, подскажите пожалуйста.

https://drive.google.com/drive/folders/1H1Ng4rZhZJCJFwDjOnCRK08QjsRRLWx0?usp=sharing

Прошу прощения за задержку, но не было возможности нацепить на железку внешний IP.

Link to comment
Share on other sites
KostiK2011IT

KostiK2011IT

Posted
Posted

22 событие - приходит/уходит не шифрованный пакет от другого узла, такие события будут регистрироваться если access ip виртуальный адресе, а стучатся пробуете по реальному или наоборот. Еще 22 событие может появится, если неправильно настроена маршрутизация - пакет с одного узла на туннель другого узла в одну сторону проходит, как положено, через координатор, а в обратную сторону идет мимо координатора сразу на узел, в итоге такой пакет приходит нешифрованный, а узел ждет шифрованный.

3 событие - пакет блокируется фильтрами защищенной сети - в вашем случае блокируются исходящие пакеты... можете для тестов добавить в конец списка фильтров защищенной сети фильтр - мой узел на все узлы разрешить.

Link to comment
Share on other sites
HMSPNS

HMSPNS

Posted
  • Author
Posted

Журнал я приложил с Coordinator MSK.

Фактических адресов на Coordinator SPB (центральный) около тысячи. На Coordinator VN примерно 20 адресов. На Coordinator MSK предполагается тоже около 20.

Трафик ходит между SPB, Admin и VN без проблем, локальные сети видны обоюдно. 

На данный момент iplir ping ходит в обе стороны между MSK и VN, но центральный координатор SPB как и Admin не видят MSK.

 

Прикладываю схему сети.

Screenshot_3.jpg

Link to comment
Share on other sites
HMSPNS

HMSPNS

Posted
  • Author
Posted

Извините, не понял Вас сначала.

Нет, я говорил о туннелируемых адресах.

На интерфейсе центрального координатора 1 ip внешний и на другом интерфейсе 1 внутренний. На VN 1 адрес на внешнем интерфейсе и 3 на внутреннем.

На новой железке тоже будет 1 адрес на Eth0 и 1 адрес на Eth1.

Link to comment
Share on other sites
KostiK2011IT

KostiK2011IT

Posted
Posted
57 минут назад, KostiK2011IT сказал:

3 событие - пакет блокируется фильтрами защищенной сети - в вашем случае блокируются исходящие пакеты... можете для тестов добавить в конец списка фильтров защищенной сети фильтр - мой узел на все узлы разрешить.

вот это сделайте на московском координаторе.... сначала в конец списка, а потом в начало и посмотрите, что будет в журналах

Link to comment
Share on other sites
KostiK2011IT

KostiK2011IT

Posted
Posted

на Московском проверьте, включена ли регистрация всех пакетов на используемых интерфейсах - iplir show config ethX  registerall= on

описание пакета с событием 129 пришлите...

Link to comment
Share on other sites
HMSPNS

HMSPNS

Posted
  • Author
Posted

eth0 - внешний интерфейс SPB.

адрес x.x.100.39 - ни где не висит, он из внешней подсети MSK, но не входит по маске, не понимаю почему он здесь высветился.

x.x.100.38 - это белый (внешний ip) MSK, на Eth0

Link to comment
Share on other sites
KostiK2011IT

KostiK2011IT

Posted
Posted

координаторы SPB и MSK взаимодействовать должны через Интернет или есть какой-либо выделенный канал?

канал связи между SPB и MSK кроме как через координаторы есть? 

Link to comment
Share on other sites
HMSPNS

HMSPNS

Posted
  • Author
Posted

Они должны взаимодействовать через интернет. Оба являются шлюзами, т.е. интернет без роутинга приходит на них напрямую.

В данный момент они находятся в одной серверной и даже подключены к одному хабу на который приходит интернет. Специально заказал у провайдера еще один белый ip из другой подсети чтобы протестить настройки.

Могу подключить MSK через ядро нашей сети, т.е. по внутреннему IP.

Link to comment
Share on other sites
KostiK2011IT

KostiK2011IT

Posted
Posted

провайдер со своей стороны точно все настроил?

по идеи, на конечном оборудовании должны были отдать вам 2 интерфейса: один в одну подсеть, другой в другую

или trunk с двумя vlan - тогда на своем свитче, если он управляемый, сами можете раскидать интерфейсы по vlan - порт для приема trunka от правайдера, 2 порт во vlan для подсети x.x.91.x и 3 порт во vlan для  подсети x.x.100.x, только у провайдера надо номера vlan узнать...

сейчас у вас получается, что координаторы пытаются общаться через ближайший ваш свитч, а не через маршрутизатор провайдера - т.к. хоть сети на интерфейсах разные ,но воткнуты они в один свитч (без разделения на vlan), оба координатора широковещательную рассылку получают одну и туже, в итоге, такие пакеты ни в один из фильров по умолчанию не попадают и трафик блокируется, в итоге защищенное взаимодействие не поднимается, + координаторы не могут построить маршрут друг до друга т.к. пакеты до маршрутизатора провайдера вообще, скорее всего, не доходят...

как-то так...

Link to comment
Share on other sites
HMSPNS

HMSPNS

Posted
  • Author
Posted
3 минуты назад, KostiK2011IT сказал:

провайдер со своей стороны точно все настроил?

по идеи, на конечном оборудовании должны были отдать вам 2 интерфейса: один в одну подсеть, другой в другую

или trunk с двумя vlan - тогда на своем свитче, если он управляемый, сами можете раскидать интерфейсы по vlan - порт для приема trunka от правайдера, 2 порт во vlan для подсети x.x.91.x и 3 порт во vlan для  подсети x.x.100.x, только у провайдера надо номера vlan узнать...

сейчас у вас получается, что координаторы пытаются общаться через ближайший ваш свитч, а не через маршрутизатор провайдера - т.к. хоть сети на интерфейсах разные ,но воткнуты они в один свитч (без разделения на vlan), оба координатора широковещательную рассылку получают одну и туже, в итоге, такие пакеты ни в один из фильров по умолчанию не попадают и трафик блокируется, в итоге защищенное взаимодействие не поднимается, + координаторы не могут построить маршрут друг до друга т.к. пакеты до маршрутизатора провайдера вообще, скорее всего, не доходят...

как-то так...

Понял Вас. Свитч древний, L2. На нем вообще три айпишника белых: 1 - интернет для открытой сети, 2 - VipNet SPB и 3 - VipNet MSK.

Значит буду узнавать у провайдера.

Link to comment
Share on other sites
HMSPNS

HMSPNS

Posted
  • Author
Posted

Доброго дня!

Сделал всё как вы описали. Еще нашел косяк в роутинге на центральном координаторе, исправил.

Теперь ситуация следующая:

1) Iplir ping ходит беспрепятственно между координаторами;

2) Сразу после ребута MSK, SPB или перезапуска iplir на одной из железок - Admin видит MSK в мониторе и даже подгружает веб морду, но через пару секунд MSK пропадает из монитора и веб морда соответственно не доступна. 

В журналах появилось событие "42 - изменился ip-адрес узла"

Еще заметил что при первой проверке доступности MSK в мониторе, он доступен. При повторной проверке через пару секунд уже не доступен. Через пару минут при повторе манипуляций получаем тот же результат - доступен и через пару секунд не доступен.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.

  I accept