VipNet Client и доступ к корпоративной сети

[Uuuitaly]

Всем привет! Судя по поиску на форуме этот вопрос избитый и много у кого получилось его решить, пользуясь советами из других тем, к сожалению проблему решить не удалось. 

Суть Проблемы. Есть координатор HW1000 он успешно настроен и установлен в корпоративной сети, так же подняты УКЦ (4.6.6.56553), ЦУС (4.6.6.4642) и vipnet client (4.5.5.3635) .  На координатор прилетают по ospf маршруты от маршрутизатора Cisco, то есть координатор знает о всех сетях цо. Далее на ноутбук поставил vipnet client (4.5.5.3635), пролил на него dst, клиент радостно увидел координатор подсветив его фиолетовым цветом. Но далее с этого ноутбука, который кстати подключен к интернету который не входит в корпоративную сеть, необходимо по rdp  подключиться к серверу, который находится в локальной сети цо. На сервере конечно же vipnet client не установлен, поэтому я добавил его ip адрес в туннелируемые и данная инфа через mftp долетела до клиента на ноутбуке, но ни пинги ни rdp до сервера так и не заработали. Единственное что доступно это сам координатор.

На самом координаторе в iplir в секции visibility default= auto, tunneldefault= real  но в секции клиента ноутбука добавил строчку visibility= virtual 

 Перечитал подобных тем кучу но так и не решил этот вопрос,  помогите умным советом пожалуйста!

[R.Sheyn]

У вас трафик от вашего клиента вылетает с координатора в корпоративную сеть с виртуальным сорс адресом 11.х.х.х. наверняка ваша корпоративная сеть не знает о такой адресации. Маршрут на сеть 11.х.х.х внутри вашей сети должен вести в координатор и будет вам счастье.

[Uuuitaly]

У координатора есть 3 интерфейса 
 Публичный:    177.23.17.5
 Внутренний:   192.168.1.10
 Для кластера: 192.168.2.10
 
 Маршрут пишу на Cisco так? 
 ip route 11.0.0.0  255.0.0.0  192.168.1.10
 Верно?

[Заикающийся]

192.168.1.10 это адрес тысячника? На самом сервере маршрут не забудьте прописать, т.к. это незащищенный узел, шлюзом должен быть корд.

[Uuuitaly]

Да, это адрес интерфейса смотрящий в локальную сеть. Прописывать шлюзом на серверах координатор это не вариант. Юзеры будут подключаться через vipnet client не только к серверам но и к своим рабочим местам. Сеть организована полностью dhcp на рабочих местах и по протоколу ospf на маршрутизаторах. Учитывая, что парк компов около 300 бить статикой каждый раз на компьютерах шлюзом координатор не совсем корректное решение. 
Можно как то решить это без участия статики и нарушения логической схемы в существующей сети? 

[Заикающийся]

4 часа назад, Uuuitaly сказал:

на компьютерах шлюзом координатор не совсем корректное решение. 

Его шлюзом не в сетевых настройках, а при добавлении маршрута на компе без випнета.

[R.Sheyn]

15 часов назад, Uuuitaly сказал:

У координатора есть 3 интерфейса 
 Публичный:    177.23.17.5
 Внутренний:   192.168.1.10
 Для кластера: 192.168.2.10
 
 Маршрут пишу на Cisco так? 
 ip route 11.0.0.0  255.0.0.0  192.168.1.10
 Верно?

Если циска для сервера является дефолтом, то да, верно

[Uuuitaly]

13 часов назад, Заикающийся сказал:

Его шлюзом не в сетевых настройках, а при добавлении маршрута на компе без випнета.

Статика зло и не удобоуправляемая вещь. Если админишь 10 компов, то еще может быть, а когда парк насчитывает 1500+ компов, то про статику можно и нужно забыть, тем более про ручное напсиание маршрутов на конечных хостах

[Uuuitaly]

12 часов назад, R.Sheyn сказал:

Если циска для сервера является дефолтом, то да, верно

Вот я задумался на счет маршрутов. У нас в организации есть координатор подрядчика в котором есть куча своих клиентов и несколько координаторов, так же к тому координатору коннектятся три vipnet client, которые установлены на компы офиса, и у них виртуальны адреса из пула 11.0.0.0/8 .  У моего координатора тоже такой же пул. Я когда добавлю маршрут на cisco до сети 11.0.0.0/8 для своего координатора, как поведет себя маршрутизация? Или то что на разных координаторах одинаковые вирт пулы это не катастрофа? 

[R.Sheyn]

1 час назад, Uuuitaly сказал:

Вот я задумался на счет маршрутов. У нас в организации есть координатор подрядчика в котором есть куча своих клиентов и несколько координаторов, так же к тому координатору коннектятся три vipnet client, которые установлены на компы офиса, и у них виртуальны адреса из пула 11.0.0.0/8 .  У моего координатора тоже такой же пул. Я когда добавлю маршрут на cisco до сети 11.0.0.0/8 для своего координатора, как поведет себя маршрутизация? Или то что на разных координаторах одинаковые вирт пулы это не катастрофа? 

Я же не знаю маршрутизации в вашей сети. В общем случае, само собой, должны быть разные пулы адресов иначе не раскрутишься по маршрутизации.

[Uuuitaly]

2 минуты назад, R.Sheyn сказал:

Я же не знаю маршрутизации в вашей сети. В общем случае, само собой, должны быть разные пулы адресов иначе не раскрутишься по маршрутизации.

Да я вот поэтому и засомневался что у двух координаторов будет одинаковый пул виртуальных адресов.
 

[Uuuitaly]

А по какому принципу вообще подбираются пулы для виртуальных адресов? Вот например поменяю я пул с 11 на допустим 15, все настрою понаставлю клиентов в своей сети, организую межсетевое с другими компаниями и все будет хорошо, а потом приходит еще какая нибудь контора и говорит давай дружить випнетами а у них тоже 15.0.0.0/8 и что в таком случае дальше делать?

[R.Sheyn]

1 час назад, Uuuitaly сказал:

А по какому принципу вообще подбираются пулы для виртуальных адресов? Вот например поменяю я пул с 11 на допустим 15, все настрою понаставлю клиентов в своей сети, организую межсетевое с другими компаниями и все будет хорошо, а потом приходит еще какая нибудь контора и говорит давай дружить випнетами а у них тоже 15.0.0.0/8 и что в таком случае дальше делать?

Что там "у них" вас не особо волнует. У них своя адресация. Если вы сделаете межсеть и их клиенты пойдут через ваш координатор к вашим ресурсам, то им будут выданы адреса из вашего пула.

[Uuuitaly]

Что то все не то и не так... Поменял пул виртуальных ip на 15.0.0.0/8 - здесь хоть получилось. Дальше добавил в cisco маршрут ip route 15.0.0.0  255.0.0.0  192.168.1.10. Этот маршрут через ospf  прилетел на hw1000, а доступа с ноутбука на котором установлен клиент так и нет. Что и где еще нужно настроить? 

[R.Sheyn]

2 часа назад, Uuuitaly сказал:

Что то все не то и не так... Поменял пул виртуальных ip на 15.0.0.0/8 - здесь хоть получилось. Дальше добавил в cisco маршрут ip route 15.0.0.0  255.0.0.0  192.168.1.10. Этот маршрут через ospf  прилетел на hw1000, а доступа с ноутбука на котором установлен клиент так и нет. Что и где еще нужно настроить? 

Самому координатору этот маршрут то не нужен, но в целом ничего не сломает. Во первых в журнал ip пакетов посмотрите, есть ли ответные от сервера. Если нет, то надо на асе дамп снимать, посмотреть прилетают ли на нее ответы. Если нет, то сам сервер смотреть. Никакой магии.

[Uuuitaly]

14 часов назад, R.Sheyn сказал:

Самому координатору этот маршрут то не нужен, но в целом ничего не сломает. Во первых в журнал ip пакетов посмотрите, есть ли ответные от сервера. Если нет, то надо на асе дамп снимать, посмотреть прилетают ли на нее ответы. Если нет, то сам сервер смотреть. Никакой магии.

C Ноута пингую по виртуальному ip сервак, который я добавил в тунелируемые в итоге пингов нет 

  

C:\WINDOWS\system32>ping 15.0.0.15 

Обмен пакетами с 15.0.0.15 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.  
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 15.0.0.15:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

 

Но  смотрю iplir на координаторе и вижу таке событие 

 

Events: 63 - IP packet is allowed by tunnel filter                           

Interval Begin:  17.01.2023 08:18:57                                         
                  End:  17.01.2023 08:19:07                                         

Interface: bond0              Ethernet protocol: 800h                        
Size:      1125 B                Count:             9                           

Drop:      NO                      Encrypted: NO                                  
Direction: Outgoing         NAT:       NO                                  
Broadcast: NO                 Forward:   NO                                  

IP protocol:        1 - ICMP (Internet Control Message)                          
Source IP:          15.0.0.5          Type: 8 - Echo                             
Destination IP:  192.168.5.20      Code: 0                                    

Key number:                 00000000                                          
Source Node                ******XX                                          
  client1-test                                                               
Destination Node        YYYYYYYY                                          
  HW1000 ▒▒▒▒▒▒▒▒▒▒ ▒▒▒▒▒▒  

 

Судя по этому пакету пинги прошли, но ответа в консоли нет.  Или не прошли? Как его уже починить то...