Jerom Опубликовано 2 Марта 2010 Жалоба Поделиться Опубликовано 2 Марта 2010 Здравствуте.Имеется следующая схема подключения:2 координатора, каждый из которых, имеет по 2 сетевых адаптера, подключены к корпоративной локальной сети. Ко второй сетевухе каждого координатора через 2 соединенных друг с другом модема подключены еще по несколько машин. Координаторы являются для подключенных к ним комп-ов шлюзами. VipNet Client никуда устанавливаться не будет. Подскажите пожалуйста, как настроить координаторы (если можно по-подробнее), чтобы канал связи между ними был защищен, а подключенные к ним ком-пы свободно видели друг друга.Сейчас координаторы видят друг друга, происходит передача файлов с одного на другой и обмен сообщениями, но при проверки соединения между ними результат отрицательный. На каждом координаторе прописаны IP-адреса тунелируемых соединений (IP-адреса всех подключенных к координаторам комп-ов), но между ними связи нет вообще. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 2 Марта 2010 Жалоба Поделиться Опубликовано 2 Марта 2010 JeromСкорее всего координаторы неправильно настроены.Проверьте:1) настройки работы через МЭ (если таковые есть.2)время и часовые пояса на координаторах.3) Сколько шлюзов указано на координаторах? должен быть только один на каждом координаторе.4) настройки туннелируемых адресов. возможно маршрутизацию. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Jerom Опубликовано 2 Марта 2010 Автор Жалоба Поделиться Опубликовано 2 Марта 2010 StratosСпасибо за ответ.Но.. можно по-подробнее о том, КАК ИМЕННО должны быть настроены координаторы в данном случае (как именно настраивать МЭ, где указываются шлюзы)? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
MORO Опубликовано 2 Марта 2010 Жалоба Поделиться Опубликовано 2 Марта 2010 JeromНе совсем понял как это "...координаторы видят друг друга..." и тут же "...но при проверки соединения между ними результат отрицательный...". Ну да ладно...Для начала: если вырубить вообще vipnet-драйвер (все сетевые интерфейсы в 5-ый режим), то хосты друг друга пингуют? Это чтобы убедиться, что роутинг между хостами есть в принципе. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Jerom Опубликовано 3 Марта 2010 Автор Жалоба Поделиться Опубликовано 3 Марта 2010 MOROКаждый координатор пингует свои компы, другой координатор, но НЕ пингует комп-ы подключеные к другому координатору. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 3 Марта 2010 Жалоба Поделиться Опубликовано 3 Марта 2010 JeromКакая ОС на Координаторах?То, что координатор 1 (назовем его условно так) не пингует ресурсы за вторым координатором (при выключенном драйвере защиты) говорит о том, что имеются проблемы с маршрутизацией.Что видно в журнале IP пакетов. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Jerom Опубликовано 3 Марта 2010 Автор Жалоба Поделиться Опубликовано 3 Марта 2010 StratosНа координаторах WinXP SP3.На второй вопрос затрудняюсь ответить. Если можно, по-конкретнее. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 3 Марта 2010 Жалоба Поделиться Опубликовано 3 Марта 2010 JeromКуда уж конкретнее MORO уже писал об этом:Выключите драйвер защиты на обоих координаторах.Ресурсы, стоящие за координаторами пингуются? Если нет -> проблемы с маршрутизацией.Смотрте настройки TCP/IP на координаторах и узлах, стоящих за ними. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Jerom Опубликовано 3 Марта 2010 Автор Жалоба Поделиться Опубликовано 3 Марта 2010 ВЫключил драйвер защиты на обоих координаторах. Машины стоящие за координаторами НЕ пингуются. С самих машин пингуется только СВОЙ координатор. УДАЛИЛ с координаторов VipNet - теперь машины стоящие за одним координатором пингуют другой координатор. Получается, что даже при ВЫключеной защите VipNet всеравно что-то блокирует?И еще, если проблемы с маршрутизацией, то вопрос: какие маршруты должны быть прописаны?IP-адреса:АП1: 192.168.0.2Координатор1: внутренний 192.168.0.1, внешний 199.6.14.59АП2: 192.168.0.3Координатор2: внутренний 192.168.0.1, внешний 199.6.14.28И еще вопрос. Допустим я добился того, что без VipNet все компы нормально пингуются. Как настроить координаторы, чтобы СУ, стоящие за ними, без установленного на них VipNet, были защищены и в тоже время могли обращаться к общим ресурсам незащищенной сети? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
MORO Опубликовано 3 Марта 2010 Жалоба Поделиться Опубликовано 3 Марта 2010 ВЫключил драйвер защиты на обоих координаторах. Машины стоящие за координаторами НЕ пингуются. С самих машин пингуется только СВОЙ координатор. УДАЛИЛ с координаторов VipNet - теперь машины стоящие за одним координатором пингуют другой координатор. Получается, что даже при ВЫключеной защите VipNet всеравно что-то блокирует?И еще, если проблемы с маршрутизацией, то вопрос: какие маршруты должны быть прописаны?IP-адреса:АП1: 192.168.0.2Координатор1: внутренний 192.168.0.1, внешний 199.6.14.59АП2: 192.168.0.3Координатор2: внутренний 192.168.0.1, внешний 199.6.14.28Первое: разведите диапазоны IP-адресов ЛВС 1 и ЛВС 2, У Вас получается, что за "внутренними" интерфейсами обоих Координаторов одинаковые диапазоны IP-адресов. Присвойте ЛВС 2, например, диапазон 192.168.1.0/24 (т.е. с 192.168.1.1 по 192.168.1.254), а "внутреннему" сетевому интерфейсу Координатора 2 - IP-адрес 192.168.1.1 (Соответственно, АП2 - 192.168.1.3).Не смотря на то, что технология виртуальных IP-адресов ViPNet позволяет замаскировать дублирование IP-адресов в разных сетях, лучше так не делать.Второе: на обоих Координаторах должна быть включена маршрутизация (вообще-то она включается в процессе инсталляции ПО "ViPNet-Координатор", но лучше убедиться лишний раз) - чтобы компы, на которых подняты Координаторы в принципе осуществляли функции роутеров (маршрутизаторов), даже безотносительно ViPNet. Для этого убедитесь, что в реестре Windows параметр IPEnableRouter (найдёте поиском) в "1".Хотя, судя по тому, что "теперь машины стоящие за одним координатором пингуют другой координатор", маршрутизация пашет.Третье:на Координаторе 1:В свойствах IP протокола сетевого интерфейса 199.6.14.59 должен быть указан шлюз по умолчанию 199.6.14.28.В свойствах IP протокола сетевого интерфейса 192.168.0.1 шлюза по умолчанию не указывается.На Координаторе 2:В свойствах IP протокола сетевого интерфейса 199.6.14.28 должен быть указан шлюз по умолчанию 199.6.14.59.В свойствах IP протокола сетевого интерфейса 192.168.1.1 шлюза по умолчанию не указывается.Четвертое:На рабочих станциях ЛВС 1 (в т.ч. АП1) в свойствах IP-протокола д.б. указан шлюз по умолчанию 192.168.0.1.На рабочих станциях ЛВС 2 (в т.ч. АП2) в свойствах IP-протокола д.б. указан шлюз по умолчанию 192.168.1.1.После всех этих манипуляций проверьте ping - без vipnet-драйвера - с АП1 на АП2 и наоборот. Если больше никаких хитростей между сетками не накручено, то пинг будет (если только встроенный в WinXP брандмауэр не помешает, а то он не всегда адекватен...).Если ping пошёл - врубайте vipnet-драйвер.P.S. Я исходил из того, что у вас просто две ЛВС с Координаторами на их рубежах и всё. Если есть необходимость связи с прочими ЛВС, то надо будет прописывать маршруты (в Win это команда route add), что немножко сложнее. Так же я полагаю, что туннелируемые хосты корректно прописаны в параметрах обоих Координаторов.И еще вопрос. Допустим я добился того, что без VipNet все компы нормально пингуются. Как настроить координаторы, чтобы СУ, стоящие за ними, без установленного на них VipNet, были защищены и в тоже время могли обращаться к общим ресурсам незащищенной сети?Не совсем понял вопрос... Мы говорим о двух ЛВС с Координаторами на их рубажах. Тогда кто такая "незащищенная сеть"?И что конкретно означает "СУ, стоящие за ними, без установленного на них VipNet, были защищены"? Они будут защищены на уровне рубежа ЛВС, от внешнего вторжения (если конечно не ставить на Координаторах 4 режим ). Внутри же своей ЛВС, от "соседей" защиты не будет. Это уже ViPNet-Клиенты ставить надо. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Jerom Опубликовано 9 Марта 2010 Автор Жалоба Поделиться Опубликовано 9 Марта 2010 MOROВсе сделал по написанному - без VipNet все комп-ы пингуются нормально. Поставил VipNet-координаторы - теперь координаторы друг друга видят, а комп-ы стоящие за ними (их адреса прописаны в тунелируемых соединениях) не пингуются. Во вкладке "Открытая сеть" поставил галочку рядом с адресом адаптера, соединяющего координатор с АП, ни чего не изменилось. Поставил еще галочку рядом с "Все незарегистрированные IP-адреса" - комп-ы стали пинговаться, но в журнале регистрации IP-пакетов видно, что трафик не шифруется. Как настроить координаторы правильно? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 9 Марта 2010 Жалоба Поделиться Опубликовано 9 Марта 2010 Jeromно в журнале регистрации IP-пакетов видно, что трафик не шифруетсяКакой режим безопасности на интерфейсах выставлен?Журнал IP пакетов с какого интерфейса смотрели? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Jerom Опубликовано 9 Марта 2010 Автор Жалоба Поделиться Опубликовано 9 Марта 2010 StratosКакой режим безопасности на интерфейсах выставлен?жесткий бумерангЖурнал IP пакетов с какого интерфейса смотрели?на любом координаторе: клик правой кнопкой по "Все незарегистрированные IP-пакеты" и в выпадающем меню "журнал регистрации..." Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 9 Марта 2010 Жалоба Поделиться Опубликовано 9 Марта 2010 JeromСкорее всего Вы смотрите журнал IP пакетов на интерфейсе, который "смотрит" на модем. Там и будет открытый трафик.3-й режим безопасности выставлен на всех интерфейсах? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Jerom Опубликовано 9 Марта 2010 Автор Жалоба Поделиться Опубликовано 9 Марта 2010 Да, похоже так и есть. Сейчас еще раз проверил, кажется все нормально.Буду пробовать решать другие задачи.Большое спасибо за помощь. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Jerom Опубликовано 11 Марта 2010 Автор Жалоба Поделиться Опубликовано 11 Марта 2010 MORO писал(а):Третье:на Координаторе 1:В свойствах IP протокола сетевого интерфейса 199.6.14.59 должен быть указан шлюз по умолчанию 199.6.14.28.В свойствах IP протокола сетевого интерфейса 192.168.0.1 шлюза по умолчанию не указывается.На Координаторе 2:В свойствах IP протокола сетевого интерфейса 199.6.14.28 должен быть указан шлюз по умолчанию 199.6.14.59.В свойствах IP протокола сетевого интерфейса 192.168.1.1 шлюза по умолчанию не указывается.Четвертое:На рабочих станциях ЛВС 1 (в т.ч. АП1) в свойствах IP-протокола д.б. указан шлюз по умолчанию 192.168.0.1.На рабочих станциях ЛВС 2 (в т.ч. АП2) в свойствах IP-протокола д.б. указан шлюз по умолчанию 192.168.1.1.А как настроить IP, если Координаторы 1 и 2 соединены между собой через модемы 1(192.168.0.1) и 2(192.168.1.1) соответственно?Пробывал сделать так:Модем1: 192,168,1,1Модем2: 192,168,0,1Координатор1: подключение к АП1: 192,168,3,1 без указания шлюзаподключение к Модем1: 192,168,1,2 шлюз 192,168,1,1Координатор2: подключение к АП2: 192,168,2,1 без указания шлюзаподключение к Модем2: 192,168,0,2 шлюз 192,168,0,1АП1: 192,168,3,2АП2: 192,168,2,2С АП1\2 не пингуются Модемы1\2. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
MORO Опубликовано 26 Марта 2010 Жалоба Поделиться Опубликовано 26 Марта 2010 С АП ViPNet (Клиентов) и не должны пинговаться модемы. Всё правильно.С точки зрения технологии ViPNet модемы это открытые IP-устройства, находящиеся где-то между рубежными СМ (Координаторами). Т.е. "некая сетевая инфраструктура", задача которой доставить трафик от WAN-интерфейса одного СМ до WAN-интерфейса другого, и не более того. А модемы там, роутеры, NAT`ы или ещё что угодно - это уже дело десятое...С чего бы СМ`ам пропускать пакеты между защищёнными АП и "какими-то там модемами"? Это тогда не защищённая VPN будет, а дырявое корыто. )))Если уж очень Вам надо с АП пинговать модемы, то Вам придётся настроить СМ`ы так, чтобы они пропускали через себя транзитный открытый трафик между АП и модемами. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.