Не Могу Настроить Координаторы

[Jerom]

Здравствуте.

Имеется следующая схема подключения:

2 координатора, каждый из которых, имеет по 2 сетевых адаптера, подключены к корпоративной локальной сети. Ко второй сетевухе каждого координатора через 2 соединенных друг с другом модема подключены еще по несколько машин. Координаторы являются для подключенных к ним комп-ов шлюзами. VipNet Client никуда устанавливаться не будет. Подскажите пожалуйста, как настроить координаторы (если можно по-подробнее), чтобы канал связи между ними был защищен, а подключенные к ним ком-пы свободно видели друг друга.

Сейчас координаторы видят друг друга, происходит передача файлов с одного на другой и обмен сообщениями, но при проверки соединения между ними результат отрицательный. На каждом координаторе прописаны IP-адреса тунелируемых соединений (IP-адреса всех подключенных к координаторам комп-ов), но между ними связи нет вообще.

[Stratos]

Jerom

Скорее всего координаторы неправильно настроены.

Проверьте:

1) настройки работы через МЭ (если таковые есть.

2)время и часовые пояса на координаторах.

3) Сколько шлюзов указано на координаторах? должен быть только один на каждом координаторе.

4) настройки туннелируемых адресов.

возможно маршрутизацию.

[Jerom]

Stratos

Спасибо за ответ.

Но.. можно по-подробнее о том, КАК ИМЕННО должны быть настроены координаторы в данном случае (как именно настраивать МЭ, где указываются шлюзы)?

[MORO]

Jerom

Не совсем понял как это "...координаторы видят друг друга..." и тут же "...но при проверки соединения между ними результат отрицательный...".

Ну да ладно...

Для начала: если вырубить вообще vipnet-драйвер (все сетевые интерфейсы в 5-ый режим), то хосты друг друга пингуют? Это чтобы убедиться, что роутинг между хостами есть в принципе.

[Jerom]

MORO

Каждый координатор пингует свои компы, другой координатор, но НЕ пингует комп-ы подключеные к другому координатору.

[Stratos]

Jerom

Какая ОС на Координаторах?

То, что координатор 1 (назовем его условно так) не пингует ресурсы за вторым координатором (при выключенном драйвере защиты) говорит о том, что имеются проблемы с маршрутизацией.

Что видно в журнале IP пакетов.

[Jerom]

Stratos

На координаторах WinXP SP3.

На второй вопрос затрудняюсь ответить. Если можно, по-конкретнее.

[Stratos]

Jerom

Куда уж конкретнее

MORO уже писал об этом:

Выключите драйвер защиты на обоих координаторах.

Ресурсы, стоящие за координаторами пингуются?

Если нет -> проблемы с маршрутизацией.

Смотрте настройки TCP/IP на координаторах и узлах, стоящих за ними.

[Jerom]

ВЫключил драйвер защиты на обоих координаторах. Машины стоящие за координаторами НЕ пингуются. С самих машин пингуется только СВОЙ координатор. УДАЛИЛ с координаторов VipNet - теперь машины стоящие за одним координатором пингуют другой координатор. Получается, что даже при ВЫключеной защите VipNet всеравно что-то блокирует?

И еще, если проблемы с маршрутизацией, то вопрос: какие маршруты должны быть прописаны?

IP-адреса:

• 
  
• АП1: 192.168.0.2
  
• Координатор1: внутренний 192.168.0.1, внешний 199.6.14.59
  
• АП2: 192.168.0.3
  
• Координатор2: внутренний 192.168.0.1, внешний 199.6.14.28
  

И еще вопрос. Допустим я добился того, что без VipNet все компы нормально пингуются. Как настроить координаторы, чтобы СУ, стоящие за ними, без установленного на них VipNet, были защищены и в тоже время могли обращаться к общим ресурсам незащищенной сети?

[MORO]

ВЫключил драйвер защиты на обоих координаторах. Машины стоящие за координаторами НЕ пингуются. С самих машин пингуется только СВОЙ координатор. УДАЛИЛ с координаторов VipNet - теперь машины стоящие за одним координатором пингуют другой координатор. Получается, что даже при ВЫключеной защите VipNet всеравно что-то блокирует?

И еще, если проблемы с маршрутизацией, то вопрос: какие маршруты должны быть прописаны?

IP-адреса:

• 
  
• АП1: 192.168.0.2
  
• Координатор1: внутренний 192.168.0.1, внешний 199.6.14.59
  
• АП2: 192.168.0.3
  
• Координатор2: внутренний 192.168.0.1, внешний 199.6.14.28
  

Первое: разведите диапазоны IP-адресов ЛВС 1 и ЛВС 2, У Вас получается, что за "внутренними" интерфейсами обоих Координаторов одинаковые диапазоны IP-адресов. Присвойте ЛВС 2, например, диапазон 192.168.1.0/24 (т.е. с 192.168.1.1 по 192.168.1.254), а "внутреннему" сетевому интерфейсу Координатора 2 - IP-адрес 192.168.1.1 (Соответственно, АП2 - 192.168.1.3).

Не смотря на то, что технология виртуальных IP-адресов ViPNet позволяет замаскировать дублирование IP-адресов в разных сетях, лучше так не делать.

Второе: на обоих Координаторах должна быть включена маршрутизация (вообще-то она включается в процессе инсталляции ПО "ViPNet-Координатор", но лучше убедиться лишний раз) - чтобы компы, на которых подняты Координаторы в принципе осуществляли функции роутеров (маршрутизаторов), даже безотносительно ViPNet. Для этого убедитесь, что в реестре Windows параметр IPEnableRouter (найдёте поиском) в "1".

Хотя, судя по тому, что "теперь машины стоящие за одним координатором пингуют другой координатор", маршрутизация пашет.

Третье:

• 
  
• на Координаторе 1:
  
• В свойствах IP протокола сетевого интерфейса 199.6.14.59 должен быть указан шлюз по умолчанию 199.6.14.28.
  
• В свойствах IP протокола сетевого интерфейса 192.168.0.1 шлюза по умолчанию не указывается.
  
• На Координаторе 2:
  
• В свойствах IP протокола сетевого интерфейса 199.6.14.28 должен быть указан шлюз по умолчанию 199.6.14.59.
  
• В свойствах IP протокола сетевого интерфейса 192.168.1.1 шлюза по умолчанию не указывается.
  

Четвертое:

На рабочих станциях ЛВС 1 (в т.ч. АП1) в свойствах IP-протокола д.б. указан шлюз по умолчанию 192.168.0.1.

На рабочих станциях ЛВС 2 (в т.ч. АП2) в свойствах IP-протокола д.б. указан шлюз по умолчанию 192.168.1.1.

После всех этих манипуляций проверьте ping - без vipnet-драйвера - с АП1 на АП2 и наоборот. Если больше никаких хитростей между сетками не накручено, то пинг будет (если только встроенный в WinXP брандмауэр не помешает, а то он не всегда адекватен...).

Если ping пошёл - врубайте vipnet-драйвер.

P.S. Я исходил из того, что у вас просто две ЛВС с Координаторами на их рубежах и всё. Если есть необходимость связи с прочими ЛВС, то надо будет прописывать маршруты (в Win это команда route add), что немножко сложнее. Так же я полагаю, что туннелируемые хосты корректно прописаны в параметрах обоих Координаторов.

И еще вопрос. Допустим я добился того, что без VipNet все компы нормально пингуются. Как настроить координаторы, чтобы СУ, стоящие за ними, без установленного на них VipNet, были защищены и в тоже время могли обращаться к общим ресурсам незащищенной сети?

Не совсем понял вопрос... Мы говорим о двух ЛВС с Координаторами на их рубажах. Тогда кто такая "незащищенная сеть"?

И что конкретно означает "СУ, стоящие за ними, без установленного на них VipNet, были защищены"? Они будут защищены на уровне рубежа ЛВС, от внешнего вторжения (если конечно не ставить на Координаторах 4 режим ). Внутри же своей ЛВС, от "соседей" защиты не будет. Это уже ViPNet-Клиенты ставить надо.

[Jerom]

MORO

Все сделал по написанному - без VipNet все комп-ы пингуются нормально.

Поставил VipNet-координаторы - теперь координаторы друг друга видят, а комп-ы стоящие за ними (их адреса прописаны в тунелируемых соединениях) не пингуются.

Во вкладке "Открытая сеть" поставил галочку рядом с адресом адаптера, соединяющего координатор с АП, ни чего не изменилось. Поставил еще галочку рядом с "Все незарегистрированные IP-адреса" - комп-ы стали пинговаться, но в журнале регистрации IP-пакетов видно, что трафик не шифруется.

Как настроить координаторы правильно?

[Stratos]

Jerom

но в журнале регистрации IP-пакетов видно, что трафик не шифруется

Какой режим безопасности на интерфейсах выставлен?

Журнал IP пакетов с какого интерфейса смотрели?

[Jerom]

Stratos

Какой режим безопасности на интерфейсах выставлен?

жесткий бумеранг

Журнал IP пакетов с какого интерфейса смотрели?

на любом координаторе: клик правой кнопкой по "Все незарегистрированные IP-пакеты" и в выпадающем меню "журнал регистрации..."

[Stratos]

Jerom

Скорее всего Вы смотрите журнал IP пакетов на интерфейсе, который "смотрит" на модем. Там и будет открытый трафик.

3-й режим безопасности выставлен на всех интерфейсах?

[Jerom]

Да, похоже так и есть. Сейчас еще раз проверил, кажется все нормально.

Буду пробовать решать другие задачи.

Большое спасибо за помощь.

[Jerom]

MORO писал(а):

Третье:

• 
  
• на Координаторе 1:
  
• В свойствах IP протокола сетевого интерфейса 199.6.14.59 должен быть указан шлюз по умолчанию 199.6.14.28.
  
• В свойствах IP протокола сетевого интерфейса 192.168.0.1 шлюза по умолчанию не указывается.
  
• На Координаторе 2:
  
• В свойствах IP протокола сетевого интерфейса 199.6.14.28 должен быть указан шлюз по умолчанию 199.6.14.59.
  
• В свойствах IP протокола сетевого интерфейса 192.168.1.1 шлюза по умолчанию не указывается.
  

Четвертое:

На рабочих станциях ЛВС 1 (в т.ч. АП1) в свойствах IP-протокола д.б. указан шлюз по умолчанию 192.168.0.1.

На рабочих станциях ЛВС 2 (в т.ч. АП2) в свойствах IP-протокола д.б. указан шлюз по умолчанию 192.168.1.1.

А как настроить IP, если Координаторы 1 и 2 соединены между собой через модемы 1(192.168.0.1) и 2(192.168.1.1) соответственно?

Пробывал сделать так:

• 
  
• Модем1: 192,168,1,1
  
• Модем2: 192,168,0,1
  
  
• Координатор1:
  
• подключение к АП1: 192,168,3,1 без указания шлюза
  
• подключение к Модем1: 192,168,1,2 шлюз 192,168,1,1
  
• Координатор2:
  
• подключение к АП2: 192,168,2,1 без указания шлюза
  
• подключение к Модем2: 192,168,0,2 шлюз 192,168,0,1
  
  
• АП1: 192,168,3,2
  
• АП2: 192,168,2,2
  

С АП1\2 не пингуются Модемы1\2.

[MORO]

С АП ViPNet (Клиентов) и не должны пинговаться модемы. Всё правильно.

С точки зрения технологии ViPNet модемы это открытые IP-устройства, находящиеся где-то между рубежными СМ (Координаторами). Т.е. "некая сетевая инфраструктура", задача которой доставить трафик от WAN-интерфейса одного СМ до WAN-интерфейса другого, и не более того. А модемы там, роутеры, NAT`ы или ещё что угодно - это уже дело десятое...

С чего бы СМ`ам пропускать пакеты между защищёнными АП и "какими-то там модемами"? Это тогда не защищённая VPN будет, а дырявое корыто. )))

Если уж очень Вам надо с АП пинговать модемы, то Вам придётся настроить СМ`ы так, чтобы они пропускали через себя транзитный открытый трафик между АП и модемами.