Vipnet Coordinator + Nat + Nat + Vipnet Client Нет Связи

[natalie841]

Добрый день!

Схема (не рабочая):

Клиенты <-> Координатор <-> NAT <-> Internet <-> NAT <-> Клиент(динамический IP)

не могу добиться соединения с координатором и клиентами

Схема (рабочая):

Клиенты <-> Координатор <-> NAT <-> Internet <-> Клиент(динамический IP)

соединение с координатором есть и клиентами

Как настроить клиент или координатор, чтобы заработала "нерабочая" схема?

В чем проблема?

[Stratos]

natalie841

проблема скорее всего в настройках "правого" клиента.

какие настройки работы за NAT у "правого" клиента?

[natalie841]

natalie841

проблема скорее всего в настройках "правого" клиента.

какие настройки работы за NAT у "правого" клиента?

В основном вся настройка сводиться в подключении "с динамической трансляцией адресов"

[Stratos]

natalie841

какая версия ПО?

Координатор за каким NAT стоит?

[natalie841]

natalie841

какая версия ПО?

Координатор за каким NAT стоит?

Версия 3.1

Координатор за каким NAT стоит? Не понятно.

Координатор на Linux, VipNet версия 3.1.

Аппаратный маршрутизатор Dlink, координатор в DMZ зоне

[Stratos]

natalie841

Схема банальная и ДОЛЖНА работать с "полтычка".

Как я уже писал выше, скорее всего проблема в настройках "правого" клиента или в "правом" NATе.

Нужно проверить настройки клиента, NATа, маршруты. Посмотреть что в журналах IP пакетов Координатора и "правого" Клиента видно.

[aknis]

Версия 3.1

Координатор за каким NAT стоит? Не понятно.

Координатор на Linux, VipNet версия 3.1.

Аппаратный маршрутизатор Dlink, координатор в DMZ зоне

Посмотрите для начала "журнал регистрации ай-пи пакетов", откуда куда чего идет, а далее будет сразу понятно на какой стоне неправильно настроены параметры.

[balancev]

Такая же беда у меня. Если удалось решить, то как?

[drogba15]

Такая же проблема.как нибудь решили ее?

[slavanchuk]

Схема, как говорил Stratos, действительно банальная и типовая. Мало у кого клиент напрямую без NAT подключен к сети Интернет. Догадываюсь, что в каждом конкретном случае проблема разная. В общем случае необходимо смотреть журнал пакетов. И укажите, пожалуйста, что у Вас конкретно не работает? Между какими узлами связь не проходит?

Если связь между двумя клиентами по разную сторону схемы, то тут достаточно чтобы были разрешены порты VipNet в МСЭ, клиент по правую сторону схему должен быть с настройкой "динамическая трансляция", а левую - либо "через координатор", либо "со статической трансляцией" (если у Вас там внешний адрес статический).

[drogba15]

На клиенте в журнале ip пакетов на координатор отсылается с событием 40. На координаторе пакет принимается с событием 1. Как я понял на координатор не пришли ключевые наборы или пришли но не принялись. Что делать в таком случае? заново формировать справочники и ключевые наборы?

[slavanchuk]

Если происходит событие "не найден ключ для сетевого узла" на координаторе, то необходимо сформировать ключевой набор для координатора. Также необходимо проконтролировать, что обновление применилось.

Изменено 21 Октября 2013 пользователем slavanchuk

[drogba15]

Если происходит событие "не найден ключ для сетевого узла" на координаторе, то необходимо сформировать ключевой набор для координатора. Также необходимо проконтролировать, что обновление применилось.

а как можно это проконтролировать??? координатор hw1000

[slavanchuk]

В ЦУС, журнал "запросов и ответов". Если буква U стоит на этой отправке, то ключи применились.

[drogba15]

В ЦУС, журнал "запросов и ответов". Если буква U стоит на этой отправке, то ключи применились.

Спасибо, сейчас проверим

[drogba15]

Схема, как говорил Stratos, действительно банальная и типовая. Мало у кого клиент напрямую без NAT подключен к сети Интернет. Догадываюсь, что в каждом конкретном случае проблема разная. В общем случае необходимо смотреть журнал пакетов. И укажите, пожалуйста, что у Вас конкретно не работает? Между какими узлами связь не проходит?

Если связь между двумя клиентами по разную сторону схемы, то тут достаточно чтобы были разрешены порты VipNet в МСЭ, клиент по правую сторону схему должен быть с настройкой "динамическая трансляция", а левую - либо "через координатор", либо "со статической трансляцией" (если у Вас там внешний адрес статический).

Схема такая как в начале поста, то есть координатор за роутером и удаленный клиент за роутером. Проброс портов сделан и там и там. При такой схеме нет связи с координатором. Подключаешь клиент напрямую, связь сразу появляется. Не понимаю в чем проблема

[slavanchuk]

В случае с клиентом проброс портов не нужен (PAT) - достаточно простого динамического NAT. Нужно смотреть настройки сетевого экрана на роутере. Как я убедился на практике, не все роутеры корректно работают с UDP (особенно старые). Тут нужно смотреть роутер. Должно быть разрешено UDP 55777 от клиента, должна быть трансляция портов. На клиенте должно быть выставлено "с динамической трансляцией адресов". Если NAT есть, МСЭ настроен, на клиенте выставлен тип МСЭ, то связь должна пойти.

[drogba15]

В случае с клиентом проброс портов не нужен (PAT) - достаточно простого динамического NAT. Нужно смотреть настройки сетевого экрана на роутере. Как я убедился на практике, не все роутеры корректно работают с UDP (особенно старые). Тут нужно смотреть роутер. Должно быть разрешено UDP 55777 от клиента, должна быть трансляция портов. На клиенте должно быть выставлено "с динамической трансляцией адресов". Если NAT есть, МСЭ настроен, на клиенте выставлен тип МСЭ, то связь должна пойти.

Опишу свои действия: роутер tp-link, закрепил внутренний ip адрес за компьютером, на котором установлен клиент. Прокинул порт 55777 на этот ip. Отключил межсетовой экран. Перегрузил роутер.

На клиенте VipNet: поставил в настройках динамическая трансляция адресов, и поставил галочку "весь трафик с внешними сетевыми узлами направлять"

В журнале ip пакетов на клиенте исходящие пакеты на координатор отправляются с событием 40.

Связи нет.

[slavanchuk]

Галочку "весь трафик" ставить не обязательно. Порт тоже не нужно прокидывать. Достаточно, чтобы была трансляция. По идее, должно работать. А что пишется на координаторе от этого узла? На самом узле нет ли конфликтов по ip-адресам?! А то иногда возникало такое. Посмотрите на какой конкретно узел направляется трафик от клиента.

[drogba15]

Конфликтов нет. Координатор hw1000 у нас, в данный момент нет возможности посмотреть ip пакеты. Трафик направляется на hw1000, с событием 40.

[slavanchuk]

Самое интересное - это то, что на координаторе. С этого мы начинаем диагностику наших пользователей. А на координаторе посмотреть можно либо через SGA-апплет, либо любого випнет клиента, если знаете пароль администратора сети, либо непосредственно на самом HW.

[drogba15]

На координаторе посмотрю чуть позже, а вот что на клиенте в списке блокированных ip пакетов

[drogba15]

Самое интересное - это то, что на координаторе. С этого мы начинаем диагностику наших пользователей. А на координаторе посмотреть можно либо через SGA-апплет, либо любого випнет клиента, если знаете пароль администратора сети, либо непосредственно на самом HW.

На координаторе пакетов от удаленного узла нет. Внешний ip адрес NAT (координатора) пингуется. В списке блокированных ip пакетов на клиенте есть запись от удаленного внешника NAT (координатора), протокол ICMP с событием 3 и 1

[rupas]

На координаторе пакетов от удаленного узла нет. Внешний ip адрес NAT (координатора) пингуется. В списке блокированных ip пакетов на клиенте есть запись от удаленного внешника NAT (координатора), протокол ICMP с событием 3 и 1

скорее всего запрещён UDP 2046 трафик с наружи (из internet) проверьте настройки. разрешающие правила долны стоять в обе стороны. так же вопрос следующий кто у вас выступает сервером ip-адресов?

[drogba15]

скорее всего запрещён UDP 2046 трафик с наружи (из internet) проверьте настройки. разрешающие правила долны стоять в обе стороны. так же вопрос следующий кто у вас выступает сервером ip-адресов?

Где эти правила прописываются? Порт нужно пробросить на роутере??? Кординатор hw1000 одним из интерфейсов смотрит в локальную сеть, где является сервером dhcp. Другим интерфейсом подключен к роутеру, который раздает интернет.