Нет Связи По Vipnet Монитор

[Dmitrey_61]

Здравствуйте!

ViPNet Монитор пишет "Связь по VPN есть, но программа монитор недоступна". В чём может быть проблема?

Желательно если ответ будет подробный.

[AnTonN(c)]

С кем проверяется соединение?

Обычно это бывает в linux: iptables или ipfw включены. Проверка соединения проходит по udp:2046 и направляется до прикладного уровеня. Драйвер работает между канальным и сетевым. То есть приходит зашифрованный пакет, драйвер его расшифровывает (VPN есть значит) и кидает дальше по стеку. антивирусы или другие firewwall работают "выше" драйвера iplir, которые и блокируют это соединение.

[Dmitrey_61]

Проверяется соединение с координатором на котором установлена win 7. Работает в режиме динамической трансляции ip-адресов через координатор с фиксацией трафика. Соединение есть, но периодически пишет сообщение о недоступности, в сети таких координаторов с динамикой несколько.

[AnTonN(c)]

Клиент в динамике или координатор в динамике? Опиши все режимы на узлах.

[Dmitrey_61]

Координатор с win 7 (который периодически пропадает) работает с использованием МЭ с динамической трансляцией ip-адресов через главный, включено фиксировать весь трафик с внешними узлами через главный координатор. На нём включена служба "маршрутизация и удалённый доступ" и выключены все профили фаервола. На координаторе 2 сетевые карты: для выхода в интернет и для соединения с клиентом ViPNet. Клиент ViPNet тоже с win 7, но клиент видит только своего координатора, остальные координаторы и клиенты недоступны, ставил в режим с использованием МЭ через координатор(пробовал и др.режимы).

Координатор win 7 видит другие все узлы сети, и клиенты,расположенные за главным координатором(который работает со статической трансляцией ip-адресов) тоже его видят. Бывает такое что пишет "недоступен", а по виртуальному адресу пингуется координатор, при долгом удержании "Связь по VPN есть,но программа монитор недоступна". Связь по деловой почте есть.

[AnTonN(c)]

Такие проблемы фиксировались до версии 3.2. Там переработана логика работы VPN.

Все клиенты работают "за Координатором" ближайшим.

Еще проанализирую работу проблемного координатора без фиксации направления трафика.

[Dmitrey_61]

Конечно,все клиенты стоят за ближним координатором.Горит зелёным цветом клиент, но недоступен.Такое ощущение, что что-то с трансляцией адресов не так. Координатор проблемный пытался ставить и в статику и без фиксации трафика,но эффект тот же. Есть в сети координаторы которые работают по аналогии с проблемным,но их клиенты видят всех и координатор видит всех, вот у них то связь не пропадает.)

[AnTonN(c)]

...Горит зелёным цветом клиент, но недоступен...

Это недокументированная возможность, которая запускается с определенными ключами. Где нарыл такое? Это так называемые фантомные узлы.

Короче. У тебя нет связей по ТК.

[Dmitrey_61]

Стоит в ЦУСе связывать ТК со всеми другими ТК автоматически. Так что проблема может всё-таки в маршрутизации или nat?

[AnTonN(c)]

Горит зелёным цветом клиент, но недоступен.

Этот недоступный клиент в защищенной сети? или при проверке соединения?

Проверь, что связи в ЦУС точно есть, сделай заново dst и пройди первичку.

[Dmitrey_61]

"Горит зелёным цветом, но недоступе" это значит, что полоска горит зелёным проверке связи(F5) и бегают зелёные полоски. Связи есть.

[AnTonN(c)]

Давай так:

1. С клиента, за проблемным координатором, запускаешь постоянный пинг на клиента за другим координатором. Желательно на клиента, за "главным" координатором,

2. Перед пингами у клиента за "главным" очищаешь все параметры для клиента, с которого идет пинг,

3. Смотришь в журналах клиента за проблемным, что есть 40-ые события на клиента за "главным",

4. На проблемном координаторе смотри 44-ое событие между клиентами и на каких интерфейсах,

5. Тоже самое на "главном",

6. На клиенте за "главным" смотри какие параметры выставило ПО для доступа к другому клиенту,

7. И в обратку тоже самое.

Можно сделать аналогичную диагностику с проблемного координатора.

[Dmitrey_61]

И что должно быть?пинг от клиента до клиента идет и превышен интервал ожидания, пакеты с 40 событием идут только в одну сторону,обратные пакеты не приходят. Параментры выставляет точно такие же какие были изначально.

[Dmitrey_61]

Разобрался!

На координаторе, который в динамике работает через другой координатор надо следующим образом насторить службы:

1)Маршрутизация и удалённый доступ

тип запуска -авто

состояние-остановлена

2)Диспетчер подключений удалённого доступа

тип запуска-отключена

состояние -остановлена

Отключаю эти службы,перезагружаю координатор и всё отлично. Координатор и клиент видят всех пользователей. Напомню, на координаторе и клиенте ОС WIN7.

Почему так?

[Dmitrey_61]

Когда служба "Диспетчер подключений удалённого доступа" выключена на координаторе, то на клиенте нет интернета, но он доступен для других пользователей ViPNet сети. Службу включаю и интеренет появлется, но проподает доступ к других пользователям! Подскажите,пожалуйста...что делать)

[slavanchuk]

...Горит зелёным цветом клиент, но недоступен...

Это недокументированная возможность, которая запускается с определенными ключами. Где нарыл такое? Это так называемые фантомные узлы.

Короче. У тебя нет связей по ТК.

Если не секрет, то где берём документацию по недокументированным возможностям?

[Dmitrey_61]

Про данную ситуацию в документации ничего нет.

[Dmitrey_61]

Скажите, если настроить на координаторе правило динамической трансляции адресов таким образом,чтобы адрес клиента преобразовывался во внешний ip-адрес координатора, будет доступ к интернету у клиента в данной ситуации? При условии что вышеуказанные службы выключены (Маршрутизация и удалённый доступ и диспетчер подключений и удалённого доступа).

[slavanchuk]

Скажите, если настроить на координаторе правило динамической трансляции адресов таким образом,чтобы адрес клиента преобразовывался во внешний ip-адрес координатора, будет доступ к интернету у клиента в данной ситуации? При условии что вышеуказанные службы выключены (Маршрутизация и удалённый доступ и диспетчер подключений и удалённого доступа).

Точно не скажу. Без включенных этих служб не всегда интернет корректно работает. По крайне мере, в одном из министерств области, которое я обслуживал была подобная проблема. Причем, корда маршрутизация включалась, тут нужно было корректно прибить межсетевой экран этой службы, а то он начинал многое блокировать. Так что, со службами должно работать. А, вот, без них - не уверен. Нужно пробовать.

P.S. Может, у Вас именно проблема в сетевом экране, который активируется вместе со службами. Попробуйте его просто настроить. У меня в своё время получилось.

[Dmitrey_61]

Интернет есть, но только на координаторе.Пытался настроить правила трансляции адресов на координаторе, но результата пока нет. Про какой межсетевой экран Вы говорите? Брандмауэр винды отключен. Или Вы хотите сказать, что служба брандмауэра тоже должна быть вырублена? Самое интересное, что служба именно "Диспетчер подключений удалённого доступа всё рубит. А служба маршрутизации и удалённого доступа особо не влияет,хотя по идее должна иметь большое значение"

[slavanchuk]

Интернет есть, но только на координаторе.Пытался настроить правила трансляции адресов на координаторе, но результата пока нет. Про какой межсетевой экран Вы говорите? Брандмауэр винды отключен. Или Вы хотите сказать, что служба брандмауэра тоже должна быть вырублена? Самое интересное, что служба именно "Диспетчер подключений удалённого доступа всё рубит. А служба маршрутизации и удалённого доступа особо не влияет,хотя по идее должна иметь большое значение"

Я, как раз и говорю, про брендмауер, который активируется вместе с этой службой (маршрутизация). По крайней мере, когда я мучил windows 2003 с координатором, там именно в ней была проблема. Пришлось и там тоже правила разрешающие настраивать. В каком-то из режимов работы этой службы без сетевого экрана не обойтись.

[Dmitrey_61]

Ситуация смешнее и смешнее. Служба диспетчер подключений удалённого доступа не рубит ViPNet и со службой маршрутизации работает норм, но вот когда запускается зависимаю служба от диспечера "Общий доступ к подключению к интернету" , то и случается отруб. В брандмауэре винды профили отключены, правила смотрел и ничего страшного не нашёл пока, буду ковыряться. Служба брандмауэра работает, отключал-не помогает.

Но всё равно спасибо.

[slavanchuk]

Ситуация смешнее и смешнее. Служба диспетчер подключений удалённого доступа не рубит ViPNet и со службой маршрутизации работает норм, но вот когда запускается зависимаю служба от диспечера "Общий доступ к подключению к интернету" , то и случается отруб. В брандмауэре винды профили отключены, правила смотрел и ничего страшного не нашёл пока, буду ковыряться. Служба брандмауэра работает, отключал-не помогает.

Но всё равно спасибо.

Интересно. Но наобум тут диагностиовать что-то сложно. Как найдёте что-то интересное - пишите. Тем не менее, попробуйте добавить разрешающие правила для UDP/55777 и TCP 5000-5003, UDP 2046-2047. Здесь, скорее всего, не в маршутизации дело, а в блокировках. Кстати, у Вас, случаем что-нибудь экзотическое типа ISA стоит на сервере?

[Dmitrey_61]

Прописал фильтры и ничего не изменилось. Отключил службу брандмауэра и ничего тоже не изменилось. В общем, дело ясное ,что дело тёмное.

[Dmitrey_61]

Разобрался. Нужно прописать на координаторе в мониторе фильтры и правила трансляции адресов, причём одновременно.

Всем спасибо за обсуждение темы.